Privacy: le strutture sanitarie private e il trattamento dei dati personali

Trattamento dei dati

Privacy, il ruolo delle strutture sanitarie private nel trattamento dei dati personali

La riforma del Servizio sanitario nazionale (SSN) pone su un piano di “par condicio” l’operatore pubblico e privato, attraverso l’accreditamento sanitario. Ma quale ruolo ricoprono le strutture private sotto il profilo della privacy?

01 Mar 2021

Andrea Reghelin

Associate Partner, P4I - Partners4Innovation

Annalisa Rizzo

Legal Consultant, ‎P4I - Partners4Innovation

L’ingresso delle strutture sanitarie private nel mercato pone alcuni quesiti in termini di privacy e trattamento dei dati personali. Tale ingresso è regolato dal D.lgs. 502/1992 (Art. 8 bis del D.lgs. 502/1992 introdotto dall’art. 8 del D.lgs. 229/1999) con una procedura che si articola in tre passaggi consecutivi: 1) l’autorizzazione all’esercizio dell’attività sanitaria; 2) l’accreditamento, inteso quale presupposto indispensabile per erogare le prestazioni sanitarie a nome del SSN; 3) il contratto che disciplina i rapporti tra la PA e la struttura privata affinché quest’ultima possa erogare le prestazioni sanitarie a carico del SSN.

A valle della stipula del contratto, proviamo a far chiarezza sul ruolo privacy che assumono le strutture sanitarie private poiché, al momento, non vi è uniformità di vedute. Difatti alcuni Regioni qualificano la struttura come un autonomo Titolare del trattamento, altre come un Responsabile del trattamento.

L’accreditamento sanitario

L’accreditamento, introdotto dal D.lgs. 502/1992, è lo strumento che riconosce alle strutture sanitarie pubbliche e private la facoltà di erogare prestazioni sanitarie e sociosanitarie in nome e per conto del SSN. Con tale procedura, i cittadini possono fare affidamento su strutture dotate di specifici requisiti gestionali ed organizzativi rispondenti agli standard di qualità stabiliti dalla programmazione regionale sanitaria.

WEBINAR, 13 APRILE
Come gestire la protezione dei dati sensibili su trusted cloud?
Cloud
Sicurezza

Le strutture sanitarie, tenuto conto della natura giuridica del provvedimento di accreditamento (Art. 8 bis del D.lgs. 502/1992 introdotto dall’art. 8 del D.lgs. 229/1999), assumono il ruolo di soggetti esercenti un servizio di pubblico interesse di rilievo costituzionale, quale il diritto alla salute, su cui gravano obblighi e doveri, anche sotto il profilo della spesa sanitaria nazionale e della tutela della privacy.

Privacy, contratto e definizione dei ruoli

Ottenuto l’accreditamento, le strutture sanitarie private e le Regioni e le Aziende sanitarie locali procedono alla stipula dei contratti (Art. 8-quinquies del D.lgs. 502/1992 introdotto dall’art. 8 del D.lgs. 229/1999). Questi servono per disciplinare gli obiettivi di salute; il volume massimo di prestazioni che la struttura sanitaria si impegna ad erogare; i requisiti del servizio da rendere; e il corrispettivo preventivato da verificare a consuntivo sulla base dei risultati raggiunti e delle attività effettivamente svolte, alla luce delle indicazioni regionali.

Il binomio accreditamento/contratto diventa quindi il mezzo che permette al SSN di avvalersi dell’operato dei privati nel perseguimento dell’interesse generale della salute. Firmato il contratto, i cittadini potranno usufruire delle prestazioni della struttura sanitaria privata previo pagamento, se dovuto, di una quota limitata di spesa (c.d. ticket sanitario).

Trattamento dati, perché il privato è “Titolare”

In relazione alla privacy e alla gestione della protezione dei dati personali, il dovere di assicurare all’utenza il servizio pubblico “concesso”, assumendo i rischi economici ad esso connessi, a nostro avviso, ben può spingere a qualificare le strutture sanitarie private un autonomo Titolare del trattamento.

Infatti è sulla struttura che gravano le decisioni riguardanti le finalità e i mezzi del trattamento dei dati personali dei pazienti che decideranno di servirsi delle cure della stessa, fornendo loro un’informativa chiara e rispettosa dei dettami di cui all’art. 13 del GDPR. È dovere sempre della struttura, all’accettazione del paziente, accertare l’identità dello stesso e la corretta compilazione dell’impegnativa in base alla normativa vigente, comprese le disposizioni inerenti al ticket sanitario.

Privacy dei dati e consensi, gli oneri delle strutture sanitarie private

Le linee guida n. 7/2020 dell’EDPB (Comitato europeo per la protezione dei dati) sottolineano che il Titolare è colui che decide gli elementi chiave del trattamento: le finalità e i mezzi. L’individuazione del ruolo deve avvenire sulla base di un’attenta analisi delle concrete attività svolte con riguardo al trattamento da porre in essere. Nel caso di specie, rimane, per esempio, onere della struttura, nell’ambito del Fascicolo sanitario elettronico (Art. 5 del DPCM 178/2015), acquisire, trattare e conservare l’esplicito consenso da parte di determinate categorie di pazienti (ad esempio vittime di violenza sessuale o di pedofilia, persone che fanno uso di stupefacenti e alcool, etc.) che, decidendo di ricorrere alle prestazioni in anonimato, non vedranno alimentato il proprio Fascicolo di tali dati sanitari.

Sarà sempre la struttura a richiedere specifici consensi al paziente non solo al fine di costituire il Dossier sanitario dello stesso, ma anche per alimentarlo di informazioni cliniche relative ad eventi pregressi e di informazioni soggette a maggior tutela di anonimato (es. sieropositività, uso di droghe o alcol, ecc.).

Resta compito della struttura organizzare e gestire tale strumento al fine di garantire i relativi diritti degli interessati (ad esempio: il diritto all’oscuramento, secondo le Linee guida in materia di dossier sanitario del 4 giugno 2015), nonché di assicurare che l’accesso al Dossier sanitario sia limitato al personale sanitario che interviene nel processo di cura del paziente. Grava, tra l’altro, sulla struttura la gestione dell’archiviazione della cartella clinica elettronica, garantendo che la conservazione dei documenti informatici in essa contenuti, avvenga nel rispetto di quanto previsto dal Codice dell’Amministrazione Digitale.

Più garanzie nella data protection

Come ribadito dall’EDPB, l’individuazione del ruolo di Titolare deve avvenire sulla base di un’analisi delle concrete attività di trattamento svolte. Nel caso della struttura privata il rispetto degli standard di qualità che le hanno concesso l’accreditamento sanitario e la subordinazione al controllo e al monitoraggio da parte di Regione e Azienda sanitaria locale, con lo scopo di preservare l’accreditamento nel tempo in quanto gestore di un servizio pubblico, non compromette la sua libertà e il suo potere decisionale nella scelta delle finalità e dei mezzi del trattamento dei dati personali dei pazienti che decideranno di avvalersi dei suoi servizi sanitari.

Concludendo, a nostro avviso, sul tema privacy, relegare la struttura ad un ruolo di Responsabile del trattamento, significherebbe conferire a Regioni e Aziende sanitarie locali decisioni e poteri in merito ai dati personali dei pazienti di cui non avrebbero contezza. Tra l’altro, la possibile titolarità delle Regioni e delle Aziende sanitarie locali nella gestione dei dati personali dei pazienti potrebbe avere anche degli impatti non trascurabili nella garanzia e nella tutela dei diritti degli interessati in materia di data protection.

@RIPRODUZIONE RISERVATA
Argomenti trattati

Approfondimenti

D
Dati personali
G
GDPR
P
Privacy

Articolo 1 di 4