Consenso informato. Il Garante della privacy detta le nuove regole in base al regolamento Ue sulla protezione dei dati (Gdpr)


Per le finalità di cura non si deve chiedere il consenso, mentre il consenso servirà per la refertazione online, fascicolo e dossier sanitario elettronico. Tocca ai medici, alle farmacie e alle aziende sanitarie la compilazione del registro dei trattamenti. Il singolo medico non deve nominare il Dpo (responsabile della protezione dei dati). IL PROVVEDIMENTO DEL GARANTE. 

18 MAR – “Diversamente dal passato il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata”.

Il Garante della privacy spiega così, nel provvedimento del 7 marzo inviato (il 13 marzo) a tutte le Regioni, le Federazioni professionali, le associazioni scientifiche e i sindacati, l’interpretazione autentica delle nuove norme europee  sulla privacy per quanto riguarda il consenso informato.

I trattamenti per “finalità di cura” sono quelli previsti dal nuovo regolamento Ue all’articolo 9, paragrafo 2, lettera h): “… il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3”.
E il paragrafo 3 spiega che “I dati personali di cui al paragrafo 1 (dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti”.

“Altro aspetto – prosegue il garante – riguarda l’ambito oggettivo: i trattamenti previsti” dagli articoli della norma Ue indicata “sono infatti quelli “necessari” al perseguimento delle specifiche “finalità di cura” previste dalla norma, cioè quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute”.

Il Garante prosegue specificando che gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, richiedono, quindi, anche se effettuati da professionisti della sanità, “una distinta base giuridica da individuarsi, eventualmente, nel consenso dell’interessato o in un altro presupposto di liceità (artt. 6 e 9, par. 2, del Regolamento)”.

Quelli che richiedono il consenso esplicito dell’interessato (art. 9, par.  2, lett. a) del Regolamento), “si individuano, a titolo esemplificativo, le seguenti categorie:

a. trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell’applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;

b. trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio sanitario nazionale;

c. trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);

d. trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;

e. trattamenti effettuati attraverso il Fascicolo sanitario elettronico (Dl  18 ottobre 2012, n. 179, art. 12, comma 5). In tali casi, l’acquisizione del consenso, quale condizione di liceità del trattamento, è richiesta dalle disposizioni di settore, precedenti all’applicazione del Regolamento, il cui rispetto è ora espressamente previsto dall’art. 75 del Codice. Al riguardo, un’eventuale opera di rimeditazione normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati”.

Il provvedimento spiega poi che nei confronti della generalità dei pazienti assistiti da una struttura sanitaria potrebbero essere fornite solo le informazioni relative ai trattamenti che “rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie (cfr. art. 79 del Codice). Gli elementi informativi relativi a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca) potrebbero essere resi, infatti, in un secondo momento, solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti. Ciò andrebbe a beneficio di una maggiore attenzione alle informazioni veramente rilevanti, fornendo la piena consapevolezza circa gli aspetti più significativi del trattamento”.

Tocca poi alle aziende sanitarie nominare il Dpo o responsabile della protezione dei dati (anche Rpd). E questo anche nel caso di un ospedale privato, per una casa di cura o una residenza sanitaria assistenziale. Il singolo professionista sanitario, che opera in regime di libera professione a titolo individuale, non dovrà nominare un Dpo, come anche le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (anche se l’obbligo della nomina scatta in caso di effettuazione di trattamenti su larga scala).

Il registro delle attività di trattamento dovrà essere compilato dai singoli professionisti sanitari, i medici di medicina generale e i medici pediatri, gli ospedali privati, le case di cura, le Rsa, le aziende del servizio sanitario, le farmacie, le parafarmacie e le aziende ortopediche. Il registro non va trasmesso al garante, ma conservato per eventuali controlli.

Fonte: quotidianosanità.it