GDPR, la protezione dei dati in ambito sanitario

Il Consenso per trattare dati particolari, come quelli sanitari, non è dovuto nel caso che: ci siano motivi di interesse pubblico rilevante o nel caso di finalità di cura. Lo ripeto per la centesima volta, ma sono sicuro che troverò ancora moduli compilati secondo la precedente normativa o, ancor peggio, secondo la precedente precedente normativa (Anni Novanta). # GDPR protezione dati in ambito sanitario #

Una delle più grandi riforme del GDPR, il Regolamento europeo per la protezione dei dati personali, è stata l’eliminazione del consenso per motivi sanitari.

Sembrava ovvio a tutti, ma nel mondo della burocrazia serviva una doppia firma per accedere alle prestazioni mediche: una per autorizzare il medico a svolgere il proprio lavoro ed una per autorizzarlo a trattare i vostri dati sensibili (ora confluiti nei cosiddetti nel più grande gruppo dei dati particolari).

Una situazione abbastanza ridicola perché non esiste medico sul pianeta in grado di diagnosticare la più banale malattia senza conoscere i dati sanitari del proprio paziente.

Il GDPR ha posto rimedio, eliminando l’eccesso.

Infografica disposta dal Garante Privacy italiano.

Vi riporto qui sopra una infografica esaustiva disposta dall’autority italiana per la protezione dei dati personali, meglio conosciuto come Garante Privacy.

Non tutto è sottratto al consenso e non è che senza dover chiedere la famosa firma per il trattamento dei dati personali possiamo far tutto ciò che vogliamo. Andiamoci piano.

Se trasmettiamo il referto per email, per esempio, dobbiamo chiedere il consenso e così per tutti i casi non contemplati nelle finalità di cura o nei motivi di interesse pubblico, questi ultimi sottoposti alla normativa comunitaria o nazionale e ben definiti (ad esempio in caso di eventi estremi).

Per quanto tempo si devono conservare i dati?

Il GDPR ha introdotto l’importante necessità di stabilire una durata massima alla conservazione dei dati. In ambito sanitario diventa ancor più importante, vista la delicatezza della materia e alle tanti leggi operanti nel settori. Le cartelle sanitarie, ad esempio, devono essere conservate a tempo indefinito qualora l’operatore sia connesso con il Pubblico. E quando parlo di operatore intendo: medico di base/dentista/pediatra di libera scelta oppure ospedale/casa di cura. In altri casi il termine può essere di facoltà dell’operatore stesso, non essendoci il vincolo dell’atto pubblico. Come già accennato, è tema molto delicato e consiglio una opportuna ricerca in fase di design della protezione dei dati personali (possono esservi anche norme regionali, è bene informarsi accuratamente)

GDPR protezione dati in ambito sanitario

GDPR protezione dati in ambito sanitario

Il Data Protection Officer / Responsabile alla protezione dei dati personali, ne ho bisogno?

Ancora una volta devo ricordare il principio cardine del Regolamento: accountability. Non ci si rende conto della necessaria responsabilizzazione da parte dei Titolari del trattamento e/o dei Responsabili del trattamento. E ancora troppo spesso troviamo dipendenti non adeguatamente formati o in grado di dimostrare indipendenza – se trattano dati personali all’interno dell’organizzazione non sono in grado di essere super partes – nominati DPO.

Rispondendo alla domanda, il DPO ricorre solo in alcuni casi ed è bene effettuare uno screening degli effettivi trattamenti condotti. Il Garante della Privacy ha fornito un elenco NON esaustivo di attività per cui ricorre o meno l’obbligo del Responsabile della protezione dei dati.

Non è necessario quando il professionista della salute operi come singolo libero professionista.

E’ necessario nei seguenti casi (elenco non esaustivo):

  • Società operanti nel settore della cura della salute
  • Ospedali privati;
  • Terme;
  • Laboratori di analisi mediche
  • Centri di riabilitazione

Per maggiori informazioni, contattaci