GDPR in ambito sanitario

Sempre in ottica di favorire un’interpretazione uniforme del nuovo Regolamento Europeo in materia di Privacy, introdotto lo scorso 25 maggio, chiariamo alcune novità introdotte per il settore sanitario!

Responsabilità del professionista sanitario

Il professionista sanitario soggetto al segreto professionale (ad esempio, il medico) non deve più richiedere il consenso per i trattamenti di dati necessari alla prestazione sanitaria.

Deve invece essere sempre richiesto il consenso (o una differente base giuridica) per il trattamento di dati che non sono strettamente necessari alle finalità di cura. È questo il caso di dati sulla salute ottenuti per:

  • l’utilizzo di app mediche (ad eccezione di quelle per la telemedicina);
  • la fidelizzazione della clientela (ad esempio in farmacie e parafarmacie);
  • finalità promozionali, commerciali o elettorali.

È altresì necessario acquisire il consenso per il trattamento dei dati relativo al fascicolo sanitario elettronico, o per la consultazione dei referti online.

Informativa per l’utente

L’informativa da fornire agli interessati deve essere concisa, trasparente, intelligibile e facilmente accessibile, scritta con linguaggio semplice e chiaro.

Rispetto al modello pre-GDPR, essa deve contenere maggiori informazioni a tutela dell’interessato. Ad esempio, le informazioni relative ai tempi di conservazione dei dati (che se non sono specificati dalla normativa di settore, dovranno essere individuati dal titolare – il medico specialista o l’ospedale stesso).

Nomina del Data Protection Officer

Il Data Protecion Officer (DPO nella sigla inglese, RPD – Responsabile per la Protezione dei Dati, in italiano) è il consulente che affianca il titolare nella gestione delle problematiche legate al trattamento dei dati personali all’interno di aziende pubbliche e private.

Scopri di più su questa figura >

Sono tenuti alla nomina del RPD:

  • tutti gli organismi pubblici;
  • gli operatori privati che effettuano trattamenti di dati sanitari su larga scala (come, ad esempio, le case di cura).

Non sono invece tenuti a nominare un RPD:

  • i liberi  professionisti;
  • altri soggetti che non effettuano trattamenti su larga scala (come, ad esempio, le farmacie).

Il registro delle attività di trattamento

Tutti gli operatori sanitari hanno il dovere di tenere un registro nel quale elencare le attività di trattamento effettuate sui dati dei pazienti. Tale documento rappresenta un elemento essenziale per:

  • la gestione trattamenti;
  • l’efficace individuazione dei trattamenti a maggior rischio;
  • dimostrare il rispetto del principio di responsabilizzazione (accountability), previsto dal GDPR.

Hai dubbi o necessiti di una consulenza specifica? Scrivi a info@spazio88.com o chiama i nostri uffici al numero  011 4337431! Saremo felici di aiutarti.