GDPR e ambito sanitario

gdrp-ambiente-sanitario

Da sempre, la regolamentazione del trattamento dei dati sanitari in ambito privacy, ha attenzionato il lavoro dei consulenti, intenti a garantire che il loro utilizzo avvenga sempre nel massimo rigore e rispetto dei diritti e delle libertà dei soggetti che hanno necessità di condividere le loro informazioni personali, che toccano l’aspetto più intimo della propria persona.

Anche il GDPR, ovviamente, ha cercato di mantenere alto il livello di protezione dei dati comunemente denominati “sensibili” e che oggi sono definiti “dati di natura particolare”.

L’art. 9 GDPR, infatti, stabilisce, testualmente al primo paragrafo che “È vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”.

Seguono poi le diverse ipotesi in cui, invece, è possibile utilizzare tali informazioni in conformità alle prescrizioni regolamentari.

Pertanto, dallo stesso tenore della norma, ben si evince l’importanza che il Regolamento UE 679/16 riserva a questa tipologia di dati.

Ed invero, le novità hanno riguardato anche il nostro codice privacy.

In particolare, il Codice della Privacy prevede che i dati sensibili, così come quelli giudiziari, quando sono contenuti in elenchi, registri o banche dati, tenuti con l’ausilio di strumenti elettronici, devono essere trattati con tecniche di cifratura o impiegando codici identificativi o altre soluzioni che li rendano temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.

Inoltre, i dati sensibili che includono i dati relativi allo stato di salute e la vita sessuale di un individuo, devono essere conservati separatamente dagli altri dati personali trattati per finalità che non richiedono il loro utilizzo.

Il consenso dell’interessato trova nel Regolamento una collocazione diversa rispetto a quella del Codice privacy, che faceva del consenso “la” condizione di liceità dei trattamenti, sufficiente per i dati comuni o accompagnata da autorizzazione del Garante per la protezione dei dati personali di natura sensibile.

Si ritiene, a mente dei più  che il Regolamento abbia assimilato il consenso dell’interessato ad ogni altro fondamento legittimo previsto dalla legge.

La dottrina, sul punto, ha avuto modo di precisare che: “si tratta di condizioni tra loro equipollenti e pari ordinate, essendo sufficiente che ve ne sia almeno una per poter ritenere superato il primo stadio del processo valutativo in ordine alla liceità del trattamento”.

L’art. 7 par.4 dispone a tal proposito che “nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità, tra le altre, che l’esecuzione di un contratto, compresa la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto”.

Il considerando 43 aggiunge che “per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica”.

Naturalmente, esistono delle eccezioni all’utilizzo del consenso come base di liceità in quanto, ad esempio, per finalità di medicina del lavoro o di valutazione della capacità lavorative del dipendente (articolo 9 par.1 lett. h).

In tale ipotesi, poiché vige anche il principio di asimmetria delle posizioni, l’assenza di un consenso espresso del lavoratore viene bilanciato con un importante strumento di garanzia, ossia l’obbligo di segretezza professionale in capo al medico del lavoro o altro soggetto tenuto al segreto professionale.

Ancora, è bene evidenziare che il considerando 43 inoltre conclude che “si presume che il consenso non sia stata liberamente espresso se non è possibile esprimere un consenso separato a distinti trattamenti di dati personali, nonostante sia appropriato, nel singolo caso, o se l’esecuzione di un contratto, compresa la prestazione di un servizio, è subordinata al consenso sebbene esso non sia necessario per tale esecuzione”.

GRAZIE PER LA TUA RICHIESTA.

Contattaci tramite email, telefono
o compila il form così da capire come aiutarti al meglio.