Con provvedimento del 7 marzo 2019 il Garante ha fornito alcuni chiarimenti sul trattamento dei dati relativi alla salute in ambito sanitario, al fine di dissipare autorevolmente alcuni dei dubbi che la nuova disciplina sulla protezione dei dati personali ha ingenerato nei professionisti della salute e nelle strutture pubbliche e private preposte all’erogazione di prestazioni medico-sanitarie.

Chiarimenti sul trattamento di dati in ambito sanitario

NexumStp S.p.A.

di NexumStp S.p.A.

Un’alleanza fra persone che dà vita a una promessa condivisa, a un impegno leale e trasparente, fonte di crescita ed evoluzione reciproche.

info@en.nexumstp.it

 LATEST NEWS

NexumStp S.p.A. - Il Sole 24Ore

 
news a cura di

Il Garante è intervenuto con indicazioni operative sui seguenti temi:

I presupposti di liceità del trattamento di particolari categorie di dati personali

Il Garante ha spiegato come il trattamento delle particolari categorie di dati personali di cui all’art. 9 – segnatamente, dei ‘dati relativi alla salute – possa avvenire  laddove il trattamento sia necessario al perseguimento di finalità di cura (e cioè “finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali”) sulla base del diritto dell’Unione Europea o degli Stati membri, o conformemente al contratto con un professionista della sanità, e sia effettuato da (o sotto la responsabilità di) un professionista sanitario soggetto al soggetto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.

Il singolo professionista e le strutture eroganti prestazioni sanitarie devono quindi astenersi dal richiedere il consenso dell’interessato all’effettuazione dei trattamenti essenziali per il raggiungimento di finalità determinate, strumentali ed inscindibilmente connesse con la cura della salute umana.

Per quanto attiene, invece, all’effettuazione di trattamenti non strettamente necessari a tal fine, il singolo professionista e le strutture sanitarie dovranno chiedere il consenso esplicito dell’interessato (ad es., per la fidelizzazione della clientela da parte delle farmacie, per l’invio di materiale promozionale o per il funzionamento di App mediche) oppure verificare se sussiste un altro presupposto di liceità del trattamento tra quelli delineati dagli artt. 6 e 9 GDPR.

L’informativa da fornire all’interessato

Il Garante ha sottolineato come il titolare del trattamento debba somministrare agli interessati (nella maggior parte dei casi, i pazienti) le informazioni previste dagli artt. 13 e 14 GDPR in forma concisa, intellegibile e facilmente accessibile, scegliendo le modalità più idonee per spiegare, utilizzando un linguaggio semplice e chiaro, quali trattamenti di dati personali saranno effettuati, le relative finalità ed il periodo di conservazione dei dati (o i criteri utilizzati per determinare tale periodo).
Laddove tali termini non siano già fissati dalla normativa di settore (ad es., dall’art. 5 del DM 18.02.1982 in ordine alla documentazione inerente la certificazione medica dell’idoneità sportiva agonistica), spetta al titolare del trattamento limitare la conservazione dei dati al periodo strettamente necessario rispetto al conseguimento delle finalità per le quali i dati sono trattati.

Il Responsabile della Protezione dei Dati (DPO)

Secondo l’orientamento del Garante, il singolo professionista della salute che eserciti la libera professione medica a titolo individuale non è tenuto a nominare un Responsabile della Protezione dei Dati, poiché i trattamenti di dati personali effettuati nello svolgimento della propria attività non costituiscono trattamenti “su larga scala”, come invece previsto dall’art. 37, comma terzo GDPR quale presupposto per la designazione del DPO.

Saranno invece tenute alla nomina del DPO le strutture sanitarie pubbliche (anche ai sensi dell’art. 37, comma primo lett. a)) nonché, ove effettuino trattamenti di dati personali su larga scala, gli ospedali privati, le residenze sanitarie assistenziali (RSA), le case di cura, le farmacie, leparafarmacia nonché le aziende ortopediche e sanitarie.

Il Registro delle attività di trattamento

Da ultimo, il Garante ha precisato come l’obbligo di tenere il registro delle attività di trattamento di cui all’art. 30 GDPR sussista per il singolo professionista della salute che esercita la professione medica, come anche per le strutture ospedaliere pubbliche e private, per le farmacie, le para farmacie e per le aziende ortopediche.

Il registro, debitamente compilato ed aggiornato, non deve essere trasmesso al Garante, bensì conservato e messo a disposizione dell’Autorità in caso di controllo.

news a cura di

NexumStp S.p.A.

di NexumStp S.p.A.

Un’alleanza fra persone che dà vita a una promessa condivisa, a un impegno leale e trasparente, fonte di crescita ed evoluzione reciproche.

info@en.nexumstp.it

 LATEST NEWS

Lascia un messaggio.

Compila il form per farci conoscere le tue esigenze e per chiedere dettagli sui nostri servizi.

Saremo felici di ricontattarti nel più breve tempo possibile.

News

  • Questo campo serve per la convalida e dovrebbe essere lasciato inalterato.