Privacy in sanità: norme per proteggere i dati sanitari

Ultimo Aggiornamento 10 Ottobre 2024

I dati sanitari includono tutte le informazioni sulla salute di una persona: dalle diagnosi ai trattamenti, fino ai dettagli delle visite mediche. Questi dati hanno un ruolo fondamentale nella gestione quotidiana delle strutture sanitarie, ed è per questo che la loro protezione è così importante. Dato il loro carattere delicato, la legge stabilisce regole precise per garantire che vengano trattati con la massima attenzione e sicurezza.

Ma cosa comporta, concretamente, gestire in modo corretto i dati sanitari? Quali sono gli obblighi per le strutture sanitarie? E quali sono le conseguenze per chi non rispetta queste norme? Nei prossimi paragrafi risponderemo a queste domande, analizzando nel dettaglio le principali prescrizioni del GDPR e del Codice Privacy per la gestione dei dati sanitari.

Residenze Sanitarie: privacy in sanità
Residenze Sanitarie: scarica l’articolo sulle regole della “nuova” privacy in sanità

§ 1. Cosa sono i dati sanitari?

I dati sanitari comprendono tutte le informazioni relative alla salute di una persona: diagnosi, terapie, risultati di esami, cartelle cliniche, e qualsiasi altro dettaglio che riguarda lo stato fisico o psicologico di un individuo.

Questi dati devono essere trattati con attenzione, poiché hanno un impatto diretto sulla vita delle persone. Strutture sanitarie e professionisti devono garantire che ogni passaggio, dalla raccolta alla conservazione, rispetti le normative, per proteggere la riservatezza e la sicurezza dei pazienti.

§ 2. Le normative fondamentali: GDPR e il Codice Privacy

Quando si parla di protezione della privacy in ambito sanitario, le normative di riferimento si basano su due fonti principali:

Vediamo quali sono le disposizioni di queste normative relative alla protezione dei dati sanitari, le conseguenze legali per chi non le rispetta, incluse le sanzioni e le possibilità di risarcimento in caso di violazione.

Hai bisogno di assistenza in materia di trattamento dei dati sanitari?

Affidati a professionisti esperti per garantire la corretta gestione e protezione dei tuoi dati, nel pieno rispetto della normativa vigente sulla privacy. Contattaci oggi stesso per una consulenza personalizzata.

§ 3. GDPR e dati sanitari

Il trattamento dei dati sanitari, ai sensi del G.D.P.R., è senz’altro lecito:

  • quando si deve tutelare un interesse pubblico (come, ad esempio, la protezione da gravi minacce per la salute o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria, dei medicinali e dei dispositivi medici).
  • quando è effettuato con finalità di cura medica (per la prevenzione, la diagnosi, l’assistenza o la terapia di stati patologici).

Quindi il professionista sanitario non deve richiedere il consenso dell’interessato per i trattamenti necessari alla erogazione delle prestazioni sanitarie richieste dal paziente, sia se operi in qualità di libero professionista (presso uno studio medico), sia se operi all’interno di una struttura sanitaria, tanto pubblica quanto privata.

Il consenso esplicito dell’interessato diventa obbligatorio quando i dati sanitari vengono trattati per finalità diverse dalla cura o dall’assistenza medica diretta. In questi casi, infatti, il trattamento va oltre le necessità sanitarie primarie e richiede un’autorizzazione specifica da parte dell’interessato.

Ecco alcuni esempi di situazioni in cui è necessario raccogliere il consenso preventivo del paziente per i trattamenti di dati sanitari:

a) connessi all’utilizzo di “App” mediche;
b) preordinati alla fidelizzazione della clientela (effettuati dalle farmacie attraverso programmi di accumulo punti);
c) effettuati da strutture sanitarie private per finalità promozionali o commerciali (es. promozioni su programmi di screening, fornitura di servizi ammnistrativi, come quelli alberghieri di degenza);
d) effettuati da professionisti sanitari per finalità commerciali o elettorali;
e) effettuati attraverso il Fascicolo sanitario elettronico previsto dall’art. 12 del d.l. 18 ottobre 2012, n. 179.

§ 3.1 Le informazioni da fornire e i tempi di conservazione

Il GDPR richiede che gli operatori sanitari forniscano agli interessati un’informativa chiara e completa sul trattamento dei loro dati personali. Questa informativa deve includere:

  • Le finalità del trattamento dei dati;
  • La base giuridica che lo rende legittimo;
  • I diritti dell’interessato, come il diritto di accesso, rettifica, cancellazione, e portabilità dei dati;
  • La durata della conservazione dei dati sanitari e i criteri utilizzati per stabilirla.

In Italia, la normativa specifica alcuni tempi di conservazione obbligatori per determinati documenti sanitari:

  • Certificati di idoneità sportiva: devono essere conservati per almeno cinque anni, secondo il Decreto del Ministero della Sanità del 1982.
  • Cartelle cliniche e referti: devono essere conservati senza limiti di tempo, in quanto rappresentano documenti essenziali per garantire la certezza del diritto e per eventuali ricerche storiche o sanitarie, come stabilito dalla Circolare del Ministero della Sanità n. 61 del 19 dicembre 1986.
  • Documentazione radiologica e di medicina nucleare: i documenti iconografici devono essere mantenuti per un minimo di dieci anni, mentre i referti devono essere conservati a tempo indeterminato, in base al Decreto del Ministero della Sanità del 1997.
    • i documenti iconografici, prodotti a seguito dell’indagine diagnostica utilizzata dal medico specialista o nell’ambito delle attività radiodiagnostiche complementari all’esercizio clinico, devono essere conservati per un periodo non inferiore a dieci anni;
    • i resoconti radiologici e di medicina nucleare, vale a dire i referti stilati dal medico specialista radiologo o dal medico nucleare, devono essere conservati a tempo indeterminato.

§ 3.2 Il Ruolo del Responsabile della Protezione dei Dati (R.P.D.)

Il GDPR prevede la figura del Responsabile della Protezione dei Dati (R.P.D.), fondamentale per garantire il rispetto della normativa in ambito sanitario. Il R.P.D. ha il compito di vigilare sull’applicazione delle misure di protezione dei dati personali e  funge da punto di riferimento per le autorità di controllo e per gli interessati.

La nomina del R.P.D. è obbligatoria per:

  • Enti pubblici e aziende sanitarie del Servizio Sanitario Nazionale (SSN);
  • Ospedali privati, case di cura, e residenze sanitarie assistenziali (RSA) che trattano dati su larga scala (art. 37, par. 1, lett. c del GDPR).

Non è invece obbligatoria per:

  • Professionisti sanitari che operano individualmente in libera professione;
  • Farmacie, parafarmacie e aziende sanitarie ortopediche che non trattano dati su larga scala.

È comunque possibile nominare un R.P.D. unico per più strutture sanitarie, a condizione che ciò sia valutato come adeguato dal titolare del trattamento, garantendo che le esigenze di protezione dei dati siano pienamente rispettate.

Parafarmacia-Privacy
Questione di privacy: scarica l’intervista agli Avv.ti Lucia Spadoni e Gabriele Chiarini su “Parafarmacia”

§ 3.3 Il Registro delle Attività di Trattamento

Il GDPR impone ai titolari del trattamento di mantenere un Registro delle Attività di Trattamento, strumento fondamentale per documentare e dimostrare la conformità alle normative in materia di protezione dei dati personali. Questo registro deve contenere tutte le informazioni principali relative alle operazioni di trattamento effettuate, come:

  • Le finalità del trattamento;
  • Le categorie di dati trattati;
  • Le categorie di interessati (ad esempio, pazienti, medici, personale sanitario);
  • Le misure di sicurezza adottate per proteggere i dati.

L’obbligo di tenuta del registro si applica a tutte le aziende e strutture sanitarie, inclusi:

  • Ospedali privati, case di cura e residenze sanitarie assistenziali (RSA);
  • Medici di medicina generale e pediatri di libera scelta;
  • Farmacie, parafarmacie e aziende ortopediche.

Sono esonerate dall’obbligo di tenere il registro solo le organizzazioni con meno di 250 dipendenti, a meno che:

  • Il trattamento dei dati presenti un rischio per i diritti e le libertà degli interessati;
  • Non sia occasionale;
  • Includa categorie particolari di dati, come quelli relativi alla salute, all’orientamento sessuale, o ai dati genetici e biometrici.
  • Riguardi dati personali relativi a condanne penali, reati, o misure di sicurezza.

Il registro non deve essere inviato al Garante della Privacy, ma deve essere disponibile per eventuali controlli da parte dell’autorità competente.

§ 3.4 Codice Privacy Italiano

Il Codice Privacy (d.lgs. 196/2003), modificato dal d.lgs. 101/2018 per allinearsi al GDPR, regola il trattamento dei dati personali in Italia, incluso quello dei dati sanitari. Il Codice integra e specifica le norme del GDPR, stabilendo obblighi aggiuntivi per i professionisti e le strutture sanitarie in merito alla raccolta, gestione e conservazione dei dati.

Tra i principali aspetti previsti dal Codice Privacy:

  • Obbligo di garantire misure di sicurezza adeguate per la protezione dei dati sanitari.
  • Necessità di nominare un Responsabile del Trattamento e, ove richiesto, un Responsabile della Protezione dei Dati (R.P.D.).
  • Definizione di tempi di conservazione dei dati in linea con le disposizioni nazionali e le esigenze sanitarie.

Questa normativa nazionale affianca il GDPR per assicurare una tutela completa e dettagliata dei dati personali in ambito sanitario, mantenendo un focus specifico sulla realtà italiana.

Avv. Chiarini per E-Health nov-dic 2019 - Privacy
Leggi l’articolo su e-Health “Privacy: come cambia il quadro normativo”

§ 4. Diritti dell’interessato nel trattamento dei dati sanitari

I pazienti, in quanto interessati, godono di una serie di diritti fondamentali che mirano a garantire trasparenza e controllo sul trattamento dei propri dati sanitari. Questi diritti sono stabiliti dal GDPR e dal Codice Privacy italiano e includono:

  • Diritto di accesso: l’interessato ha il diritto di ottenere la conferma che sia in corso o meno un trattamento dei suoi dati personali e, in tal caso, di accedere a tali dati. Questo permette al paziente di essere informato sulle finalità del trattamento, le categorie di dati trattati, i destinatari a cui questi dati sono stati o saranno comunicati, e il periodo di conservazione previsto.
  • Diritto di rettifica: se i dati personali risultano inesatti o incompleti, l’interessato ha il diritto di richiederne la correzione senza ritardo. Questo garantisce che le informazioni mediche siano sempre aggiornate e accurate, a beneficio della salute e del trattamento.
  • Diritto alla cancellazione: in specifiche circostanze, come ad esempio quando i dati non sono più necessari rispetto alle finalità per cui sono stati raccolti, l’interessato può richiedere la cancellazione dei propri dati. Questo diritto è tuttavia limitato in ambito sanitario, dove i dati devono essere conservati nel rispetto delle leggi vigenti sulla documentazione sanitaria.
  • Diritto alla limitazione del trattamento: l’interessato può richiedere che il trattamento dei dati sia limitato in certe situazioni, ad esempio durante la verifica dell’accuratezza dei dati o quando il trattamento è illecito ma l’interessato si oppone alla cancellazione dei dati.
  • Diritto alla portabilità dei dati: l’interessato ha il diritto di ricevere i dati personali in un formato strutturato, di uso comune e leggibile da un dispositivo automatico, e di trasmetterli a un altro titolare del trattamento senza impedimenti.
  • Diritto di opposizione: in alcuni casi specifici, come il trattamento dei dati per finalità diverse dalla cura medica o per scopi di marketing, l’interessato ha il diritto di opporsi al trattamento dei propri dati personali.

I professionisti e le strutture sanitarie devono garantire che i pazienti siano sempre consapevoli di come i loro dati vengono gestiti, rispettando i loro diritti e fornendo tutte le informazioni necessarie in modo chiaro e trasparente.

§ 5. Violazione dei dati sanitari: cosa significa e quali sono le conseguenze

Le violazioni dei dati sanitari possono assumere diverse forme, ma tutte hanno in comune l’accesso non autorizzato o l’uso improprio delle informazioni relative alla salute dei pazienti. Queste violazioni possono verificarsi, ad esempio, quando:

  • Le informazioni vengono divulgate accidentalmente a terzi non autorizzati.
  • I dati sanitari sono utilizzati per scopi diversi da quelli dichiarati e senza il consenso dell’interessato.
  • Si verificano attacchi informatici, dove hacker possono accedere illegalmente ai sistemi delle strutture sanitarie per rubare o manomettere i dati.

Le conseguenze di tali violazioni non si limitano solo alla perdita di riservatezza per i pazienti, ma possono anche portare a gravi ripercussioni legali e finanziarie per le strutture sanitarie. 

Le violazioni dei dati sanitari, come gli attacchi hacker o la divulgazione non autorizzata di informazioni sensibili, rappresentano una minaccia crescente. Negli ultimi anni, abbiamo assistito a numerosi casi di data breach che hanno coinvolto strutture sanitarie italiane, mettendo a rischio milioni di dati personali.

Un esempio rilevante è il caso dell’attacco ransomware subito dall’AUSL di Modena, che ha sollevato questioni importanti sull’adeguatezza delle misure di sicurezza adottate dalle strutture sanitarie. La giurisprudenza, esaminando casi come questo e altri episodi significativi, ha tracciato un percorso chiaro per quanto riguarda le responsabilità delle strutture sanitarie e i diritti dei pazienti al risarcimento.

§ 6. Come proteggere i tuoi diritti in caso di violazione dei dati sanitari

Le violazioni dei dati sanitari non sono solo una questione di legge; rappresentano anche una situazione in cui informazioni profondamente personali e delicate vengono esposte. Le conseguenze, quindi, possono andare ben oltre l’aspetto legale, toccando la sfera intima e la fiducia dell’interessato.

Chi si trova ad affrontare una situazione del genere, con i propri dati esposti o utilizzati impropriamente, ha diritto a chiedere un risarcimento e a vedere riconosciuti i propri diritti. Lo Studio Legale Chiarini, specializzato in diritto sanitario,  si occupa proprio di queste situazioni, offrendo un supporto attento e dedicato per affrontare le implicazioni legali e garantire che chi ha subito un torto possa trovare una soluzione concreta e giusta.

§ 7. Risorse & approfondimenti sul trattamento dei dati sanitari

Avv. Gabriele Chiarini per Italia Oggi - Privacy in Sanità & sicurezza delle cure
Su “Italia Oggi” ed “AssiNews” l’intervento dell’Avv. Chiarini su privacy & sanità
io donna corriere della sera gabriele chiarini privacy sanità
Leggi anche l’articolo di Io Donna, il femminile del Corriere della Sera, intitolato “Privacy nella sanità: le nuove regole”.