Privacy – Cosa prevede per la sanità il decreto recepimento regolamento UE
“Il trattamento dati in ambito sanitario dovrà rispettare le misure di garanzia per i dati genetici, biometrici e relativi alla salute. Previste disposizioni che dovranno applicare tutti gli esercenti professioni sanitarie e le strutture sanitarie, che saranno tenuti ad informare l’interessato del trattamento dei dati. Medici di medicina generale e pediatri potranno rendere con un’unica infromativa informazioni riguardanti il rapporto medico-paziente. Queste alcune delle modifiche apportate dal decreto legislativo del Governo Gentiloni all’attuale Codice italiano della privacy per il recepimento del regolamento UE. IL DECRETO
25 MAG – Il nuovo regolamento europeo in materia di protezione dei dati personali(Gdpr), entrato in vigore il 25 maggio 2016, si applica in tutti gli Stati Membri a partire da oggi, 25 maggio 2018. Il Regolamento intende dare vita ad un quadro più solido e coerente in materia di privacy, affiancato da efficaci misure di attuazione e rafforzare la certezza giuridica e operativa tanto per le persone fisiche quanto per gli operatori economici che per le autorità pubbliche.
Il Regolamento UE si articola in 11 capi per un totale di 99 articoli. Ai fini dell’adeguamento della disciplina italiana nelle meterie oggeto del Regolamento il Governo Gentiloni ha varato un apposito decreto legislativo che è stato trasmesso per i parei alle Commissioni speciali di Camera e Senato o scoros 10 maggio (vedi altro articolo).
Per quanto riguarda la sanità il decreto legislativo se ne occupa all’articolo 6 dello che detta disposizioni specifiche per il trattamento dei dati personali in ambito sanitario, intervenendo sugli articoli da 75 a 94 del Codice della privacy. Innanzitutto, nel Capo I, relativo ai principi generali, con la modifica dell’articolo 75, la riforma delinea la cornice di liceità del trattamento dati effettuato per finalità di tutela della salute e dell’incolumità fisica dell’interessato, di terzi o della collettività, richiamando le pertinenti disposizioni del Regolamento UE e della parte generale del Codice.
Tale trattamento può riguardare dati particolari (es. origine razziale o etnica, convinzioni religiose, dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona) purché:
• il trattamento sia necessario per finalità di medicina preventiva o di medicina del lavoro, di valutazione della capacità lavorativa del dipendente, di diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità (art. 9, par. 2, lett. h) del Regolamento UE). Tale professionista deve essere soggetto al segreto professionale (art. 9, par. 3, del regolamento UE);
• il trattamento sia necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri (art. 9, par. 2, lett. i) del Regolamento UE).
Quando ricorrono queste condizioni il consenso dell’interessato non è richiesto.
Il trattamento dati in ambito sanitario, inoltre, deve rispettare le misure di garanzia per i dati genetici, biometrici e relativi alla salute. In base a tale disposizione, spetta al Garante adottare misure di garanzia ed eventualmente ulteriori condizioni sulla base delle quali il trattamento è consentito. Questa possibilità è offerta agli Stati dall’art. 9, par. 4, del Regolamento UE che, per questi dati – oltre che per i dati biometrici e genetici – consente di mantenere o introdurre ulteriori condizioni e limitazioni. Dalla lettura dell’art. 2-septies, comma 6, che consente al Garante in relazione ai dati genetici ed ai dati sanitari, diagnostici e relativi alle prescrizioni di medicinali di “individuare in caso di particolare ed elevato livello di rischio, il consenso come ulteriore misura di protezione dei diritti dell’interessato“, si desume che il Garante potrà reintrodurre il consenso per il trattamento di alcuni specifici dati relativi alla salute e per i dati genetici.
In presenza di questi presupposti e requisiti il trattamento dati è lecito e, in base al nuovo comma 2 dell’articolo 75, l’interessato non può esercitare il diritto all’oblio (articolo 17 del Regolamento) e il diritto alla portabilità dei dati (articolo 20 del Regolamento). Tali limitazioni ai diritti sono espressamente fondate sull’articolo 23 del Regolamento che le consente per salvaguardare la sanità pubblica (par. 1, lett. e).
Coerentemente con l’eliminazione del requisito del consenso, la riforma abroga l’articolo 76 del Codice che distingue, per la sanità pubblica, i trattamenti dati che possono essere effettuati anche senza il consenso dell’interessato, ma previa autorizzazione da parte del Garante, da quelli che necessitano del consenso.
Il Capo II è dedicato alle modalità particolari per informare l’interessato del trattamento dati e per trattare i dati stessi. Si tratta di disposizioni che dovranno applicare tutti gli esercenti professioni sanitarie e le strutture sanitarie e socio-sanitarie tanto pubbliche quanto private, nonché gli altri soggetti pubblici operanti in ambito sanitario o della protezione e sicurezza sociale in base all’art. 80 del Codice. Tutti questi soggetti dovranno, anzitutto, informare l’interessato del trattamento dati.
Anche dall’articolo 77 è eliminato ogni riferimento al consenso dell’interessato.
L’articolo 78, relativo alle informazioni che devono rendere il medico di medicina generale o il pediatra, è coordinato con la modifica dell’articolo 77, e dunque con il rinvio alle informazioni previste dagli articoli 13 e 14 del Regolamento, che questi medici potranno rendere con un’unica informativa, relativa al complesso del rapporto medico/paziente che si protrarrà nel tempo.
È inoltre integrato l’elenco dei trattamenti rispetto ai quali le informazioni devono evidenziare specifici rischi per i diritti e le libertà fondamentali: alla ricerca scientifica, alla teleassistenza o telemedicina ed ai servizi resi attraverso la comunicazione elettronica si aggiungono ora il fascicolo sanitario elettronico e i sistemi di sorveglianza ed i registri nel settore sanitario (disciplinati dall’art. 12 del decreto-legge n. 179 del 2012).
Il fascicolo sanitario elettronico (FSE) è l’insieme dei dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito. Il FSE – che deve consentire anche l’accesso da parte del cittadino ai servizi sanitari on line – è istituito dalle regioni e province autonome, a fini di prevenzione, diagnosi, cura e riabilitazione; studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria. Al fascicolo sanitario elettronico si accompagna il dossier farmaceutico, aggiornato a cura della farmacia che effettua la dispensazione.
I sistemi di sorveglianza e i registri di mortalità, di tumori e di altre patologie, di trattamenti costituiti da trapianti di cellule e tessuti e trattamenti a base di medicinali per terapie avanzate o prodotti di ingegneria tessutale e di impianti protesici sono istituiti ai fini di prevenzione, diagnosi, cura e riabilitazione, programmazione sanitaria, verifica della qualità delle cure, valutazione dell’assistenza sanitaria e di ricerca scientifica in ambito medico, biomedico ed epidemiologico allo scopo di garantire un sistema attivo di raccolta sistematica di dati anagrafici, sanitari ed epidemiologici per registrare e caratterizzare tutti i casi di rischio per la salute, di una particolare malattia o di una condizione di salute rilevante in una popolazione definita.
Con queste due integrazioni all’articolo 78, lo schema di decreto legislativo può procedere all’abrogazione degli articoli 91 e 94 del Codice, rispettivamente relativi ai dati trattati mediante carte e ai registri in ambito sanitario.
Finalità di coordinamento normativo hanno anche le modifiche all’articolo 79 del Codice, in relazione alle informazioni che devono rendere le strutture sanitarie pubbliche e private, e all’articolo 80 del Codice, in relazione agli altri soggetti pubblici operanti in ambito sanitario o della protezione e sicurezza sociale: anche queste strutture potranno utilizzare un’unica informativa, in riferimento a una pluralità di prestazioni erogate da distinti reparti o articolazioni della struttura.
L’articolo 81 del Codice, relativo alla prestazione del consenso, è abrogato.
L’articolo 82, relativo alla possibilità di rendere le informazioni sul trattamento dati successivamente all’erogazione della prestazione sanitaria – in presenza di una emergenza – è coordinato con la previsione delle informazioni di cui agli articoli 13 e 14 del Regolamento ed è integrato, quanto alla possibilità di rendere le informazioni ai congiunti, da un richiamo alle unioni civili (legge n. 86 del 2016) e al fiduciario disciplinato nell’ambito delle disposizioni anticipate di trattamento (legge n. 219 del 2017, art. 4)…”
Per continuare a leggere la news originale:
Fonte: “Privacy/1. Cosa prevede per la sanità il decreto di adeguamento italiano alle nuove europee”, Quotidiano sanità
Tratto da: http://www.quotidianosanita.it/governo-e-parlamento/articolo.php?articolo_id=62207