Il documento, molto schematico ma chiaro e preciso, inizia ponendo l’attenzione sull’aspetto principe della categoria dei dati particolari in ambito sanitario, ovvero quando il trattamento di questi è permesso o meno. Di norma infatti il trattamento dei dati in oggetto è sempre vietato, tranne che in tre casi ben individuati, che sono:
- motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri
- motivi
di interesse pubblico nel settore della sanità pubblica (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare);
- finalità
di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali («finalità di cura»)
Per quanto riguarda invece la raccolta del consenso presso l’interessato, il Garante specifica che solo in due casi il medico NON è obbligato a richiederlo, ovvero quando si tratta di trattamenti:
- essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute;
- effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.
Invece per la consultazione del fascicolo sanitario elettronico, la consegna del referto online, l’utilizzo di app mediche, la fidelizzazione della clientela, le finalità promozionali o commerciali e elettorali, è sempre necessario ed imprescindibile il consenso dell’interessato.
Ma per quanto tempo possono essere conservati questi tipi di dati? Questo aspetto compete al titolare del trattamento, il quale, se non vi sono norme specifiche, ha il compito di definire un termine in base alle finalità del trattamento. In ogni caso il termine disposto deve essere riportato nell’informativa consegnata al paziente, che, oltre a tale indicazione, deve rispettare i criteri stabiliti per legge, ovvero deve essere: concisa, trasparente, intelligibile e facilmente accessibile, scritta con linguaggio semplice e chiaro.
L’ultimo aspetto riportato dal Garante nello schema, riguarda la figura del DPO. Viene specificato che il titolare è obbligato a nominarlo in due circostanze: nel caso in cui il titolare sia un organismo pubblico o se pone in essere trattamenti su larga scala. Sempre obbligatorio è invece la tenuta del registro dei trattamenti.