Con il provvedimento n. 55 del 2019, il Garante per la protezione dei dati personali fornisce chiarimenti sull’applicazione della disciplina di protezione dei dati in ambito sanitario. I medici e i professionisti sanitari possono trattare i dati dei pazienti, per finalità di cura, senza dover richiedere il loro consenso, a patto che forniscano loro informazioni complete sull’uso dei dati. Nel provvedimento vengono poi specificati i termini relativi all’obbligo di nominare il Responsabile della Protezione dei Dati, le modalità di conservazione della documentazione contenente i dati sensibili, il contenuto minimo dell’informativa da fornire al soggetto interessato.

Il Garante per la Protezione dei dati personali, con la newsletter n. 451 del 25 marzo 2019, ha reso noto di aver adottato un provvedimento generale di interpretazione della nuova disciplina introdotta dal regolamento UE con riferimento all’ambito sanitario. Si prevede che i medici e i professionisti sanitari possano trattare i dati dei pazienti, per finalità di cura, senza dover richiedere il loro consenso, a patto che forniscano loro informazioni complete sull’uso dei dati. Inoltre, il medico che opera come libero professionista non è obbligato a provvedere alla nomina del Responsabile della protezione dati, mentre tutti gli operatori del settore dovranno tenere un registro dei trattamenti dei dati.

E’ invece richiesto il consenso, o una differente base giuridica, quando tali trattamenti non sono strettamente necessari per le finalità di cura, anche quando sono effettuati da professionisti della sanità, ma per finalità promozionali, commerciali o elettorali.

In ogni caso, sulla base dell’attuale normativa che regola il settore, permane la necessità di acquisire il consenso anche per il trattamento dei dati relativo al fascicolo sanitario elettronico, o per la consultazione dei referti online.

L’informativa agli interessati deve essere concisa, trasparente, intelligibile e facilmente accessibile, scritta con linguaggio semplice e chiaro. Il contenuto deve essere esaustivo e comprendere maggiori informazioni a tutela dell’interessato quali, ad esempio, quelle relative ai tempi di conservazione dei dati.

Restano in vigore gli obblighi relativa alla conservazione della documentazione inerente:

- gli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica, che deve essere conservata, a cura del medico visitatore, per almeno cinque anni ;

- alla conservazione delle cartelle cliniche che, unitamente ai relativi referti, per un tempo illimitato;

- alla documentazione iconografica radiologica, che deve essere conservata per un periodo non inferiore a dieci anni.

Sono tenuti alla nomina del Responsabile per la protezione dei dati tutti gli organismi pubblici e gli operatori privati che effettuano trattamenti di dati sanitari su larga scala. Non sono invece tenuti alla sua nomina i liberi professionisti o altri soggetti, come le farmacie, che non effettuano trattamenti su larga scala.

L’Autorità infine chiarisce che, in applicazione del principio di responsabilizzazione previsto da GDPR, è obbligatorio per tutti gli operatori sanitari tenere un registro nel quale sono elencate le attività di trattamento effettuate sui dati dei pazienti

Garante per la protezione dei dati personali, provvedimento 07/03/2019, n. 55

Fonte: http://www.ipsoa.it/documents/lavoro-e-previdenza/lavoro-autonomo/quotidiano/2019/03/26/medici-professionisti-sanitari-modalita-applicazione-gdpr