+39 080 5227462    +39 080 2142163
segreteria.slr@didiritto.it

GDPR: Il Garante interviene in merito al trattamento dei dati sulla salute da parte del medico libero professionista.

Avv. Danilo Piscopo

GDPR: Il Garante interviene in merito al trattamento dei dati sulla salute da parte del medico libero professionista.

Preambolo

Torniamo a trattare un tema legato all’impatto del GDPR rispetto alla nostra vita quotidiana. Il Garante con provvedimento del 7 marzo scorso ha fornito importanti chiarimenti in merito al trattamento dei dati personali da parte dei medici i quali non hanno l’obbligo di chiedere ai propri pazienti il consenso al trattamento dei dati per effettuare le prestazioni professionali loro richieste anche in caso di telemedicina.

La questione

Il consenso è necessario quando il trattamento dei dati da parte del medico sia connesso alla consultazione del fascicolo sanitario elettronico, alla consegna del referto online (in questo caso è richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto ex DPCM 8/8/2013 art.5), all’utilizzo di app mediche (ad esempio quelle che permettono di ricordare l’assunzione di farmaci o di prenotare per tempo i medicinali), alla fidelizzazione della clientela, ovvero per finalità promozionali o commerciali.

La mancanza dell’obbligo di acquisire il consenso da parte dei pazienti è strettamente connessa al segreto professionale cui è soggetto il professionista sanitario; tuttavia il medico non è esentato dal dover fornire un’informativa relativa alle modalità di trattamento dei dati personali che, in ossequio ai principi del GDPR dovrà essere redatta «in forma concisa, trasparente, intellegibile, facilmente accessibile, scritta con linguaggio semplice e chiaro».

Il Garante, nel ribadire l’insussistenza in capo al medico libero professionista dell’obbligo di nomina del Responsabile della protezione dei dati (RPD o DPO), ha confermato l’obbligatorietà della tenuta del Registro dei trattamenti effettuati sui dati dei pazienti che rappresenta «un elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio».
Il Registro delle attività di trattamento non dovrà essere trasmesso al Garante, ma messo a disposizione delle Autorità in caso di controllo e per tale ragione, sarà opportuno curarne il costante aggiornamento in modo da garantire la conformità dello stesso rispetto alle concrete modalità di trattamento dei dati così come descritte nel Registro stesso.

In merito ai tempi di conservazione dei dati, il Garante si è uniformato ai principi enunciati dal Legislatore comunitario richiamando la cosiddetta “accountability” (principio di responsabilizzazione) in base alla quale «qualora non siano fissati da specifiche norme, spetta al titolare definire i tempi di conservazione dei dati in base alla finalità del trattamento».
In ogni caso i tempi di conservazione dei dati dovranno essere espressamente indicati nell’informativa.