La tutela dei dati personali relativi alla salute

A cura dell’avv. Enrica Mencarelli – Com’è ormai a tutti noto, il 25 maggio 2018 è entrato in vigore il Regolamento U.E. n. 2016/679 sulla protezione dei dati personali (“GDPR”, acronimo di General Data Protection Regulation), il quale ha introdotto una nuova disciplina (più stringente rispetto al passato) in tema di trattamento dei dati personali. Tale normativa, da un lato, è finalizzata ad assicurare che il trattamento dei dati si svolga nel rispetto dei diritti, delle libertà fondamentali e della dignità dell’interessato; dall’altro, mira anche a garantire la libera circolazione dei dati stessi nell’Unione, nel rispetto delle prescrizioni stabilite dal Regolamento.

Di recente, inoltre, anche la disciplina nazionale (d.lgs. n. 196/2003, cd. “Codice Privacy”) è stata modificata al fine di adeguarla a quella europea, prestando particolare attenzione al trattamento dei dati personali in ambito sanitario. In primo luogo, occorre chiarire che per “Dati personali” s’intende qualunque informazione che consenta di identificare una persona fisica, direttamente o indirettamente (quali, ad esempio, il nome, un numero di identificazione, i dati relativi alla residenza o domicilio, gli identificativi online o qualunque altro elemento caratteristico della identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale).

Vi sono, poi, delle categorie particolari di dati ritenute meritevoli di una tutela rafforzata, tra le quali figurano, in specie, i dati genetici, i dati biometrici (ove intesi a identificare in modo univoco una persona fisica), i dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona. In relazione a tali categorie particolari di dati, il GDPR ha disposto un generale divieto di trattamento, salve naturalmente alcune deroghe.

In particolare, il trattamento dei dati di carattere medico è lecito quando l’interessato abbia previamente prestato il proprio consenso esplicito per una o più finalità specifiche, oppure quando il trattamento dei dati si renda necessario per tutelare un interesse vitale dell’interessato (o di altra persona fisica), qualora quest’ultimo si trovi nell’incapacità fisica o giuridica di prestare il proprio consenso. Qualora l’Interessato ritenga che siano stati violati i propri diritti concernenti la protezione dei dati personali, può proporre reclamo all’Autorità Garante per la protezione dei Dati personali (www.garanteprivacy.it). Al fine di rispettare i diritti garantiti dal GDPR e dal Codice Privacy, quindi, i medici, gli studi professionali e le strutture pubbliche e private che erogano prestazioni sanitarie e socio-sanitarie sono chiamati ad adeguarsi alla nuova disciplina in materia, con adempimenti che si diversificano (e si intensificano) a seconda della struttura organizzativa nell’ambito della quale i dati vengono raccolti e trattati.

L’adozione delle misure di tutela e rispetto della privacy richiede una preventiva analisi dello stato di adeguamento alla normativa e dei potenziali rischi di violazione, in relazione ai processi di gestione e trattamento dei dati. Uno dei principali adempimenti che il Titolare del trattamento (ossia la persona fisica o giuridica, autorità pubblica o altro organismo che tratta i dati personali e determina le finalità e modalità del trattamento) è chiamato a svolgere è la cd. “informativa” che deve essere resa all’interessato (e che non dev’essere confusa con l’informativa relativa ai trattamenti medici nei confronti del paziente). Infatti, tra i principi che regolano il trattamento dei dati personali (oltre alla “liceità” e alla “correttezza”) ricorre anche la “trasparenza”, che impone al Titolare di fornire all’interessato una serie di informazioni relative alle finalità, modalità, luogo del trattamento e ai soggetti cui i dati possono essere comunicati. Si deve infine segnalare come le sanzioni amministrative pecuniarie previste per la violazione delle norme sulla privacy siano tra le più significative del nostro ordinamento, potendo persino arrivare – per le violazioni di maggiore gravità – fino a 20 milioni di euro, o (per le sole imprese) al 4% del fatturato mondiale totale se superiore (cfr. art. 83 del GDPR) e, in taluni casi, sono altresì previste sanzioni penali.

2019-01-21T15:32:08+02:0023 Dicembre 2018|Medicina, Medicina Legale, News|0 Comments

Leave A Comment