Con provvedimento n. 55/2019, diffuso il 25 marzo u.s., il Garante privacy ha fornito ulteriori indicazioni sul trattamento dei dati ai fini privacy nel settore sanitario.
Il quadro che emerge è il seguente:
Consenso al trattamento:
il medico e il professionista sanitario iscritto ad un albo (e quindi tenuto al segreto professionale) non deve chiedere al paziente il consenso al trattamento per le finalità di cura svolte personalmente o sotto la sua responsabilità. Ciò non toglie che è comunque necessario acquisire il consenso per ulteriori finalità diverse rispetto alla cura (comunicazione dati a terzi, raccolta dati di contatto per finalità informative e/o promozionali, fornitura di servizi ulteriori, ecc..). Resta poi inteso che nulla cambia rispetto all’obbligo di previamente fornire adeguata informativa sul trattamento dei dati e conseguentemente sull’esigenza di dimostrare di aver fornito tale informativa.
Registro del trattamento:
il Garante caldeggia l’adozione del registro dei trattamenti da parte di tutti i professionisti del settore sanitario, essendo questo lo strumento atto a dimostrare di aver adempiuto all’obbligo di mappatura dei dati, dei trattamenti, dei soggetti preposti al trattamento, dell’individuazione dei profili di rischio e della conseguente adozione delle misure sufficienti a garantire riservatezza ed integrità dei dati, il tutto in ossequio al principio ispiratore del GDPR ovvero quello dell’accountability (cosiddetta responsabilizzazione del titolare).
Nomina DPO:
viene confermata la necessità di procedere alla nomina di tale figura solo per le strutture complesse che trattano dati sanitari su larga scala. Vengono espressamente esclusi studi monoprofessionali e studi associati.