Il Registro delle Attività di Trattamento nelle strutture sanitarie: tra obbligo di legge e opportunità

* di Mattia Guido Pignatti Morano di Custoza

L’entrata in vigore del Regolamento Generale sulla Protezione dei Dati (GDPR, Regolamento UE 2016/679) ha imposto una significativa trasformazione nelle pratiche di gestione dei dati personali, con impatti particolarmente rilevanti per le strutture sanitarie, impegnate quotidianamente a trattare informazioni estremamente delicate riguardanti i propri pazienti. In quest’ottica, assumono un’importanza fondamentale due norme del GDPR: l’art. 9, che regola il trattamento di dati personali appartenenti a categorie particolari, tra i quali rivestono un’importanza fondamentale quelli relativi alla salute, e l’art. 30, che stabilisce l’obbligo di redigere e mantenere un registro delle attività di trattamento dei dati personali. Di seguito verrà dunque esaminato il contesto normativo europeo, anche alla luce dei provvedimenti del Garante per la Protezione dei Dati Personali, per valutare le opportunità strategiche che derivano dalla corretta gestione del registro delle attività di trattamento nelle strutture sanitarie.

  1. Analisi del contesto normativo – Articoli 9 e 30 del GDPR

1.1 Art. 9 GDPR: Trattamento di Categorie Particolari di Dati Personali

L’art. 9 del GDPR stabilisce norme specifiche per il trattamento di “categorie particolari di dati personali”, per tali intendendosi dati che rivelano l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l’appartenenza sindacale, e si estendono anche ai dati genetici, biometrici e relativi alla salute, oltre ai dati sulla vita sessuale o l’orientamento sessuale del soggetto interessato.

Il primo paragrafo dell’articolo in parola impone un generale divieto di trattamento di tali categorie di dati, mentre, ai paragrafi successivi, sono previste specifiche eccezioni che, a determinate condizioni, ne consentono il trattamento.

Una di queste eccezioni, particolarmente rilevante per le strutture sanitarie, è contemplata al paragrafo 2, lettera h), che consente il trattamento di dati relativi alla salute per finalità di medicina preventiva, diagnosi medica, erogazione di cure o trattamenti sanitari, oppure per la gestione di servizi sanitari. Superando l’eccessivo rigore dell’art. 26 del D.lgs. 196/2003 (Codice privacy), il paragrafo terzo della norma in commento non richiede il consenso esplicito del paziente per il trattamento di tali categorie di dati da parte di professionisti legalmente tenuti al segreto professionale, oppure da parte di soggetti operanti sotto la loro responsabilità.

A tale proposito, si segnala che il Garante per la Protezione dei Dati Personali, con provvedimento del 7 marzo 2019[1], ha avuto modo di specificare che il professionista sanitario non è più soggetto all’obbligo di richiedere il consenso del paziente-interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) oppure all’interno di una struttura pubblica o privata.

Nel provvedimento sopra richiamato, il Garante ha altresì precisato che i trattamenti delle categorie particolari di dati attinenti solamente in senso lato alla cura, ma non strettamente necessari, richiedono – anche se effettuati da professionisti della sanità – una base giuridica distinta, che può essere il consenso dell’interessato o un altro presupposto di liceità, così come individuati dagli artt. 6 e 9, par. 2, GDPR. Il Garante per la Protezione dei Dati Personali ha poi identificato specifiche situazioni in ambito sanitario dove il consenso esplicito dell’interessato è necessario, secondo l’art. 9, par. 2, lett. a) del Regolamento, in particolare:

  1. Per trattamenti che coinvolgono l’uso di app mediche, mediante le quali i titolari autonomi (liberi professionisti o strutture sanitarie) raccolgono dati personali relativi alla salute dell’interessato per finalità non strettamente legate alla telemedicina, oppure in situazione in cui, a prescindere dalla finalità di trattamento, i dati sanitari possono essere accessibili anche a individui al di fuori del personale sanitario soggetto al segreto professionale.
  2. Nei casi di trattamenti mirati alla fidelizzazione della clientela da parte delle farmacie, sia pubbliche che private, come nei programmi di accumulo punti per ottenere servizi aggiuntivi rispetto all’assistenza farmaceutica abituale.
  3. Quando persone giuridiche private nel settore sanitario effettuano trattamenti per finalità promozionali o commerciali, come le campagne per programmi di screening o la fornitura di servizi amministrativi correlati alla degenza.
  4. Per trattamenti condotti da professionisti sanitari per scopi commerciali o elettorali, come specificato nel provvedimento del Garante 6 marzo 2014.
  5. Nell’utilizzo del Fascicolo sanitario elettronico, dove il consenso è richiesto dalle normative settoriali in vigore prima del GDPR, e ora espressamente richiamate dall’art. 75 del Codice Privacy (lgs. 196/2003).

Per quanto riguarda i trattamenti eseguiti tramite il Dossier sanitario, le Linee guida pre-GDPR richiedono il consenso, e sarà compito del Garante definire, sulla base dell’art. 2-septies del Codice Privacy, quali trattamenti possano essere effettuati senza il consenso dell’interessato, in linea con l’art. 9, par. 2, lett. h) del GDPR.

Infine, nel provvedimento di chiarimento del 7 marzo 2019, il Garante ha altresì specificato per la refertazione online, il consenso del paziente-interessato è necessario come stabilito dalle disposizioni settoriali relative alle modalità di consegna del referto (cfr. Decreto Presidente del Consiglio dei Ministri 8 agosto 2013, art. 5).

In definitiva, come si evince dalla sintetica analisi dell’art. 9 del GDPR fin qui esposta, si ritiene che, attraverso l’introduzione di questo articolo, il Legislatore Europeo abbia inteso creare un equilibrio tra la necessità di proteggere i dati personali di natura sensibile e la possibilità di trattarli per motivi di rilevante interesse pubblico, come in ambito sanitario o di ricerca. Questo articolo stabilisce infatti un quadro normativo che concilia la tutela dei diritti e delle libertà fondamentali delle persone, specialmente per quanto concerne la privacy e la sicurezza dei dati, con l’esigenza di utilizzare tali informazioni per finalità legittime e cruciali.

1.2 Art. 30 GDPR: il Registro delle Attività di Trattamento – focus sulle strutture sanitarie

L’articolo 30 del GDPR stabilisce che sia i Titolari che i Responsabili del trattamento sono tenuti a mantenere un registro delle attività di trattamento svolte sotto la loro responsabilità. Il registro delineato dal GDPR è più dettagliato rispetto ai documenti che risultavano necessari in base alla normativa precedente (cfr. Documento programmatico sulla sicurezza previsto nel Codice Privacy, abrogato con il D.L. 9 febbraio 2012, n. 5), in quanto richiede anche informazioni sui terzi riceventi i dati personali in qualità di Responsabili del trattamento e sui tempi di conservazione dei dati. Si tratta dunque di uno strumento di responsabilizzazione che mira a garantire trasparenza e conformità al GDPR, facilitando il controllo ex post da parte delle autorità di controllo sul rispetto della normativa (articolo 30, par. 4 del GDPR)​​.

L’articolo in commento impone un generale obbligo di tenuta del registro dei trattamenti, anche se, al paragrafo 5, è introdotta un’importante deroga a tale per tutte le imprese e le organizzazioni che hanno meno di 250 dipendenti. Questa deroga ha però una portata limitata e si applica solo se il trattamento dei dati personali non presenta un rischio per i diritti e le libertà dell’interessato, se è occasionale, o non include il trattamento di categorie particolari di dati di cui all’art. 9 del GDPR oppure o di dati personali relativi a condanne penali e reati di cui all’art. 10 del GDPR. È importante notare le condizioni sopra esposte non devono essere intese in senso cumulativo, ma alternativo. Ciò significa che la presenza di anche una sola di queste condizioni implica l’obbligo per il titolare e per il responsabile del trattamento di istituire e di mantenere il registro​​.

Nel contesto sanitario, il Provvedimento del Garante per la Protezione dei Dati Personali già menzionato (7 marzo 2019) ha sottolineato l’importanza dell’obbligo di mantenere un registro delle attività di trattamento. Anche  il  Garante, infatti, sottolinea il fatto che le eccezioni previste dal paragrafo 5 dell’Art. 30 sono da ritenersi alternative e non cumulative. Di conseguenza, la non applicabilità di anche uno solo di questi criteri esclude la struttura sanitaria dall’esenzione.

In virtù di queste considerazioni, il Provvedimento del Garante stabilisce che la maggior parte delle figure professionali nel settore sanitario sono tenute a mantenere il registro. Questo include i professionisti sanitari che operano in libera professione, i medici di medicina generale e i pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le residenze sanitarie assistenziali (RSA), le aziende sanitarie del Servizio Sanitario Nazionale (SSN), così come le farmacie, le parafarmacie e le aziende ortopediche. Questa disposizione riflette il riconoscimento del registro delle attività di trattamento come uno strumento cruciale per l’accountability e la gestione del rischio, soprattutto in un ambito delicato come quello sanitario, dove il trattamento dei dati personali è una pratica quotidiana e fondamentale.

Per quanto attiene al contenuto del registro, viene in rilievo il paragrafo 1 dell’art. 30 GDPR, ai sensi del quale, il registro deve includere le seguenti indicazioni specifiche: il nome e i dati di contatto del Titolare del trattamento e, ove applicabile, del Contitolare del trattamento, del Rappresentante del titolare del trattamento e del Responsabile della protezione dei dati; le finalità del trattamento; una descrizione delle categorie di interessati e dei dati personali trattati; le categorie di destinatari dei dati; eventuali trasferimenti di dati personali verso paesi terzi o organizzazioni internazionali e una descrizione generale delle misure di sicurezza tecniche e organizzative adottate.

Con specifico riferimento alle strutture sanitarie, la tenuta del registro del trattamento implica una documentazione dettagliata e specifica, data la natura sensibile dei dati trattati. Di seguito si forniscono alcuni esempi delle informazioni che le strutture sanitarie potrebbero inserire nel proprio registro delle attività di trattamento:

  • Finalità del trattamento: somministrazione di cure ed esecuzione di interventi medici, gestione delle prescrizioni, coordinamento delle dure multidisciplinari, monitoraggio della salute dei pazienti, gestione delle cartelle cliniche dei pazienti, programmazione degli appuntamenti o la conduzione di ricerche mediche, gestione delle emergenze sanitarie, formazione del personale sanitario, pianificazione e amministrazione delle risorse sanitarie, oltre a tutte le altre finalità amministrative e contabili tipiche di un’azienda.
  • Categorie di dati trattati: oltre ai dati comuni categorie, è fondamentale riportare anche le categorie particolari di dati personali ex art. 9 GDPR.
  • Categorie di destinatari: questa informazione potrebbe includere altre strutture sanitarie, altri professionisti, assicurazioni, laboratori di analisi e diagnostica, enti di ricerca, Autorità Giudiziarie e Forze dell’Ordine, fornitori di servizi informatici.
  • Trasferimenti di dati verso Paesi Terzi: qualora i dati vengano trasferiti fuori dall’UE, le strutture sanitarie devono documentare tali trasferimenti, indicando i paesi destinatari e le garanzie adottate per il rispetto delle prerogative imposte dal GDPR.
  • Termini di conservazione dei dati: è fondamentale che le strutture sanitarie stabiliscano e documentino i periodi di conservazione dei dati sanitari, conformemente ai requisiti legali e alle migliori pratiche del settore.
  • Misure di sicurezza: le strutture sanitarie devono descrivere le misure tecniche e organizzative adottate per proteggere i dati trattati, come la crittografia dei dati, i controlli di accesso e le procedure di risposta in caso di violazione dei dati.

È fondamentale che le strutture sanitarie indichino con precisione tutte le informazioni sopra menzionate. Questa accuratezza si può ottenere solamente mediante il coinvolgendo di tutti i dipendenti e dei fornitori che si occupano del trattamento dei dati personali, i quali devono essere consapevoli del proprio ruolo nella gestione dei dati personali. Ciò contribuisce a garantire che il registro sia un riflesso accurato e aggiornato di tutte le attività di trattamento. La collaborazione e la consapevolezza collettiva all’interno della struttura sono essenziali per mantenere l’integrità e la sicurezza dei dati dei pazienti, assicurando contemporaneamente che la struttura sanitaria aderisca scrupolosamente alle normative del GDPR.

Il registro delle attività di trattamento, anche secondo l’interpretazione del Garante, è un documento dinamico che richiede aggiornamenti costanti per assicurare che rifletta accuratamente le pratiche di trattamento attuali del titolare o del responsabile. Anche se il GDPR non specifica procedure dettagliate per l’aggiornamento del registro, è essenziale implementare un sistema interno che segnali tempestivamente qualsiasi modifica nei processi di trattamento dei dati. Secondo le linee guida fornite dal Garante, è consigliabile indicare nel registro sia la data di creazione iniziale che quella degli aggiornamenti successivi. A tal fine, si consiglia di adottare un metodo di versioning, come quello disponibile nei programmi di elaborazione testi o nei fogli di calcolo, per conservare un registro storico dei trattamenti, facilitando così la documentazione di eventuali attività di trattamento concluse.

Il registro può essere compilato e conservato sia in formato cartaceo che elettronico, a seconda delle esigenze specifiche dell’organizzazione. La scelta tra un documento testuale, un foglio di calcolo o un software dedicato dovrebbe essere basata su criteri come l’ampiezza dei dati gestiti, il numero di soggetti coinvolti nel trattamento, e la complessità delle operazioni di trattamento. Questa flessibilità consente di adattare il registro alla struttura e alle pratiche operative del titolare o del responsabile del trattamento.

 

  1. Il Registro delle Attività di Trattamento nelle strutture sanitarie – obbligo di legge e opportunità

Il registro delle attività di trattamento, la cui redazione è imposta dall’art. 30 del GDPR, rappresenta non solo un requisito legale per le strutture sanitarie, ma anche una significativa opportunità per una gestione efficiente di tutta la documentazione relativa alla privacy, quali informative, Valutazioni d’Impatto sulla Protezione dei Dati (DPIA), nomine dei responsabili del trattamento e regolamentazione dei flussi di dati da e verso i soggetti terzi. Il registro, infatti, se ben strutturato e regolarmente aggiornato, fornisce una panoramica dettagliata dei processi di trattamento dei dati, facilitando la gestione di tutti gli altri aspetti legati alla privacy.

Si sottolinea inoltre che, in caso di controlli da parte delle autorità Garante, il registro delle attività di trattamento è spesso il primo documento ad essere richiesto. Questo evidenzia ulteriormente la sua rilevanza come strumento di accountability e trasparenza, entrambi principi imposti dal GDPR ai titolari e ai responsabili del trattamento.

In definitiva, un registro dei trattamenti ben curato non solo rappresenta un indice significativo della conformità di una struttura sanitaria alle disposizioni del GDPR, ma è anche un chiaro segnale dell’impegno della struttura stessa nel corretto trattamento dei dati personali dei pazienti e nel rispetto dei loro diritti. In particolare, tenuto conto del considerevole aumento delle richieste di esercizio dei diritti garantiti dal GDPR da parte dei soggetti interessati, quest’ultimo aspetto è oggi divenuto fondamentale.

Oggi, infatti, la tutela dei dati personali si è evoluta oltre il semplice adempimento formale imposto dalla legge, trasformandosi in un ambito in cui i soggetti interessati hanno assunto un’elevata consapevolezza dei propri diritti. I pazienti e gli utenti dei servizi sanitari sono sempre più informati e attenti alla gestione delle loro informazioni personali, richiedendo trasparenza, sicurezza e rispetto nella loro elaborazione.

In questo contesto, il registro delle attività di trattamento assume un ruolo centrale, non solo come strumento di conformità normativa, ma anche come mezzo per costruire e mantenere la fiducia dei pazienti. Esso diventa un elemento chiave nella comunicazione della struttura sanitaria con i suoi pazienti, dimostrando che la protezione dei dati personali è una priorità assoluta e che ogni precauzione viene presa per garantire la loro sicurezza. Un registro accurato e aggiornato contribuisce a creare un ambiente in cui i pazienti si sentono sicuri e rispettati, rafforzando così il rapporto di fiducia con la struttura sanitaria e promuovendo una cultura della privacy e del rispetto dei dati personali.

https://www.garanteprivacy.it/home/docweb/-/docweb-display/docweb/9091942

*Avvocato, membro del Gruppo giuridico di EUNOMIS


Articoli correlati

CONGRESSO EUNOMIS del 24 settembre, il video della Prof.ssa Alessandra Spangaro

Pubblichiamo il video della Prof.ssa Alessandra Spangaro, Associata di Diritto Privato presso Università...

CONGRESSO NAZIONALE EUNOMIS

“Il diritto alla riservatezza di fronte alle esigenze scientifiche e della transizione digitale”....