I chiarimenti del Garante privacy sull’informativa, la nomina del DPO e la tenuta del registro dei trattamenti in materia sanitaria

Avv. Pier Paolo Muià – Dott.ssa Maria Muià

Garante per la protezione dei dati personali: Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario – 7 marzo 2019

In considerazione del fatto che al Garante privacy sono pervenute numerosi quesiti e segnalazioni relativi al trattamento dei dati personali in ambito sanitario, soprattutto in considerazione dei nuovi adempimenti che sono richiesti ai titolari e ai responsabili del trattamento dal Regolamento europeo 679 del 2016 (GDPR) e dal Codice privacy come recentemente modificato dal D. Lgs. 101 del 2018 nonché in considerazione dei dubbi sollevati in queste segnalazioni, il Garante della privacy ha ritenuto opportuno intervenire attraverso il Provvedimento in esame, fornendo un’interpretazione uniforme della nuova normativa nonché degli orientamenti sui comportamenti da tenere in materia di protezione dei dati in ambito sanitario.

Dopo una analisi del quadro normativo vigente in materia e alcuni chiarimenti in ordine alla disciplina dei requisiti per la legittimità del trattamento dei dati relativi alla salute in ambito sanitario, il Provvedimento in esame si occupa di analizzare la disciplina relativa alle informazioni da fornire all’interessato, quella relativa al Responsabile della protezione dei dati (DPO) e quella relativa al Registro delle attività di trattamento.

Per quanto riguarda le informazioni da fornire all’interessato, il Garante ha ricordato che il principio di trasparenza introdotto dal Regolamento europeo obbliga i titolari del trattamento a fornire informazioni all’interessato sui principali elementi del trattamento, in modo che gli stessi possano prendere coscienza delle sue caratteristiche. Ciò detto il Garante ha specificato e chiarito che dette informazioni debbono essere concise, trasparenti, intellegibili e facilmente accessibili nonché rese attraverso l’uso di un linguaggio semplice e chiaro. Il titolare del trattamento, invece, deve, sotto la propria responsabilità, individuare quali modalità ritiene più idonee per fornire l’informativa, tenendo in considerazione il contesto in cui viene effettuato il trattamento nonché ogni altra circostanza utile.

L’informazione

Per quanto riguarda, invece, il contenuto dell’informazione, il Garante ha chiarito che la nuova disciplina si limita sostanzialmente a prevedere alcuni nuovi elementi informativi, ma, per il resto, mantiene fermo il contenuto informativo previsto dalle previgenti disposizioni del codice privacy. In considerazione di ciò, secondo il Garante, i titolari del trattamento dovrebbero limitarsi soltanto ad aggiornare ed integrare con tali nuove informazioni, i modelli di informative che erano state utilizzate fino al momento dell’applicazione della nuova normativa in materia di protezione dei dati personali (cioè fino al 25 maggio 2018).

Il Garante ha, poi, esaminato la posizione dei titolari di trattamento di dati in ambito sanitario i quali effettuano una pluralità di operazioni connotate da particolare complessità, come le aziende sanitarie. Con riferimento a tali soggetti, il Garante ha consigliato di fornire agli interessati le informazioni di cui sopra in maniera progressiva: a tutti i pazienti della struttura sanitaria, potrebbero essere fornite solo le informazioni per i trattamenti di dati relativi alle prestazioni sanitarie effettuate dalla struttura medesima nello svolgimento della propria attività ordinaria; le informazioni che riguardano attività di trattamento particolari (non connesse quindi alle attività ordinarie della struttura) potrebbero, invece, essere fornite soltanto ai pazienti che usufruiscono di questi servizi specifici e solo al momento in cui viene svolto detto servizio specifico.

Per quanto riguarda l’informazione all’interessato in ordine al periodo di conservazione dei suoi dati, il Garante ha precisato che la normativa di settore stabilisce una pluralità di termini per la conservazione della documentazione sanitaria. Ebbene, poiché la normativa in materia di privacy non ha modificato i termini di cui sopra, nel caso qualche disposizione normativa preveda degli specifici termini per la conservazione dei documenti sanitari (e quindi dei dati relativi alla salute in essi contenuti), tali termini continueranno a essere efficaci; quindi, l’informativa all’interessato dovrà fare riferimento a tali termini. Nel caso in cui, invece, non vi sia alcuna disposizione normativa che preveda dei termini di conservazione, il Garante chiarisce che il titolare del trattamento è tenuto ad individuare il periodo di conservazione dei dati relativi alla salute dai quali si possa ricavare l’identità dell’interessato per il tempo necessario (e non oltre) a raggiungere le finalità del trattamento; quindi, l’informativa rivolta all’interessato dovrà fare riferimento al suddetto termine individuato dal titolare del trattamento.

L’analisi del Garante nel provvedimento oggetto di esame ha, poi, ad oggetto la disciplina del responsabile della protezione dei dati.

Con riferimento a tale aspetto l’autorità di controllo ricorda che la nomina del DPO serve a rendere più facile per il titolare del trattamento il rispetto della disciplina in materia di privacy e che essa è obbligatoria: (i) sempre, per l’autorità o gli organismi pubblici; (ii) solo quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala oppure quando le attività principali del titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 del GDPR (fra cui, appunto, i dati relativi alla salute), per gli altri soggetti (privati).

Il sistema sanitario nazionale

Ciò detto, il Garante ha chiarito che le aziende sanitarie appartenenti al sistema sanitario nazionale sono obbligate alla nomina del responsabile della protezione dei dati sia in quanto organismo pubblico sia in quanto trattano dati relativi alla salute su larga scala. Per quanto riguarda, invece, gli ospedali privati, le case di cura o le residenze sanitarie assistenziali (RSA) private, il Garante ha precisato che anche per essi la nomina del responsabile è obbligatoria in quanto i trattamenti di dati relativi alla salute dei loro pazienti vengono effettuati su larga scala.

Per quanto riguarda poi l’organizzazione dell’ufficio del DPO, il Garante ha lasciato allo stesso titolare del trattamento il compito (e la connessa responsabilità) di scegliere se nominare un solo responsabile per più strutture sanitarie.

Infine, il Garante ha chiarito che il professionista sanitario che opera in regime di libera professione in maniera individuale, le farmacie, le parafarmacie, le aziende ortopediche e sanitarie, non sono obbligati alla nomina del DPO, in quanto i trattamenti di dati che essi compiono non avvengono su larga scala.

Per quanto riguarda invece la disciplina del registro dell’attività di trattamento, il Garante ha chiarito che, nell’ambito sanitario, sussiste un generale obbligo di tenuta di tale registro. In particolare, secondo il Garante, il fatto che il trattamento di dati compiuto in ambito sanitario includa le categorie particolari di dati di cui all’articolo 9 del Regolamento europeo, impedisce l’operatività della esenzione dall’obbligo di tenuta del registro. In ragione di quanto sopra, quindi, il Garante ha precisato che i singoli professionisti sanitari che agiscono in regime di libera professione, i medici di medicina generale, i pediatri di libera scelta, gli ospedali privati, le case di cura, le RSA, le aziende sanitarie appartenenti al servizio sanitario nazionale, le farmacie, le para-farmacie e le aziende ortopediche sono tutti obbligati a tenere il registro dei trattamenti.

In conclusione, il Garante ha precisato che l’obbligo di tenuta dal suddetto registro a carico dei suddetti professionisti sanitari non comporta che gli stessi debbano anche trasmetterlo al Garante medesimo, ma soltanto che debba essere messo a disposizione di detta autorità in caso di controllo.

Volume consigliato

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento