Un tema ancora poco dibattuto riguarda la corretta individuazione dei ruoli privacy tra strutture sanitarie accreditate e ASL, nonostante le indubbie conseguenze giuridiche e pratiche nella gestione dell’attività sanitaria che ne derivano.
Le strutture sanitarie accreditate, infatti, vengono individuate da alcune amministrazioni quali autonomi Titolari del trattamento dei dati personali e da altre, invece, quali Responsabili del trattamento.
Quale delle due impostazioni è preferibile rispetto all’altra?
Come noto, la disciplina dell’accreditamento sanitario trova il suo fondamento normativo nel D.Lgs. 502/1992 (“Riordino della disciplina in materia sanitaria, a norma dell'articolo 1 della legge 23 ottobre 1992, n. 421”).
Più esattamente, il sistema dell’accreditamento sanitario prevede che tra una struttura sanitaria accreditata e l’ASL territorialmente competente venga stipulato un accordo contrattuale, ai sensi dell’art. 8-quinquies, D. Lgs. n. 502/1992, con cui la prima si impegna a erogare -per tipologia e quantità- determinate prestazioni sanitarie per conto e con oneri a carico del Sistema Sanitario Regionale (SSR).
Nella pratica, il cittadino accede alla struttura privata accreditata, con cui instaura direttamente e autonomamente la relazione di cura, tramite prenotazione CUP o per acceso diretto e, successivamente, la ASL (che rappresenta il SSR) paga alla struttura sanitaria accreditata le prestazioni erogate al cittadino (esclusa la compartecipazione del ticket).
In tale scenario, si inserisce l’obbligo di individuare correttamente il ruolo privacy da attribuire all’erogatore accreditato e all’ASL.
Sul punto, è opportuno tenere in considerazione che secondo il Regolamento (UE) n. 2016/679 (GDPR):
- l’individuazione del titolare del trattamento deve essere fatta attraverso un’analisi di fatto e sostanziale della situazione di interesse;
- Il titolare del trattamento è colui che determina le finalità ed i mezzi del trattamento;
- Il responsabile del trattamento è colui che svolge attività di trattamento dei dati per conto del titolare e può godere di autonomia decisionale limitata ai soli “mezzi non essenziali” (es. scelta di un particolare tipo di hardware o di software).
Alla luce di queste premesse, vanno dunque esaminate le impostazioni privacy che caratterizzano il sistema dell’accreditamento, offrendo alcune brevi considerazioni in merito allo schema che potrebbe essere maggiormente aderente alla disciplina privacy.
In particolare, ci soffermeremo sul ruolo attribuito al soggetto accreditato quando tratta i dati dei pazienti a cui eroga le prestazioni per conto e a carico dell’ASL.
Non essendoci alcuna posizione del Garante Privacy in merito alla questione in esame, l’individuazione di tale ruolo è lasciata principalmente alle valutazioni delle ASL in sede contrattuale, che decidono di nominare la struttura privata accreditata quale responsabile ex art. 28 GDPR o, diversamente, di considerarla quale titolare autonomo del trattamento.
Con riferimento al privato accreditato quale responsabile del trattamento ex art. 28
Attualmente, la maggioranza delle ASL nominano le strutture private accreditate quali responsabili del trattamento dei dati dei pazienti che vengono curati con onere a carico della ASL stessa.
Tale impostazione muove dall’assunto che essendo l’ASL a delegare la funzione di garanzia della salute alla struttura accreditata, in virtù dell’accordo contrattuale stipulato, quest’ultima, nell’erogazione dell’attività sanitaria, tratta i dati personali dei pazienti per conto della prima.
Ad avvalorare tale impostazione, si inserisce indubbiamente l’elemento relativo al pagamento delle prestazioni dell’ASL a favore della struttura accreditata.
Con riferimento al privato accreditato quale autonomo titolare del trattamento
In altri casi, le ASL considerano le strutture accreditate titolari autonomi del trattamento dei dati dei pazienti, favorendo la situazione di fatto che caratterizza in ogni caso la relazione intercorrente tra struttura sanitaria accreditata e paziente.
La struttura privata accreditata, infatti, pur dovendo rispettare i requisiti dell’accreditamento e quindi i limiti della “delega sanitaria” affidatale dall’ASL, gode di ampia autonomia decisionale sulla natura e modalità dei servizi offerti ai pazienti e, di conseguenza, anche sulle finalità ed i mezzi del trattamento dei dati personali.
Dagli scenari sopra descritti, emerge indubbiamente il diverso punto di partenza che induce alcune amministrazioni a scegliere una impostazione, anziché l’altra.
Il primo scenario sembra voler tutelare l’oggetto contrattuale dell’accreditamento sanitario con una evidente attenzione ai dati formali del rapporto (per l’appunto l’erogazione dell’attività da parte del privato per conto e con oneri dell’ASL). Il secondo, invece, risulta privilegiare la sostanza del rapporto sanitario.
Tuttavia, chi scrive non può ignorare che nominare la struttura sanitaria esclusivamente Responsabile del trattamento rischia di essere un’impostazione privacy oggettivamente “lontana” dalla concreta ed effettiva gestione dell’attività sanitaria prevista dal sistema dell’accreditamento e, quindi, anche da quella disamina fattuale e sostanziale che impone il GDPR.
L’accreditamento, infatti, a differenza di altri istituti di diritto sanitario, quale il service, presuppone che sia la struttura sanitaria a instaurare autonomamente una relazione di cura con il paziente, che la elegge nell’esercizio della sua libera scelta, e a esserne esclusivamente responsabile. (sul punto si rimanda ad un nostro precedente articolo)
Va da sé che la totale indipendenza, sotto ogni aspetto, da parte della struttura sanitaria presuppone una autonomia decisionale e organizzativa nelle modalità e finalità di erogazione dei servizi sanitari che dovrebbe riflettersi anche sul trattamento dei dati personali.
Alla luce del quadro evidenziato in precedenza, sembra dunque difficile essere Responsabili ex art. 28 GDPR per l’erogazione di una attività sanitaria quando si è allo stesso modo l’unico responsabile di tale erogazione.