La riservatezza deve essere garantita in particolar modo per i cittadini che entrano in contatto con strutture sanitarie o studi medici, e quindi per i dati relativi alla salute a loro afferenti.
Dati relativi alla salute
La definizione di dati relativi alla salute, è nell'articolo 4 del GDPR: "attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute". Il Considerando 35, poi, specifica che "Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro". Questi dati sono ricompresi nella più vasta categoria dei dati soggetti a trattamento speciale (art. 9 GDPR) in quanto in grado di rivelare dettagli molto intimi della persona, e per tale motivo sono soggetti a tutela rafforzata.
Base giuridica e misure di garanzia
Il regolamento europeo stabilisce un generale divieto di trattamento dei dati relativi alla salute, divieto che non si applica se sono utilizzati esclusivamente per:
- finalità connesse alla salute (finalità di cura);
- per motivi di interesse pubblico o finalità di governo;
- per la ricerca nel pubblico interesse (se effettuata in base a norme di legge o regolamento e previa valutazione di impatto).
Per le finalità di cura l'esenzione è prevista dall’articolo 9, par. 2, lett h), del GDPR: “finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità”. Una volta che il cittadino ha deciso di sottoporsi ad una cura non occorre il consenso al trattamento dei suoi dati a fini di cura e diagnosi. I dati però possono essere trattati per le finalità di cui al 9.2.h se "sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti" (art. 9.3).
L'art. 9, par. 2, lett. i), riguarda le finalità di governo: "i) il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell'Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell'interessato, in particolare il segreto professionale".
In tutti gli altri casi il trattamento necessita di una base giuridica, che spesso viene individuata nel consenso. In particolare se si utilizzano App per finalità differenti dalla telemedicina, se i dati vengono comunicati anche a terzi non professionisti soggetti a segreto professionale, se i dati vengono utilizzati a fini promozionali.
La norma, però, lascia agli Stati membri la possibilità di “mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute” (comma 4). In tal senso il legislatore italiano ha previsto, col Codice Privacy novellato, misure di garanzia e regole deontologiche, fissate dall'autorità di controllo nazionale e riviste a cadenza biennale. Quindi, Il Garante nazionale adotta delle misure di garanzia, sentito il Consiglio superiore di sanità e tenendo conto delle linee guida, delle raccomandazioni e delle buone prassi del Garante europeo, in particolare con riferimento alle cautele relative alle modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute. Inoltre l'autorità di controllo dovrà anche promuovere delle regole deontologiche per il trattamento dei dati relativi alla salute.
Soggetti
I soggetti che per legge possono trattare dati sanitari sono:
- esercenti una professione sanitaria;
- organismi sanitari pubblici.
Gli esercenti una professione sanitaria (elenco dal Ministero Salute) sono individuati in base alle leggi vigenti, in particolare la legge 11 gennaio 2018 n. 3 di riordino delle professioni sanitarie, tra i quali esercenti possiamo ricordare: farmacista; medico chirurgo; odontoiatra; veterinario; psicologo; infermiere; ostetrico; infermiere pediatrico; esercenti professioni sanitarie riabilitative; esercenti professioni tecnico-sanitarie (di area tecnico-diagnostica e tecnicoassistenziale). Sono esclusi l'operatore di interesse sanitario (l. 403/1971 e l. 43/2006) e altri ausiliari delle professioni sanitarie (massaggiatore, odontotecnico, puericultrice), poiché svolgono un’attività che ha rilevanza sanitaria, oppure di affiancamento, ma non costituisce essa stessa attività sanitaria.
Altri soggetti, ovviamente, dovranno effettuare il trattamento quali autorizzati del titolare oppure su diversa base giuridica (consenso).
Nello specifico lo Studio medico e odontoiatrico è titolare del trattamento dei dati. Se lo Studio è composto da un singolo medico o odontoiatra sarà la persona fisica il titolare del trattamento. Nei caso in cui vi siano più medici occorre verificare se vi è un rapporto di contitolarità (es. uno studio meico associato dove i medici trattano dati autonomamente contribuendo alla determinazione delle stesse finalità e modalità del trattamento) oppure se si tratta di titolari autonomi che condividono solo, ad esempio, i locali.
Informativa
Prima di procedere alla raccolta dei dati occorre fornire l'informativa al paziente (eventualmente può essere fornita oralmente anche se è preferibile sia scritta). Il documento deve indicare:
- chi è il soggetto che raccoglie e tratta i dati (cioè il titolare);
- le finalità del trattamento;
- le modalità del trattamento;
- la natura obbligatoria o facoltativa del conferimento dei dati e conseguenze per un eventuale rifiuto;
- i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati;
- le modalità per l'esercizio dei diritti a tutela dei propri dati. da parte degli interessati (i pazienti).
Gli artt. 78 e 79 del Codice Privacy novellato prevedono modalità semplificate per l'informativa nel caso di trattamento di dati a fini di tutela della salute.
Conservazione
I documenti che contengono dati sanitari devono essere conservati in archivi ad accesso controllato (es. schedari con serratura), e comunque in modo che terzi non possano accedervi.
Comunicazione dei dati
I dati sullo stato della salute possono essere forniti anche a terzi, come parenti, familiari, conviventi, conoscenti, personale volontario, purché ovviamente il paziente, se cosciente, sia stato informato e abbia consentito. Occorre comunque rispettare l’eventuale richiesta della persona ricoverata a non rendere note a terzi la sua presenza nella struttura sanitaria o le informazioni sulle sue condizioni di salute.
Personale e misure di sicurezza
E' fondamentale che siano attuate misure di sicurezza a tutela dei dati, considerato che si tratta di dati sanitari. in particolare se trattati su carta i documenti vanno chiusi in schedari non posto alla mercé di altri pazienti.
Il personale che tratta i dati, rigorosamente autorizzato e preferibilmente con profili specifici di accesso ai dati in relazione ai loro ruoli, deve essere opportunamente istruito.
Prescrizioni del Garante
Il decreto di adeguamento del Codice Privacy (D. Lgs 101/2018) da all'autorità di controllo il potere di imporre ulteriori misure di garanzia nel caso di trattamento di dati sulla salute, dati genetici o biometrici. Tali misure sono fissate dal Garante con provvedimenti rivisti a cadenza biennale. Il primo è del 5 giugno 2019.
Fascicolo sanitario elettronico
Il Fascicolo sanitario elettronico (FSE, previsto dall'art. 12 DL 179/2012) è uno strumento informatico che riunisce i dati e i documenti (digitali o digitalizzati) di tipo sanitario e sociosanitario, relativi all'assistito. La sua funzione è di condividere tali dati, e quindi la storia clinica del paziente, tra vari medici o organismi sanitari. Il fascicolo viene, quindi, aggiornato dalle strutture sanitarie e dai medici. Al FSE possono accedere, oltre al paziente (con modalità sicure, es. smart card), i medici e il personale sanitario autorizzato. Non possono accedere terzi, quali periti assicurativi o datori di lavoro.
Originariamente, come previsto dall'articolo 12 del DL 179/2012, l'inserimento di dati all'interno dell'FSE dipendeva dal consenso del paziente (comma. 3 bis), il quale doveva essere informato in merito a chi ha accesso ai suoi dati e come questi possono essere utilizzati. Il consenso alla formazione del FSE ovviamente è del tutto distinto dalle cure, nel senso che il mancato consenso alla costituzione del FSE, oppure semplicemente all'inserimento di alcuni dati nel fascicolo, non può precludere la possibilità di usufruire delle cure. Il consenso può essere sempre revocato, e il paziente ha il diritto di oscurare alcuni dati specifici dal FSE.
Col decreto legge "Rilancio" n. 34/2020, e in particolare l’articolo 11, è stato modificato l’articolo 12 del dl 179/2012 abrogando il comma 3-bis, così consentendo da maggio 2020 di alimentare il FSE non più in base al consenso, ma utilizzando le basi giuridiche previste dalla normativa europea proprio per i dati sanitari (solo quelli da maggio 2020). Così come già avvenuto con l'adeguamento del Codice Privacy, il trattamento dei dati sanitari diventa soggetto all'art. 9 del regolamento europeo, senza dimenticare, però, le previsioni di misure specifiche ulteriori previste dal Garante per una maggiore tutela dei dati. Cioé anche in assenza di consenso i dati relativi a prestazioni sanitarie prodotti da maggio 2020 (quelli di date precedenti non saranno inseriti) in poi confluiranno nel FSE, ma occorrerà sempre il consenso specifico per l'accesso del personale sanitario a tali dati (così come precisato dal Garante).