Quel...Diavolo di consenso (parte 7)

Parte 7: Consenso e professionisti della sanità

Un professionista della sanità spesso si trova di fronte ad un dilemma: il consenso/autorizzazione può fondare la liceità delle attività di trattamento di dati personali relative alla prestazione sanitaria?

Ebbene: il diavolo qui non giace assiso su dettagli bensì su una base giuridica, sul contesto e sul piano operativo.

"Eh bien, docteur, que me veux-tu?
Voyons, parle! Te fais- je peur?"
( Faust - Gounod )


Nell'ambito sanitario, il consenso può generare confusione per l’interessato dal momento che lo induce a ritenere di poter "disporre" di un maggiore potere di controllo sui propri dati personali mediante l'esercizio di un potere di revoca. A nulla vale garantire tale base giuridica, per amor di formalismo, se poi l'attività di trattamento può prescindere dalla revoca del consenso precedentemente prestato.

La base giuridica per garantire la liceità delle attività di trattamento dei dati personali svolte da un professionista della sanità è, nella maggior parte dei casi, individuabile nell’art. 9.2 lett. h) GDPR:
«il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3;».
Perché tale fondamento di liceità sia valido, ad ogni modo, occorre però che siano rispettati anche i requisiti indicati dall’art. 9.3 GDPR:
«I dati personali di cui al paragrafo 1 possono essere trattati per le finalità di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.»
Definito così chi può avvalersi di tale base giuridica, è bene tenere conto anche delle modalità operative rimesse dall'art. 9.4 GDPR alla potestà legislativa degli Stati membri per i trattamenti di dati genetici, biometrici o relativi alla salute. Per l'effetto di tale deroga, sono inseribili difatti ulteriori condizioni e limitazioni (quali ad esempio le prescrizioni contenute nelle Autorizzazioni Generali o  le regole deontologiche).

L’art. 75 del Codice ha recepito il binomio garanzia-deroga del GDPR nel modo che segue:
«Il trattamento dei dati personali effettuato per finalità di tutela della salute e incolumità fisica dell'interessato o di terzi o della collettività deve essere effettuato ai sensi dell'articolo 9, paragrafi 2, lettere h) ed i), e 3 del regolamento, dell'articolo 2 septies del presente codice, nonché nel rispetto delle specifiche disposizioni di settore.»
L'art. 2-septies del Codice ha delegato al Garante la definizione delle misure di garanzia, ovverosia quelle ulteriori condizioni necessarie perché il trattamento dei dati genetici, biometrici o relativi alla salute possa svolgersi su una delle basi giuridiche indicate dall'art. 9.2 GDPR, relativamente a:
  • presidi di conformità ai principi del GDPR (sono citate a titolo di esempio le misure di minimizzazione);
  • sicurezza dei trattamenti, e dunque la conformità all’art. 32 GDPR (il catalogo esemplificativo richiama cifratura e pseudonimizzazione);
  • modalità di tutela dei diritti degli interessati (ad esempio, il diritto a ricevere informazioni sui trattamenti).
Lo schema richiamato consente già di individuare e valutare le misure poste in essere, nonché di programmarne ulteriori (magari all'interno di una DPIA).

Per quanto riguarda il consenso è interessante notare che tale elemento viene indicato come «ulteriore misura di protezione dei diritti dell’interessato» nell’ipotesi in cui ricorra un «particolare ed elevato livello di rischio» e limitatamente all'ambito del trattamento dei dati genetici.

In positivo, è bene ricordare che alcuni trattamenti potrebbero validamente essere fondati sul consenso del paziente qualora esulino dall'ambito di applicazione dell'art. 9.2 lett. h) e non sia riscontrabile diversa base giuridica. Ciò significa che il titolare deve conseguentemente essere in grado di gestire tale consenso, riscontrandone e garantendone la validità, soprattutto sul piano operativo.

Essere GDPReady è...comprendere il consenso in ambito sanitario.

Commenti