TUTELA DEI DATI PERSONALI
Garante privacy: provvedimento 55/2019 su applicazione del RGPD al comparto della sanità.
Il Garante Privacy fornisce le indicazioni sull'applicazione del Regolamento UE sulla protezione dei dati personali (RGPD - GDPR) in ambito sanitario con il provvedimento n. 55 del 7 marzo 2019.
In primo luogo, il singolo medico non deve nominare il Responsabile della protezione dei dati (RPD – DPO). Per le finalità di cura non si deve chiedere il consenso, mentre il consenso servirà per la refertazione online, fascicolo e dossier sanitario elettronico; tocca ai medici, alle farmacie e alle aziende sanitarie la compilazione del registro dei trattamenti.
Il professionista sanitario, in virtù del segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall'interessato: indipendentemente dal fatto che operi in uno studio medico o in una struttura sanitaria pubblica o privata. Norma che vale solo per i trattamenti necessari per le finalità di cura. Per altri trattamenti attinenti solo in senso lato, ma non strettamente necessari alla cura, servirà il consenso o una idonea base di legittimità del trattamento ai sensi dell’articolo 6 del RGPD (se si tratta di dati comuni). Tra questi trattamenti rientrano le app mediche; i trattamenti di dati delle farmacie per fidelizzare la clientela (accumulo punti per fruire di servizi e prestazioni accessorie); campagne promozionali e commerciali (programmi di screening, fornitura di servizi amministrativi, alberghieri di degenza); trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali.
Il consenso, come riferisce il Garante, è richiesto dalle Linee guida del 4 giugno 2015: in questo ambito dovrà essere il Garante a individuare nell'ambito delle misure di garanzia (articolo 2-septies) i trattamenti che non necessitano il consenso. L'informativa dovrebbe essere aggiornata e integrata solo con riferimento alle novità degli articoli 13 e 14 del Regolamento UE.
Riguardo alle aziende sanitarie il Garante suggerisce di fornire le informazioni in maniera progressiva. Nei confronti della generalità dei pazienti possono essere fornite le informazioni relative ai trattamenti rientranti nelle ordinarie prestazioni sanitarie. Le informative relative a particolari attività di trattamento possono essere fornite successivamente solo in caso di pazienti effettivamente interessati da tali servizi. Il periodo, da indicare nelle informative, può essere fissato da regole specifiche e per lo meno precisando i criteri per individuarlo. Spetta alle aziende sanitarie nominare il DPO, anche nel caso di un ospedale privato, di una casa di cura o di una residenza sanitaria assistenziale. Il singolo professionista sanitario, che opera in regime di libera professione a titolo individuale, non dovrà nominare il DPO. Così come le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (anche se l'obbligo della nomina scatta in caso di effettuazione di trattamenti su larga scala).
Il Registro delle attività di trattamento dovrà essere compilato dai singoli professionisti sanitari, i medici di medicina generale e i medici pediatri, gli ospedali privati, le case di cura, le RSA, le aziende del servizio sanitario, le farmacie, le parafarmacie e le aziende ortopediche. Il registro non va trasmesso al Garante, ma conservato per eventuali controlli.
E’ possibile fare il download del provvedimento 7 Marzo 2019 cliccando su questo link.
(Fonte: sito web studiocataldi.it)
In primo luogo, il singolo medico non deve nominare il Responsabile della protezione dei dati (RPD – DPO). Per le finalità di cura non si deve chiedere il consenso, mentre il consenso servirà per la refertazione online, fascicolo e dossier sanitario elettronico; tocca ai medici, alle farmacie e alle aziende sanitarie la compilazione del registro dei trattamenti.
Il professionista sanitario, in virtù del segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall'interessato: indipendentemente dal fatto che operi in uno studio medico o in una struttura sanitaria pubblica o privata. Norma che vale solo per i trattamenti necessari per le finalità di cura. Per altri trattamenti attinenti solo in senso lato, ma non strettamente necessari alla cura, servirà il consenso o una idonea base di legittimità del trattamento ai sensi dell’articolo 6 del RGPD (se si tratta di dati comuni). Tra questi trattamenti rientrano le app mediche; i trattamenti di dati delle farmacie per fidelizzare la clientela (accumulo punti per fruire di servizi e prestazioni accessorie); campagne promozionali e commerciali (programmi di screening, fornitura di servizi amministrativi, alberghieri di degenza); trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali.
Il consenso, come riferisce il Garante, è richiesto dalle Linee guida del 4 giugno 2015: in questo ambito dovrà essere il Garante a individuare nell'ambito delle misure di garanzia (articolo 2-septies) i trattamenti che non necessitano il consenso. L'informativa dovrebbe essere aggiornata e integrata solo con riferimento alle novità degli articoli 13 e 14 del Regolamento UE.
Riguardo alle aziende sanitarie il Garante suggerisce di fornire le informazioni in maniera progressiva. Nei confronti della generalità dei pazienti possono essere fornite le informazioni relative ai trattamenti rientranti nelle ordinarie prestazioni sanitarie. Le informative relative a particolari attività di trattamento possono essere fornite successivamente solo in caso di pazienti effettivamente interessati da tali servizi. Il periodo, da indicare nelle informative, può essere fissato da regole specifiche e per lo meno precisando i criteri per individuarlo. Spetta alle aziende sanitarie nominare il DPO, anche nel caso di un ospedale privato, di una casa di cura o di una residenza sanitaria assistenziale. Il singolo professionista sanitario, che opera in regime di libera professione a titolo individuale, non dovrà nominare il DPO. Così come le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (anche se l'obbligo della nomina scatta in caso di effettuazione di trattamenti su larga scala).
Il Registro delle attività di trattamento dovrà essere compilato dai singoli professionisti sanitari, i medici di medicina generale e i medici pediatri, gli ospedali privati, le case di cura, le RSA, le aziende del servizio sanitario, le farmacie, le parafarmacie e le aziende ortopediche. Il registro non va trasmesso al Garante, ma conservato per eventuali controlli.
E’ possibile fare il download del provvedimento 7 Marzo 2019 cliccando su questo link.
(Fonte: sito web studiocataldi.it)
