IL GDPR IN SANITà

Trattamento dati sanitari, tra tutele ed esigenza di acquisizione del quadro sanitario del paziente

La pandemia ha fatto risaltare la necessità di acquisire e, spesso, condividere in ambito scientifico quante più informazioni possibili sui pazienti e sulla diffusione del virus, in modo da individuare le terapie più appropriate e adottare le misure sanitarie idonee a tutelare la popolazione. Esigenza che, però, sembra essere in contrasto con la normativa sulla protezione dei dati personali. Facciamo chiarezza

04 Ott 2022
C
Loreta Ciancio

Direttore f.f. UOC Medicina Interna Ospedale San Giovanni-Addolorata

R
Andrea Rossi

General Manager Sec.S.I. - Security Solutions for Innovation

I dati relativi alla salute sono sempre più al centro dell’attenzione per le implicazioni che possono sorgere a causa dalla loro diffusione inappropriata o dei limiti al loro utilizzo a seguito di attacchi ad una infrastruttura ITC e, soprattutto, del loro uso per accedere ad alcuni servizi di trasporto che hanno dovuto introdurre prescrizioni per contrastare la diffusione del virus Covid-19.

Proprio la pandemia in atto ha, però, fatto risaltare la necessità di acquisire e, spesso, condividere in ambito scientifico quante più informazioni possibili sui pazienti e sulla diffusione del virus, in modo da individuare le terapie più appropriate e adottare le misure sanitarie idonee a tutelare la popolazione.

Esigenze contrastanti che hanno prodotto una normativa articolata, il cui approfondimento interessa anche soggetti estranei all’ambito sanitario.

Privacy e dati sanitari: ecco la normativa italiana e UE e i principi che ne regolano il trattamento

Il trattamento dei dati sanitari e la nuova disciplina del consenso

I dati relativi alla salute sono una particolare tipologia di dati personali caratterizzata dall’essere “attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute” (art. 4 GDPR).

WHITEPAPER
GUIDA PRATICA contro il Phishing: scopri come tutelare la tua azienda!
CIO
Cybersecurity

Sono ricompresi nella più vasta categoria dei dati soggetti a trattamento speciale e tutela rafforzata (art. 9 GDPR), in quanto in grado di rivelare dettagli molto intimi della persona.

Di rilievo ai fini della definizione della tipologia è anche il Considerando 35, per il quale dovrebbero considerarsi dati relativi alla salute tutti i dati che rivelano informazioni sulla salute presente, passata o futura; sono ricomprese un numero, un simbolo o un elemento specifico ove attribuito a una persona fisica, nonché qualsiasi informazione relativa a malattie, disabilità, anamnesi medica, trattamenti clinici.

Il trattamento di dati personali in ambito sanitario è regolamentato dagli artt.2 sexies, 2 septies e 75 e ss. del codice privacy.

È opportuno sottolineare che, in ambito medico, l’osservanza delle disposizioni relative al trattamento dei dati rileva non solo ai fini dell’applicazione della disciplina di settore (Codice privacy/GDPR), ma anche del rispetto del Codice di deontologia medica, che, come vedremo più avanti, dedica all’argomento diversi articoli.

Uno dei settori su cui il GDPR ha inciso in maniera più significativa è proprio quello del trattamento dei dati sanitari: un primo elemento di estrema rilevanza è che non occorre più il consenso per il trattamento dei dati per finalità di diagnosi e cura.

Infatti, il Regolamento, se da una parte stabilisce un generale divieto di trattamenti dei dati relativi alla salute, elenca – nell’art. 9, par. 2, – una serie di eccezioni a tale divieto.

Per quanto rileva in questa sede, appaiono importanti le eccezioni di cui alle lettere g) h) e i) ed il successivo par 3.

Più esattamente, è ammesso il trattamento di dati relativi alla salute nei seguenti casi:

  1. motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri del Regolamento; tale interesse deve essere proporzionato alla finalità̀ perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. g; C55 e C56);
  2. finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (“finalità di cura”) sulla base del diritto dell’Unione/Stati membri o conformemente al contratto con un professionista della sanità, effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza (art. 9, par. 2, lett. h e par. 3; C.53);
  3. motivi di interesse pubblico nel settore della sanità pubblica (art. 9, par. 2, lett. i; C54), quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare).

Inoltre, il par. 3 stabilisce che l’attivazione della lett. h (trattamento per finalità di diagnosi e cura) è efficacie solo ove:

  1. i trattamenti sono effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale;
  2. i dati sono utilizzati esclusivamente per finalità connesse alla salute, per la supervisione del Sistema sanitario nazionale, per la ricerca e per motivi di interesse pubblico nel settore della sanità pubblica, per esempio in relazione a gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria, dei medicinali e dei dispositivi medici.

In merito all’applicazione della disciplina per il trattamento dei dati relativi alla salute, il Garante per la protezione dei dati personali, al fine di fugare una serie di dubbi interpretativi, ha precisato che, diversamente dal passato, “il professionista sanitario, soggetto al segreto professionale, non deve più richiedere il consenso del paziente per i trattamenti necessari alla prestazione sanitaria richiesta dall’interessato, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata”[1]. In definitiva, una volta che il cittadino ha deciso di sottoporsi ad una cura, non occorre il consenso al trattamento dei suoi dati a fini di cura e diagnosi[2].

Il GDPR prevede, inoltre, l’obbligo di istituire un registro delle attività di trattamento (30 del GDPR): si tratta di documento che ogni titolare del trattamento (cioè colui che determina le finalità e i mezzi del trattamento, ovvero il perché e il come del trattamento) e il responsabile del trattamento (cioè un terzo esterno all’azienda che tratta i dati personali per conto del titolare) sono tenuti a compilare per le attività di trattamento svolte sotto la propria responsabilità.

Tale registro deve contenere, per quanto riguarda il titolare, le seguenti informazioni:

  1. il nome e i dati di contatto del titolare del trattamento e, ove applicabile, del contitolare del trattamento, del rappresentante del titolare del trattamento e del responsabile della protezione dei dati;
  2. le finalità del trattamento;
  3. una descrizione delle categorie di interessati e delle categorie di dati personali;
  4. le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, compresi i destinatari di paesi terzi od organizzazioni internazionali;
  5. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’articolo 49, la documentazione delle garanzie adeguate;
  6. ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati;
  7. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, par 1 del GDPR.

Per quanto riguarda il responsabile, le informazioni che deve riportare il registro sono le seguenti:

  1. il nome e i dati di contatto del responsabile o dei responsabili del trattamento, di ogni titolare del trattamento per conto del quale agisce il responsabile del trattamento, del rappresentante del titolare del trattamento o del responsabile del trattamento e, ove applicabile, del responsabile della protezione dei dati;
  2. le categorie dei trattamenti effettuati per conto di ogni titolare del trattamento;
  3. ove applicabile, i trasferimenti di dati personali verso un paese terzo o un’organizzazione internazionale, compresa l’identificazione del paese terzo o dell’organizzazione internazionale e, per i trasferimenti di cui al secondo comma dell’art 49 GDPR, la documentazione delle garanzie adeguate;
  4. ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative di cui all’articolo 32, paragrafo 1 GDPR.

L’art 30 par. 5 del GDPR prevede delle eccezioni all’obbligo di compilare i citati registri, tuttavia proprio il trattamento di dati sanitari è uno dei casi in cui vige sempre l’obbligatorietà della loro adozione, anche quando l’impresa o l’organizzazione abbia meno di 250 dipendenti.

La privacy nel codice di deontologia medica

Anche il Codice di deontologia medica, come anticipato, dedica alcune previsioni al trattamento dei dati sanitari e, anzi, già nel giuramento inserito nella parte iniziale è previsto l’impegno “di rispettare il segreto professionale e di tutelare la riservatezza su tutto ciò che mi è confidato, che osservo o che ho osservato, inteso o intuito nella mia professione o in ragione del mio stato o ufficio”.

Più in dettaglio, l’art. 11 del codice, in relazione alla riservatezza dei dati personali, stabilisce che il medico acquisisce la titolarità del trattamento dei dati personali previo consenso informato dell’assistito o del suo rappresentante legale ed è tenuto al rispetto della riservatezza, in particolare dei dati inerenti alla salute e alla vita sessuale, mentre il successivo art 12 prescrive che il trattamento dei dati sensibili idonei a rivelare lo stato di salute della persona avvenga solo in presenza del consenso informato dell’assistito o del suo rappresentante legale nelle specifiche condizioni previste dall’ordinamento.

Un richiamo all’obbligo alla riservatezza è inserito anche nell’articolo 26 del codice deontologico in relazione alla redazione della cartella clinica, mentre il successivo art. 34 affronta il delicato problema dell’informazione e comunicazione a terzi, che può essere fornita previo consenso esplicitamente espresso dalla persona assistita, fatto salvo quanto previsto agli artt. 10 e 12, allorché sia in grave pericolo la salute o la vita del soggetto stesso o di altri.

In caso di paziente ricoverato, il medico raccoglie gli eventuali nominativi delle persone indicate dallo stesso a ricevere la comunicazione dei dati sensibili.

Neanche il tema dei trattamenti e accertamenti sanitari obbligatori può fare a meno di affrontare il problema della riservatezza ed infatti, al riguardo, l’art. 74 prescrive, quando prevista, la tutela dell’anonimato.

La parte più articolata per il trattamento dei dati sanitari è però quella in cui si affronta nel codice il tema dell’uso delle tecnologie informatiche ed, in questo particolare contesto, si afferma che il medico deve garantire l’acquisizione del consenso, la tutela della riservatezza, la pertinenza dei dati raccolti e, per quanto di propria competenza, la sicurezza delle tecniche (art.78 cod. deontologico); sicurezza da intendersi certamente come adozione di apparati e metodologie atti ad evitare illeciti trattamenti di dati personali, osservando i principi indicati dal GDPR (art 6 GDPR e data protection by default and by design).

Ulteriori più dettagliate prescrizioni sono illustrate nell’allegato all’art 78, in particolare il paragrafo 1 specifica che il medico deve acquisire il consenso al trattamento dei dati, garantire che i dati da lui raccolti siano coerenti con le finalità del trattamento stesso, nonché provvedere, per quanto di competenza, alla garanzia della pertinenza e veridicità dei dati raccolti, impegnandosi per la loro assoluta riservatezza. Inoltre. come precisato nel successivo paragrafo 3, si dovranno utilizzare sistemi affidabili e privilegiare i servizi (pubblici o privati) che consentano la creazione di un formato indipendente rispetto alla piattaforma, senza che sia impedito il riuso dell’informazione veicolata, assicurandone però la disponibilità, la riservatezza e le modalità di conservazione.

Esercenti una professione sanitaria e consenso al trattamento dati sanitari

I soggetti che possono trattare dati sanitari appartengono a due tipologie: organismi sanitari pubblici ed esercenti una professione sanitaria.

Il Servizio sanitario italiano è un sistema di welfare misto, con attori pubblici e privati; oltre agli organi governativi di livello centrale ed agli enti pubblici che operano sul territorio, sono presenti soggetti privati erogatori di prestazioni e servizi assistenziali, autorizzati dai soggetti istituzionali e professionisti convenzionati con il SSN, oltre naturalmente ai cittadini/pazienti. Sono questi in definitiva i soggetti che vengono in rilievo per il trattamento dei dati personali in ambito sanitario.

Gli esercenti una professione sanitaria, in base alle leggi vigenti, sono i seguenti:

  1. farmacista ex d.lgs. 258/1991;
  2. medico chirurgo ex d.lgs. 368/1999;
  3. odontoiatra ex l.409/1985;
  4. veterinario ex l. 750/1984;
  5. psicologo ex l. 56/1989;
  6. infermiere ex l. 905/1980;
  7. ostetrico ex l. 296/1985;
  8. infermiere pediatrico ex d.l. 70/1997;
  9. esercente professioni sanitarie riabilitative.

Come è stato opportunamente osservato,[3] sono esclusi l’operatore di interesse sanitario – di cui alle l. 403/1971 e l. 43/2006 – e altri ausiliari delle professioni sanitarie (ad es. massaggiatore, ottico, odontotecnico, puericultrice). Infatti, si tratta di persone che svolgono un’attività che ha rilevanza sanitaria, oppure di affiancamento, ma non costituiscono esse stesse attività sanitarie, pertanto potrebbero effettuare il trattamento se autorizzati dal titolare oppure su diversa base giuridica.

Vi sono poi trattamenti in ambito sanitario che, pur se collegati alla prestazione sanitaria, non rientrano nelle ipotesi sopra descritte e, quindi, richiedono il consenso esplicito dell’interessato, quali, a titolo esemplificativo, i trattamenti connessi a:

  1. utilizzo di app mediche (diverse da quelle direttamente funzionali al trattamento sanitario come nel caso della Telemedicina);
  2. fidelizzazione della clientela, effettuati dalle farmacie, per esempio, per offrire programmi di accumulo punti;
  3. finalità promozionali o commerciali fatti da persone giuridiche private (es. promozioni su programmi di screening);
  4. finalità commerciali o elettorali di professionisti sanitari.

Per l’estrazione di conoscenza da questi dati, alla luce delle caratteristiche elencate, sono però indispensabili tecnologie e metodi analitici specifici.

Il Fascicolo Sanitario Elettronico

Il Fascicolo Sanitario Elettronico (FSE)[4]ha come obiettivo il fornire ai Medici, e più in generale ai clinici, una visione globale e unificata dello stato di salute dei singoli cittadini e rappresenta il punto di aggregazione e di condivisione delle informazioni e dei documenti clinici afferenti al cittadino, generati dai vari attori del Sistema Sanitario. Esso contiene eventi sanitari e documenti di sintesi, organizzati secondo una struttura gerarchica paziente-centrica, che permette la navigazione fra i documenti clinici in modalità differenti a seconda del tipo di indagine”; è quindi lo strumento attraverso il quale “il cittadino può tracciare e consultare tutta la storia della propria vita sanitaria, condividendola con i professionisti sanitari per garantire un servizio più efficace ed efficiente. Le informazioni presenti nel Fascicolo del cittadino vengono fornite e gestite dalle singole Regioni”.

Si tratta, quindi, di uno strumento che riunisce i dati e i documenti (digitali o digitalizzati) di tipo sanitario e sociosanitario, relativi all’assistito, funzionale alla loro condivisione tra medici o organismi sanitari.

Come è stato opportunamente evidenziato, nel D.P.C.M. N.179 pubblicato il 15 settembre 2015, con il quale è stato emanato il regolamento definitivo in materia di FSE, si distingue tra elementi obbligatori e elementi integrativi del FSE: tra gli elementi obbligatori, elencati nell’articolo 2, rientrano i dati identificativi e amministrativi, i referti, i verbali di pronto soccorso, la lettera di dimissione, il patient summary, il dossier farmaceutico, il consenso o diniego alla donazione di organi o tessuti.

Altri elementi possono integrare quelli obbligatori in funzione delle scelte regionali in materia di politica sanitaria e del livello di digitalizzazione raggiunto (prescrizioni, prenotazioni, cartelle cliniche, bilanci di salute, i piani diagnostico –terapeutici ecc.)

Se queste sono le sue caratteristiche, è evidente che il Fascicolo Sanitario Elettronico contiene numerosissimi dati personali particolarmente sensibili perché di carattere sanitario, che devono quindi essere trattati alla luce delle prescrizioni vigenti in materia; anche dopo l’entrata in vigore del Regolamento europeo, che aveva esteso le ipotesi di basi giuridiche non consensuali e fino ad aprile 2020, il FSE poteva quindi essere alimentato esclusivamente sulla base del consenso libero e informato da parte dell’assistito, in quanto l’alimentazione del FSE potrebbe costituire un trattamento diverso e ulteriore rispetto a quello strettamente necessario per la cura del paziente.

L’art. 11 del decreto-legge n.34/2020 (cd. decreto “Rilancio”) ha poi abrogato il comma 3-bis dell’art 12 DL 179/12, che richiedeva il consenso dell’interessato per l’alimentazione del predetto fascicolo; a tal proposito è stato rilevato che “il Decreto Rilancio” prevede l’estensione delle tipologie di dati sanitari che possono essere inseriti all’interno del FSE, tra cui quelli relativi alle prestazioni fuori dal Servizio Sanitario Nazionale, permettendo, quindi, ai cittadini e ai medici curanti di poter accedere con maggior facilità alle informazioni tramite piattaforma.

Inoltre, l’abrogazione del comma 3-bis dell’articolo 11 del DL 179/12 permette il caricamento dei dati anche da parte delle strutture private e delle strutture fuori della propria Regione in assenza del consenso dell’assistito, anche se l’accesso ai dati in esso contenuti, raccolti con il nuovo regime, deve essere sempre autorizzato dall’interessato ed è sempre possibile per quest’ultimo manifestare l’opposizione all’inserimento dei propri dati personali nel Fascicolo sanitario elettronico.

Dopo alcuni provvedimenti delle Regioni in cui il FSE è stato attivato, (provvedimenti che ponevano una scadenza proprio al diritto di opposizione), il Garante ha ritenuto opportuno precisare che “una presunta scadenza … per manifestare l’eventuale opposizione all’inserimento dei propri dati personali nel Fascicolo sanitario elettronico (FSE) …è priva di qualsiasi fondamento normativo” e comunque, “anche a seguito di tale alimentazione automatica del FSE, i dati sanitari dei cittadini non saranno accessibili al personale sanitario in assenza di uno specifico consenso del singolo cittadino”.

Infatti, dall’entrata in vigore della normativa viene alimentato in modo automatico, però, come ribadito nella pagina web ufficiale del fascicolo Sanitario Elettronicol’assistito potrà, in qualunque momento, modificare le indicazioni in merito a chi può consultare il proprio Fascicolo e cosa può essere consultato, senza alcuna conseguenza per l’erogazione delle prestazioni erogate dal SSN e dai servizi socio‐sanitari. La revoca del consenso per la consultazione dei dati e dei documenti presenti nel Fascicolo disabilita l’accesso ai dati e ai documenti per i professionisti sanitari e socio‐sanitari precedentemente autorizzati”.

Per il periodo antecedente al maggio 2020, il Garante, con nota del 15 dicembre 2020 indirizzata al Ministero della salute[5], ha precisato che anche l’alimentazione del Fascicolo con tutti i dati delle prestazioni sanitarie effettuate antecedentemente è possibile solo a tre condizioni:

  1. avere proceduto a un’idonea campagna nazionale di informazione;
  2. avere puntualmente informato i cittadini delle Regioni interessate sulle novità relative all’alimentazione del Fascicolo;
  3. avere riconosciuto a questi ultimi, dal momento in cui sono stati informati, un termine non inferiore a 30 giorni per manifestare la propria eventuale opposizione.

Alla data della pubblicazione del comunicato stampa il Garante non ha ritenuto che le rigorose condizioni si siano realizzate, pertanto ha escluso che l’alimentazione del FSE non consensuale sia operativa per il periodo antecedente al maggio 2020.

Periodo di conservazione dei dati personali sanitari

Come noto, ai sensi dell’art. 13 par. 2 lett. a) e 14 par. 2 lett a) del GDPR il Titolare del trattamento, nel rendere l’informativa all’interessato, deve indicare anche il periodo di conservazione dei dati oppure, se ciò non è possibile, quali sono i criteri utilizzati per determinare tale periodo; si tratta quindi di una informazione che è necessario fornire prima che il trattamento abbia luogo.

In materia non sono state introdotte sostanziali modifiche dal Regolamento e rimane in vigore la normativa previgente.

I riferimenti normativi principali riguardano in realtà la conservazione presso le aziende sanitarie pubbliche dei documenti sanitari e non direttamente i dati sanitari, ma, ovviamente, i dati personali contenuti in quei documenti saranno conservati per lo stesso periodo temporale previsto per il documento.

In merito, si fa riferimento alle seguenti prescrizioni:

  1. la circolare del Ministero della sanità del 19 dicembre 1986 n. 900;
  2. l’articolo 5 del D.M. del 18 febbraio 1982;
  3. l’articolo 4 del D.M. del 14 febbraio 1997.

Ci sono quindi tempi differenziati di conservazione della documentazione sanitaria: secondo quanto stabilito dalla predetta Circolare dicembre 1986 n. 900, “le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamente, poiché rappresentano un atto ufficiale indispensabile a garantire la certezza del diritto, oltre a costituire preziosa fonte documentaria per le ricerche di carattere storico sanitario”.

Deve invece essere conservata, a cura del medico visitatore, per almeno cinque anni, la documentazione inerente gli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica (art. 5, D.M. 18/02/1982).

La documentazione iconografica radiologica deve essere conservata per un periodo non inferiore a dieci anni (art. 4, d.m. 14 febbraio 1997)[6]. Più complessa è l’individuazione del tempi di conservazione per alcuni documenti sanitari per i quali non ci sono indicazioni in disposizioni normative, come, ad esempio, accade per le cartelle cliniche di strutture private non convenzionate; si deve, quindi far riferimento al Regolamento UE 2016/679.

In questo caso, il titolare del trattamento, in virtù del principio di responsabilizzazione previsto per tutti i trattamenti, dovrà individuare tale periodo in modo che i dati siano conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati (principio di limitazione della conservazione, art. 5, par. 1, lett. e del Regolamento) e indicare tale periodo (o i criteri per determinarlo) tra le informazioni da rendere all’interessato.

L’individuazione andrà fatta caso per caso ed in via preventiva, sia perché i tempi di conservazione, come detto, devono comparire nell’informativa privacy che viene resa all’interessato al momento della raccolta, sia perché l’erronea cancellazione, distruzione dei dati o l’eccessivo tempo di conservazione possono comportare rilevanti conseguenze sanzionatorie.

Responsabile della protezione dei dati (DPO) delle strutture sanitarie

Il Responsabile della protezione dei dati (o data protection officer – DPO) è una figura professionale introdotta dal Regolamento generale sulla protezione dei dati 2016/679, con competenze giuridiche, informatiche, di risk management e di analisi dei processi. Il suo compito principale è quello di osservare, valutare e organizzare la gestione del trattamento di dati personali (e dunque la loro protezione) all’interno di un’entità (sia essa pubblica che privata), affinché questi siano trattati nel rispetto delle normative privacy europee e nazionali.

Deve inoltre informare e fornire consulenza al titolare del trattamento o al responsabile del trattamento nonché ai dipendenti che eseguono il trattamento in merito agli obblighi derivanti dal GDPR, nonché da altre disposizioni dell’Unione o degli Stati membri relative alla protezione dei dati.

Si tratta di una figura di particolare rilievo che deve supportare da vicino il vertice aziendale e fungere da punto di contatto con l’autorità di controllo, cioè con il Garante per la protezione dei dati personali, soprattutto in occasione di eventi critici quali i data breach.

Nel settore sanitario, la nomina del Responsabile della protezione dei dati è obbligatoria per gli organismi pubblici (es: struttura appartenente al SSN); per gli altri soggetti tale obbligo sussiste invece solo al ricorrere delle specifiche condizioni di cui all’art. 37 e quindi nel caso di trattamenti su «larga scala» (come può avvenire per le case di cura). È del tutto evidente che la sua nomina sia da considerarsi con favore anche quando non sia obbligatoria in relazione a trattamenti di dati estremamente sensibili come quelli sanitari.

 

NOTE

  1. Provvedimento n. 55 del 7 marzo 2019 Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario

  2. C. Rauccio: Trattamento dei dati sanitari, alla luce del GDPR: il quadro normativo. L’autrice sottolinea la contraddizione esistente nel precedente regime, per il quale era sempre necessario il consenso del paziente.

  3. B. Saetta Sanità e privacy, in www.protezionedatipersonali.it, 2 novembre 2018.

  4. Come indicato nel comunicato cit.

  5. Alcuni esempi sono riportati nel Provvedimento n. 55 del 7 marzo 2019 cit.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
Salute digitale
Formazione
Analisi
Sostenibilità
PA
Sostemibilità
Sicurezza
Digital Economy
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
CODICE STARTUP
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
DECRETI
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
IL DOCUMENTO
Competenze digitali, ecco il nuovo piano operativo nazionale
STRUMENTI
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
STRATEGIE
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
FONDI
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
GREEN ENERGY
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
TECNOLOGIA SOLIDALE
Due buone notizie digitali: 500 milioni per gli ITS e l’inizio dell’intranet veloce in scuole e ospedali
INNOVAZIONE
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
STRATEGIE
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
ANALISI
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Strategie
Accordi per l’innovazione, per le imprese altri 250 milioni
Strategie
PNRR, opportunità e sfide per le smart city
Strategie
Brevetti, il Mise mette sul piatto 8,5 milioni
Strategie
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 4