Temi

Shape 5 Live Search

logo

La riservatezza deve essere garantita in particolar modo per i cittadini che entrano in contatto con strutture sanitarie o studi medici, e quindi per i dati relativi alla salute a loro afferenti. 

 

Dati relativi alla salute

I dati relativi alla salute, sono quelli "attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute" (art. 4 GDPR). Sono ricompresi nella più vasta categoria dei dati soggetti a trattamento speciale (art. 9 GDPR), in quanto in grado di rivelare dettagli molto intimi della persona, e per questo vi è una tutela rafforzata, di tali dati. 

 

Base giuridica e misure di garanzia

Il regolamento europeo stabilisce un generale divieto di trattamenti dei dati relativi alla salute, divieto che non si applica se sono utilizzati esclusivamente per finalità connesse alla salute (finalità di cura), per la supervisione del Sistema Sanitario Nazionale (finalità di governo) e per la ricerca nel pubblico interesse. L’articolo 9, par. 2, lett h), specifica l'esenzione relativamente al trattamento dei dati per “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”. Una volta che il cittadino ha deciso di sottoporsi ad una cura non occorre il consenso al trattamento dei suoi dati a fini di cura e diagnosi. 
I dati però possono essere trattati per le finalità di cui al 9.2.h se "sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti" (art. 9.3).

In tutti gli altri casi il trattamento necessita di una base giuridica, che spesso viene individuata nel consenso. In particolare se si utilizzano App per finalità differenti dalla telemedicina, se i dati vengono comunicati anche a terzi non professionisti soggetti a. segreto professionale, se i dati vengono utilizzati a fini promozionali. 

La norma, però, lascia agli Stati membri la possibilità di “mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute” (comma 4). In tal senso il legislatore italiano ha previsto, col Codice Privacy novellatomisure di garanzia e regole deontologiche, fissate dall'autorità di controllo nazionale e riviste a cadenza biennale. Quindi, Il Garante nazionale adotta delle misure di garanzia, sentito il Consiglio superiore di sanità e tenendo conto delle linee guida, delle raccomandazioni e delle buone prassi del Garante europeo, in particolare con riferimento alle cautele relative alle modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute. Inoltre l'autorità di controllo dovrà anche promuovere delle regole deontologiche per il trattamento dei dati relativi alla salute. 

 

Soggetti

I soggetti che per legge possono trattare dati sanitari sono:
- esercenti una professione sanitaria; 
- organismi sanitari pubblici

Gli esercenti una professione sanitaria, in base alle leggi vigenti (l. 24/2017), sono: 
- farmacista ex d.lgs. 258/1991; 
- medico chirurgo ex d.lgs. 368/1999; 
- odontoiatra ex l.409/1985; 
- veterinario ex l. 750/1984; 
- psicologo ex l. 56/1989; 
- infermiere ex l. 905/1980; 
- ostetrico ex l. 296/1985;
- infermiere pediatrico ex d.l. 70/1997;
- esercente professioni sanitarie riabilitative.
Sono esclusi l'operatore di interesse sanitario (l. 403/1971 e l. 43/2006) e arti ausiliari delle professioni sanitarie (massaggiatore, ottico, odontotecnico, puericultrice); ciò in quanto si tratta di persone che svolgono un’attività che ha rilevanza sanitaria, oppure di affiancamento, ma non costituiscono esse stesse attività sanitarie. 

Altri soggetti, ovviamente, dovranno effettuare il trattamento quali autorizzati del titolare oppure su diversa base giuridica (consenso). 

Nello specifico lo Studio medico e odontoiatrico è titolare del trattamento dei dati. Se lo Studio è compsto da un singolo medico o odontoiatra sarà la persona fisica il titolare del trattamento. Nei caso in cui vi siano più medici occorre verificare se vi è un rapporto di contitolarità (es. uno studio meico associato dove i medici trattano dati autonomamente contribuendo alla determinazione delle stesse finalità e modalità del trattamento) oppure se si tratta di titolari autonomi che condividono solo, ad esempio, i locali. 

 

Informativa

Prima di procedere alla raccolta dei dati occorre fornire l'informativa al paziente (eventualmente può essere fornita oralmente anche se è preferibile sia scritta). Il documento deve indicare:
- chi è il soggetto che raccoglie e tratta i dati (cioè il titolare); 
- le finalità del trattamento;
- le modalità del trattamento;
- la natura obbligatoria o facoltativa del conferimento dei dati e conseguenze per un eventuale rifiuto; 
- i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati; 
- le modalità per l'esercizio dei diritti a tutela dei propri dati. da parte degli interessati (i pazienti).  

 

Conservazione

I documenti che contengono dati sanitari devono essere conservati in archivi ad accesso controllato (es. schedari con serratura), e comunque in modo che terzi non possano accedervi. 

 

Comunicazione dei dati

I dati sullo stato della salute possono essere forniti anche a terzi, come parenti, familiari, conviventi, conoscenti, personale volontario, purché ovviamente il paziente, se cosciente, sia stato informato e abbia consentito. Occorre comunque rispettare l’eventuale richiesta della persona ricoverata a non rendere note a terzi la sua presenza nella struttura sanitaria o le informazioni sulle sue condizioni di salute. 

 

Personale e misure di sicurezza

E' fondamentale che siano attuate misure di sicurezza a tutela dei dati, considerato che si tratta di dati sanitari. in particolare se trattati su carta i documenti vanno chiusi in schedari non posto alla mercé di altri pazienti. 

Il personale che tratta i dati, rigorosamente autorizzato e preferibilmente con profili specifici di accesso ai dati in relazione ai loro ruoli, deve essere opportunamente istruito. 

 

Prescrizioni del Garante

Il decreto di adeguamento del Codice Privacy (D. Lgs 101/2018) da all'autorità di controllo il potere di imporre ulteriori misure di garanzia nel caso di trattamento di dati sulla salute, dati genetici o biometrici. Tali misure sono fissate dal Garante con provvedimenti rivisti a cadenza biennale. Il primo è del 5 giugno 2019

 

Fascicolo sanitario elettronico

Il Fascicolo sanitario elettronico (FSE, previsto dall'art. 12 DL 179/2012) è uno strumento informatico che riunisce i dati e i documenti (digitali o digitalizzati) di tipo sanitario e sociosanitario, relativi all'assistito. La sua funzione è di condividere tali dati, e quindi la storia clinica del paziente, tra vari medici o organismi sanitari. 
Il fascicolo viene, quindi, aggiornato dalle strutture sanitarie e dai medici. Al FSE possono accedere, oltre al paziente (con modalità sicure, es. smart card), i medici e il personale sanitario autorizzato. Non possono accedere terzi, quali periti assicurativi o datori di lavoro. 

Non essendo stato abrogato l'articolo 12 del DL 179/2012, attualmente l'inserimento di dati all'interno dell'FSE dipende dal consenso del paziente (art. 3 bis). A tal proposito deve essere informato in merito a chi ha accesso ai suoi dati e come questi possono essere utilizzati. Il consenso alla formazione del FSE ovviamente è del tutto distinto dalle cure, nel senso che il mancato consenso alla costituzione del FSE, oppure semplicemente all'inserimento di alcuni dati nel fascicolo, non può precludere la possibilità di usufruire delle cure. 
Il consenso può essere sempre revocato, e il paziente ha il diritto di oscurare alcuni dati specifici dal FSE.