TRATTAMENTO DEI DATI SANITARI, LE ULTIME NOVITÀ

Il Garante privacy ha da poco pubblicato un nuovo e utile compendio riguardante il trattamento dei dati personali effettuato attraverso piattaforme online che operano al fine di mettere in contatto i pazienti con i professionisti sanitari.
Con il decreto-legge 2 marzo 2024 n. 19 sulle “Ulteriori disposizioni urgenti per l’attuazione del Piano nazionale di ripresa e resilienza (PNRR)”, il Codice Privacy subisce così un ennesimo ritocco e questa volta, a essere rimodificato, è l’art. 2 sexies, in materia di trattamento particolari categorie di dati personali per motivi di interesse pubblico.
Scopriamo insieme le ultime novità sul trattamento dei dati sanitari.

TRATTAMENTO DEI DATI SANITARI: COSA SONO E COME IL GDPR SI RAPPORTA CON ESSI

Il rapporto tra privacy e sanità è da sempre un tema controverso.

È importante notare che esportatore e importatore devono essere entità diverse per qualificare come “trasferimento” di dati. In sostanza, un flusso transfrontaliero dei dati può essere definito come il trasferimento di dati personali verso un destinatario soggetto a una giurisdizione straniera.

Le esigenze di riservatezza e privacy spesso entrano in conflitto con quelle di urgenza e salute.

Per affrontare questa sfida, è stato adottato un approccio specifico, regolamentato dall’articolo 8.

In particolare, si pone un’attenzione particolare sulla liceità del trattamento dei dati relativi allo stato di salute.

Questa particolare tipologia di trattamento veniva svolta previo consenso del soggetto interessato ma non risulta necessaria l’autorizzazione del Garante nel caso in cui riguardi la tutela della salute o dell’incolumità.

Con l’entrata in vigore del GDPR, avviene un cambiamento in materia di trattamento dei dati personali e, quindi, anche per quelli sanitari.

Per dati sanitari intendiamo tutti quei dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

I dati sanitari sono considerati come dati sensibili, e quindi soggetti ad una tutela speciale per quanto riguarda diritti e libertà fondamentali e il GDPR racchiude nell’insieme di dati sensibili anche quelli genetici e biometrici.

Secondo quanto stabilito dalla Cassazione, i dati relativi alla sfera più intima della persona sono considerati “supersensibili”.

In particolare, l’articolo 9 del Regolamento stabilisce un divieto generale di trattamento di queste particolari categorie di dati, tra cui rientrano i dati sulla salute, a meno che non sia presente una delle specifiche esenzioni.

Queste esenzioni includono il consenso dell’interessato e il trattamento strettamente necessario per scopi di cura da parte di professionisti sanitari soggetti al segreto professionale.

TRATTAMENTO DEI DATI SANITARI: IL NUOVO COMPENDIO DEL GARANTE PER IL TRATTAMENTO DEI DATI PERSONALI

L’Autorità Garante per la Protezione dei Dati Personali il 4 aprile 2024 ha rilasciato un Compendio con l’aggiornamento in merito ai trattamenti di dati personali compiuti con app e piattaforme digitali per prendere appuntamenti e scambiare dati sia personali che di salute tra medici e pazienti, che allo scopo di semplificare e favorire i contatti dei professionisti della salute ed i pazienti possono presentare notevoli insidie.

Il Garante ha messo a disposizione un documento sistematico per informare professionisti sanitari, pazienti e venditori di app e siti sulle misure tecniche ed organizzative che i gestori ed i fruitori di tali sistemi devono osservare.

Il compendio è suddiviso in dieci capitoli e da chiarimenti facendo riferimento a tre macro tipologie di dati personali oggetto di trattamento: i personali dei pazienti, necessari per offrire loro servizi anche di tipo amministrativo correlati alla prestazione sanitaria richiesta; i dati personali dei professionisti sanitari trattati per diversi scopi (ad es. gestione dell’agenda del medico e recensioni degli utenti) ed i dati sulla salute dei pazienti, trattati per finalità di diagnosi e cura (es. condivisione di documenti sanitari come prescrizioni o referti).

Per ciascuna delle tre diverse macro-tipologie di trattamenti, il compendio dell’Autorità identifica in dettaglio le specifiche basi giuridiche, i ruoli, le responsabilità e gli obblighi dei gestori e degli utenti dei siti e delle app.

Viene sottolineata la necessità di adottare misure di sicurezza tecniche e organizzative per ridurre i rischi di distruzione, perdita, modifica, divulgazione non autorizzata o accesso accidentale o illegale dei dati.

Una sezione specifica del compendio è dedicata all’obbligo delle piattaforme di procedere con una valutazione di impatto sul trattamento dei dati, per come previsto dall’articolo 35 del GDPR, quando il trattamento potrebbe presentare un rischio elevato per i diritti e le libertà delle persone fisiche.

Infine, un paragrafo è dedicato alle informative da fornire ai pazienti.

Queste informative devono essere semplici, chiare, concise, trasparenti, intelligibili e facilmente accessibili, secondo i principi di correttezza e trasparenza.

Devono essere stratificate e progressive, consentendo agli utenti della piattaforma di consultare le sezioni specifiche di interesse e di utilizzare i servizi offerti in modo consapevole.

TRATTAMENTO DEI DATI SANITARI: LE ULTIME NOVITÀ, LA MODIFICA DEL PNRR AL CODICE PRIVACY

Con il Decreto-legge del 2 marzo 2024, n.19, nelle implementazioni del PNRR, il legislatore modifica una norma dell’attuale Codice Privacy ovvero l’art. 2 sexies il quale legittima il trattamento dei dati particolari, sanitari, per motivi di interesse pubblico rilevante. Tra gli impatti possiamo soffermarci sul trattamento dei dati sanitari.

Da una prima lettura sommaria, sembrerebbe che l’articolo 2 sexies al comma I bis, eliminando il richiamo alle “finalità compatibili”, si limiti a menzionare le finalità istituzionali.

Ciò significa che occorre valutare di volta in volta singolarmente queste finalità per determinare se il trattamento di un dato particolare rientri o meno in dette finalità.

Inoltre, da molto tempo sembra esserci l’intenzione, riflessa anche nel PNRR, di creare un’unica banca dati che abbia le dovute precauzioni e che tratti i dati attraverso l'”interconnessione”, ovvero una modalità di trasmissione contemporanea diversa dall’integrazione automatizzata, così come si legge una prima interpretazione.

Non cambia, tuttavia, la necessità di avere dei decreti attuativi ministeriali, che stiamo aspettando con ansia.

Infine, ci si chiede quanto il parere del Garante sarà vincolante in questi casi.

Lo scopriremo, ma nel frattempo, mentre aspettiamo gli sviluppi, dovremmo approfondire la questione alla luce del FSE 2.0.

In sostanza, la Commissione ha certificato che le concessioni del governo americano sono in grado di limitare l’accesso delle agenzie di intelligence americane.

In ogni caso, questo recente intervento normativo, che introduce anche altre disposizioni, ci richiama all’importanza per coloro che trattano dati personali particolari (come quelli sanitari) – soprattutto le Pubbliche Amministrazioni – di adottare tutte le misure appropriate per garantire la sicurezza e la riservatezza dei dati.

Se hai necessità di avere altre informazioni riguardo l’utilizzo dei dati sanitari o vuoi un’assistenza completa nel trattamento dei dati dei tuoi utenti, secondo quanto previsto dal GDPR, contattaci subito.

Scrivici all’indirizzo info@abinnovationconsulting.com, oppure compila il modulo che trovi di seguito.