Nel provvedimento n. 55 del 7 del 7marzo 2019 il Garante chiarisce che “diversamente dal passato il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitario pubblica o privata”.

Il garante fornisce, inoltre, indicazioni di carattere generale sulla disciplina del trattamento dei dati relativi alla salute in ambito sanitario.

Il provvedimento chiarisce che le deroghe al divieto di trattare “categorie particolari di dati”, tra cui rientrano quelli sullo stato di salute, sono ora da individuarsi nell’ art. 9 del Regolamento che elenca una serie di eccezioni che rendono lecito il trattamento e che, in ambito sanitario, sono riconducibili, in via generale, ai trattamenti necessari per:

1. Motivi di interesse pubblico rilevante sulla base del diritto dell’Unione e degli Stati membri [art. 9, par. 2, lett. g)] individuati dall’ art. 2-sexies del Codice,
2. Motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione e degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale [art. 2, par. 2, lett. I) del Regolamento e considerando n. 54] (p.e. emergenze sanitarie conseguenti a eventi sismici e sicurezza alimentare);
3. Finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (di seguito “finalità di cura”) sulla base dei diritti dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità [art. 9, par. 2, lett. H) e par. 3 del Regolamento e considerando n. 53; art. 75 del Codice] effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.

Inoltre, il provvedimento opera un’elencazione esemplificativa dei dati che richiedono il consenso esplicito dell’interessato [art. 9, par. 2, lett. a)], fra i quali:

1. Trattamenti connessi all’utilizzo di APP mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari, dell’interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalle finalità della applicazione, ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti o altri soggetti tenuti al segreto professionale;
2. Trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell’ambito del Servizio Sanitario Nazionale;
3. Trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (p.e. promozioni su programmi di screening, contratto di fornitura di servizi amministrativi, come quelli alberghieri di degenza);
4. Trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
5. Trattamenti effettuati attraverso il Fascicolo Sanitario Elettronico (Dl. 18 ottobre 2012, n. 179, art. 12, comma 5).

In tali casi, l’acquisizione del consenso, quale condizione di liceità del trattamento, è richiesto dalle disposizioni di settore precedenti all’applicazione del GDPR, il cui rispetto è ora espressamente previsto dall’ art. 75 del D.Lgs. 196/2003. Al riguardo, un’eventuale opera di rimediazione normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione dl Fascicolo potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati.

Il provvedimento del Autorità Garante fornisce inoltre preziose indicazioni

• sulle informazioni da fornire all’interessato. Si suggerisce alle Aziende sanitarie di fornire agli interessati le informazioni previste dal GDPR in modo comprensivo:
• sul DPO e sul Responsabile della Protezione dei Dati. Figura che il Garante ritiene obbligatoria non solo nelle Aziende sanitarie ma anche negli ospedali privati o case di cura che, di norma, trattano dati sensibili su larga scala. Diverso è il caso del singolo professionista sanitario o anche delle farmacie dove anche alla scorta dei suggerimenti forniti dai garanti europei è da escludere che in linea di massima queste realtà trattino dati su larga scala:
• sul Registro della attività di trattamento che viene reputato necessario in ambito sanitario.