Si è fatto un gran parlare del G.D.P.R., il Regolamento UE 2016/679 attuato nel nostro Paese nel maggio 2018, che va ad integrare e, in alcuni casi, a modificare quella che era la normativa italiana prevista dal Codice della privacy del 2003.
Va detto, però, che, sebbene si sia discusso molto di questa novità normativa, accusata spesso di essere troppo rigida, sono molte le persone che non hanno ancora ben chiaro cosa la sua entrata in vigore abbia comportato, anche tra quei professionisti che sono stati, di fatto, toccati in prima persona dal Regolamento Comunitario.
Il G.D.P.R. in sanità
Il G.D.P.R., infatti, trova applicazione in moltissimi ambiti, tra i quali anche quello della sanità, nel quale vengono trattati dati personali particolarmente sensibili, legati allo stato della nostra salute.
Non tutti i medici e gli operatori sanitari, però, sanno quali siano le modifiche introdotte e in che modo possano, o non possano, gestire queste informazioni delicate.
A sottolineare questa situazione di incertezza è Gabriele Chiarini, avvocato cassazionista e dottore di ricerca in diritto civile, specializzato in malasanità, che negli ultimi mesi ha preso atto delle moltissime richieste di chiarimenti e consulenza in materia da parte di medici ed operatori sanitari in genere.
“Sembra esserci un diffuso bisogno di maggior chiarezza riguardo le novità previste dal G.D.P.R. – commenta l’avvocato Chiarini –. Se non si è a conoscenza di cosa comporti la nuova normativa nello svolgimento della propria professione, si può agire in modo errato, seppur con le migliori intenzioni. Credo che sia auspicabile prevedere momenti di formazione specifica che vedano coinvolti avvocati e professionisti del settore, al fine di illustrare nel concreto cosa sia cambiato”.
Un vademecum per venirne a capo
Per rendere più chiaro il significato del Regolamento Europeo in ambito sanitario, e alla luce dei chiarimenti recentemente diramati dall’Autorità Garante della privacy, l’avvocato Chiarini ha illustrato i punti principali in una sorta di vademecum pubblicato sul suo sito web.
Qui è riportata una sintesi:
1. La disciplina per il trattamento dei dati relativi alla salute in ambito sanitario
Diversamente dal passato, il professionista sanitario (tenuto al segreto professionale) non deve più richiedere il consenso del paziente per i trattamenti necessari alla erogazione delle prestazioni sanitarie.
Beninteso, il trattamento di dati che non necessita di consenso è solo quello strettamente necessario alla realizzazione delle specifiche “finalità di cura” previste dal G.D.P.R., pertanto restano esclusi dalla dispensa i trattamenti effettuati per finalità diverse (come quelle promozionali, commerciali, di fidelizzazione della clientela, o magari elettorali).
2. Le informazioni da fornire all’interessato e i tempi di conservazione dei dati
Tra i nuovi elementi informativi da fornire all’interessato, merita di essere segnalato il tempo di conservazione dei dati sanitari.
A questo proposito, ricordiamo che gli obblighi di conservazione della documentazione sanitaria non sono stati modificati dal G.D.P.R. e, pertanto, restano pienamente in vigore.
Ad esempio:
• le cartelle cliniche, i referti e resoconti radiologici devono essere conservati per sempre (si tratta di atti ufficiali indispensabili a garantire la certezza del diritto, oltre a costituire preziosa fonte per ricerche di carattere storico-sanitario);
• le immagini radiologiche e di medicina nucleare devono essere conservate per un periodo non inferiore a dieci anni;
• la documentazione relativa agli accertamenti effettuati nel corso delle visite per il rilascio dei certificati di idoneità sportiva deve essere conservata, a cura del medico visitatore, per almeno cinque anni.
3. La figura del Responsabile della protezione dei dati (R.P.D.)
Com’è noto, la figura del “Responsabile della Protezione dei Dati” dovrebbe costituire, nelle intenzioni del legislatore europeo, una misura volta a facilitare l’osservanza della disciplina in materia.
La nomina del R.P.D.:
• è obbligatoria per tutte le Aziende Sanitarie pubbliche appartenenti al S.S.N., nonché per le Strutture private che effettuino il trattamento di dati personali “su larga scala”;
• non è obbligatoria per i singoli professionisti sanitari che operino in regime di libera professione a titolo individuale.
4. Il Registro delle attività di trattamento
Nel cd. “Registro delle attività di trattamento” debbono essere annotate le principali informazioni relative al trattamento dei dati personali.
La regolare tenuta del Registro è un obbligo, senza alcuna esclusione, per tutti:
• i singoli professionisti sanitari che agiscano in libera professione,
• i medici di medicina generale e i pediatri di libera scelta,
• gli ospedali privati e le case di cura,
• le Residenze Sanitarie Assistenziali,
• le Aziende Sanitarie appartenenti al S.S.N., nonché
• le farmacie, le parafarmacie e le aziende ortopediche.