Il consenso al trattamento dei dati? Se la finalità è la cura, non serve più il consenso, anche se comunque resta l’obbligo di spiegare al paziente quale uso viene fatto delle informazioni personali. Il Dpo, ossia il Responsabile della protezione dei dati? Sono tenuti alla nomina soltanto gli operatori pubblici e quei privati che effettuano trattamenti di dati sanitari su larga scala come le case di cura, non le farmacie. In materia di Gdpr, il Regolamento europeo sulla protezione dei dati in vigore da circa un anno, arrivano dall’Autorità garante per la privacy chiarimenti che non possono non piacere alle farmacie. Perché snelliscono le incombenze che ricadono sugli esercizi dalla croce verde e ne confermano l’esclusione da alcune delle disposizioni più controverse del Gdpr. Le indicazioni risalgono a un provvedimento del 7 marzo scorso ma ieri un articolo pubblicato sulla newsletter del Garante riprende quelle disposizioni e le espone in forma decisamente più discorsiva.
Partiamo dal consenso informato: il professionista sanitario che è soggetto al segreto professionale, scrive l’Authority, «non deve più richiedere il consenso per i trattamenti di dati necessari alla prestazione sanitaria». Permane invece l’obbligo quando il trattamento dei dati riguarda il Fascicolo sanitario elettronico oppure la consultazione dei referti online. Consenso indispensabile anche quando «i trattamenti non sono strettamente legati a finalità di cura», come nel caso in cui si utilizzino app mediche (escluse quelle per la telemedicina) oppure sistemi di fidelizzazione della clientela (il Garante cita esplicitamente farmacie e parafarmacie) oppure per finalità promozionali, commerciali o elettorali.
Rimane anche l’obbligo dell’informativa agli interessati, che – prescrive il Garante – dev’essere «concisa, trasparente, intelligibile e facilmente accessibile, scritta con linguaggio semplice e chiaro». Rispetto al modello pre-Gdpr, è l’avvertimento, l’informativa «deve contenere maggiori informazioni a tutela dell’interessato quali, per esempio, i tempi di conservazione dei dati».
Il Garante dedica una sezione anche al Responsabile per la protezione dei dati (Dpo, nell’acronimo inglese). Sono obbligati a nominarlo, scrive l’Authority, «tutti gli organismi pubblici, nonché gli operatori privati che effettuano trattamenti di dati sanitari su larga scala, quali le case di cura. Non sono invece tenuti alla sua nomina i liberi professionisti o altri soggetti, come le farmacie, che non effettuano trattamenti su larga scala». Infine, tutti gli operatori sanitari sono tenuti a dotarsi di un registro nel quale elencare le attività di trattamento effettuate sui dati dei pazienti. Tale documento, ricorda il Garante, rappresenta «un elemento essenziale anche per dimostrare il rispetto del principio di responsabilizzazione (accountability) enunciato dal Gdpr».