Con il Regolamento Ue 2016/679, l’Unione Europea ha riformato la normativa sul trattamento e la circolazione dei dati personali delle persone fisiche. Si tratta del GDPR (General Data ProtectionRegulation), che ha rivoluzionato anche l’ambito medico-sanitario.
Effetto della piena applicazione del GDPR anche in Italia è stata la modifica del d. lgs. 196/2003 (Codice sulla privacy) ad opera del d. lgs. 101/2018, le cui norme sono state interpretate in via autentica dall’Autorità Garante per la protezione dei dati personali proprio di recente, con provvedimento n.55 del 7 marzo 2019.
Ma quali sono le novità?
Il Garante, richiamando l’art. 9 del GDPR, anzitutto precisa che il trattamento dei dati sulla salute è consentito solo se:
- il trattamento è necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri;
- è necessario per motivi di interesse pubblico nel settore della sanità pubblica (es. protezione da gravi minacce per la salute a carattere transfrontaliero);
- è necessario per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (di seguito“finalità di cura”).
In caso contrario è vietato trattare i dati relativi alla salute.
Una novità importantissima riguarda proprio i trattamenti necessari per finalità di cura, ossia quelli essenziali per il raggiungimento di finalità esplicitamente connesse alla cura della salute. Per questi ultimi non è più necessario il consenso informato del paziente. Motivo? Essi vengono effettuati da professionisti sanitari soggetti al segreto professionale, sui quali grava a priori il divieto di divulgare informazioni sulla salute dei propri pazienti.
Così si legge nel provvedimento del Garante: “I trattamenti per finalità di cura sono propriamente quelli effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza. Diversamente dal passato il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata”.
L’obbligo del consenso informato resta, invece, per i trattamenti attinenti solo in senso lato alla cura della persona, ma non strettamente necessari. A titolo esemplificativo:
- trattamenti connessi all’utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell’interessato;
- trattamenti preordinati alla fidelizzazione della clientela (es. dalle farmacie);
- trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening);
- trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
- trattamenti effettuati attraverso il Fascicolo sanitario elettronico.
Insomma, niente più consenso per finalità di cura. Esso servirà solo per la refertazione online, per il dossier sanitario elettronico e per quant’altro riguardi solo in senso lato la salute del paziente.