Garante Privacy. Trattamento dei dati della salute in ambito sanitario

Una scheda predisposta dal Garante Privacy illustra il trattamento dei dati della salute in ambito sanitario

Il Garante Privacy ha pubblicato sul proprio istituzionale una scheda divulgativa riguardante il trattamento dei dati della salute in ambito sanitario.

Per una piena conoscenza della tematica si rinvia al Provvedimento dell'Autorità 7 marzo 2019 n. 55.

Di seguito si riportano i contenuti della scheda.

Trattamento di dati sulla salute in ambito sanitario ai sensi del Regolamento (UE) 2016/679

Trattare categorie particolari1 di dati sanitari in ambito sanitario è sempre vietato tranne che per:

  • motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri;
  • motivi di interesse pubblico nel settore della sanità pubblica (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);
  • finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali («finalità di cura»).

Trattamenti che NON richiedono il CONSENSO

I trattamenti che:

  • sono essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute;
  • sono effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza;

NON richiedono il consenso al trattamento dei dati da parte dell’interessato.

Trattamenti che richiedono il CONSENSO

E' possibile trattare dati sanitari solo con il consenso dell'interessato per:

  • consultazione del Fascicolo Sanitario Elettronico (FSE);
  • consegna del referto online;
  • utilizzo di app mediche;
  • fidelizzazione della clientela;
  • finalità promozionali o commerciali;
  • finalità elettorali

Tempi di conservazione

Qualora non siano fissati da specifiche norme, spetta al titolare definirli in base alla finalità del trattamento. In ogni caso, devono essere indicati nell’informativa2.

Caratteristiche dell'informativa

Deve essere concisa, trasparente, intelligibile e facilmente accessibile, scritta con linguaggio semplice e chiaro.

Nomina di un Responsabile per la Protezione dei Dati (RPD) o Data Protection Officer, meglio noto "DPO"

E' obbligatoria3 per gli organismi pubblici (es: struttura appartenente al SSN) e nel caso di trattamenti su "larga scala", come può avvenire per ospedali e case di cura.

Registro dei trattamenti

E' obbligatoria la tenuta del Registro dei trattamenti4.

Note

1. Art. 9 Regolamento (UE) 679/2016.
2. Art. 13 Regolamento (UE) 679/2016.
3. Art. 37 Regolamento (UE) 679/2016.
4. Art. 30 Regolamento (UE) 679/2016.

Non sei associato e ti servono informazioni?

Contattaci

Azioni sul documento