049 8599337‬

Via Marco Polo 19A, Albignasego - PD

Top

GDPR e Consenso Informato

Il regolamento EU n° 679/2016  “Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”, detto anche “regolamento GDPR” o “nuovo Regolamento della Privacy”, sta cambiando completamente il panorama della gestione dei dati personali, e quindi riguarda profondamente il Consenso Informato nei suoi vari momenti applicativi.

 Dal 26 maggio 2018, il DLG 196/2013 non è più valido. 

GDPR, Consenso Informato e “privacy by design & by default”

Secondo il GDPR, il processo di Consenso Informato si deve inserire in una architettura di Risk Management relativo ai dati. Si tratta di un cambiamento radicale nel modo in cui si gestiscono i dati sensibili, e non semplicemente di cambiare qualche frase nelle informative: l’applicazione del regolamento EU n° 679/2016 al Consenso Informato medico-sanitario è un argomento complesso, che coinvolge molti aspetti operativi e gestionali di una Struttura sanitaria.

Questa una sintesi dei cambiamenti più innovativi:

Prima del GDPR
(25/05/2018)

Dopo il GDPR
(dal 26/05/2018)

A cosa fare attenzione

Consenso come “modulo”

Consenso come processo soggetto alla “Privacy by Design e by Default”, in un’architettura di Risk Management

Struttura sanitaria che adotta un sistema informatico per il consenso informato deve verificare che protegga i dati “by design e by default”, altrimenti avrà l’ONERE di adeguarlo.

La sicurezza dei dati raccolti era assicurata dalla loro conservazione da parte della Struttura (responsabile del trattamento).

La Struttura Sanitaria adotta un Sistema per il processo di Consenso medico e diagnostico che garantisca la sicurezza dei dati sin dalla progettazione, oltre che nel funzionamento dello stesso, ed è responsabile della scelta di tale Sistema.

“I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici” (Garante della Privacy, Considerando n° 78 del Regolamento 2016/679/UE)

Obbligo di ricorrere unicamente a un responsabile del Trattamento che presentigaranzie sufficienti per mettere in atto misure tecniche e organizzative adeguate” a soddisfare il Regolamento e garantire la tutela dei diritti del paziente” (Art.28 comma 1).

Le “garanzie”: devono infatti essere “sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del presente regolamento, anche per la sicurezza del trattamento.” (Garante della Privacy, Considerando 81 al Regolamento 2016/679)

Una innovazione del GDPR rispetto al DLGS 196/2003 è importante analizzare subito: ogni trattamento di dati personali (come il Consenso Informato) deve concorrere alla sicurezza dei dati, fin dalla fase di progettazione e nel modo in cui è strutturato – la cosiddetta “Privacy by Design e by Default”. Non basta cioè eliminare i dati identificativi diretti da un database per far perdere loro la caratteristica di “insieme di dati personali” (vedi Garante della Privacy, Considerando 35 del Regolamento generale sulla protezione dei dati 2016/679/UE).

In altre parole: una Struttura sanitaria deve verificare che il proprio sistema per il Consenso Informato (già presente o in fase di acquisto) protegga i dati “by design e by default”, altrimenti avrà l’ONERE di adeguarlo. Adeguare un Consenso Informato è dispendioso in termini economici e di risorse umane, quindi il Considerando n° 78 al Regolamento GDPR fatto dal Garante della Privacy è importante: le strutture sanitarie dovrebbero prendere in considerazione i principi della protezione dei dati fin dalla progettazione e di default direttamente dalla fase di appalto pubblico.

La responsabilità della Struttura Sanitaria si estende quindi anche alla verifica dei requisiti e scelta di un idoneo sistema per l’intero processo del Consenso informato: creazione e proposta delle informative con i dati dei pazienti, proposta del consenso, raccolta e conservazione delle decisioni del Paziente, tutto deve proteggere i dati “by design e by default”.

“I principi della protezione dei dati fin dalla progettazione e di default dovrebbero essere presi in considerazione anche nell’ambito degli appalti pubblici”  (Garante della Privacy, Considerando n° 78 del Regolamento 2016/679/UE)

 

Nota. L’applicazione del regolamento GDPR consiste in una parte definita a livello europeo (con entrata in vigore il 25 maggio 2018) e una parte definita a livello nazionale. Questa parte legislativa italiana è ancora in fase di definizione.