Privacy: facciamo chiarezza

Brevi note sul Provvedimento 55 del 7/3/2019 dell’Autorità Garante per la protezione dei dati personali che riporta “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”.

Con il provvedimento 55 del 7/3/2019 il Garante per la protezione dei dati personali è intervenuto nel precario equilibrio che si era raggiunto nel settore sanitario con riferimento al suo adeguamento al Regolamento 2016/679, al dichiarato scopo di fornire “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”. Così, dopo l’improvviso e brusco risveglio di maggio 2018, in cui ci si è accorti dell’esistenza di una disciplina europea che, in vigore dal 2016, doveva essere applicata in pochi giorni anche dai professionisti sanitari (cambiando il proprio sistema di approccio alla materia o, in molti casi, avviando per la prima volta l’adeguamento effettivo della propria struttura); dopo essere sopravvissuti al primo periodo di attuazione della normativa europea, in cui ci si è trovati alla mercé delle poco professionali informazioni circa la sicura comminazione di milioni di euro di sanzioni a chi non fosse stato in regola; dopo aver abbandonate le fuorvianti speranze di impossibili rinvii o improbabili moratorie, sembrava che finalmente si fosse raggiunto un equilibrio che, con serenità, aveva permesso di avviare un percorso virtuoso con lo scopo di adeguare la propria attività per proteggere con efficacia i dati personali usati nella professione. Questo attraverso la formazione, quindi la consapevolezza, poi con la compilazione della documentazione necessaria, e dunque il raggiungimento dell’accountability.

Ma ecco arrivare le prime spiegazioni dell’Autorità (in verità un po’ in ritardo) circa le modalità più corrette da adottare per applicare il Regolamento 2016/679 alle professioni sanitarie, e di nuovo si sta scatenando un “terremoto informativo” che ricrea confusione, sospetti, “autointerpretazioni” (ognuno si fa la sua applicazione personalizzata), divisioni tra catastrofisti, arrabbiati, complottisti, … e allora cerchiamo di fare chiarezza!

Innanzitutto, specifichiamo la natura del provvedimento 55: non è prescrittivo, non introduce nuove regole da rispettare, non elimina obblighi che erano stati introdotti a maggio, ma semplicemente spiega, in risposta ai “numerosi quesiti in ordine al nuovo assetto della disciplina relativa al trattamento dei dati relativi alla salute in ambito sanitario” (posti dagli operatori del settore, dai soggetti istituzionali competenti, dai responsabili della protezione dati e dai cittadini) il “mutato e articolato assetto della disciplina in tale ambito”. Semplicemente.

Tra l’altro, le spiegazioni riguardano solo i seguenti argomenti: il consenso al trattamento dei dati personali in ambito sanitario; le modalità di informativa da dare ai pazienti; il periodo di conservazione dei dati (cioè per quanto tempo il professionista sanitario può mantenerli nei propri archivi); l’obbligo di nomina del Responsabile per la protezione dei dati personali (RPD, comunemente chiamato DPO); la necessità di tenuta di un Registro dei trattamenti. E, nell’ambito di questi argomenti, non è stato praticamente detto nulla di nuovo rispetto a quanto è già scritto nel Regolamento 2016/679, nel Codice sulla protezione dei dati personali e nelle Linee guida del Gruppo dei Garanti europei e in quelle del Garante italiano: e nulla di diverso di quanto già detto da ANDI nelle diverse iniziative realizzate in questi mesi.

Così, nel provvedimento 55 si ripete che il consenso al trattamento dei dati nell’ambito dell’attività dell’operatore sanitario poste in essere per finalità di cura (e quindi quelle “di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali”) non ha bisogno del consenso del paziente; mentre torna la necessità della sua espressione di volontà quando si esce da quell’ambito, ad esempio se si usano i dati per fidelizzare il paziente, o per scopi commerciali, o ancora in casi particolari come nell’utilizzo del fascicolo sanitario elettronico, di un dossier sanitario, o di app mediche. Rispetto all’informativa, si conferma che la sua forma, al di là del suo contenuto, dovrà essere più efficace rispetto al passato sistema, e quindi in essenza dovrà essere scritta più comprensibile, sintetica ed eventualmente “stratificata” (cioè, ripetuta ed approfondita via via che prosegue il percorso di cura, nel caso ciò avvenga). Per la conservazione dei dati, a parte la regola generale che pone il limite al raggiungimento dello scopo del trattamento, cioè del motivo per cui si erano acquisite le informazioni personali, viene ribadito che il titolare del trattamento può decidere periodi diversi nell’ambito della sua “accountability” (e quindi motivando le sue decisioni), e dunque si richiamano (perché già in passato previsti ed indicati) quali esempi alcuni casi particolari: come per la cartella clinica che, unitamente ai relativi referti, va conservata illimitatamente, o per la documentazione iconografica radiologica, che deve essere conservata per un periodo non inferiore a dieci anni.

Nulla di nuovo nemmeno per quanto riguarda il Responsabile per la Protezione dei Dati personali (il famoso DPO), che si conferma obbligatorio per le strutture sanitarie pubbliche e per quelle private che pongono in essere trattamenti di dati sanitari su larga scala (concetto che non viene ancora determinato, vista la quasi impossibilità di poterlo fare), ma non per i singoli professionisti: non posso però esimermi dal consigliare comunque (sperando in questo di non creare drammi) la sua nomina quando si creano associazioni professionali che, sommando i trattamenti di dati personali relativi alla salute che ciascuno dei medici che ne fa parte pone in essere, raggiungono numeri che rendono più difficile l’applicazione della normativa in materia, e quindi più rischioso l’uso del dato. Nomina che, se correttamente intesa, non deve essere considerata una forma di “punizione”, di vessazione, di “rovina economica”, ma, con maggiore serenità, la scelta più opportuna per evitare problemi. Si chiude il provvedimento con la conferma dell’applicazione dell’obbligo di adozione del Registro dei trattamenti anche nel settore sanitario, anche per i singoli professionisti. Strumento che, si ricorda, realizzando un censimento delle attività di trattamento dei dati posto in essere dal titolare, rende possibile l’acquisizione della sua consapevolezza rispetto a questa delicata attività, ottenendo in questo modo più risultati: adempiere all’obbligo previsto dall’art. 30 del Regolamento 2016/679; costruire l’accountability che è principio fondamentale della disciplina normativa; capire dove intervenire per evitare problemi.

In conclusione si ribadisce quanto già detto in apertura di queste brevi note: niente di nuovo, nemmeno la nascita dell’ennesimo equivoco, dell’ulteriore disinformazione, del solito allarmismo. Reazioni che hanno come unico risultato quello di complicare situazioni semplici, creare preoccupazioni, allontanare da quello che deve essere l’unico approccio corretto a questa importante materia: applicare esattamente lo stesso impegno, la stessa professionalità, la stessa passione che si pone tutti i giorni per la tutela della salute dei propri pazienti, anche alla salute dei dati dei propri pazienti. E magari scoprire che è un approccio molto meno faticoso e più sereno di quello di chi fa di tutto per evitare ad ogni costo di rispettare una legge dello Stato, dell’Unione europea.