Semplificazioni per il trattamento dati in sanità?

Con un provvedimento del 7 marzo u.s., il Garante ha fornito alcune importanti precisazioni sulle modalità di trattamento dati da parte di medici e strutture sanitarie. Si tratta di un provvedimento corposo che, a parere di chi scrive, potrà portare a qualche critica e reazione negativa.

Il provvedimento consacra, finalmente, l’assenza dell’obbligo di consenso consentendo di applicare a seconda dei casi una delle esenzioni dell’articolo 9 par. 2 del Regolamento UE 679/2016: motivo di interesse pubblico rilevante (lett. G), motivo di interesse pubblico nel settore della sanità pubblica (lett. I) e finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale (lett. H).

Per tutti gli altri trattamenti dati che eventualmente una struttura sanitaria volesse effettuare (es. finalità di marketing, fidelizzazione o app mediche) la base giuridica va individuata nel consenso. Un po’ di elasticità poteva essere legittimata per campagne di marketing rientranti del cosiddetto “softspam”, ma così non è stato.

Ancora poca chiarezza ahimè per l’applicazione della normativa sul Dossier Sanitario, nonostante sempre più strutture lo utilizzino e quindi necessitino di indicazioni in merito. Il Garante, infatti, pur riconoscendo la necessità di adattare il Provvedimento sul Dossier Sanitario del 2015, ha ribadito la necessità di consenso rinviando a quanto previsto nello stesso provvedimento. Ne prendiamo atto, ma questa incertezza non aiuta i titolari del trattamento e neppure lo sviluppo dell’uso di uno strumento come il Dossier che potrebbe avere effetti positivi prima di tutto nella cura dei pazienti.

Consenso confermato anche per i referti on Line, come richiesto dal DM 8 agosto 2013, anche in questo caso forse il provvedimento potrebbe essere anch’esso rivisto.

Il Garante fornisce poi alcune precisazioni sull’informativa per il paziente.

Oltre alla possibilità di fornire delle informative progressive, il Garante fornisce qualche considerazione sui tempi di conservazione. In particolare si rinvia, di fatto, ai tempi previsti dalla normativa esistente in merito alla conservazione della documentazione sanitaria e al principio di accountability e di limitazione di conservazione (art. 5 Regolamento 2016/679). Non si tiene conto, però di alcuni aspetti peculiari dell’area sanitaria, come, per esempio, del problema dei tempi concessi ai pazienti per l’azione di responsabilità medica che condiziona fortemente i tempi di conservazione di documenti e dati.

Nessun elemento di particolare novità rispetto agli obblighi di nomina del Data Protection Office (DPO) o Responsabile per la protezione dei dati e rispetto all’obbligo di Registro dei trattamenti. Su questo ultimo punto, si comprende e condivide la posizione del Garante che vede il registro di trattamenti come strumento di accountability e gestione del rischio, ma esistono davvero dei professionisti in forma singola per i quali la tenuta di un registro può costituire solo un ulteriore adempimento burocratico.

Un’ultima considerazione finale. Nulla è stato detto dal Garante rispetto ad un punto molto delicato che in area sanitaria presenta un forte elemento di dubbio e confusione: la qualificazione dei ruoli rispetto alle prestazioni sanitarie fornite in accreditamento.

Alcune AUSL, da maggio, stanno inviando nomine come responsabili esterni in maniera assolutamente arbitraria a tutte le strutture sanitarie in regime di accreditamento con contenuti però “standard”, non influenzati dalle reali modalità di gestione del dato e senza tenere conto delle responsabilità che ne conseguono. Altre AUSL, poi, nomina le strutture come contitolari del trattamento. Attualmente, quindi, c’è una varietà di soluzioni nonostante il rapporto sia di fatto sempre lo stesso.

A livello “centrale” su questo aspetto è assolutamente necessario che sia fatta chiarezza e omogeneità anche alla luce di quanto previsto dalla normativa sanitaria in merito.

Da quanto sopra emerge una considerazione. Il Provvedimento del Garante del 7 marzo è un importante tassello per chiarire alcuni dubbi interpretativi per il settore sanitario. Ma non appare sufficiente. Il settore presenta ancora molti punti di dubbio e criticità che solo posizioni chiare del Garante possono risolvere al fine di evitare che per applicare il Regolamento UE 2016/679 si sacrifichi l’erogazione della prestazione sanitarie. Si auspicano, quindi, altri provvedimenti, magari sollecitati dalle Associazioni di settore.