Alienum phaedrum torquatos nec eu, vis detraxit periculis ex, nihil expetendis in mei. Mei an pericula euripidis, hinc partem.
Omceo Udine: Viale Diaz, 30 - 33100 Udine - Tel. 0432 504122

Protezione dei dati personali in ambito sanitario: chiarimenti.

Si comunica che l’Autorità Garante per la protezione dei dati personali ha emanato un Provvedimento in data 7 marzo 2019 con il quale vengono forniti chiarimenti in merito all’applicazione della disciplina sulla protezione dei dati in ambito sanitario alla luce delle modifiche introdotte dal Regolamento UE 2016/679 sulla protezione dei dati personali e la libera circolazione di tali dati.

Di seguito pubblichiamo il Testo.

Registro dei provvedimentin. 55 del 7 marzo 2019

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa AugustaIannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano,componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016,relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché allalibera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sullaprotezione dei dati di seguito Regolamento);

VISTO il d.lgs. 10 agosto 2018, n. 101 recante “Disposizioni per l’adeguamento della normativanazionale alle disposizioni del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio,del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei datipersonali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE”;

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamentodell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio,del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei datipersonali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. 30giugno 2003, n. 196, come modificato dal d.lgs. 10 agosto 2018, n. 101, di seguito “Codice”);

VISTI gli artt. 57, par. 1, lett. b) e d) del Regolamento e 154, comma 1, lett. g) del Codice in merito alcompito attribuito al Garante di promuovere la consapevolezza e di favorire la comprensione delpubblico riguardo ai rischi, alle norme, alle garanzie e ai diritti in relazione ai trattamenti, nonché agliobblighi imposti ai titolari e i responsabili del trattamento;

VISTO il Considerando n. 132 del Regolamento che prevede attività di sensibilizzazione delle autoritàdi controllo nei confronti del pubblico;AscoltaDoc-Web:9091942Data:07/03/19Argomenti:Sanità e ricercascientifica ,Consenso ,Informativa , Datisanitari , Stato disalute , Aziendesanitarie , Centrimedici , Marketingsanitario ,Operatori sanitari ,Ospedali ,PazientiTipologia:Provvedimenti acarattere generale

VISTE le Faq sul Responsabile della Protezione dei Dati (RPD) in ambito pubblico e privato pubblicatesu www.gpdp.it (doc. web nn. 7322110 e 8036793);VISTE le Faq sul Registro delle attività di trattamento pubblicate su www.gpdp.it (doc. web n.9047529);

ESAMINATE le segnalazioni e i quesiti pervenuti in ordine al trattamento dei dati personali in ambitosanitario, relativi ai nuovi adempimenti per i titolari e i responsabili previsti dal Regolamento e dalCodice;

ESAMINATE, altresì, le segnalazioni e i quesiti che evidenziano dubbi interpretativi derivanti dalmutato e articolato assetto della disciplina relativa al trattamento dei dati relativi alla salute nel settoresanitario;

CONSIDERATO che le segnalazioni e i quesiti pongono problematiche comuni che vannoopportunamente esaminate congiuntamente;

RITENUTA l’opportunità di supportare tutti i soggetti operanti in ambito sanitario nel processo diattuazione della richiamata disciplina, nonché di favorire un’interpretazione uniforme del nuovo assettonormativo, fornendo orientamenti utili per i cittadini e gli operatori del settore, con particolareriferimento ai responsabili della protezione dei dati;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento delGarante n. 1/2000;RELATORE il dott. Antonello Soro;

PREMESSA

Il trattamento dei dati sulla salute è consentito in presenza di taluni requisiti specifici individuati all’art. 9del Regolamento (cfr. considerando n. 51), il quale ha previsto, in questo ambito, la possibilità per gliStati membri di mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riferimento alpredetto trattamento (cfr. art. 9, par. 4). Il decreto legislativo n. 101/2018, in vigore dal 19 settembre2018, ha previsto, al riguardo, che il Garante completi l’individuazione dei presupposti di liceità deisuddetti trattamenti, adottando specifiche misure di garanzia e promuovendo l’adozione di regoledeontologiche (artt. 2-septies e 2-quater del Codice).Considerata la delicatezza e la complessità di tali trattamenti, il legislatore ha, inoltre, previsto unperiodo transitorio, affidando al Garante il compito di individuare, ed eventualmente aggiornare, leprescrizioni contenute nelle autorizzazioni generali sul trattamento dei dati sensibili che risultavanocompatibili con le disposizioni del Regolamento e del decreto n. 101/2018, nonché di verificare laconformità dei codici deontologici al Regolamento (artt. 20 e 21 del citato decreto).In attuazione della predetta disciplina transitoria, con il provvedimento del 13 dicembre 2018(consultabile sul sito www.gpdp.it, doc. web n. 9068972), sono state individuate le prescrizioni,contenute nelle autorizzazioni generali, compatibili con le disposizioni del Regolamento e del decreton. 101/2018, deliberando contestualmente l’avvio di una procedura di consultazione pubblica, al fine diacquisire osservazioni e proposte a cura di tutti i soggetti interessati.Analogamente, con provvedimento del 19 dicembre 2018 (doc. web n.9069637), il Garante haprovveduto alla verifica della conformità delle disposizioni contenute nei Codici di deontologia e dibuona condotta per i trattamenti di dati personali per scopi storici, statistici, scientifici al Regolamento ealla loro conversione in regole deontologiche, il cui rispetto costituisce condizione essenziale per laliceità e correttezza del trattamento dei dati personali (art. 2-quater del Codice).L’Autorità ha, altresì, avviato la redazione dei provvedimenti, previsti dall’art. 2-septies del Codice, chestabiliscono le misure di garanzia e si impegna ad adottarli in tempi brevi per arrivare, quanto prima,alla completa definizione del quadro regolatorio.In questi primi mesi di applicazione del Regolamento e delle nuove disposizioni del Codice, il Garanteha ricevuto numerosi quesiti in ordine al nuovo assetto della disciplina relativa al trattamento dei datirelativi alla salute in ambito sanitario.E’ stata sollevata, infatti, in più occasioni, l’esigenza, da parte degli operatori del settore, dei soggettiistituzionali competenti, dei responsabili della protezione dati e dei cittadini di avere dei chiarimenti inmerito al mutato e articolato assetto della disciplina in tale ambito.Sebbene il quadro regolatorio, come sopra evidenziato, non sia ancora definitivo, l’Autorità ritieneopportuno fornire alcuni chiarimenti sull’applicazione della disciplina di protezione dei dati in ambitosanitario.

1. Disciplina per il trattamento dei dati relativi alla salute in ambito sanitario

Le deroghe al divieto generale di trattare le cc.dd. “categorie particolari di dati”, tra cui rientrano quellisulla salute, sulla base delle quali è ammesso il trattamento di tali dati, sono ora da individuarsi nell’art.9 del Regolamento che elenca una serie di eccezioni che rendono lecito il trattamento e che, in ambitosanitario, sono riconducibili, in via generale, ai trattamenti necessari per:a. motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Statimembri (art. 9, par. 2, lett. g) del Regolamento), individuati dall’art. 2-sexies del Codice;b. motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione dagravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati diqualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla basedel diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche pertutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2,lett. i) del Regolamento e considerando n. 54) (es. emergenze sanitarie conseguenti a sismi esicurezza alimentare);c. finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o socialeovvero gestione dei sistemi e servizi sanitari o sociali (di seguito “finalità di cura”) sullabase del diritto dell’Unione/Stati membri o conformemente al contratto con un professionistadella sanità, (art. 9, par. 2, lett. h) e par. 3 del Regolamento e considerando n. 53; art. 75 delCodice) effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segretoprofessionale o da altra persona anch’essa soggetta all’obbligo di segretezza.Ciò non esclude che a seconda dello specifico trattamento effettuato, non possa ritenersi applicabile alcaso concreto una delle altre deroghe previste dall’art. 9 del Regolamento. In proposito, si osserva che la fattispecie indicata alla c) del precedente elenco presenta alcunepeculiarità che ne caratterizzano l’applicabilità. Al riguardo, si precisa, innanzitutto, che i trattamentiper “finalità di cura”, sulla base dell’art. 9, par. 2, lett. h) e par. 3 del Regolamento, sono propriamentequelli effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segretoprofessionale o da altra persona anch’essa soggetta all’obbligo di segretezza. Diversamente dalpassato, quindi, il professionista sanitario, soggetto al segreto professionale, non deve più richiedere ilconsenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato,indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studiomedico) ovvero all’interno di una struttura sanitaria pubblica o privata.Altro aspetto riguarda l’ambito oggettivo: i trattamenti di cui all’art. 9, par. 2, lett. h) sono infatti quelli“necessari” al perseguimento delle specifiche “finalità di cura” previste dalla norma, cioè quelliessenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla curadella salute (cfr. considerando 53 del Regolamento).Gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari,richiedono, quindi, anche se effettuati da professionisti della sanità, una distinta base giuridica daindividuarsi, eventualmente, nel consenso dell’interessato o in un altro presupposto di liceità (artt. 6 e9, par. 2, del Regolamento).Con riferimento ai trattamenti in ambito sanitario che non rientrano nelle ipotesi sopra descritte e,quindi, che richiedono il consenso esplicito dell’interessato (art. 9, par. 2, lett. a) del Regolamento), siindividuano, a titolo esemplificativo, le seguenti categorie:

a. trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolariraccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppurequando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possanoavere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segretoprofessionale (cfr. Faq CNIL del 17 agosto 2018 sulle applicazioni mobili in sanità(1));

b. trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraversoprogrammi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti alsettore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceuticatradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Serviziosanitario nazionale (SSN);

c. trattamenti effettuati in campo sanitario da persone giuridiche private per finalitàpromozionali o commerciali (es. promozioni su programmi di screening, contratto di fornituradi servizi ammnistrativi, come quelli alberghieri di degenza);

d. trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali (cfr.provv. del 6 marzo 2014, doc. web n. 3013267);

e. trattamenti effettuati attraverso il Fascicolo sanitario elettronico (d.l. 18 ottobre 2012, n.179, art. 12, comma 5)

In tali casi, l’acquisizione del consenso, quale condizione di liceità deltrattamento, è richiesta dalle disposizioni di settore, precedenti all’applicazione delRegolamento, il cui rispetto è ora espressamente previsto dall’art. 75 del Codice. Al riguardo,un’eventuale opera di rimeditazione normativa in ordine all’eliminazione della necessità diacquisire il consenso dell’interessato all’alimentazione del Fascicolo, potrebbe essereammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati.Con riferimento ai trattamenti effettuati attraverso il Dossier sanitario, il consenso è attualmenterichiesto dalle Linee guida emanate dall’Autorità prima dell’applicazione del Regolamento (Linee guidain materia di Dossier sanitario del 4 giugno 2015, doc web. n.4084632). Alla luce del nuovo quadrogiuridico, sarà il Garante ad individuare, nell’ambito delle misure di garanzia da adottarsi sulla basedell’art. 2-septies del Codice, i trattamenti che, ai sensi dell’art. 9, par. 2, lett. h), possono essereeffettuati senza il consenso dell’interessato.Diverso è il caso della refertazione on line per il quale il consenso dell’interessato è richiesto dalledisposizioni di settore in relazione alle modalità di consegna del referto (Decreto del Presidente delConsiglio dei Ministri 8 agosto 2013, art. 5).

In conclusione, occorre evidenziare che, così come richiamato dall’art. 22, comma 1, del d.lgs. n.101/2018, le disposizioni del Codice si devono, in ogni caso, interpretare e applicare alla luce delRegolamento.2. Informazioni da fornire all’interessatoIl principio di trasparenza previsto dall’art. 5, par. 1, lett. a) del Regolamento impone ai titolari diinformare l’interessato sui principali elementi del trattamento, al fine di renderli consapevoli sulleprincipali caratteristiche dello stesso.Al riguardo, si rappresenta che, pur nel rispetto dell’obbligo di comunicare gli elementi di cui agli artt.13 e 14 del Regolamento, le informazioni da rendere all’interessato vanno rese in forma concisa,trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro (cfr. art. 12, par. 1,del Regolamento, e art. 78 del Codice). Riguardo alle modalità con cui fornire l’informativa, alla lucedel principio di responsabilizzazione di cui all’art. 5 del Regolamento, spetta al titolare scegliere lemodalità più appropriate al caso di specie, tenendo conto di tutte le circostanze del trattamento e delcontesto in cui viene effettuato (ad esempio, il dispositivo utilizzato, la natura dell’interazione con iltitolare e le eventuali limitazioni che implicano tali fattori; cfr. considerando nn. 58 e 60) (2).Relativamente al contenuto, il Regolamento non stravolge l’impianto delle informazioni da rendereall’interessato, ma prevede solo alcuni nuovi elementi informativi rispetto a quanto era previsto nell’art.13 del Codice. Pertanto, l’informativa, predisposta in passato dai titolari dovrebbe essere aggiornata eintegrata solo con riferimento agli elementi di novità previsti dagli artt. 13 e 14 del Regolamento. Con specifico riferimento all’attività posta in essere da titolari del trattamento operanti in ambitosanitario che effettuano una pluralità di operazioni connotate da particolare complessità (es. aziendesanitarie), si ritiene opportuno suggerire di fornire all’interessato le informazioni previste dalRegolamento in modo progressivo. Ciò significa che nei confronti della generalità dei pazienti afferentia una struttura sanitaria potrebbero essere fornite solo le informazioni relative ai trattamenti cherientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie (cfr. art. 79 del Codice). Glielementi informativi relativi a particolari attività di trattamento (es. fornitura di presidi sanitari, modalitàdi consegna dei referti medici on-line, finalità di ricerca) potrebbero essere resi, infatti, in un secondomomento, solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti. Ciò andrebbea beneficio di una maggiore attenzione alle informazioni veramente rilevanti, fornendo la pienaconsapevolezza circa gli aspetti più significativi del trattamento.Tra gli elementi informativi di novità, merita evidenziare quello relativo al periodo di conservazione deidati che, secondo il Regolamento, può essere fornito dal titolare anche attraverso l’indicazione deicriteri utilizzati per determinarlo (artt. 13 e 14, par. 2, lett. a), Regolamento).Al riguardo, si ricorda che, con particolare riferimento alla documentazione sanitaria, l’ordinamentogiuridico prevede numerosi e differenziati riferimenti ai tempi di conservazione della stessa, che nonsono stati modificati dalla disciplina sulla protezione dei dati personali e che, quindi, rimangonopienamente in vigore. Si fa riferimento, ad esempio: alla documentazione inerente gli accertamentieffettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica, chedeve essere conservata, a cura del medico visitatore, per almeno cinque anni (art. 5, D.M.18/02/1982); alla conservazione delle cartelle cliniche che, unitamente ai relativi referti, vannoconservate illimitatamente (Circolare del Ministero della Sanità del 19 dicembre 1986 n.9002/AG454/260); alla documentazione iconografica radiologica, che deve essere conservata per unperiodo non inferiore a dieci anni (art. 4, d.m. 14 febbraio 1997).Nel caso in cui, invece, i tempi di conservazione di specifici documenti sanitari non siano stabiliti dauna disposizione normativa, il titolare del trattamento, in virtù del principio di responsabilizzazione,dovrà individuare tale periodo in modo che i dati siano conservati, in una forma che consental’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità perle quali i dati sono trattati (principio di limitazione della conservazione, art. 5, par. 1, lett. e) delRegolamento) e indicare tale periodo (o i criteri per determinarlo) tra le informazioni da rendereall’interessato.3. Responsabile della protezione dei dati (RPD)La designazione del RPD nella struttura del Regolamento costituisce una misura volta a facilitarel’osservanza della disciplina di protezione dei dati, che risulta obbligatoria per le autorità o organismipubblici; per gli altri soggetti tale obbligo sussiste invece solo al ricorrere delle specifiche condizioni dicui all’art. 37. In generale, si ritiene che i trattamenti dei dati personali relativi a pazienti effettuati da un’aziendasanitaria appartenente al SSN devono essere ricondotti a quelli per i quali è prevista la designazioneobbligatoria del RPD, sia in relazione alla natura giuridica di “organismo pubblico” del titolare, sia inquanto rientrano nella condizione prevista dall’art. 37, par. 1, lett. c), considerato che le attivitàprincipali del titolare consistono nel trattamento, su larga scala, di dati sulla salute.Si ritiene che anche il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casadi cura o da una residenza sanitaria assistenziale (RSA) possa rientrare, in linea generale, nelconcetto di larga scala. (Linee guida sui Responsabili della protezione dei dati, WP243, adottate il 13dicembre 2016, versione emendata e adottata in data 5 aprile 2017, punto 2.1.3, doc. web n. 612048,fatte proprie dal Comitato europeo per la protezione dei dati il 25 maggio 2018, cfr. Endorsement n.1/2018).Anche per gli aspetti organizzativi dell’ufficio del RPD, la possibilità e la fattibilità (art. 39 delRegolamento) di nominare un unico RPD per più strutture sanitarie, è rimessa alla responsabilità deltitolare del trattamento.Quanto, poi, al singolo professionista sanitario che operi in regime di libera professione a titoloindividuale, si fa presente che lo stesso non è tenuto alla designazione di tale figura con riferimentoallo svolgimento della propria attività.Secondo quanto indicato nel Considerando n. 91 del Regolamento, infatti, i trattamenti dallo stessoeffettuati non rientrano tra quelli su larga scala. In tal senso, anche il Gruppo di lavoro Art. 29 per laprotezione dei dati (ora Comitato europeo per la protezione dei dati-art. 68 del Regolamento) indica,tra gli esempi di trattamento da non considerare su larga scala, quelli svolti da un singoloprofessionista sanitario (Linee guida sui Responsabili della protezione dei dati, cit., punto 2.1.3.).Analoghe considerazioni valgono anche per le farmacie, le parafarmacie, le aziende ortopediche esanitarie. Pertanto, i citati soggetti, se non effettuano trattamenti di dati personali su larga scala, nonsono obbligati a designare il RPD.4. Registro delle attività di trattamentoI registri delle attività di trattamento rappresentano uno degli elementi per la definizione del quadrogenerale di accountability previsto dal Regolamento. Per dimostrare di conformarsi a tale disciplina,infatti, il titolare/il responsabile devono tenere un registro delle attività di trattamento effettuate sotto laloro responsabilità (cfr. Considerando n. 82). La tenuta del registro costituisce un elemento essenzialeper il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio.Con riferimento a questo adempimento si rappresenta, in linea generale, la sussistenza di tale obbligoin ambito sanitario. Tale posizione tiene conto del fatto che, essendo le fattispecie di esenzione di cuiall’art. 30, par. 5 del Regolamento tra loro alternative (cfr. Gruppo di lavoro Art. 29 per la protezione deidati – Position paper related to article 30(5), fatte proprie dal Comitato europeo per la protezione deidati-Endorsement n. 1/2018), la deroga alla tenuta del registro non opera in presenza anche di unosolo degli elementi indicati dal predetto par. 5 (trattamento che presenta un rischio per i diritti e lelibertà per l’interessato, trattamento non occasionale, trattamento che includa categorie particolari didati di cui all’art. 9 o dati relativi a condanne penali e a reati). Ciò, in coerenza con la circostanza che ilregistro delle attività del trattamento costituisce uno strumento di accountability e di gestione delrischio.Per le suddette ragioni, si ritiene, quindi, che non ricadono nelle ipotesi di esenzione dall’obbligo ditenuta del registro i singoli professionisti sanitari che agiscano in libera professione, i medici dimedicina generale/pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le RSA e leaziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche.In merito alla tenuta del registro delle attività di trattamento, si precisa, infine, che lo stesso non deveessere trasmesso al Garante, ma messo a disposizione dell’Autorità in caso di controllo.

TUTTO CIÒ PREMESSO IL GARANTEai sensi degli artt. 57, par. 1, lett. b) e d) del Regolamento e 154, comma 1, lett. g) del Codice,adotta il presente provvedimento.

Roma, 7 marzo 2019

IL PRESIDENTESoro

IL RELATORESoro

IL SEGRETARIO GENERALEBusia