I dati sanitari dei pazienti sono dei beni da proteggere in maniera particolare, e la violazione della normativa sulla loro tutela rappresenta un grosso rischio per il professionista sanitario, che rischia di essere sanzionato dall’Autorità Garante con cifre milionarie.
Leggi anche
I dati sanitari
L’attività sanitario implica, inevitabilmente, la gestione dei dati personali dei pazienti, attività estremamente delicata dalla quale possono derivare responsabilità e sanzioni per il medico.
La normativa vigente, rappresentata dal Regolamento Europeo sulla Protezione dei Dati (GDPR) definisce come dato personale qualsiasi informazione relativa a una persona fisica identificata o identificabile. Questa definizione abbraccia elementi quali il nome, il codice fiscale, l'indirizzo, e persino l'indirizzo IP, poiché tutti questi dati possono essere utilizzati per identificare in modo univoco un individuo.
Le particolari categorie di dati personali
Il GDPR al suo interno contiene una elencazione di particolari categorie di dati personali, considerati maggiormente delicati e bisognosi di una ulteriore protezione. All’interno di queste categorie troviamo i dati riguardanti la razza o l’etnia, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, i dati genetici e biometrici, i dati relativi alla salute e quelli sulla vita sessuale o sull'orientamento sessuale. In un contesto sanitario, è di fondamentale importanza comprendere che per queste categorie speciali di dati è applicato un trattamento distintivo.
Il GDPR fornisce agli operatori del settore la definizione di alcune tra queste particolari tipologie di dati:
- i dati genetici: si riferiscono alle caratteristiche genetiche di una persona, ottenute da analisi di campioni biologici;
-i dati biometrici: sono quelli ottenuti da caratteristiche fisiche, fisiologiche o comportamentali che consentono l'identificazione univoca, come l'immagine del volto o l'impronta digitale;
-i dati sulla salute: riguardano la salute fisica o mentale di una persona, inclusi i servizi di assistenza sanitaria e le informazioni sullo stato di salute.
Il principio generale sotteso a questi dati, maggiormente bisognosi di protezione rispetto a quelli personali, stabilisce che il loro trattamento è vietato, salvo alcune eccezioni. Nel contesto della salute, due elementi chiave emergono come possibili basi per il trattamento di tali dati delicati:
- il consenso esplicito del paziente,
- i motivi di interesse pubblico rilevante.
Il trattamento di dati relativi alla salute, genetici, biometrici, sulla vita sessuale e sull’orientamento sessuale dei pazienti, in ambito medico, può perciò avvenire solo dietro prestazione esplicita di un consenso informato da parte del paziente, oppure per motivi di interesse pubblico rilevante (ad esempio una pandemia).
I principi da rispettare
Il medico, nell’occuparsi del trattamento dei dati personali dei propri pazienti e scongiurare ogni possibile ricorso al Garante della Privacy, deve attenersi scrupolosamente ai principi generali stabiliti dal GDPR:
-Liceità, correttezza e trasparenza - i dati devono essere trattati in modo legale, corretto e trasparente nei confronti del cliente;
-limitazione della finalità - i dati devono essere raccolti solo per scopi specifici, legittimi e successivamente trattati in modo coerente con tali scopi;
-minimizzazione dei dati - i dati raccolti devono essere adeguati, pertinenti e limitati a quanto necessario rispetto agli scopi del trattamento;
-esattezza - dati devono essere accurati e aggiornati o modificati quando necessario, al verificarsi un loro cambiamento;
-limitazione della conservazione - i dati devono essere conservati solo per un periodo limitato, non oltre quanto necessario per gli scopi del trattamento;
-integrità e riservatezza - deve essere garantita la sicurezza dei dati con misure tecniche e organizzative adeguate a prevenire accessi non autorizzati o perdite;
-responsabilizzazione - il titolare del trattamento deve essere in grado di dimostrare la conformità ai suddetti principi.
Leggi anche
Le sanzioni per violazioni del GDPR: cosa rischia il medico
Il Regolamento Europeo sulla protezione dei dati personali stabilisce il principio per cui un'efficace protezione dei dati personali in tutta l'Unione presuppone il rafforzamento e la disciplina dettagliata dei diritti degli interessati e degli obblighi di coloro che effettuano e determinano il trattamento dei dati personali, nonché poteri equivalenti per controllare e assicurare il rispetto delle norme di protezione dei dati personali e sanzioni equivalenti per le violazioni negli Stati membri.
La norma di riferimento è l’articolo 83 del GDPR, che fissa i principi generali che ogni Autorità Garante per la Privacy europea deve seguire per la comminazione di sanzioni in caso di violazioni del GDPR.
Le sanzioni, secondo i principi generali fissati dalla normativa europea, devono essere effettive, proporzionate alla violazione e dissuasive, in modo da scongiurare l’eventuale reiterazione della condotta da parte dei cittadini.
Le sanzioni sono di natura pecuniaria, e vengono comminate all’esito di un procedimento innanzi all’Autorità Garante unitamente alle misure correttive che la stessa ha il potere di indicare per sanare, a livello pratico, la situazione lesiva dei dati personali di un soggetto.
I parametri
L’Autorità Garante per la Privacy, al momento di decidere se infliggere una sanzione amministrativa pecuniaria e di fissare l'ammontare della stessa in ogni singolo caso, deve tenere conto dei seguenti parametri:
- la natura, la gravità e la durata della violazione tenendo in considerazione la natura, l'oggetto o a finalità del trattamento in questione nonché il numero di interessati lesi dal danno e il livello del danno da essi subito;
- il carattere doloso o colposo della violazione;
- le misure adottate dal titolare del trattamento o dal responsabile del trattamento per attenuare il danno subito dagli interessati;
- il grado di responsabilità del titolare del trattamento o del responsabile del trattamento tenendo conto delle misure tecniche e organizzative da essi messe in atto ai sensi degli articoli 25 e 32;
- eventuali precedenti violazioni pertinenti commesse dal titolare del trattamento o dal responsabile del trattamento;
- il grado di cooperazione con l'autorità di controllo al fine di porre rimedio alla violazione e attenuarne i possibili effetti negativi;
- le categorie di dati personali interessate dalla violazione;
- la maniera in cui l'autorità di controllo ha preso conoscenza della violazione, in particolare se e in che misura il titolare del trattamento o il responsabile del trattamento ha notificato la violazione;
- qualora siano stati precedentemente disposti provvedimenti correttivi della violazione (ad esempio la cancellazione o la correzione dei dati) nei confronti del titolare del trattamento o del responsabile del trattamento in questione relativamente allo stesso oggetto, il rispetto di tali provvedimenti;
- l'adesione ai codici di condotta sulla gestione dei dati personali eventualmente approvati dal soggetto sanzionato ovvero ai meccanismi di certificazione approvati;
- eventuali altri fattori aggravanti o attenuanti applicabili alle circostanze del caso, ad esempio i benefici finanziari conseguiti o le perdite evitate, direttamente o indirettamente, quale conseguenza della violazione.
Le plurime violazioni del GDPR
Nel caso in cui il soggetto commetta plurime violazioni del GDPR, la sanzione comminata non potrà superare, in totale, l’importo specificato per la violazione più grave.
- Il medico è soggetto a una sanzione amministrativa pecuniaria fino a 10.000.000,00 euro o – per le imprese (ad esempio una clinica privata) fino al 2% del fatturato mondiale totale annuo dell’esercizio precedente, se superiore, nell’ipotesi in cui commetta violi le norme relative:
- alla raccolta del consenso dei soggetti minorenni,
- al trattamento di dati personali nel caso in cui non è richiesta l’identificazione del soggetto,
- alla predisposizione di misure tecniche organizzative adeguate a proteggere i dati personali,
- alla nomina del responsabile del trattamento quando previsto,
- alla cooperazione con l’Autorità Garante della Privacy,
- all’adozione dei criteri per garantire la sicurezza dei dati fissati dall’art. 32 GDPR,
- alla notifica di una violazione dei dati personali all’Autorità Garante,
- alla comunicazione di una violazione dei dati personali all’interessato,
- alla valutazione d’impatto sulla protezione dei dati e attività connesse,
- alla designazione del responsabile della protezione dei dati quando necessario, violazione dei propri doveri da parte del responsabile della protezione dati
L’ammontare della sanzione amministrativa aumenta in maniera esponenziale, fino a € 20.000.000 oppure, per le imprese, fino al 4% del fatturato mondiale totale annuo dell'esercizio precedente, se superiore, nell’ipotesi di violazione:
dei principi di base del trattamento, comprese le condizioni relative al consenso,
dei diritti degli interessati (informazione, accesso, rettifica, revoca consenso, opposizione, oblio, opposizione al trattamento automatizzato);
delle disposizioni sui trasferimenti di dati personali a un destinatario in un paese terzo o un'organizzazione internazionale;
di qualunque ulteriore normativa adottata all’interno dello stato membro in cui si opera,
di disapplicazione o inosservanza di un ordine dell’Autorità Garante per la Privacy ovvero di una limitazione (provvisoria o definitiva) di trattamento dati emessa dalla medesima Autorità.
Un’adeguata formazione del professionista sanitario e del personale addetto al trattamento dei dati dei pazienti è essenziale per evitare di incorrere in queste sanzioni, che purtroppo sono all’ordine del giorno: Consulcesi è a Tua disposizione per assisterTi passo dopo passo nella redazione delle informative e nella formazione specialistica in materia di privacy sanitaria.