Con proprio provvedimento n. 55 del 7 marzo 2019, intitolato “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”, il Garante per la protezione dei dati personali ha dettato le prime linee guida per l’applicazione operativa del GDPR (Reg. UE 2016/679) in sanità.
Questo provvedimento anticipa le misure di garanzia e le regole deontologiche da emettersi ai sensi degli artt. 2-septies e 2-quater del Codice Privacy come adeguato dal d.lgs. 101/2018, entrato in vigore il 19 settembre 2018.
Il Garante ha ricordato in premessa che il trattamento dei dati sulla salute è consentito solo in presenza dei requisiti specifici individuati all’art. 9 del GDPR, il quale ultimo ha previsto peraltro la possibilità per gli Stati membri di mantenere o introdurre ulteriori condizioni e limitazioni con riferimento a tale settore.
Il provvedimento in oggetto segue quello del 13 dicembre 2018 avente ad oggetto l’individuazione delle prescrizioni, già contenute nelle precedenti autorizzazioni generali, compatibili con le disposizioni del GDPR e del Codice Privacy Adeguato, nonché quello ulteriore del 19 dicembre 2018 avente ad oggetto la verifica della conformità al GDPR dei Codici di deontologia e di buona condotta dettati nella previgente normativa per i trattamenti con scopi storici, statistici e scientifici.
Il provvedimento affronta quattro macro aree di intervento: quella del consenso e delle altre basi giuridiche di trattamento, quella dell'informativa, quella della figura del RPD ed infine quella del registro dei trattamenti.
Vediamole nello specifico.
1. Le condizioni minime di lecito trattamento dei dati relativi alla salute in ambito sanitario. In particolare, l’esenzione dal consenso
Il Garante ricorda in primo luogo che, ai sensi dell’art. 9 del GDPR, le