Il medico è un professionista tenuto che è tenuto al segreto professionale e di conseguenza non ha l’obbligo di chiedere al paziente il consenso al trattamento dei dati per effettuare la prestazione sanitaria. Ancorchè i dati vengono utilizzati per finalità connesse alla cura ma non necessarie, allora va chiesto (esempio: strumenti di fidelizzazione, app mediche).
Sono alcune indicazioni contenute nel provvedimento del Garante Privacy del 7 marzo sulla corretta interpretazione del nuovo Regolamento Europeo, il regolamento europeo sulla protezione dati personali, da parte dei professionisti della Sanità. Il Garante fornisce una serie di chiarimenti che vanno nel senso della semplificazione (escludendo la necessità di consenso per cure mediche, già tutelate dal segreto professionale) e forniscono riferimenti per le varie fattispecie di attività.
In ogni caso, anche quando non c’è obbligo di consenso, il medico deve sempre fornire un’informativa privacy chiara e comprensibile al paziente sull’utilizzo dei dati. Nel dettaglio, le informazioni vanno rese «in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro».
I medici e le strutture che non effettuano un trattamento massivo di dati non hanno nemmeno l’obbligo di nominare il Responsabile della protezione dati. Quindi, per fare un esempio, il libero professionista, o la farmacia, non hanno questo obbligo. Un ospedale invece deve necessariamente nominare il Dpo. La nomina del responsabile trattamento dati è sempre obbligatoria se la struttura è pubblica.
C’è invece per tutti l’obbligo di tenere un registro dei trattamento effettuato sui dati dei pazienti, che costituisce «un elemento essenziale per il governo dei trattamenti e per l’efficace individuazione di quelli a maggior rischio» e di conseguenza non prevede esoneri.
Dott. Alessandro Pagliuca
