Nel 2018, per tantissime aziende e altrettanti professionisti sono cambiate le cose. Dal 26 maggio dell’anno succitato, infatti, è in vigore il GDPR. Questo regolamento europeo ha acceso la luce sulla necessità di procedere alla protezione dei dati personali. Sono diversi i settori in cui, a seguito dell’entrata in vigore del Regolamento Europeo, è stato necessario dare spazio a nuovi processi di gestione e, in alcuni casi, a una vera e propria riorganizzazione dei flussi di lavoro.
In questo novero, è possibile citare il mondo della sanità. In che modo studi medici e strutture ospedaliere si approcciano al GDPR? Scopriamo assieme qualcosa nelle prossime righe di questo articolo.
Ricordiamo che, essendo la materia estremamente complessa e le linee guida da seguire profondamente influenzate da fattori come le dimensioni della struttura, nelle prossime righe elencheremo solo una parte degli aspetti fondamentali per poter parlare di conformità al GDPR da parte delle strutture e dei professionisti della sanità.
Trattamento dei dati sanitari: quando è considerato lecito?
Partiamo dalle basi, parlando delle situazioni in cui il trattamento dei dati sanitari è considerato lecito. Si può parlare della situazione appena descritta nel momento in cui il suddetto trattamento avviene per finalità mediche, di prevenzione o di diagnosi, ma anche di assistenza o terapia (sempre di natura sanitaria).
Il trattamento dei dati sanitari è lecito anche in altri casi, come per esempio, quando si esce dall’ambito della sanità privata e si guarda al Servizio Sanitario Nazionale, l’interesse pubblico (p.e. le gravi minacce alla salute della collettività). In situazioni diverse da quelle appena elencate, per procedere al trattamento dei dati sanitari è necessario il consenso dell’interessato. Il suddetto, deve essere prestato a seguito della presentazione all’interessato di un’informativa ad hoc.
Quest’ultima, deve essere caratterizzata dalla presenza di alcune informazioni fondamentali. In questo novero, è possibile includere il tempo di conservazione dei dati personali da parte della struttura o del professionista.
Entrando nel vivo di questo aspetto, facciamo presente che la normativa vigente fornisce delle indicazioni specifiche a seconda del tipo di dato. Nel caso delle immagini ricavate a seguito di procedure radiologiche, si può conservare il materiale fino a dieci anni. I certificati di idoneità all’esercizio dell’attività sportiva, invece, possono essere conservati per non più di cinque anni. Tornando al nodo del consenso e guardando al mondo delle app mediche, rammentiamo che non è necessario presentarlo quando le suddette trattano dati per fornire servizi di telemedicina (i dati devono ovviamente essere accessibili solo ai professionisti sanitari).
Il registro delle attività di trattamento: le regole per il mondo della sanità
Tutti, in questi tre anni, abbiamo sentito parlare anche sommariamente di registro delle attività di trattamento. Quali sono le regole relative alla sua gestione in ambito sanitario? Per capire meglio la situazione, ricordiamo che il Regolamento Europeo per la Protezione dei Dati Personali prevede due tipi di registro:
- Quello del titolare
- Quello del responsabile
Entrando nel vivo del primo caso, facciamo presente che si può avere a che fare, giusto per chiamare in causa uno dei tanti esempi possibile, con una clinica. Nel secondo, invece, con un laboratorio di analisi che, per svolgere il proprio lavoro per conto della prima struttura, si trova, per forza di cose, con in mano ogni giorno una consistente mole di dati personali.
Tramite il sopra citato registro, sia il titolare sia il responsabile del trattamento dei dati in ambito sanitario si occupano di stilare una documentazione esaustiva non solo in merito alle attività che in generale svolgono, ma anche relativamente alle – importantissime – garanzie che adottano per preservare i diritti e la riservatezza dell’interessato e, di conseguenza, per prevenire sanzioni da parte del Garante della Privacy. Tutti gli operatori sanitari, dal medico di base fino all’ospedale, sono obbligati a tenere il registro in questione.