Nella nuova guida del Garante gli obblighi GDPR per medici e professionisti della Sanità
l medico è un professionista tenuto al segreto professionale e di conseguenza non ha l’obbligo di chiedere al paziente il consenso al trattamento dei dati per effettuare la prestazione sanitaria. Ma se i dati vengono utilizzati per finalità connesse alla cura ma non necessarie, allora va chiesto .
esempio di quando il consenso è necessario
=> trattamenti connessi all’utilizzo di App mediche per finalità diverse dalla telemedicina oppure quando possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale;
=> trattamenti preordinati alla fidelizzazione della clientela, effettuati dalle farmacie attraverso programmi di accumulo punti,
=> trattamenti effettuati in campo sanitario da persone giuridiche private (esempi: promozioni su programmi di screening, contratto di fornitura di servizi amministrativi, come quelli alberghieri di degenza);
=> refertazione on line.
Sono alcune indicazioni contenute nel provvedimento del Garante Privacy del 7 marzo sulla corretta interpretazione del GDPR, il regolamento europeo sulla protezione dati personali, da parte dei professionisti della Sanità. Il Garante fornisce una serie di chiarimenti che vanno nel senso della semplificazione e forniscono riferimenti per le varie fattispecie di attività.
In ogni caso, anche quando non c’è obbligo di consenso, il medico deve sempre fornire un’informativa privacy chiara e comprensibile al paziente sull’utilizzo dei dati. Nel dettaglio, le informazione vanno rese «in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro».
I medici e le strutture che non effettuano un trattamento massivo di dati non hanno nemmeno l’obbligo di nominare il Responsabile della protezione dati. Quindi, per fare un esempio, il libero professionista, o la farmacia, non hanno questo obbligo. Un ospedale invece deve necessariamente nominare il Dpo. La normina del responsabile trattamento dati è sempre obbligatoria se la struttura è pubblica.
fonte: GARANTE PRIVACY e PMI