Dati relativi alla salute e privacy

Come vengono normalmente gestiti i dati relativi alla salute

E venne il giorno che il Garante per la privacy rese pubblica l’autorizzazione generale per il trattamento dei dati sensibili negli ambienti di lavoro, nelle associazioni e nel settore investigativo e per il trattamento dei dati genetici.

Si tratta dell’ennesimo provvedimento temporaneo che andrà ad ingolfare il panorama normativo già abbastanza corposo.

Approfittiamo comunque di questa nuova norma, per trattare con una certa sistematicità l’argomento dei dati relativi alla salute.

Che Dio mi assista perché è roba da stracciarsi i camici!

Già perché fino ad oggi, in tutta onestà, non ho visto da parte di coloro che trattano i dati sanitari, una particolare sensibilità al GDPR; facendola breve, ho avvertito una certa insensibilità ai dati sensibili.

Dovendomi mettere nelle mani dell’ASL per qualche piccola sistematina, in effetti non ho visto né informative aggiornate, men che meno policy o misure particolari a tutela della privacy.

Qualche tempo fa una mia collega mi faceva osservare come dopo un’ora che stai al Pronto Soccorso, conosci tutti i cognomi dei presenti in sala d’attesa perché se è vero che ci si mette in coda ricevendo un bigliettino da una macchina,  è altrettanto vero che poi l’operatore sanitario di turno chiama coram populo i parenti del paziente, usando ovviamente il cognome.

“Parenti di Rossi!, parenti del Sig. Rossi, dove sono i parenti del Sig. Rossi?” Urla un operatore sempre piuttosto massiccio.

E all’istante tutti ci preoccupiamo di dove siano finiti i parenti del Sig. Rossi, dimenticando la ragione per cui siamo al pronto soccorso.

Strutture sanitarie, non solo queste

Oltre ai medici e alle strutture sanitarie, vi sono altre categorie di soggetti che trattano dati relativi alla salute, pensiamo all’ambito lavorativo, a determinate associazioni, al mondo degli investigatori privati, al settore assicurativo.

Tutti questi soggetti che non svolgono attività di diagnosi e cura, potranno trattare i dati su basi giuridiche diverse, rispetto ad una clinica ospedaliera.

In taluni casi, la base giuridica potrà e dovrà essere il consenso informato.

Anche al di fuori del settore sanitario, per quanto ho potuto appurare personalmente, siamo messi piuttosto male.

Per fare un esempio molto banale, le palestre trattano dati personali sensibili e purtuttavia non ne ho trovata una che si sia adeguata al GDPR. Firma del consenso per la privacy in base alla legge 196/2003, e va bene che da Einstein in poi il tempo è relativo,  e subito dopo, consegna del certificato medico, che viene imbucato in cartelle sospese.

E se il certificato sparisce, qual è il problema, basta chiedere all’utente, come è accaduto al sottoscritto, se ricorda dove è stato riposto.

Verrebbe da dire che fare palestra è allenante innanzitutto per la memoria.

Gli ultimi provvedimenti del Garante per la privacy

Perché ho fatto tutta questa premessa? Beh perché sarebbe ora di darsi una regolata.

L’autorizzazione generale del Garante per la privacy a dire il vero non introduce novità di rilievo, nulla che non potesse essere già  intuito in base al principio di responsabilizzazione, ma direi che vale la pena parlarne insieme alle Linee Guida già pubblicate dal Garante nel marzo di quest’anno.

Ed a proposito delle Linee Guida, va bene che il trattamento dei dati sensibili ai sensi dell’art. 9 del GDPR è vietato, salvo le eccezioni previste dallo stesso articolo, ma ha veramente poco senso, parlando dei trattamenti in ambito sanitario, esordire nell’infografica, come fa il garante, con la seguente frase: “trattare «categorie particolari di dati» in ambito sanitario è sempre vietato, tranne che nei seguenti casi.” 

Di quali dati dovremmo trattare in ambito sanitario, forse dei dati zodiacali?

Scherzi a parte, dopo aver riaffermato il divieto generale, il Garante, massacrando il significato dell’avverbio “sempre”, indica le eccezioni in cui nel comparto della sanità si possono trattare i dati relativi alla salute e precisamente:

  1. per finalità di diagnosi e cura
  2. per motivi di interesse pubblico rilevante
  3. per motivi di interesse pubblico nel settore della sanità pubblica (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare)
Quando occorre il consenso

La prima osservazione che dobbiamo fare è che nei casi sopra indicati non è più necessario il consenso al trattamento dei dati personali relativi alla salute.

Servirà invece il consenso al trattamento dei dati nelle seguenti situazioni:

  • per la consultazione del fascicolo sanitario elettronico
  • per la consegna del referto online
  • per l’utilizzo di app mediche
  • per la fidelizzazione della clientela
  • per finalità promozionali o commerciali
Digitalizzazione dei dati sanitari

La dematerializzazione dei dati in ambito sanitario e, quindi, la creazione del fascicolo elettronico e la comparsa di applicazioni con cui prenotare appuntamenti e scaricarsi i referti online hanno certamente semplificato la vita del paziente, ma hanno nel contempo introdotto nuove criticità in ordine alla protezione dei dati che viaggiano sulla rete, per non parlare poi della necessità di controllare le finalità per cui i dati sono raccolti.

Sono queste le ragioni principali per cui in tali casi, pensiamo per esempio a un’ applicazione che monitora il battito cardiaco, è necessario il consenso del paziente che può prestarlo solo dopo essere stato adeguatamente informato. Il consenso, inoltre, trattandosi di dati relativi alla salute, deve essere espresso, cioè non può essere dedotto da un comportamento univoco del paziente.

Le informazioni che dovranno essere fornite all’utente dovranno chiarire in modo molto trasparente le finalità per cui i dati vengono raccolti.

Chi può trattare i dati relativi alla salute

I trattamenti di dati personali relativi alla salute devono essere effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.

In particolare i dati genetici possono essere comunicati all’interessato solo dal genetista o dal medico personalmente e in plico chiuso.

I medici quindi dovranno essere nominati dalla struttura come soggetti autorizzati al trattamento dei dati così come tutto il personale paramedico ed amministrativo, avendo cura di precisare nella lettera di incarico le tipologie di dati trattabili in base al ruolo svolto dall’incaricato. E’ chiaro infatti che il personale amministrativo non potrà avere accesso a tutti i dati a cui potrà accedere invece il personale medico.

Fate attenzione!

Quando ricorriamo alle cure dei medici, certo non pensiamo all’informativa sulla privacy; siamo ovviamente preoccupati per la nostra salute. Monitorare i nostri battiti con una applicazione scaricata sull’orologio può essere molto comodo. Tutte queste situazioni hanno in comune una cosa, la nostra distrazione. Siamo distratti dalla malattia o dalle facilitazioni della tecnologia.

E’ proprio in tali contesti, tuttavia, che si creano le condizioni per il furto di dati o per trattamenti illeciti altamente dannosi.

Essendo improbabile che l’Autorità Garante possa sorvegliare e reprimere tutti i casi di trattamenti illeciti, il consiglio che mi sento di dare è pertanto quello di tenere alto il nostro livello di attenzione soprattutto nei momenti in cui siamo più vulnerabili.