Trattamento delle c.d. categorie particolari di dati
Provvedimento del Garante della Privacy n. 55 del 7 marzo 2019

16/10/2020
  • Condividi su:

A fronte dell’entrata in vigore del GDPR 2016/679 e del suo recepimento in Italia per mezzo del D.lgs. n. 101/2018, il Garante per la protezione dei dati personali ha fornito alcuni chiarimenti in tema di applicazione della disciplina di protezione dei dati personali in ambito sanitario.

In via generale, in conformità a quanto disposto dal primo comma dell’art. 9 GDPR, vige il divieto di trattamento di tutte quelle informazioni sensibili connesse alla dignità ed alla più intima personalità dell’interessato (ossia, a titolo esemplificativo, quelle idonee a rivelare l’origine razziale ed etnica, le opinioni politiche, le convinzioni religiose, oltre che lo stato di salute e l’orientamento sessuale del singolo). Tuttavia, in deroga a tale divieto generale, l’Autorità garante con il provvedimento in parola ha individuato i casi in cui i titolari del trattamento sono legittimati a raccogliere ed elaborare le cc.dd. “categorie particolari di dati” di cui all’art. 9 del GDPR.

A titolo esemplificativo, in ambito sanitario, le eccezioni al divieto generale afferiscono alle ipotesi di utilizzo dei dati personali raccolti per motivi di interesse pubblico nel settore della sanità pubblica sulla base del diritto dell’Unione o degli Stati membri, oltre che per finalità di cura.

A tal riguardo, il Garante ha chiarito che nel caso in cui le prestazioni sanitarie siano secondarie e non strettamente necessarie per le finalità di cura perseguite (tra cui, ad esempio, i trattamenti dei dati connessi all’impiego di App mediche per la raccolta dei dati sanitari, l’utilizzo delle informazioni dirette alla fidelizzazione della clientela, oltre che i trattamenti dei dati eseguiti tramite il Fascicolo sanitario elettronico), il consenso o gli altri presupposti di liceità divengono condizioni indispensabili al fine del corretto e lecito operato del titolare del trattamento, il quale, in ogni caso, è tenuto a garantire il pieno rispetto e la massima protezione della privacy dei pazienti.

Ulteriore profilo di indagine ha avuto ad oggetto le qualità e le modalità di comunicazione delle informazioni che i titolari ed i responsabili del trattamento sono tenuti a fornire al paziente. Sul punto, il Garante ha precisato che, in conformità a quanto disposto all’art. 5, par. 1, lett. a) GDPR, il titolare del trattamento, ossia l’operatore sanitario, dovrebbe dare sempre precedenza alla comunicazione delle informazioni concernenti l’utilizzo dei dati personali nell’ordinaria attività di erogazione delle prestazioni sanitarie, fornendo soltanto in un secondo momento le informazioni relative al trattamento dei dati operato nell’espletamento di attività accessorie ed integrative (es. utilizzo del Fascicolo sanitario elettronico).

Inoltre, in ottemperanza al principio di accountability, l’Autorità di controllo si è occupata della definizione del periodo di conservazione dei dati ricordando che, nel caso in cui il trattamento abbia ad oggetto informazioni sanitarie i cui tempi di conservazione non siano definiti in modo univoco dalle disposizioni normative, il titolare non può trattenere gli stessi per un arco di tempo superiore a quello necessario per il conseguimento delle finalità per le quali sono stati raccolti ed elaborati.

Contattaci

Richiedi informazioni

Compila il form con i tuoi dati per inviarci subito una richiesta, sarai ricontattato il prima possibile dal nostro staff.

I campi contrassegnati da * sono obbligatori.

  • Tel.: +39 035 246545
  • Email: studio@uggettimaccarone.it