Privacy: le nuove regole da ministero della Giustizia e Garante. Oltre al medico trattano i dati anche le professioni sanitarie

Con decreto del Ministero della Giustizia pubblicato nella Gazzetta Ufficiale di ieri, 25 marzo, si comunica l’inserimento nell’allegato A del decreto legislativo 196/2003 delle regole deontologiche per trattamenti a fini statistici o di ricerca scientifica, oggetto della delibera del Garante privacy dello scorso dicembre 2018.

Le regole sono quelle dettate nella delibera 19 dicembre 2018 dal Garante della privacy pubblicata sulla Gazzetta Ufficiale n 11 del 14 gennaio 2019.

Il regolamento contiene disposizioni particolari per la ricerca medica, biomedica ed epidemiologica (art. 8). Nello specifico, si stabilisce che nel manifestare il proprio consenso a un'indagine medica o epidemiologica, l'interessato dichiara se intende conoscere o meno eventuali scoperte inattese che emergano a suo carico durante la ricerca. In caso positivo, i dati personali idonei a rivelare lo stato di salute possono essergli resi noti.

Oltre al medico designato dall’interessato, anche gli esercenti delle professioni sanitarie possono trattare i dati personali idonei a rivelare lo stato di salute o renderli noti al paziente.

Infine, il progetto di ricerca deve contenere una dichiarazione di impegno da parte dei ricercatori a conformarsi alle regole deontologiche. Il progetto deve essere depositato presso l'università o ente di ricerca o società scientifica cui afferisce, che ne cura la conservazione in forma riservata per cinque anni dalla conclusione programmata della ricerca.

Sempre in materia di privacy poi il Garante ha emesso il provvedimento 7 marzo 2019 inviato il 13 marzo a tutte le Regioni, le Federazioni professionali, le associazioni scientifiche e i sindacati, l’interpretazione autentica delle nuove norme europee sulla privacy per quanto riguarda il consenso informato.

Il provvedimento spiega, a proposito di consenso informato, che “diversamente dal passato il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall'interessato indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all'interno di una struttura sanitaria pubblica o privata”.

I trattamenti per “finalità di cura” sono quelli previsti dal nuovo regolamento Ue all’articolo 9, paragrafo 2, lettera h): “… il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3” in cui si spiega che “I dati personali di cui al paragrafo 1 (dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona) possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti”.

Quelli che richiedono il consenso esplicito dell'interessato (art. 9, par.  2, lett. a) del Regolamento), “si individuano, a titolo esemplificativo, le seguenti categorie:

a. trattamenti connessi all'utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell'interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell'applicazione, ai dati dell'interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;

b. trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell'ambito del Servizio sanitario nazionale;

c. trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);

d. trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;

e. trattamenti effettuati attraverso il Fascicolo sanitario elettronico (Dl  18 ottobre 2012, n. 179, art. 12, comma 5). In tali casi, l'acquisizione del consenso, quale condizione di liceità del trattamento, è richiesta dalle disposizioni di settore, precedenti all'applicazione del Regolamento, il cui rispetto è ora espressamente previsto dall'art. 75 del Codice. Al riguardo, un’eventuale opera di rimeditazione normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati”.

Tocca alle aziende sanitarie nominare il Dpo o responsabile della protezione dei dati (anche Rpd). E questo anche nel caso di un ospedale privato, per una casa di cura o una residenza sanitaria assistenziale. Il singolo professionista sanitario, che opera in regime di libera professione a titolo individuale, non dovrà nominare un Dpo, come anche le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (anche se l'obbligo della nomina scatta in caso di effettuazione di trattamenti su larga scala).

IL DECRETO DEL MINISTERO DELLA GIUSTIZIA

LA DELIBERA DEL GARANTE DI DICEMBRE

IL PROVVEDIMENTO DEL GARANTE DI MARZO

IL REGOLAMENTO PRIVACY UE