Cliniche private e trattamento dati personali

Quesito 

Salve, la domanda che Vi pongo riguarda mia madre, una donna di 70 anni, la quale si è recata qualche giorno fa presso una clinica privata per alcuni accertamenti. Dato che non le è stato fatto firmare alcun modulo di accettazione al trattamento dei dati personali, mi chiedevo se detto comportamento fosse o meno legittimo.

Giulia, Frosinone 

Risposta 

Gentilissima Giulia, il consenso non costituisce sempre la giustificazione (base giuridica) all’utilizzo dei dati, ovvero esistono casi particolari in cui non è necessario richiederlo. Nello specifico, il Regolamento UE 679/2016 (GDPR) stabilisce che il consenso al trattamento dei dati non è richiesto se gli stessi sono utilizzati esclusivamente per finalità connesse alla salute (finalità di cura), per la supervisione del Sistema Sanitario Nazionale (finalità di governo) e per la ricerca nel pubblico interesse. Se la persona ha deciso di sottoporsi ad una cura non occorre il consenso al trattamento dei suoi dati a fini di cura e diagnosi. Questa particolarità si inquadra in un più significativo cambiamento di prospettiva sul tema. Il GDPR, infatti, ha superato la precedente visione sulla proprietà del dato per il quale serve un consenso al trattamento, passando ad una prospettiva di controllo del dato in base alla quale l’interessato deve essere messo a conoscenza dell’utilizzo dei suoi dati, secondo manifeste finalità, e sui rischi e le misure di tutela messe in atto a protezione dei suoi dati in conseguenza dell’attività di trattamento. Lo stesso regolamento europeo (Considerando n° 32) precisa che: “Il consenso dovrebbe essere espresso mediante un atto positivo inequivocabile con il quale l’interessato manifesta l’intenzione libera, specifica, informata e inequivocabile di accettare il trattamento dei dati personali che lo riguardano, ad esempio mediante dichiarazione scritta, anche attraverso mezzi elettronici, o orale. […] Qualora il trattamento abbia più finalità, il consenso dovrebbe essere prestato per tutte queste”. Di conseguenza, la decisione “specifica, informata ed inequivocabile” della persona deve sempre essere preceduta dall’informativa sulle finalità del trattamento, ossia l’informativa sulla privacy è una precondizione indifferibile del consenso anche quando lo stesso non sia necessario per finalità specifiche, come potrebbero esserlo le attività di accertamento a cui si è sottoposta sua madre.

Per completezza di argomento, dunque, è meglio chiarire i concetti di “consenso” e “informativa privacy”.

L’informativa è disciplinata dagli artt. 13-14 del Regolamento UE 679/2016, ed è lo strumento attraverso il quale il titolare assolve l’obbligo di fornire all’interessato, al momento della raccolta dei dati, le informazioni inerenti i soggetti coinvolti nel trattamento, le finalità, le modalità e la durata del trattamento stesso.   È necessario che le informazioni siano rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro e, preferibilmente, per iscritto o con altri mezzi, anche, elettronici. Gli stessi artt. 13 e 14 affermano che l’obbligo si ritiene assolto se e nella misura in cui l’interessato dispone già delle informazioni. Tale principio, come novellato dal D. Lgs. 101/2018, all’articolo 78, relativo alle informazioni che deve rendere il medico, è coordinato con il rinvio alle informazioni previste dagli articoli 13 e 14 del Regolamento, che questi medici potranno rendere con un’unica informativa, relativa al complesso del rapporto medico/paziente che si protrarrà nel tempo. Allo stesso modo, l’art. 79 dispone che le strutture pubbliche e private, che erogano prestazioni sanitarie, possono avvalersi delle modalità particolari di cui all’articolo 78 in riferimento ad una pluralità di prestazioni erogate anche da distinti reparti ed unità della stessa struttura o di sue articolazioni ospedaliere o territoriali specificamente identificate. In merito, invece, al consenso, con l’entrata in vigore del GDPR, il trattamento dei dati è lecito solo se ricorre almeno una delle condizioni previste all’art. 6 co.1 e, nel caso di dati particolari definiti dall’art. 9 co.1, se ricorre almeno una delle condizioni previste all’art.9 co.2. L’interessato, in molti casi, non deve più esprimere il proprio consenso affinché il titolare possa lecitamente trattare i suoi dati: è il caso di rapporti contrattuali o precontrattuali di cui l’interessato è parte, senza che venga meno o sia intaccata la tutela che l’impianto del GDPR offre all’interessato stesso. Ebbene, non è più necessario che lo studio medico richieda ai propri pazienti il consenso per l’utilizzo dei dati personali, raccolti per finalità di cura e, quindi, faccia sottoscrivere agli stessi i relativi moduli. In ogni caso, anche quando non c’è obbligo di consenso, il medico deve sempre fornire un’informativa privacy chiara e comprensibile al paziente sull’utilizzo dei dati. Inoltre, i medici e le strutture che non effettuano un trattamento massivo di dati non hanno nemmeno l’obbligo di nominare il Responsabile della protezione dati. Quindi, per fare un esempio, il libero professionista non ha questo obbligo a differenza di un ospedale, che, invece, deve necessariamente nominare il DPO. La nomina del responsabile trattamento dati è sempre obbligatoria se la struttura è pubblica.

© 2017-2018 Associazione Privacy Italia - C.F. 91039930192 - P. Iva 01685370197 - Informativa Privacy

Con il sostegno di:

Fondazione di Sardegna Fondazione Cariplo
Positive SSL