Back GDPR

Il regolamento generale per la protezione dei dati personali.

Il GDPR nell'industria sanitaria.

Piero Ricciardi

Postato il: 19-Dec-2018

Il binomio Privacy - Sanità da sempre presenta non poche difficoltà, sia per la rilevanza dei principi da tutelare, tutti di rango costituzionale, sia per l’approccio non sempre agevole degli operatori sanitari alle tematiche proprie della protezione dei dati personali. L’avvento poi della sanità digitale, voluta innanzitutto dall’Europa, ha ulteriormente complicato la situazione.

 

La stessa applicazione della normativa in materia di trattamento dei dati personali e sensibili nel settore sanitario è sempre stata controversa: la giusta imposizione di norme e regole atte a tutelare la riservatezza della persona umana spesso appare in contrasto con le esigenze di celerità, di urgenza, di garanzia di salute del paziente e quasi una inutile aggiunta alle già numerose incombenze di carattere burocratico che toccano agli operatori sanitari.

 

Gradualmente il senso della normativa sulla privacy è stato, tuttavia compreso e importanti modifiche soprattutto nei comportamenti hanno visto la luce nelle strutture sanitarie, che oggi mostrano una maggiore attenzione all’aspetto umano, alla dignità delle persone, alla riservatezza.

 

Naturalmente diverse sono le zone d’ombra negli aspetti applicativi, e sotto la vigenza della precedente direttiva 95/46/CE, il D.Lgs. n. 196/2003 agli artt. da 75 a 94, raccogliendo ed integrando nel titolo V (particolarmente dedicato ai dati sensibili) le varie disposizioni, ha fornito alcune risposte alle perduranti incertezze del mondo sanitario.

Il nostro codice in merito alla materia sanitaria ha quindi adottato un approccio di carattere settoriale e, partendo dal presupposto fondamentale rappresentato dall’art. 8, par. 3 della direttiva 95/46/CE che disciplinava i dati sanitari, ha dettato norme specifiche in materia.

 

In particolare, ad esempio, i presupposti di liceità del trattamento dei dati idonei a rivelare lo stato di salute da parte degli esercenti le professioni sanitarie e degli organismi sanitari pubblici vengono definiti dall’art. 76 del codice chiarendo che tale trattamento è effettuato con il consenso dell’interessato e anche senza l’autorizzazione del Garante, se riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell’incolumità fisica dell’interessato, ovvero anche senza il consenso dell’interessato e previa autorizzazione del Garante, se la finalità riguarda un terzo o la collettività.

 

Con l'esecutività del Regolamento UE n. 2016/679 (GDPR) del Parlamento Europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati (che ha abrogato la direttiva 95/46/CE), non si prevede una disciplina specifica per il trattamento dei dati personali effettuato in ambito sanitario al di là di riferimenti specifici relativi all’applicazione di alcune norme o istituti.

Naturalmente la materia è oggetto di particolare attenzione da parte del legislatore comunitario e lo dimostra il considerando 35 dove si chiarisce che:

 

"Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell'interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l'anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell'interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.

Una definizione estremamente completa e dettagliata sintetizzata in qualche modo dall’art. 4, n. 15 del GDPR che per dati relativi alla salute intende i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.

In ragione della loro natura, i dati sanitari sono qualificati dal GDPR, in linea con quanto già previsto dalla Direttiva madre, come dati sensibili e, quindi, come meritevoli di una specifica protezione sotto il profilo dei diritti e delle libertà fondamentali. Tuttavia, a differenza della Direttiva madre, il Regolamento ricomprende nella definizione dei dati sensibili anche i dati genetici e quelli biometrici, il cui trattamento, come quello dei dati sanitari, può esser soggetto a condizioni e/o limitazioni ulteriori, liberamente mantenute o introdotte dai singoli Stati membri.

 

In verità secondo la Corte di Cassazione, tutte le volte che si parla di dati riguardanti la salute ed il sesso degli interessati, detti dati sono “supersensibili” in quanto sono involgenti la parte più intima della persona nella sua corporeità e nelle sue convinzioni psicologiche più riservate. Pertanto, essi beneficiano di una protezione rafforzata (Cass. civ., sez. VI, sent. del 11 gennaio 2016, n. 222; sez. I, sent. del 7 ottobre 2014, n. 21107; sez. I, sent. 1 agosto 2013, n. 18443; sent. 8 luglio 2005, n. 14390).

 

L’art. 9 del GDPR sancisce come principio di carattere generale il divieto di trattare dati personali che rivelino l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l'appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all'orientamento sessuale della persona.

 

Il divieto non opera in una serie di circostanze che, per il settore sanitario, sono riconducibili all’erogazione della prestazione sanitaria complessivamente intesa. Tuttavia, il Regolamento è più flessibile ed amplia, rispetto alla Direttiva madre, il novero di ipotesi che legittimano il trattamento dei dati sanitari.

 

Si pensi all’ipotesi in cui il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri.

 

Oltre al caso più tradizionale in cui il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici.

 

Proprio in quest’ultimo caso si nota anche un approccio più ampio del GDPR rispetto alla materia sanitaria in quanto identifica esplicitamente il perseguimento dell’interesse pubblico nel settore della sanità pubblica quale giustificazione dell’inapplicabilità del divieto generale stabilito dall'art. 9, par. 1, del GDPR.

Non perdere gli ultimi articoli!

Inserisci la tua email 

TAG CLOUD

innovazione operations startup PMI finanza industria 4.0 digital transformation innovazione tecnologica prototipazione rapida innovazione aziendale innovation innovation manager digital business IoT big data pmi internazionalizzazione compliance system integration stampa 3d Al temporary management fintech voucher innovation manager cambio valuta development dialogo uomo-macchina business plan startup deliver to stock clausola salvaguardia commissione di massimo scoperto community concorrenzasleale conad crescita aziendale come fare un business plan dati criptovaluta cloud cloud computing comunicazione d'impresa analisi paese ExtraMot Exponential Technologies GDPR H R IP Management Human Resources Digital Transformation Cloud AR 3d printing Bankitalia CRM CRM aziendale evoluto Il controllo di gestione Iot digitalizzazione impresa Strumento a complemento della finanza tradizionalenel segno dell’innovazione e della trasparenza asset management blockchain business development Salva banche Reverse Engineering Lean Kaizen Lean manufacturing Lean organization Material Requirement Planning business plan gdo reverse engineering realtà aumentata riduzione sprechi rischio cambio risk management project manager processi operativi normativa newfinance open innovation opensource processi di gestione risk manager robotica avanzata tecnologia strategia d'impresa tecnologie 4.0 tecnologie verdi trasformazione digitale sparring partner soft skill” screening shared innovation sicurezza dati soft skill modello business minibond gestione del rischio gestione del credito gestione efficiente gestione impresa gestione rischi gestione aziendale voucher innovazione fasi del risk management e-learning finanzalternativa formazione a distanza freesource gestione risorse umane grande distribuzione organizzata marketing make to order mercati esteri metodi formativi metodi organizzativi aziendali innovativi investimenti green integrazione processi aziendali il ruolo dell'advisor impresa impresa digitale industria digitale e-finance
Iscriviti alla newsletter
Cross Hub Logo

Affiancare le imprese, enti ed istituzioni in tutti gli aspetti di natura strategica ed operativa attraverso la "mobilitazione integrata" (CROSS) di competenze ed esperienze (HUB) in risposta alle specifiche esigenze aziendali.

CONTACT INFO

 

SEDE LEGALE

Via dei Mille, 47

80121 - Napoli

 

SEDE OPERATIVA

Piazza Carità, 32 

80134 - Napoli

Tel. 081 0102554

 

info@crosshub.it

crosshub@b2bpec.it

Follow us