Il Regolamento UE 2016/679 (GDPR) si basa su alcuni principi cardine che valgono anche – e soprattutto – per il trattamento dei dati personali in ambito sanitario. Ogni dato personale di pazienti e utenti deve essere trattato in modo lecito, corretto e trasparente, raccolto per finalità determinate, esplicite e legittime e successivamente utilizzato in maniera compatibile con tali scopi (limitazione delle finalità). Inoltre, devono essere raccolti solo i dati adeguati, pertinenti e limitati a quanto necessario (minimizzazione dei dati), garantendone l’esattezza e l’aggiornamento, e conservandoli solo per il tempo strettamente richiesto dalle finalità (limitazione della conservazione). Infine, è imprescindibile assicurare l’integrità e la riservatezza mediante misure di sicurezza tecnico-organizzative adeguate per prevenire trattamenti non autorizzati o illeciti, perdite o divulgazioni indebite. Su tutti questi principi sovrintende il principio di accountability (responsabilizzazione) del titolare: le strutture sanitarie, i medici e in generale i professionisti che trattano dati personali di pazienti sono pienamente responsabili del rispetto di queste regole e devono essere in grado di dimostrarlo (art. 5, par. 2 GDPR). Ciò significa, ad esempio, tenere documentazione delle scelte compiute in materia di protezione dati, implementare politiche interne e misure di sicurezza idonee e saper rendicontare al Garante o agli interessati le azioni intraprese.
Questi principi fondamentali si traducono, nel contesto sanitario, in una particolare attenzione alla confidenzialità del dato sanitario e al rispetto del segreto professionale. La liceità del trattamento richiede che ogni attività sui dati trovi fondamento in una base giuridica adeguata (consenso dell’interessato, obbligo legale, necessità per finalità di cura, ecc. – come dettagliato più avanti). La correttezza impone comportamenti etici e trasparenti verso i pazienti, evitando raccolte di dati ingannevoli o eccedenti; la trasparenza comporta fornire agli interessati informazioni chiare su come saranno utilizzati i loro dati e favorire l’esercizio dei loro diritti. Questi principi, delineati all’art. 5 GDPR, costituiscono il fondamento di tutte le misure di protezione dati in sanità e devono guidare sia le scelte organizzative (es. definire chi accede alle cartelle cliniche, per quanto tempo si conservano i referti) sia quelle tecnologiche (es. uso di sistemi crittografici, audit log per tracciare gli accessi ai fascicoli elettronici).
In questo ebook troverai:
Principi fondamentali del GDPR in ambito sanitario
Dati personali e dati particolari relativi alla salute: definizioni e specificità
Obblighi normativi per titolari e responsabili nel settore sanitario
Il ruolo del Garante per la Protezione dei Dati e i provvedimenti in ambito sanitario
Violazioni, sanzioni e responsabilità in caso di inosservanza
Aggiornamenti normativi post-2018: linee guida EDPB e indicazioni del Garante italiano
Visualizza e scarica l'ebook
Scopri come gestire correttamente i dati sanitari nel rispetto del GDPR. Una guida operativa per medici e strutture sanitarie tra obblighi normativi e pratiche quotidiane.