Con provvedimento n. 55 del 7 marzo 2019 il Garante ha chiarito quando è necessario richiedere il consenso dell’interessato per effettuare un trattamento di dati sanitari.
In generale, per poter lecitamente effettuare un trattamento di dati personali è necessario che lo stesso trovi giustificazione in una delle basi giuridiche elencate all’art. 6 del Reg. UE 2016/679 (GDPR). Tale articolo prevede che il trattamento dei dati è lecito solo e nella misura in cui è:
– necessario per l’esecuzione di un contratto e/o di misure precontrattuali,
– per adempiere ad un obbligo di legge a cui è soggetto il titolare del trattamento,
– per salvaguardare gli interessi vitali dell’interessato o di un’altra persona fisica,
– per eseguire un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare,
– per perseguire un legittimo interesse del titolare o di terzi oppure, in alternativa,
– quando l’interessato ha prestato il proprio consenso.
Ne deriva che il consenso – che prima dell’entrata in vigore del GDPR era considerato dal vecchio Codice Privacy la principale base giuridica per il trattamento dei dati – assume ora una posizione residuale, potendo un trattamento considerarsi legittimo anche in assenza dello stesso qualora sussista una base giuridica alternativa e idonea a giustificarlo.
Tanto premesso, per quanto concerne il trattamento di particolari categorie di dati – tra cui rientrano anche i dati sulla salute trattati in ambito sanitario – se da un lato il par. 1 dell’art. 9 del GDPR ne vieta in via generale il trattamento, il successivo par. 2 delinea una serie di eccezioni che rendono lecito il trattamento di tale tipologia di dati e che, in ambito sanitario, sono riconducibili essenzialmente ai trattamenti necessari per:
– motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri;
– motivi di interesse pubblico nel settore della sanità pubblica (quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria, dei medicinali e dei dispositivi medici: si pensi ad esempio alle ipotesi di emergenze sanitarie conseguenti a sismi);
– finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (cioè per “finalità di cura”), per trattamenti effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.
La novità introdotta dal GDPR risiede nel fatto che, diversamente dal passato, il professionista sanitario che è soggetto al segreto professionale non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiestagli dall’interessato; e ciò sia se opera come libero professionista, sia se opera all’interno di una struttura sanitaria pubblica o privata.
Tuttavia il Garante ha precisato che i trattamenti di dati sanitari che non richiedono il consenso sono solo quelli “necessari” al perseguimento delle specifiche “finalità di cura” e non anche quei trattamenti che solo in senso lato attengono alla finalità di cura e che non sono strettamente necessari; questi ultimi, anche se effettuati da professionisti della sanità, richiedono sempre una distinta base giuridica.
I trattamenti in ambito sanitario che invece, per essere leciti, continuano a richiedere il consenso esplicito da parte dell’interessato anche dopo l’entrata in vigore del GDPR sono:
– i trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;
– i trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, che si configurano come servizi aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali, pubbliche e private, nell’ambito del Servizio sanitario nazionale;
– i trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);
– i trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
– i trattamenti effettuati attraverso il Fascicolo sanitario elettronico (d.l. 18 ottobre 2012, n. 179, art. 12, comma 5). Del pari, con riferimento ai trattamenti effettuati attraverso il Dossier sanitario, il consenso è attualmente richiesto dalle Linee guida emanate dall’Autorità il 4 giugno 2015, mentre per la refertazione on-line è richiesto dalle norme di settore (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013, art. 5).
