Il GDPR ha inserito i dati sanitari nell’ambito delle categorie particolari di dati, imponendo che il loro trattamento avvenga sulla base di specifiche basi giuridiche e mediante l’adozione di misure di sicurezza di un livello adeguato.
Ma quali sono i tempi di conservazione dei dati sanitari? Sono uguali per tutti i professionisti e gli istituti? C’è differenza tra tipologie di dati? Cosa accade quando un paziente non si reca più dal medico? Quando è possibile cancellare un dato sanitario?
Come noto, nell’aprile 2019 il Garante Privacy ha pubblicato un provvedimento in materia. In particolare, si è chiarito che nell’ambito dell’ordinaria attività medica (sia pubblica che privata) non è necessario chiedere il consenso al trattamento, posto che la relativa base giuridica si rinviene nelle norme nazionali e nello stesso GDPR.
Nei chiarimenti, il Garante dedica non poco spazio alla questione dei tempi di conservazione, con particolare riferimento alla documentazione sanitaria. Il nostro ordinamento prevede riferimenti ai tempi di conservazione differenziati. L’operatore sanitario (pubblico o privato) dovrà pertanto individuare quale sia la natura della documentazione e quale la normativa di riferimento applicabile.
Degne di uno specifico approfondimento sono due ipotesi: le cartelle cliniche e la documentazione radiologica:
- le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamente (Circolare del Ministero della Sanità del 19 dicembre 1986 n.900 2/AG454/260). Sul punto va sottolineato che sebbene non esista una definizione di cartella clinica nell’ordinamento giuridico generale è possibile richiamare quella inserita nel D.P.R. 128/69, in materia di servizi ospedalieri e direzione sanitario. Detti tempi di conservazione si dovrebbero applicare, pertanto, soltanto alle strutture pubbliche o che (come le case di cura convenzionate) hanno relazioni con queste.
- Per quanto riguarda la documentazione radiologica, a prescindere dalla struttura sanitaria che tratta il dato (quale è appunto quello radiologico), ai sensi del D.M. 14 febbraio 1997 occorre distinguere: l’iconografica radiologica deve essere conservata per un periodo non inferiore a dieci anni, mentre il referto radiologico illimitatamente.
Come è evidente il problema si pone per tutti i liberi professionisti e le strutture private che non formano, dal punto di vista giuridico, una cartella clinica.
=> Come trattare dati sanitari in azienda
Secondo il Garante, spetta al titolare definire i tempi di conservazione del dato sanitario in base alla finalità del trattamento. In questo caso si indica normalmente per tutta la durata del trattamento e poi per ulteriori dieci anni in ragione (quanto meno) dei termini di prescrizione civile.
Un problema particolarmente sentito è poi il caso del paziente che non si reca più presso la struttura trascorsi i dieci anni e pur tuttavia l’operatore sanitario ha necessità di conservare la documentazione per ragioni di studio o medico. A mio giudizio è in questo spazio ancora fumoso che la capacità di adattamento ed adattabilità del Regolamento Europeo viene in soccorso. Sulla base delle opportune accortezze, infatti, l’operatore sanitario privato potrà conservare il dato sanitario anche oltre i dieci anni.
- Innanzitutto va individuata la base giuridica più adeguata. Sicuramente potrebbe esservi il consenso, ma credo che la scelta migliore, seguendo le indicazioni delle specifiche linee guida del Garante Europeo, sia quella di ricorrere all’interesse legittimo;
- Trascorsi i canonici dieci anni sarà opportuno distinguere tra la documentazione ancora in uso e quella che potrebbe indicarsi come di mera consultazione e studio;
- Adottare le opportune misure di sicurezza sia fisiche che logiche e ove possibile procedere ad un processo di pseudominizzazione del dato;
- Per le strutture più complesse ed articolare potrebbe anche essere opportuno procedere alla nomina di un responsabile della conservazione (interno o esterno);
- Ovviamente di tutto questo va fornita idonea informativa al paziente.
=> COVID-19: gestione privacy sui dati sanitari
A questo punto occorre anche spendere alcune considerazioni sulla cancellazione dei dati personali.
Eliminare un dato è comunque trattamento. Questo significa che è fondamentale, onde evitare responsabilità nei confronti dell’interessato, chiarire bene tramite l’informativa i tempi di conservazione. Non solo, ma è anche utile oltre al registro dei trattamenti, predisporre quello che nella prassi comincia ad essere individuato come registro dell’accountability, cioè un documento in cui si riportano e tracciano le attività svolte, quale appunto anche la cancellazione, nell’ambito del funzionamento del sistema di gestione privacy.
Da ultimo occorre infine precisare che tutta questa tematica andrà adattata e sviluppata per gli operatori sanitari che hanno già intrapreso un percorso di digitalizzazione della propria attività, dovendo, in questo caso, adottare tutti quegli accorgimenti (organizzativi ed informatici) tipi della gestione digitale del dato oltre a valutare l’eventuale rispetto delle prescrizioni in materia di dossier sanitario elettronico.
____________
Articolo dell’Avv. Emiliano Vitelli
