GDPR per Studi Medici e Strutture Sanitarie
I dati sanitari sono categorie particolari: protezione rafforzata, DPIA, gestione del fascicolo clinico e obblighi specifici per il settore sanitario.
I dati relativi alla salute sono categorie particolari di dati personali, soggetti a protezione rafforzata dal GDPR. Per studi medici, cliniche, ambulatori e strutture sanitarie private, la gestione conforme di questi dati non è solo un obbligo normativo, ma un elemento fondante del rapporto fiduciario con il paziente.
Obblighi e adempimenti
Consenso esplicito al trattamento dei dati di salutePrioritario
Il trattamento di dati sanitari richiede il consenso esplicito del paziente (distinto dal consenso al trattamento medico) oppure deve fondarsi su altra deroga applicabile dell'art. 9 GDPR (es. fini di medicina preventiva, diagnosi, assistenza sanitaria). Il consenso deve essere specifico per finalità: il trattamento per cura del paziente non legittima automaticamente usi per ricerca o marketing.
Informativa al pazientePrioritario
Il paziente deve ricevere l'informativa prima o al momento della raccolta dei dati, con indicazione delle finalità, dei destinatari (specialisti, laboratori, assicurazioni se rilevanti), dei periodi di conservazione e dei propri diritti.
Sicurezza del fascicolo sanitarioPrioritario
Il fascicolo sanitario in formato elettronico deve essere protetto con accesso autenticato, trasmissioni cifrate e policy di backup. L'accesso deve essere limitato al personale sanitario che ha necessità di conoscere i dati per ragioni di cura.
DPIA per sistemi di telemedicina e AI diagnostica
L'introduzione di piattaforme di telemedicina, sistemi di diagnosi assistita da AI o dispositivi connessi che raccolgono dati biometrici richiede una DPIA prima dell'attivazione.
Gestione dei dati degli ex pazienti
La documentazione clinica deve essere conservata per i periodi stabiliti dalla normativa sanitaria (20 anni per le cartelle cliniche). Allo scadere, deve essere distrutta in modo sicuro e documentato.
Rischi specifici del settore
Sanzioni elevate per violazioni in ambito sanitario
Il Garante Privacy ha tradizionalmente trattato con particolare severità le violazioni nel settore sanitario, ritenendo i dati di salute tra i più sensibili. Strutture sanitarie hanno ricevuto sanzioni significative anche per violazioni procedurali.
Data breach di dati sanitari
Un'intrusione in sistemi che archiviano referti, diagnosi o anamnesi dei pazienti genera obblighi di notifica al Garante entro 72 ore e, se il rischio è elevato, comunicazione diretta ai pazienti interessati.
Domande frequenti
Un medico di base deve nominare un DPO?
Il medico di base come singolo professionista tratta dati di salute, ma non necessariamente su "larga scala" nel senso del GDPR. L'obbligo di nomina del DPO per il trattamento su larga scala di categorie particolari dipende dal volume e dalla sistematicità del trattamento.
I dati del paziente possono essere condivisi con i familiari?
No, salvo espresso consenso del paziente o sussistenza di uno degli altri presupposti di legge. Il segreto professionale del medico e la riservatezza dei dati sanitari tutelano l'interessato anche nei confronti dei familiari.