Il Garante per la protezione dei dati personali, con Provvedimento del 7 marzo 2019, ha fornito alcuni importati chiarimenti in relazione all’applicazione del Regolamento UE 2016/679 all’ambito sanitario.
Il Garante ha innanzitutto precisato e ribadito che i trattamenti di categorie particolari di dati, qualora effettuati sotto la responsabilità di un professionista sanitario soggetto al segreto professionale, sono sempre ammessi per finalità di cura senza che venga richiesto un consenso all’interessato.
Il Garante ha però sottolineato come altri trattamenti, sempre in ambito sanitario richiedano, necessitino del consenso esplicito dell’interessato quale condizione di legittimità, tra questi:
- Trattamenti effettuati attraverso il Fascicolo sanitario elettronico.
- Trattamenti connessi all’utilizzo di app mediche.
- Trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali o commerciali.
- Trattamenti effettuati da professionisti sanitari per finalità commerciali o addirittura elettorali.
Il Garante si è inoltre soffermato sull’ulteriore onere in capo al Titolare del trattamento di fornire una corretta informativa all’interessato; in tal caso, l’Autorità non ha fatto altro che ribadire l’impianto generale delineato dal Regolamento, specificando come il Titolare possa fornire le informazioni in maniera progressiva all’interessato nel caso di attività di trattamento particolari ( ad es. fornitura di presidi sanitari e finalità di ricerca).
Il Garante ha infine puntualizzato come la nomina del Responsabile della Protezione dei dati si rende comunque obbligatoria per i soggetti che trattano categorie particolari di dati (compresi ovviamente i trattamenti per finalità di cura) e che è dovuta anche la compilazione del registro dei trattamenti prescritto dall’art. 30 del GDPR.
Fonte: NEWSLETTER N. 451 del 25 marzo 2019 del Garante per la protezione dei dati personali”