Conservazione dei dati sanitari: le questioni ancora aperte
L’Avv. Emiliano Vitelli approfondisce le problematiche riguardo la conservazione dei diversi dati sanitari che possono essere trattati in una struttura sanitaria o in uno studio medico. In particolare sulle tempistiche di conservazione che sono diverse a seconda del dato e dell’esigenza.
Il GDPR inserisce i dati sanitari nell’ambito delle categorie particolari di dati imponendo, pertanto, che il loro trattamento avvenga soltanto sulla base di specifiche basi giuridiche e mediante l’adozione di misure di sicurezza di un livello adeguato.
Come noto, nell’aprile del 2019 il Garante ha pubblicato un provvedimento in materia di trattamento dei dati sanitari (allegando anche una specifica infografica) a mezzo dei quali, in particolare, si è chiarito che nell’ambito dell’ordinaria attività medica (sia pubblica che privata) non è necessario chiedere il consenso al trattamento, posto che la relativa base giuridica si rinviene nelle norme nazionali e nello stesso GDPR.
Nei chiarimenti il Garante dedica non poco spazio alla questione dei tempi di conservazione ciò in particolare, in quanto, con particolare riferimento alla documentazione sanitaria, il nostro ordinamento prevede numerosi e differenziati riferimenti ai tempi di conservazione della stessa.
L’operatore sanitario (pubblico o privato) dovrà pertanto necessariamente individuare esattamente quale sia la natura della documentazione sanitaria e quale sia la normativa di riferimento applicabile.
Degne di uno specifico approfondimento sono due ipotesi: le cartelle cliniche e la documentazione radiologica:
- le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamente (Circolare del Ministero della Sanità del 19 dicembre 1986 n.900 2/AG454/260). Sul punto va sottolineato che sebbene non esista una definizione di cartella clinica nell’ordinamento giuridico generale è possibile richiamare quella inserita nel D.P.R. 128/69, in materia di servizi ospedalieri e direzione sanitario. Detti tempi di conservazione si dovrebbero applicare, pertanto, soltanto alle strutture pubbliche o che (come le case di cura convenzionate) hanno relazioni con queste.
- Per quanto riguarda la documentazione radiologica, a prescindere dalla struttura sanitaria che tratta il dato (quale è appunto quello radiologico), ai sensi del D.M. 14 febbraio 1997 occorre distinguere: l’iconografica radiologica deve essere conservata per un periodo non inferiore a dieci anni, mentre il referto radiologico illimitatamente.
Come è evidente il problema si pone per tutti i liberi professionisti e le strutture private che non formano, dal punto di vista giuridico, una cartella clinica.
Secondo il Garante, in generali, spetta al titolare definire i tempi di conservazione del dato sanitario in base alla finalità del trattamento. In questo caso si indica normalmente per tutta la durata del trattamento e poi per ulteriori dieci anni in ragione (quanto meno) dei termini di prescrizione civile.
Un problema particolarmente sentito è poi il caso del paziente che non si reca più presso la struttura anche dopo trascorsi i dieci anni e pur tuttavia l’operatore sanitario ha necessità di conservare tutta la documentazione sia per ragioni di studio sia perché in ambito medico potrebbero sorgere problematiche e patologie anche oltre tutti quegli anni.
A mio giudizio è proprio in questo spazio ancora fumoso che la capacità di adattamento ed adattabilità del Regolamento Europeo viene in soccorso. Sulla base delle opportune accortezze, infatti, l’operatore sanitario privato potrà conservare il dato sanitario anche oltre i dieci anni. Vediamo come:
- Innanzitutto va individuata la base giuridica più adeguata. Sicuramente potrebbe esservi il consenso, ma credo che la scelta migliore, seguendo le indicazioni delle specifiche linee guida del Garante Europeo, sia quella di ricorrere all’interesse legittimo;
- Trascorsi i canonici dieci anni sarà opportuno distinguere tra la documentazione ancora in uso e quella che potrebbe indicarsi come di mera consultazione e studio;
- Adottare le opportune misure di sicurezza sia fisiche che logiche e ove possibile procedere ad un processo di pseudominizzazione del dato;
- Per le strutture più complesse ed articolare potrebbe anche essere opportuno procedere alla nomina di un responsabile della conservazione (interno o esterno);
- Ovviamente di tutto questo va fornita idonea informativa al paziente.
A questo punto occorre anche spendere alcune considerazioni sulla cancellazione dei dati personali.
Eliminare un dato è comunque trattamento. Questo significa che è fondamentale, onde evitare responsabilità nei confronti dell’interessato, chiarire bene tramite l’informativa i tempi di conservazione. Non solo, ma è anche utile oltre al registro dei trattamenti, predisporre quello che nella prassi comincia ad essere individuato come registro dell’accountability, cioè un documento in cui si riportano e tracciano le attività svolte, quale appunto anche la cancellazione, nell’ambito del funzionamento del sistema di gestione privacy.
Da ultimo occorre infine precisare che tutta questa tematica andrà adattata e sviluppata per gli operatori sanitari che hanno già intrapreso un percorso di digitalizzazione della propria attività, dovendo, in questo caso, adottare tutti quegli accorgimenti (organizzativi ed informatici) tipi della gestione digitale del dato oltre a valutare l’eventuale rispetto delle prescrizioni in materia di dossier sanitario elettronico.
Giorni e Orari
Dal Lunedì al Venerdì
15:00 - 18:30
Mercoledì chiuso
Dove Siamo
Il nostro studio
si trova a Latina,
in Via Satrico, n. 14
Recapiti
Contattaci all'indirizzo
ev@studiolegalevitelli.it
o compila il form di contatto