L’art. 5, par. 1, lett. a) del GDPR impone ai titolari di informare l’interessato sui principali elementi del trattamento, al fine di renderli edotti delle principali caratteristiche dello stesso (PRINCIPIO DI TRASPARENZA).

L’Art. 13 e 14 del GDPR prevede invece l’obbligo di comunicare le informazioni necessarie e quali comunicare.

Le informazioni da rendere all’interessato vanno rese in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro ex art. 12, par. 1 GDPR[1].

L’art. 5 del GDPR prevede anche il così detto PRINCIPIO DI RESPONSABILIZZAZIONE alla luce del quale spetta al titolare scegliere le modalità, con cui fornire le informazioni, più appropriate al caso di specie, tenendo conto di tutte le circostanze del trattamento e del contesto in cui viene effettuato[2].

Orbene le informative già predisposte dovranno solo essere aggiornate e integrate con riferimento esclusivamente agli elementi di novità previsti dagli artt. 13 e 14 del GDPR.

Per i titolare del trattamento operanti in ambito sanitario nello specifico, il Garante ha suggerito di fornire all’interessato le informazioni previste dal Regolamento in modo progressivo.

Ciò significa che nei confronti della generalità dei pazienti afferenti a una struttura sanitaria potrebbero essere fornite solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie[3].

Gli elementi informativi relativi a particolari attività di trattamento (es. fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca) potrebbero essere resi, infatti, in un secondo momento, solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti.

Ciò andrebbe a beneficio di una maggiore attenzione alle informazioni veramente rilevanti, fornendo la piena consapevolezza circa gli aspetti più significativi del trattamento.

Tra gli elementi informativi di novità, merita evidenziare quello relativo al periodo di conservazione dei dati che, secondo il Regolamento, può essere fornito dal titolare anche attraverso l’indicazione dei criteri utilizzati per determinarlo (artt. 13 e 14, par. 2, lett. a), Regolamento), ecco alcuni esempi significativi in merito:

• La documentazione inerente gli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica, deve essere conservata, a cura del medico visitatore, per almeno cinque anni[4];
• le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamente[5];
• la documentazione iconografica radiologica, deve essere conservata per un periodo non inferiore a dieci anni[6].

Nel caso in cui, invece, i tempi di conservazione di specifici documenti sanitari non siano stabiliti da una disposizione normativa, il titolare del trattamento, in virtù del principio di responsabilizzazione, dovrà individuare tale periodo in modo che i dati siano conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati (principio di limitazione della conservazione, art. 5, par. 1, lett. e) del Regolamento) e indicare tale periodo (o i criteri per determinarlo) tra le informazioni da rendere all’interessato.[i]

[1] Art. 78 del D. Lgs 196/2003 c.d. Codice Privacy .

[2] Considerando 58 e 60 GDPR.

[3] Art. 79 del D. Lgs 196/2003 c.d. Codice Privacy.

[4] Art. 5, D.M. 18/02/1982.

[5] Circolare del Ministero della Sanità del 19 dicembre 1986 n.900 2/AG454/260.

[6] Art. 4, D.M. 14 febbraio 1997.

[i] Garante Privacy 7 Marzo 2019 [9091942].