Privacy e consenso del paziente, si cambia: ecco le nuove norme

Il Garante chiarisce alcuni apsetti del regolamento: il singolo medico non deve nominare il Dpo; per le finalità di cura non si deve chiedere il consenso. Occorre per refertazione on line, fascicolo e dossier sanitario elettronico.

Arriva un atteso e importante chiarimento da parte del Garante della privacy sul consenso del paziente (clicca qui per scaricare il provvedimento completo n. 55 del 7 marzo 2019): "Diversamente dal passato il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall'interessato indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all'interno di una struttura sanitaria pubblica o privata".

Il garante precisa anche che il singolo medico non deve nominare il Dpo (responsabile della protezione dei dati) fugando così ogni dubbio.

Ma torniamo al dato sul consenso perché l’Ente guidato da Soru va oltre precisando che "Per altri trattamenti attinenti solo in senso lato, ma non strettamente necessari alla cura, servirà il consenso o un supporto giuridico".

Ecco nel dettaglio quali sono:

1?trattamenti connessi all'utilizzo di App mediche, attraverso le quali autonomi titolari raccolgono dati, anche sanitari dell'interessato, per finalità diverse dalla telemedicina oppure quando, indipendentemente dalla finalità dell'applicazione, ai dati dell'interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;

2?trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, aggiuntivi rispetto alle attività di assistenza farmaceutica tradizionalmente svolta dalle farmacie territoriali pubbliche e private nell'ambito del Servizio sanitario nazionale;

3?trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);

4?trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;

5?trattamenti effettuati attraverso il Fascicolo sanitario elettronico (Dl 18 ottobre 2012, n. 179, art. 12, comma 5). In tali casi, l'acquisizione del consenso, quale condizione di liceità del trattamento, è richiesta dalle disposizioni di settore, precedenti all'applicazione del Regolamento, il cui rispetto è ora espressamente previsto dall'art. 75 del Codice. Al riguardo, un’eventuale opera di rimeditazione normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato all’alimentazione del Fascicolo potrebbe essere ammissibile alla luce del nuovo quadro giuridico in materia di protezione dei dati".

Le aziende sanitarie. Il Dpo

Riguardo alle aziende sanitarie il Garante suggerisce di fornire le informazioni in maniera progressiva. Nei confronti della generalità dei pazienti possono essere fornite le informazioni relative ai trattamenti rientranti nelle ordinarie prestazioni sanitarie. Le informative relative a particolari attività di trattamento possono essere fornite successivamente solo in caso di pazienti effettivamente interessati da tali servizi.

Il periodo, da indicare nelle informative, può essere fissato da regole specifiche. In caso di dubbi dovrà essere il titolare del trattamento a stabilirlo e indicarlo nelle informative: se non come periodo fisso, per lo meno precisando i criteri per individuarlo. Tocca, tuttavia, alle aziende sanitarie nominare il Dpo o responsabile della protezione dei dati (siglato anche Rpd). Anche nel caso di un ospedale privato, per una casa di cura o una residenza sanitaria assistenziale. Il singolo professionista sanitario, che opera in regime di libera professione a titolo individuale, come detto in apertura, non dovrà nominare un Dpo. Così come le farmacie, le parafarmacie, le aziende ortopediche e sanitarie (anche se l'obbligo della nomina scatta in caso di effettuazione di trattamenti su larga scala).

Il registro delle attività di trattamento

Il registro dovrà essere compilato dai singoli professionisti sanitari, i medici di medicina generale e i medici pediatri, gli ospedali privati, le case di cura, le Rsa, le aziende del servizio sanitario, le farmacie, le parafarmacie e le aziende ortopediche. Il registro non va trasmesso al garante, ma conservato per eventuali controlli. Fonte: Dottnet