Dati sanitari: novità su liceità del trattamento e richiesta del consenso

Recentemente il Garante per la protezione dei dati è intervenuto con il provvedimento n. 55 del 7 marzo 2019, per fornire alcuni chiarimenti sull’applicazione della disciplina della protezione dei dati in ambito sanitario, sulla base delle novità introdotte dal Regolamento (UE) 679/2016 – GDPR.

Le deroghe al divieto generale di trattare le “categorie particolari di dati” sono stabilite dall’art. 9 del GDPR (in combinato disposto con le relative disposizioni di adeguamento del D.Lgs. 196/2003, cd. Codice Privacy) che elenca una serie di ipotesi che rendono lecito il trattamento dei dati, riconducibili, in ambito sanitario, alle seguenti categorie:

1) motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (art. 9, par. 2, lett. g) del GDPR), individuati dall’art. 2-sexies del Codice privacy;

2) finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (di seguito “finalità di cura”) sulla base del diritto dell’Unione o degli Stati membri, o conformemente al contratto con un professionista sanitario, (art. 9, par. 2, lett. h e par. 3 e considerando n. 53 del GDPR; art. 75 del Codice privacy) effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza;

3) motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2, lett. i e considerando n. 54 del GDPR) (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);

La novità risiede nel fatto che diversamente dal passato, il professionista sanitario non deve più richiedere il consenso al paziente per il trattamento dei dati personali[1] qualora sia necessario per eseguire la prestazione sanitaria richiesta dall’interessato e ciò indipendentemente dalla circostanza che il professionista operi presso uno studio medico oppure all’interno di una struttura sanitaria pubblica o privata.

È invece richiesto il consenso quando tali trattamenti non siano strettamente necessari per le finalità di cura, specialmente ove non siano effettuati da professionisti della sanità, quali ad esempio:

a) trattamenti connessi all’utilizzo di App mediche attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina;

b) trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario;

c) trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);

d) trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;

e) trattamenti effettuati attraverso il Fascicolo sanitario elettronico[2].

Il Garante ha poi reso noto di aver avviato la redazione dei provvedimenti, previsti dall’art. 2-septies del Codice privacy (introdotto dal D.lgs. 101/2018) che stabiliscono le misure di garanzia, per arrivare, quanto prima, alla completa definizione del quadro regolatorio.

Si segnala infine la pubblicazione, da parte dell’Autorità, di un’interessante infografica che riassume il trattamento dei dati in ambito sanitario.

[1] Il consenso al trattamento dei dati personali è diverso dal “consenso informato” presente all’art. 1 della legge 219/17

https://www.gazzettaufficiale.it/eli/id/2018/1/16/18G00006/sg

[2] Con riferimento ai trattamenti effettuati attraverso il Fascicolo sanitario elettronico, è utile il richiamo all’art. 12 del D.L. n. 179/2012 che prevede due diverse fattispecie di consenso per l’utilizzo dei dati, distinguendo il consenso all’alimentazione del fascicolo sanitario elettronico (in mancanza del quale il FSE rimane vuoto e, quindi, non accessibile né per finalità di cura, né per finalità di ricerca e di governo) e il consenso alla consultazione dello stesso per finalità di cura, che presuppone la prestazione del consenso all´alimentazione (in mancanza di tale consenso, i dati presenti nel FSE, potranno essere utilizzati solo per le finalità di ricerca e di governo, purché privati dei dati identificativi diretti dell’assistito e nel rispetto dei principi di indispensabilità, necessità, pertinenza e non eccedenza in relazione alle suddette finalità ).

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Dati sanitari: novità su liceità del trattamento e richiesta del consenso

Master PERF.ET

WebTV MRTV ‖ Lo ho-BIT – una digicrazia inaspettata

Di

Newsletter

Lecce

Milano

Roma

Biella

Castellammare di Stabia

NAVIGA