Con i chiarimenti del 7 marzo 2019 il Garante per la protezione dei dati personali ha dato alcune indicazioni con riferimento ai tempi di conservazione dei dati sanitari.
Ai sensi dell’art. 13 par. 2 lett. a) e 14 par. 2 lett a) del GDPR il Titolare del trattamento, nel rendere l’informativa all’interessato, deve indicare anche il periodo di conservazione dei dati oppure, se ciò non è possibile, quali sono i criteri utilizzati per determinare tale periodo.
Al riguardo, con particolare riferimento alla documentazione sanitaria, vi sono diverse norme nel nostro Ordinamento che prevedono tempi di conservazione differenti in base al tipo di referto.
Si fa riferimento, ad esempio:
1.- alla conservazione delle cartelle cliniche di strutture pubbliche o private convenzionate che, unitamente ai relativi referti, vanno conservate illimitatamente nel tempo, secondo quanto stabilito dalla Circolare del Ministero della Sanità del 19 dicembre 1986 n. 900, in cui si afferma esplicitamente che “le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamente, poichè rappresentano un atto ufficiale indispensabile a garantire la certezza del diritto, oltre a costituire preziosa fonte documentaria per le ricerche di carattere storico sanitario”;
2.- alla documentazione inerente agli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica che deve essere conservata, a cura del medico che ha effettuato la visita, per almeno cinque anni ai sensi dell’art. 5, D.M. 18/02/1982;
3.- alla documentazione iconografica radiologica, che deve essere conservata per un periodo non inferiore a dieci anni ai sensi dell’art. 4 d.m. 14 febbraio 1997.
Più complessa è l’individuazione del tempo di conservazione dei dati nelle ipotesi in cui essi non siano stabiliti da una specifica disposizione normativa, come ad esempio accade con per le cartelle cliniche di strutture private non convenzionate.
In simili ipotesi sarà il Titolare del trattamento, in virtù del principio di responsabilizzazione (c.d. accoutability), a dover individuare tale periodo in modo che i dati sanitari siano conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore a quello necessario per il conseguimento delle finalità per le quali i dati sono raccolti e trattati, nel rispetto del principio di limitazione della conservazione di cui all’art. 5, par. 1, lett. e) del GDPR, indicando tale periodo (o i criteri per determinarlo) tra le informazioni da rendere all’interessato.
In conclusione va comunque sottolineato che la materia è molto delicata, anche perchè vi sono numerose norme che disciplinano in maniera diversa casi solo apparentemente simili.
Questo rende necessaria una valutazione caso per caso prima di prendere qualunque decisione in merito alla cancellazione/distruzione dei dati: una simile azione, infatti, potrebbe costituire una violazione dei dati ai sensi dell’art. 4.1 del GDPR e, di conseguenza, comportare la necessità di notificazione al Garante ex art. 33 e di comunicazione agli interessati ex art. 34 GDPR.
