La caratteristica principale del web oggi è quella di essere profondamente interattivo.

Quante volte, soprattutto sui social network, siamo incuriositi da qualche annuncio al termine del quale ci vengono richiesti almeno nome ed email?

Quante volte un sito, una landing page, un modulo richiedono una forma di interazione da parte nostra?

Quante volte abbiamo spinto il tasto “invia”?

Ma quante volte ci siamo realmente domandati per quale motivo ci viene richiesto di indicare nome, cognome, indirizzo mail e, a volte, telefono?

Quante volte ci siamo chiesti dove finiscono i nostri dati sensibili e chi li gestisce?

Il proliferare di newsletter, form e mailing list ha spinto i legislatori ad affrontare un problema lasciato in disparte forse da troppo tempo: quello del trattamento dei dati sensibili.

Per dati sensibili si intendono tutte quelle informazioni personali che, in qualche modo, ci descrivono e ci identificano sia nella vita reale che sul web.

Prendiamo ad esempio il nostro profilo Facebook. Al momento dell’iscrizione l’azienda di Zuckerberg ci rassicura dicendoci che l’iscrizione è gratuita e che lo sarà per sempre. Ma siamo sicuri della veridicità di questa affermazione?
In effetti è vero che, cliccando su iscriviti, non dobbiamo inserire il numero di carta di credito e che quindi non ci vengono chiesti soldi. La piattaforma di Menlo Park riceve però, in cambio dei suoi servizi, la possibilità di conoscere tutti quegli aspetti della nostra vita che decidiamo di condividere sul social network.

E la possibilità di farne l’uso che più ritiene opportuno.

Non a caso oggi Facebook è uno degli strumenti più utilizzati da aziende di ogni tipo per fare pubblicità e promuovere i propri prodotti o servizi. Questo perché, in base ad algoritmi molto sofisticati, è possibile profilareil target verso il quale indirizzare le nostre campagne. Tradotto in soldoni: tramite ciò che Facebook conosce dei propri utenti è possibile selezionare esclusivamentequelli che potrebbero essere realmenteinteressati alla proposta pubblicitaria.

Tutto ciò dovrebbe essere sufficiente a farci capire quanto sia importante la trasparenza della gestione dei dati personali.

Da un anno a questa parte (maggio 2018) le regole circa il rispetto della privacy digitale sono diventate molto più restrittive. Questo per evitare che i nostri dati o i nostri contatti possano passare di mano in mano da un’azienda ad un’altra e riempire la nostra casella mail (o, peggio, il nostro telefono) di messaggi che poco ci interessano e che anzi ci disturbano.

Il nuovo corso del GDPR (General Data Protection Regulation,regolamento generale per la protezione dei dati) tende a proteggere l’utente dagli utilizzi poco leciti che aziende spregiudicate potrebbero fare dei suoi dati sensibili.

Ma in ambito medico-sanitario cosa succede? In che modo quest’ondata legislativa può rendere la vita più difficile agli operatori della sanità? 

Qui potete scaricare l’infografica ufficiale messa a disposizione dal garante circa il trattamento dei dati dati sulla salute in ambito sanitario ai sensi del Regolamento (UE) 2016/679. 

Vediamo allora insieme, come abbiamo già fatto per le nuove leggi sulla comunicazione sanitaria,cosa succede, cosa si può fare e cosa non si può fare per essere in regola con la normativa in vigore.

Cosa non si può fare in ambito sanitario

Partiamo dal presupposto che trattare i dati cosiddetti particolari(quelli, per esempio, che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, quelli genetici, i dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute di un individuo) è sempre vietato, eccezion fatta per tre casi:

• Motivi di interesse pubblico rilevante sulla base del diritto dell’Unione Europea o degli Stati membri
• Motivi di interesse pubblico nel settore della sanità pubblica (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare)
• Finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (finalità di cura)

Quindi, a meno che non ci siano situazioni di estremo pericolo per la collettività, questo tipo di dati non si può assolutamente divulgare.

COSA SI può FARE IN AMBITO SANITARIO

Il professionista sanitario soggetto al segreto professionale che consulta dati essenziali per il raggiungimento di finalità direttamente connesse alla cura della salute non è tenuto a richiedere esplicito consenso al soggetto interessato. Ciò vale anche quando cure o terapie vengano effettuate sotto la responsabilità di operatori (non necessariamente sanitari) anch’essi soggetti all’obbligo di segretezza.

PER COSA BISOGNA RICHIEDERE ESPLICITO CONSENSO AL TRATTAMENTO DEI DATI

Ci sono casi in cui è assolutamente obbligatorio richiedere un esplicito consenso al soggetto interessato. Ovviamente ciò è valido per tutte le finalità promozionali o di fidelizzazione della clientela. Sostanzialmente non possiamo inviare materiale pubblicitario a coloro che non abbiano espressamente accettato in forma scritta questa possibilità.

Il consenso esplicito è necessario anche in alcuni casi strettamente connessi alla pratica sanitaria ma non inclusi nei paragrafi precedenti:

• Consultazione del Fascicolo Sanitario Elettronico

• Consegna del referto online
• Utilizzo di app mediche

COME REDIGERE L’INFORMATIVA PER LA PRIVACY IN AMBITO MEDICO-SANITARIO

Il Garante per la Privacy e la Tutela dei Dati Personali non ha rilasciato un modello generale di informativa adeguato alle vigenti normative.

Ha dato però una serie di precise indicazioni per redigere un’informativa valida che andiamo di seguito a riassumere.

L’informativa per la privacy in ambito medico-sanitario deve essere:

• Concisa
• Trasparente
• Intelligibile
• Facilmente accessibile
• Scritta con linguaggio semplice
• Chiara