GUIDA ALLA NORMATIVA

Trattamento dei dati sanitari, alla luce del GDPR: il quadro normativo

Uno dei settori su cui il GDPR ha inciso in maniera più significativa è quello del trattamento dei dati sanitari. La nuova normativa pone una disciplina differenziata a seconda che si tratti di trattamento “necessario” o “accessorio” all’erogazione dei servizi sanitari. Ecco il quadro normativo

Pubblicato il 18 Dic 2019

Chiara Rauccio

Studio Legale Ughi e Nunziante

Trattamento dei dati sanitari quadro normativo

Uno dei settori su cui il Regolamento UE 679/2016 (GDPR) ha avuto maggiore impatto è quello della sanità, con particolare riferimento al trattamento dei dati sanitari.

Soprattutto, con l’entrata in vigore del GDPR è venuta meno, di fatto, la centralità del consenso, altrimenti necessario nel quadro delineato dal previgente Codice privacy in cui i dati sanitari potevano essere trattati, salve poche ipotesi marginali, solo con il consenso dell’interessato.

Trattamento dei dati sanitari: il consenso alla luce del GDPR

Il nuovo Regolamento europeo sulla protezione dei dati personali, entrato in vigore il 24 maggio 2016 e definitivamente applicabile a partire dal 25 maggio 2018, ha dunque introdotto numerose e sostanziali novità in materia di protezione dei dati personali, superando sotto diversi profili la Direttiva 95/46/CE e, in Italia, il D.lgs. 196/2003 (“Codice in materia di protezione dei dati personali”, c.d. Codice privacy).

In particolare, uno degli aspetti su cui il Regolamento ha inciso maggiormente sono le basi giuridiche del trattamento e tra queste, nello specifico, il ruolo del consenso dell’interessato.

Nel sistema del Codice privacy al consenso dell’interessato era riconosciuto un ruolo centrale quale presupposto legittimante e condizione di liceità del trattamento dei dati personali. La regola generale era, infatti, quella secondo cui i dati personali potevano essere trattati solo con il consenso dell’interessato.

Ulteriori condizioni di legittimità del trattamento, pur previste dal Codice, si configuravano come deroghe alla regola del consenso, giustificate solo dalla straordinarietà di determinate situazioni.

Questa centralità del consenso è venuta meno con il GDPR. L’art. 6, infatti, nel disciplinare la liceità del trattamento, elenca sei diverse basi giuridiche. In questa elencazione il consenso dell’interessato figura solo come una delle possibili alternative su cui il trattamento di dati personali può essere fondato e si pone sullo stesso piano rispetto agli altri presupposti legittimanti.

Non si configura più quindi un rapporto di regola – eccezione, ma piuttosto si individuano una pluralità di condizioni tra loro equiparate. Questo comporta che il titolare del trattamento, coerentemente con il principio di accountability, per ciascun trattamento posto in essere dovrà individuare la base giuridica più idonea scegliendo, a seconda del caso specifico, una delle sei alternative previste dall’art. 6 del GDPR.

Il venir meno della centralità del consenso risulta ancora più evidente, ed ha un impatto ancora più significativo, con riferimento al trattamento delle categorie particolari di dati personali (come meglio definite in seguito).

L’art. 9 del Regolamento, infatti, al paragrafo 1 pone un divieto generale di trattare queste categorie di dati. Tale divieto viene tuttavia derogato dal successivo paragrafo 2 che ammette il trattamento di questi dati purché sussista almeno una delle dieci condizioni dallo stesso elencate. Anche in questo caso il consenso dell’interessato figura solo come una delle possibili condizioni, ponendosi sullo stesso piano delle altre alternative previste.

Il consenso per il trattamento dei dati sanitari

L’art. 26 del previgente Codice privacy, invece, prevedeva al comma 1 che i dati sensibili (di cui i dati sanitari erano parte) potevano essere oggetto di trattamento solo con il consenso dell’interessato e previa autorizzazione del Garante.

Il successivo comma 4 prevedeva una serie di casi particolari in cui il trattamento dei dati sanitari era ammesso anche senza consenso, ferma restando la necessità della previa autorizzazione del Garante.

In particolare, per quanto riguarda i dati relativi alla salute, la lett. b) faceva riferimento all’ipotesi in cui il trattamento dei dati fosse necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo.

Se invece la stessa esigenza si poneva con riferimento all’interessato, e questo non era in grado di prestare il consenso per impossibilità fisica, incapacità di agire o incapacità di intendere e di volere, era previsto che “il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato”.

Nella stessa ottica l’art. 82 del Codice dettava una disciplina specifica per le situazioni di emergenza, prevedendo che l’informativa e il consenso al trattamento dei dati personali potevano intervenire “senza ritardo, successivamente alla prestazione” quando sussisteva una delle seguenti ipotesi:

  1. impossibilità fisica, incapacità di agire o incapacità di intendere e di volere dell’interessato, quando non è possibile acquisire il consenso dai soggetti indicati dalla lett. b) dell’art. 26;
  2. rischio grave, imminente e irreparabile per la salute o l’incolumità fisica dell’interessato;
  3. prestazione medica che può essere pregiudicata dall’acquisizione preventiva del consenso, in termini di tempestività o efficacia.

Il quadro che emergeva dal combinato disposto di questi articoli dimostrava che, di fatto, nel sistema codicistico non esistevano casi in cui il trattamento di dati sanitari per finalità di cura dell’interessato potesse prescindere dal rilascio di un consenso (preventivo o successivo, proveniente direttamente dall’interessato o da un terzo, ma comunque sempre necessario).

D’altra parte, il Codice non contemplava l’ipotesi in cui l’interessato, pur richiedendo una prestazione sanitaria necessaria per la tutela della sua vita o incolumità fisica, rifiutasse di prestare il consenso al trattamento dei suoi dati personali.

Nel sistema delineato dal Codice in questo caso, a rigore, il medico avrebbe dovuto rifiutarsi di eseguire la prestazione, e il tema diveniva ancora più complesso nel caso in cui il medico avesse già effettuato la prestazione senza richiedere alcun consenso, per la sussistenza di una delle ipotesi di cui all’art. 82, ma successivamente l’interessato avesse rifiutato di rilasciare il proprio consenso. In questo caso il medico che era intervenuto tempestivamente per salvaguardare l’incolumità dell’interessato avrebbe rischiato di essere chiamato a rispondere per avere trattato illecitamente i dati personali di quest’ultimo.

Questa situazione paradossale è stata superata dal Regolamento attraverso l’introduzione di una nuova impostazione per la gestione del trattamento dei dati personali in ambito sanitario.

Innanzitutto, il Regolamento introduce per la prima volta una definizione di “dati relativi alla salute”, secondo cui tali dati consistono ne “i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”.

In secondo luogo, come prima accennato, il Regolamento introduce cinque basi giuridiche alternative al consenso, tutte astrattamente idonee a costituire la condizione di liceità per il trattamento dei dati relativi alla salute.

White Paper - Smart Health: guida alle nuove frontiere digitali della sanità

Il GDPR e il trattamento dei dati sanitari

Per meglio comprendere la ratio di questa nuova impostazione del Regolamento è opportuno svolgere una breve riflessione preliminare.

L’art. 4 n. 11 del GDPR definisce il consenso dell’interessato come “qualsiasi manifestazione di volontà libera, specifica, informata e inequivocabile dell’interessato […].

Come sottolineato anche dal Gruppo di Lavoro ex art. 29 nelle “Guidelines on Consent under Regulation 2016/679” (WP 259), il consenso si caratterizza, tra le altre cose, per essere “libero”, ovvero per presupporre una scelta e un controllo effettivi da parte dell’interessato.

Il considerando 42 precisa che il consenso non può essere considerato liberamente espresso, e quindi valido, se l’interessato non può operare una scelta effettivamente libera o se non può rifiutare di prestare il proprio consenso senza subire pregiudizi.

L’art. 7(4) aggiunge che nel valutare se il consenso è stato liberamente prestato si deve considerare in particolare se la prestazione del consenso sia una condizione essenziale per l’esecuzione della prestazione.

Questo significa che se dal rifiuto del consenso possono derivare conseguenze significativamente negative per l’interessato, quali, in particolare, l’impossibilità di usufruire del servizio o di ricevere la prestazione richiesta, è evidente che il soggetto che ha interesse o bisogno di ricevere quella prestazione non gode di fatto di una libertà di scelta.

Ne deriva che il consenso non è libero e, quindi, non può essere considerato valido come base giuridica del trattamento.

Con riferimento al consenso al trattamento di dati personali per l’esecuzione di un trattamento sanitario, è evidente che tale consenso non può che essere necessario in quanto un professionista sanitario non potrebbe mai trattare, sul piano sanitario, un paziente, senza trattare anche i suoi dati personali.

Il professionista dovrà infatti necessariamente venire a conoscenza di una serie di dati identificativi e clinici (es. anamnesi, stato di salute, farmaci assunti) e, d’altra parte, egli stesso, nel trattare il paziente, andrà a produrre una serie di dati relativi alla salute di quest’ultimo (es. lastre, referti, fogli chirurgici, ecc.).

Dal momento che anche la semplice raccolta e consultazione dei dati costituisce un trattamento, è evidente che il medico, nello svolgimento delle sue funzioni, tratta costantemente e inevitabilmente i dati personali dei pazienti. Il consenso al trattamento dei dati sanitari diventa quindi “obbligatorio” proprio perché senza di esso il medico dovrebbe rifiutarsi di eseguire la prestazione medica.

Tuttavia, parlare di “consenso obbligatorio” è evidentemente un ossimoro in quanto, come detto in precedenza, il consenso per essere effettivo deve sempre essere libero.

La conseguenza è che il consenso al trattamento dei dati personali per finalità di trattamento sanitario risulta essere sempre invalido, e dunque si deve ritenere che esso non possa mai costituire un’idonea base giuridica per tale trattamento.

In quest’ottica il Regolamento interviene superando l’impostazione del Codice privacy secondo cui il trattamento dei dati sanitari poteva avvenire solo con il consenso dell’interessato, salve ipotesi eccezionali. La nuova configurazione del Regolamento si fonda sul combinato disposto dell’art. 6 e dell’art. 9 dedicato al “Trattamento di categorie particolari di dati personali”.

Innanzitutto, dal momento che i dati relativi alla salute sono ricompresi tra le categorie particolari di dati personali, ovvero dati che per loro natura risultano particolarmente sensibili e quindi richiedono un più elevato livello di tutela, ad essi si applica il divieto generale di trattamento posto dal paragrafo 1 dell’art. 9 e derogabile solo in presenza di almeno una delle condizioni previste dal paragrafo 2 dello stesso articolo. In particolare, per il settore sanitario, rilevano le condizioni di cui alle lett. h) e i).

La lett. h) fa riferimento all’ipotesi in cui “il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3”. Il paragrafo 3 precisa che i dati personali devono essere trattati da o sotto la responsabilità di un professionista (o altra persona) soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.

La lett. i) fa invece riferimento all’ipotesi in cui “il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale”.

Si segnala che il paragrafo 4 dell’art. 9 riconosce agli Stati membri la possibilità di mantenere o introdurre ulteriori condizioni, comprese limitazioni, per il trattamento di dati genetici, dati biometrici o dati relativi alla salute.

Rimane quindi aperta la possibilità, per il legislatore nazionale, di introdurre condizioni più stringenti volte a garantire un livello di tutela più elevato di quello derivante dalla disciplina del Regolamento. In ogni caso, in assenza di tale intervento, a partire dal 25 maggio 2018 (data della definitiva applicabilità del GDPR) la necessità di diagnosi, assistenza o terapia sanitaria o sociale, o la necessità per motivi di interesse pubblico nel settore della sanità pubblica, configurano condizioni sufficienti per permettere il trattamento dei dati sanitari dei pazienti, senza bisogno di acquisire il consenso degli stessi.

Una volta accertata la sussistenza di una (o più) delle predette condizioni, viene meno il divieto generale di trattamento di cui al paragrafo 1 dell’art. 9, con la conseguenza che i dati relativi alla salute potranno essere trattati, analogamente alla categorie “ordinarie” di dati personali, facendo riferimento ad una delle basi giuridiche di cui all’art. 6.

Il secondo passaggio consiste, dunque, nell’individuare la base giuridica più appropriata per il trattamento di specie. Dal momento che, come illustrato precedentemente, il consenso non può costituire una base giuridica valida per il trattamento di dati personali necessari per l’erogazione di servizi sanitari (in quanto dal mancato rilascio dello stesso conseguirebbe l’impossibilità di ricevere la prestazione richiesta), dovrà essere individuata una base giuridica diversa. Tra le ipotesi previste dall’art. 6 quelle che appaiono più idonee e a cui si dovrà fare riferimento, a seconda dei casi, sono:

  • lett. b): il trattamento è necessario all’esecuzione di un contratto di cui l’interessato è parte o all’esecuzione di misure precontrattuali adottate su richiesta dello stesso. Quando un soggetto si rivolge ad un professionista sanitario (o a una struttura sanitaria) per l’ottenimento di una prestazione medica, si conclude, infatti, tra il paziente e il professionista/la struttura, un contratto di assistenza sanitaria, con cui il professionista/la struttura (titolare del trattamento) si obbliga nei confronti del paziente (interessato) ad eseguire la prestazione richiesta dietro (eventuale) pagamento di un compenso. In questo caso il titolare del trattamento non potrà adempiere la propria obbligazione (erogare la prestazione) senza trattare i dati personali (e in particolare quelli relativi alla salute) del paziente;
  • lett. c): il trattamento è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica.

Una volta individuata anche la corretta base giuridica, sarà possibile trattare i dati relativi alla salute, senza necessità di acquisire il consenso dell’interessato.

Definita l’impostazione delineata dal GDPR, è opportuno a questo punto considerare come questa si coordina con il sistema normativo italiano.

Trattamento dei dati sanitari: il decreto 101/2018

In Italia, il 19 settembre 2018, è entrato in vigore il Decreto legislativo 10 agosto 2018, n. 101 recante Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2016/679 (c.d. decreto di adeguamento).

Tale decreto ha confermato l’impostazione del Regolamento con riferimento sia alle sei basi giuridiche del trattamento, sia alle dieci condizioni per il trattamento delle categorie particolari di dati personali, confermando così la possibilità di trattare i dati relativi alla salute anche senza il consenso dell’interessato.

Il decreto infatti abroga l’intero Titolo III della Parte I del Codice contenente i principi e le regole generali per il trattamento dei dati personali e aggiunge al Tiolo I, inter alia, l’art. 2-septies che conferma che “i dati genetici, biometrici e relativi alla salute possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 del medesimo articolo [art. 9] ed in conformità alle misure di garanzia disposte dal Garante, nel rispetto di quanto previsto dal presente articolo”. Nei commi successivi dello stesso articolo si prevede infatti l’adozione, da parte del Garante, di un provvedimento che stabilisca le misure di garanzia per il trattamento dei dati in oggetto, in conformità a quanto previsto dal paragrafo 4 dell’art. 9 del GDPR. Ad oggi tuttavia il Garante non si è ancora pronunciato in tal senso.

Con riferimento alla Parte II del Titolo V del Codice, rubricato “Trattamento di dati personali in ambito sanitario”, il decreto ha modificato l’art. 75 prevedendo che “il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell’interessato o di terzi o della collettività deve essere effettuato ai sensi dell’articolo 9, paragrafi 2, lettere h) ed i), e 3 del Regolamento, dell’articolo 2-septles del presente codice […]”.

È stato inoltre modificato l’art. 77, relativo alle modalità particolari per trattare i dati personali e per fornire all’interessato le informazioni sul trattamento, in cui è stato eliminato il riferimento al consenso per il trattamento dei dati personali. Il decreto è poi intervenuto marginalmente sugli articoli 78, 79, 80 e 82, adeguandoli alle nuove disposizioni del GDPR ma lasciandoli invariati nel loro contenuto sostanziale, e ha invece abrogato gli articoli 76, 81, 83 e 84.

Di particolare rilievo, ai fini della presente trattazione, è stata l’abrogazione dell’art. 81 relativo alla “Prestazione del consenso” che prevedeva la possibilità di manifestare oralmente il consenso al trattamento dei dati idonei a rivelare lo stato di salute, con annotazione dell’esercente la professione sanitaria ai fini di documentare il rilascio del consenso. Tale abrogazione conferma dunque il venir meno della necessità di acquisire il consenso del paziente.

Il decreto di adeguamento dimostra quindi l’intenzione del legislatore di adeguare in pieno la disciplina nazionale al Regolamento superando, anche con riferimento ai dati relativi alla salute, la precedente concezione basata sulla centralità del consenso.

In ogni caso, indipendentemente dal decreto di adeguamento, a partire dal 25 maggio 2018 il Regolamento è definitivamente applicabile in tutti gli Stati membri, con conseguente automatica disapplicazione di tutte le norme nazionali con esso incompatibili.

Si ricorda, infatti, che la fonte normativa della nuova disciplina europea sul trattamento dei dati non è più una direttiva, come per la disciplina precedente su cui si basava il Codice privacy, bensì, appunto, un regolamento che, in quanto tale, non necessita di una legge nazionale di implementazione, ma è direttamente applicabile in tutti gli Stati membri.

Questo significa che fin dal 25 maggio 2018, anche in mancanza del decreto di adeguamento, è divenuto possibile trattare per finalità mediche i dati relativi alla salute senza bisogno di acquisire il consenso del soggetto interessato, purché sussista una delle condizioni previste dal paragrafo 2 dell’art. 9 del GDPR e il trattamento si fondi su una delle basi giuridiche di cui al paragrafo 1 dell’art. 6 del GDPR.

La conferma del provvedimento del Garante

La ricostruzione sopra delineata è stata da ultimo confermata dallo stesso Garante per la protezione dei dati personali che in data 7 marzo 2019 ha adottato il provvedimento n. 9091942 recante “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”. Attraverso tale provvedimento il Garante ha inteso chiarire alcuni aspetti relativi al trattamento dei dati sanitari che, seppur già disciplinati dal Regolamento e dal D.lgs. 101/2018, avevano finora continuato a dare adito ad una serie di dubbi interpretativi.

In particolare, il Garante ha confermato in maniera esplicita che il professionista sanitario (sia quando opera come libero professionista che quando offre la propria prestazione medica all’interno di una struttura sanitaria) non è tenuto ad acquisire il consenso del paziente per il trattamento dei dati relativi alla salute quando tale trattamento è “necessario” al perseguimento delle finalità di cura.

Il Garante conferma, infatti, che il divieto di trattare categorie particolari di dati personali posto dall’art. 9, paragrafo 1 del GDPR viene meno in presenza di una delle condizioni di cui alle lett. g), h) o i) dell’art. 9, paragrafo 2.

Il consenso resta invece comunque necessario per tutti i trattamenti di dati che, seppur latu senso collegati alla prestazione sanitaria, non risultano tuttavia necessari ai fini della cura del paziente (es. utilizzo di app mediche, invio di comunicazioni promozionali ecc.).

Il già menzionato provvedimento, se da un lato costituisce un importante strumento interpretativo della normativa vigente, dall’altro tuttavia lascia ancora alcuni punti aperti. Nello specifico, il Garante non analizza il delicato tema del trattamento dei dati relativi alla salute realizzato dal personale amministrativo per lo svolgimento di attività funzionali all’erogazione della prestazione sanitaria. Questo tema solleva in particolare due questioni:

  1. se il personale amministrativo che, di regola, non è soggetto nel nostro ordinamento ad un obbligo di segreto professionale, può trattare categorie particolari di dati personali;
  2. se le attività di natura amministrativa funzionali all’erogazione del servizio sanitario possono essere considerate “necessarie” al perseguimento delle finalità di cura di cui alla lett. h) dell’art. 9, paragrafo 2 GDPR.

Se il primo problema può essere agevolmente superato ponendo, nell’ambito dell’organigramma aziendale, il personale amministrativo sotto la responsabilità dei professionisti sanitari tenuti al segreto professionale, più complessa rimane la risoluzione della seconda questione.

Il Garante, infatti, non chiarisce cosa debba intendersi per “trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari”; espressione questa utilizzata nel provvedimento di cui sopra per identificare i trattamenti per i quali permane la necessità di acquisizione del consenso, ma il cui significato non è stato esplicitato dal Garante.

Sul punto si dovrà dunque attendere un ulteriore chiarimento da parte del Garante stesso che potrebbe essere fornito, si auspica, in occasione dell’emanazione dei provvedimenti, previsti dall’art. 2-septies del novellato Codice privacy, che stabiliscono le misure di garanzia per il trattamento dei dati relativi alla salute e di cui si attende tuttora l’adozione.

Il dossier sanitario elettronico

Infine, sempre in ambito sanitario, ma su un piano diverso, si pone il tema del consenso all’implementazione del dossier sanitario elettronico (DSE) che, come confermato anche dal Garante nel provvedimento del 7 marzo 2019, permane alla luce del quadro normativo vigente.

Il DSE, secondo la definizione contenuta nelle “Linee guida in materia di dossier sanitario” emanate nel 2015 dal Garante, costituisce l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato presso lo stesso titolare del trattamento. La funzione del DSE è di documentare parte della storia clinica dell’interessato permettendo al personale sanitario di una determinata struttura che di volta in volta lo prende in cura di avere accesso a tutte le informazioni sul suo stato di salute, così da poterlo assistere in maniera più efficace.

Il trattamento di dati personali realizzato mediante il DSE si differenzia dalla compilazione e tenuta della cartella clinica per il fatto che questa contiene solo le informazioni relative al singolo evento clinico.

D’altra parte, si differenzia anche dalla mera conservazione delle singole cartelle cliniche relative a un determinato paziente e generate presso lo stesso titolare del trattamento; il DSE si caratterizza infatti per mettere l’insieme dei dati del paziente in condivisione logica a vantaggio dei professionisti sanitari che lo prendono in cura, consentendo loro di consultare tali dati in qualsiasi momento per tutto il tempo in cui si articola il processo di cura.

La consultazione del dossier costituisce dunque un trattamento ulteriore rispetto al trattamento dei dati sanitari per l’erogazione della prestazione medica e rappresenta in ogni caso un trattamento facoltativo. In caso di impossibilità di accesso al dossier infatti il medico potrà comunque eseguire la prestazione a lui richiesta dal paziente, con la sola differenza che dovrà acquisire direttamente da quest’ultimo, qualora possibile, o eventualmente da terzi, le informazioni necessarie, senza la possibilità di consultare i dati prodotti in occasione dei precedenti eventi clinici (salvo che egli stesso abbia raccolto tali dati).

In questo caso, quindi, l’interessato gode di una effettiva libertà di scelta in quanto può decidere di impedire la formazione del DSE senza che tale scelta pregiudichi la possibilità di ricevere la prestazione (l’interessato deve anzi essere specificamente informato che l’eventuale mancato consenso al trattamento dei dati personali mediante DSE non incide sulla possibilità di accedere alle cure mediche richieste).

Il consenso al trattamento dei dati personali mediante dossier sanitario è inoltre modulabile con riferimento ai dati che vi possono essere inseriti.

Innanzitutto, occorre un consenso specifico per l’inserimento delle informazioni relative a eventi sanitari pregressi all’istituzione del dossier, per cui l’interessato può scegliere di non inserire tali informazioni. In secondo luogo, l’interessato ha il diritto all’oscuramento, ovvero il diritto di chiedere che alcuni dati o documenti sanitari non compaiano nel dossier senza che risulti che egli abbia effettuato tale richiesta.

L’interessato ha inoltre il diritto di revocare in qualsiasi momento il consenso. In questo caso il DSE non potrà essere ulteriormente implementato e le informazioni sanitarie in esso presenti non potranno essere più condivise con i professionisti che in seguito prenderanno in cura l’interessato, fermo restando che tali informazioni devono rimanere comunque sempre consultabili da parte del professionista o della struttura interna al titolare (es. reparto) che le ha redatte.

Il fascicolo sanitario elettronico

Considerazioni sostanzialmente analoghe sono riferibili anche al consenso alla costituzione e all’alimentazione del Fascicolo Sanitario Elettronico (FSE).

Il FSE, inizialmente regolato solo sul piano della soft law attraverso le “Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario” adottate dal Garante il 16 luglio 2009, ha successivamente trovato uno specifico fondamento normativo nell’articolo 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 e nel DCPM 29 settembre 2015, n. 178 recante il “Regolamento in materia di fascicolo sanitario elettronico”.

Come il DSE, anche il FSE costituisce uno strumento per la raccolta, in forma elettronica, dei dati relativi a tutti gli eventi clinici riguardanti un determinato paziente; la differenza rispetto al DSE consiste nel fatto che mentre quest’ultimo raccoglie i dati generati in occasione di eventi clinici che hanno avuto luogo solamente all’interno della struttura sanitaria presso cui il dossier è stato costituito, il FSE è gestito a livello nazionale o regionale e, pertanto, può contenere i dati relativi ad eventi clinici che hanno avuto luogo in qualunque struttura sanitaria del territorio (nazionale o regionale) e può essere alimentato da ciascun medico operante in ognuna di queste strutture.

Il FSE risulta, dunque, molto più ampio e più completo del DSE e presenta l’ulteriore vantaggio di consentire una condivisione logica di portata estremamente più ampia.

Ne consegue che il FSE può rilevarsi uno strumento particolarmente utile, essendo in grado di accentrare tutti i dati relativi alla salute di un paziente e rendendo tali dati accessibili e consultabili da qualunque medico che in un determinato momento abbia in cura quel paziente, indipendentemente dal luogo in cui si trovi.

Naturalmente, una tale raccolta di dati e, in particolare, di dati relativi alla salute, rileva anche sotto il profilo del trattamento dei dati personali: occorre, infatti, garantire che la raccolta, la consultazione e la conservazione dei dati personali avvenga nel pieno rispetto della normativa nazionale ed europea in materia di trattamento dei dati personali.

A tal fine, uno degli strumenti previsti dal legislatore per la tutela degli interessati è la preventiva acquisizione del consenso come condizione necessaria per l’alimentazione del FSE. Questo perché, così come per il DSE, l’utilizzo di tale strumento viene considerato come un servizio accessorio offerto ai pazienti, non strettamente necessario per il perseguimento delle finalità di diagnosi e cura.

Pertanto, il trattamento dei dati personali finalizzato all’alimentazione del FSE costituisce un trattamento diverso e ulteriore rispetto a quello necessario per la cura del paziente; in quest’ottica, non sarà applicabile la condizione di cui all’art. 9, paragrafo 2, lett. h) del GDPR per il trattamento delle categorie particolari di dati personali e, in mancanza di altre condizioni applicabili, si dovrà ricorrere a quella di cui alla lett. a) dello stesso articolo consistente, per l’appunto, nell’acquisizione di un consenso esplicito dell’interessato.

La medesima riflessione è replicabile con riferimento alla base giuridica del trattamento: non essendo la compilazione del FSE un trattamento “necessario” ai fini dell’esecuzione del contratto concluso tra il paziente e la struttura sanitaria avente ad oggetto l’erogazione della prestazione medica, in assenza di altra idonea base giuridica si dovrà procedere all’acquisizione del consenso dell’interessato ai sensi dell’art. 6, paragrafo 1, lett. a) del GDPR.

In questo caso, dunque, come per il DSE, il consenso dell’interessato rappresenta sia la base giuridica del trattamento ex art. 6 GDPR sia la condizione per il trattamento delle categorie di dati personali ex art. 9 GDPR.

Vale per il FSE tutto quanto detto per il DSE con riferimento al diritto dell’interessato di revocare in qualsiasi momento il consenso prestato e alle conseguenze di tale revoca.

Preso atto dell’attuale impostazione così come delineata al legislatore, si potrebbe tuttavia sollevare il dubbio se l’utilizzo del FSE possa effettivamente essere considerato un servizio accessorio e facoltativo rispetto alla prestazione sanitaria in senso stretto.

Se da un lato è evidente che un professionista sanitario possa intervenire anche in assenza di qualunque conoscenza pregressa in merito all’anamnesi del paziente e ad eventuali eventi clinici pregressi, dall’altro è innegabile che, in alcune circostanze, la conoscenza di tali informazioni potrebbe risultare rilevante, o addirittura determinate, per un tempestivo intervento e, in alcuni casi, per la vita stessa del paziente o, comunque, per la qualità della vita.

In questa prospettiva sarebbe quindi lecito domandarsi se effettivamente l’utilizzo di un tale strumento possa ancora essere considerato non “necessario” e se tale utilizzo possa essere subordinato ad una esplicita manifestazione di volontà del paziente con la conseguenza che un paziente che non abbia la possibilità di manifestare una tale volontà risulterebbe essere privato di uno strumento che potrebbe concorrere alla tutela della sua integrità fisica.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati