Nel decreto attuativo del regolamento 679/2016 sulla privacy in uscita in queste ore il governo è orientato ad abrogare le parti del testo unico di 15 anni fa in cui si chiede ai pazienti il consenso esplicito al trattamento dei propri dati personali, in particolare l’articolo 76. Ma non si tratta in assoluto di “abrogare la richiesta di consenso”: il medico, in quanto titolare, deve comunque informare i pazienti sul trattamento che farà dei dati sensibili a lui conferiti. Anzi, avrà una responsabilità più forte che in caso di inadempienza lo espone a sanzioni amministrative, penali e civili. La nuova normativa dà grande rilievo all’informazione rispetto alla raccolta di atti formali di consenso. 

«L’informazione diventa il punto centrale del processo e sarà il medico a dover dimostrare di avere assolto al proprio onere», ricorda l’avvocato Paola Ferrari del sito legalcorner.it «Molta attenzione va posta nell’indicare le interazioni tra professionisti e le condivisioni degli archivi. Al momento di rivedere le misure di sicurezza e il registro dei trattamenti, oltre che di formalizzare una valutazione dell’impatto di questi ultimi ove si esca dagli stretti ambiti dell’attività clinica di studio, vanno dunque riviste le informative da porgere ai pazienti. L’articolo 12 del Regolamento – continua l’Avvocato Ferrari – sancisce poi che al paziente serve una informazione chiara, semplice, leggibile, comprensibile e recuperabile, anticipata rispetto al trattamento dati, completa di manifestazione di consenso, scritta su carta o con mezzi elettronici o anche orale ma documentata da informative facilmente accessibili esposte in sala d’attesa o su pieghevoli. Non ancora ufficiale, lo schema di decreto attuativo del regolamento aggiunge che l’informativa va fornita preferibilmente per iscritto e che le informazioni, se non diversamente specificato da medico o pediatra, riguardano anche il trattamento dati correlato a quello del mmg o pls ed effettuato da specialista, sostituto, collega-socio dell’aggregazione di medicina generale, farmacista. Nell’informativa vanno dettagliati eventuali trattamenti particolari per scopi di ricerca, trial clinici, teleassistenza-telemedicina, per fornire altri beni o servizi all’interessato online, per l’implementazione del fascicolo sanitario elettronico e dei registri di patologia ed ogni altra attività che sui dati si intende fare oltre che il tempo massimo di conservazione. Tempo che può essere anche indicato in modo determinabile “es. tempi indicati dalle normative per la prescrizione di diritti ed azioni “». 

Agli articoli 13 e 14 del regolamento si specifica cosa deve contenere l’informativa per mettere il medico al sicuro. «Intanto deve garantire come da nuova normativa l’esistenza di una serie di diritti che consentano al cittadino di controllare e gestire consapevolmente il flusso dei propri dati», dice Giovanni Casiraghi, Data Protection Officer Asst Milano Nord. «Il cittadino ha diritto di accesso ai suoi dati; il diritto di chiederne la rettifica o la cancellazione, o la limitazione del trattamento; diritto di opporsi al trattamento; diritto alla portabilità; diritto di revocare il consenso al trattamento in qualsiasi momento e di proporre reclamo all’autorità di controllo. Il titolare deve dirgli se la raccolta di quei dati sia necessaria o meno per fornire un servizio o dare esecuzione a una richiesta rivolta dall’interessato stesso o se sia direttamente la legge ad imporla. Inoltre, occorre spiegare cosa succede se non si vuole comunicare i dati richiesti: in genere, non potrà essere offerto il servizio -certificazioni, rendicontazione delle prestazioni – ma va sempre assicurata la cura. L’informativa deve poi contenere la profilazione, cioè informazioni sugli strumenti utilizzati, la portata del trattamento effettuato, la diffusione dei dati che ne può conseguire così da far comprendere in cosa consista il trattamento. Vanno inoltre inseriti i dati di contatto del titolare e del rappresentante in Italia se nominato, e quelli del Data Protection Officer. L’assistito deve poter identificare e contattare i soggetti a cui spetta il trattamento dei propri dati personali.

Vanno quindi indicate la base giuridica del trattamento e le condizioni di liceità su cui esso si basa: consenso, interesse legittimo del terzo, interesse pubblico, finalità (scopo di raccolta o elaborazione dati); e vanno indagati i destinatari, specificando a chi i dati personali o le loro categorie saranno comunicati o con chi saranno condivisi anche per effettuare un servizio richiesto dallo stesso interessato. Quest’ultimo deve poi sapere se vi sia l’intenzione del titolare di conferire i suoi dati in paesi extra Ue (vale soprattutto per i dispositivi indossabili con sw Usa). Infine, il titolare deve esplicitare il periodo di conservazione dei dati, stabilito secondo normative regionali in 10 o 30 anni per i dati sanitari, 5 per la fattura; in caso di periodo non esplicitato valgono i 5 anni dopo i quali scatta il diritto all’oblio. Raggiunte le finalità, i dati non potranno più rimanere in possesso del titolare».