Il trattamento dei dati sulla salute è consentito in presenza di taluni requisiti specifici individuati all’art. 9 del Regolamento GDPR (cfr. considerando n. 51), il quale ha previsto, in questo ambito, la possibilità per gli Stati membri di mantenere o introdurre ulteriori condizioni. Il decreto legislativo n. 101/2018 impone al Garante di individuazione i presupposti di liceità dei suddetti trattamenti, adottando specifiche misure di garanzia.

In attuazione della predetta disciplina transitoria, con il provvedimento del 13 dicembre 2018[1], sono state individuate le prescrizioni, compatibili con le disposizioni del Regolamento e del decreto n. 101/2018.

Ecco il primo chiarimento fornito dal Garante.

L’art. 9 del Regolamento elenca una serie di eccezioni che rendono lecito il trattamento dei cc.dd “dati particolari” e che, in ambito sanitario, sono riconducibili, in via generale, ai trattamenti necessari per:

1. motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri (art. 9, par. 2, lett. g) del Regolamento), individuati dall’art. 2-sexies del Codice;
2. motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2, lett. i) del Regolamento e considerando n. 54) (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);
3. finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (di seguito “finalità di cura”) sulla base del diritto dell’Unione/Stati membri o conformemente al contratto con un professionista della sanità, (art. 9, par. 2, lett. h) e par. 3 del Regolamento e considerando n. 53; art. 75 del Codice) effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra

persona anch’essa soggetta all’obbligo di segretezza.

Gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, richiedono, quindi, anche se effettuati da professionisti della sanità, una distinta base giuridica da individuarsi, eventualmente, nel consenso dell’interessato o in un altro presupposto di liceità (artt. 6 e 9, par. 2, del Regolamento) e sono:

1. trattamenti connessi all’utilizzo di App mediche[2].
2. trattamenti preordinati alla fidelizzazione della clientela;
3. trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali;
4. trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali[3];
5. trattamenti effettuati attraverso il Fascicolo sanitario elettronico[4];

 

In conclusione, occorre evidenziare che, così come richiamato dall’art. 22, comma 1, del d.lgs. n. 101/2018, le disposizioni del Codice si devono, in ogni caso, interpretare e applicare alla luce del Regolamento.[i]

[1] Garante Privacy 13 Dicembre 2018 [9068972].

[2] Faq CNIL del 17 agosto 2018 sulle applicazioni mobili in sanità.

[3] Garante Privacy 6 Marzo 2014 [3013267].

[4] D.L. 18 ottobre 2012, n. 179, art. 12, comma 5.

[i] Garante Privacy 7 Marzo 2019 [9091942].