Privacy in sanità: il vocabolario della nuova legge alla luce del GDPR

Comprendere la privacy in sanità significa, prima di tutto, padroneggiarne il vocabolario: GDPR, titolare, responsabile, DPO, data breach, accountability sono termini entrati nel lessico quotidiano di ogni struttura sanitaria con il Regolamento UE 2016/679. Per chi tratta dati dei pazienti ogni giorno, conoscerne il significato preciso non è un esercizio formale, ma la base di una pratica corretta e conforme. La protezione dei dati personali è riconosciuta come un diritto fondamentale, e il nuovo quadro europeo ha cambiato il modo stesso in cui le organizzazioni sanitarie devono gestire le informazioni di chi si affida alle loro cure. Questo approfondimento ricostruisce le parole-chiave della normativa e le cala nel contesto sanitario, dove i dati sulla salute appartengono alle categorie più delicate.

Dai fondamenti al GDPR: come è cambiata la privacy in sanità

Il diritto alla riservatezza affonda le radici lontano: dall’intuizione ottocentesca del “right to be alone” di Warren e Brandeis fino alla Carta dei diritti fondamentali dell’Unione Europea e ai riferimenti della nostra Costituzione. In Italia il percorso normativo è passato attraverso la Direttiva 95/46/CE, il Codice Privacy (D.Lgs 196/2003) e infine il Regolamento UE 2016/679, aggiornato dal D.Lgs 101/2018.

Il GDPR non si è limitato a riscrivere le regole: ha introdotto vere e proprie “modifiche culturali”. Le più rilevanti sono la privacy by design e by default — la protezione dei dati va pensata fin dalla progettazione di ogni processo e garantita come impostazione predefinita — e il principio di accountability, ossia la responsabilizzazione del titolare e del responsabile, chiamati non solo a rispettare i principi ma a essere in grado di comprovarlo. Si è parlato di una vera e propria “rivoluzione copernicana”: dal sistema delle misure minime imposte dall’alto a un modello in cui è l’organizzazione a doversi assumere la responsabilità delle proprie scelte.

A reggere l’impianto sono i principi di trattamento: liceità, correttezza e trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità e riservatezza. In ambito sanitario, dove i dati sulla salute sono per loro natura sensibili, questi principi assumono un peso particolare.

Il vocabolario essenziale: dati, categorie particolari e profilazione

Capire la normativa significa anzitutto distinguere i concetti. Il trattamento è qualsiasi operazione compiuta sui dati, dalla raccolta alla conservazione fino alla cancellazione. I dati personali sono le informazioni riferite a una persona fisica identificata o identificabile; quando non consentono più di risalire a un individuo si parla di dato anonimo.

All’interno dei dati personali, alcune categorie sono particolarmente sensibili: i dati genetici, biometrici e quelli relativi alla salute, che il legislatore definisce categorie particolari. Proprio questi sono il cuore del lavoro sanitario, e per il loro trattamento valgono cautele più stringenti. Accanto ad essi, il corso esamina nozioni come il dato giudiziario, la profilazione — il trattamento automatizzato che valuta aspetti personali di un individuo — e la pseudonimizzazione, tecnica che riduce il rischio sostituendo gli identificatori diretti.

Dominare questo lessico non è un vezzo accademico: è la condizione per qualificare correttamente ogni operazione e individuare le regole applicabili, evitando di trattare un dato sulla salute con le stesse leggerezze che si potrebbero (impropriamente) usare per un’informazione comune.

Chi fa cosa: titolare, responsabile, DPO e Garante

La conformità non riposa su una sola figura, ma su un sistema di soggetti. Il titolare del trattamento è chi determina finalità e mezzi del trattamento e ne risponde; il responsabile tratta i dati per conto del titolare. Quando l’organizzazione lo richiede, entra in gioco il DPO (Data Protection Officer), il responsabile della protezione dei dati: una figura di garanzia che riferisce direttamente al vertice gerarchico e che, in molte strutture sanitarie pubbliche, è obbligatoria.

Al centro resta sempre l’interessato, la persona cui i dati si riferiscono: nel nostro caso, il paziente. A vigilare sul rispetto delle regole c’è il Garante per la protezione dei dati personali, autorità indipendente con poteri di controllo, di intervento e sanzionatori, a cui l’interessato può rivolgersi attraverso reclami, segnalazioni e ricorsi.

Conoscere questa mappa dei ruoli è ciò che permette, nella pratica quotidiana, di sapere a chi spetta una decisione, chi deve essere consultato e a chi rivolgersi quando emerge una criticità.

Sicurezza, data breach e valutazione d'impatto

La sicurezza, nel GDPR, non si misura più con un elenco fisso di misure minime ma con la loro adeguatezza al rischio. È il titolare a dover individuare le misure tecniche e organizzative proporzionate al pericolo che il trattamento comporta per i diritti delle persone.

Quando qualcosa va storto si parla di data breach, la violazione dei dati personali, che può derivare anche da perdita o sottrazione delle informazioni. La sua gestione segue una logica graduata: la notifica all’Autorità di controllo è subordinata alla valutazione del rischio compiuta dal titolare, mentre la comunicazione direttamente all’interessato è dovuta quando la violazione è suscettibile di presentare un rischio elevato per i suoi diritti e libertà.

A monte, per i trattamenti più delicati, il Regolamento prevede la valutazione d’impatto sulla protezione dei dati (DPIA), l’eventuale consultazione preventiva del Garante e la tenuta del registro delle attività di trattamento. Strumenti che traducono il principio di accountability in adempimenti concreti e documentabili.

Consenso, informativa e diritti del paziente

La liceità del trattamento poggia su basi giuridiche diverse, tra cui il consenso. Per i dati che rientrano nelle categorie particolari — come quelli sulla salute — il consenso deve essere esplicito. Sul piano clinico si intreccia con il consenso informato disciplinato dalla legge 219/2017, mentre regole particolari riguardano i minori.

Prima di raccogliere i dati, l’organizzazione deve fornire l’informativa: un documento intellegibile e facilmente accessibile, che tra i suoi contenuti obbligatori comprende anche i dati di contatto del DPO. È lo strumento che rende l’interessato consapevole di come e perché i suoi dati vengono trattati.

Il GDPR riconosce inoltre un ventaglio di diritti dell’interessato: accesso, rettifica, cancellazione (il cosiddetto diritto all’oblio), limitazione e portabilità. A questi diritti il titolare deve dare risposta entro un mese, termine estensibile fino a tre mesi nei casi più complessi. In ambito sanitario ciò si traduce in situazioni molto concrete, dall’accesso del paziente alla propria cartella clinica alla gestione delle richieste di cancellazione.

La privacy applicata alla sanità: cartelle, ricette e videosorveglianza

È nel quotidiano della struttura sanitaria che il vocabolario della privacy diventa azione. Il consenso del paziente deve essere registrato in cartella clinica, e il paziente stesso ha diritto di accedervi in quanto titolare dei dati che lo riguardano. Le prescrizioni mediche seguono regole specifiche: i dati dell’interessato vanno riportati nella ricetta in modo schermato, così da risalire all’identità solo in caso di effettiva necessità.

Il corso affronta anche la ricerca medica, biomedica ed epidemiologica, il trattamento da parte degli organismi sanitari e del medico di medicina generale, oltre ai codici di deontologia medica e infermieristica che rafforzano il rapporto fiduciario con l’assistito.

Tema particolarmente delicato è la videosorveglianza nelle strutture sanitarie: pazienti e visitatori devono essere informati della presenza di telecamere tramite appositi cartelli, nel rispetto anche delle norme a tutela del lavoratore. Si collegano a questo le previsioni su privacy e lavoro e su accorgimenti pratici come la consegna dei certificati in busta chiusa.

Privacy e COVID-19: temperatura, certificazioni verdi e green pass

Una lezione del corso applica i principi generali al contesto dell’emergenza COVID-19, un banco di prova concreto per la normativa privacy. Il protocollo di regolamentazione per gli ambienti di lavoro prevedeva, ad esempio, la rilevazione della temperatura senza registrazione del dato, salvo la necessità di documentare le ragioni di un mancato accesso, accompagnata da informativa e dall’individuazione dei soggetti preposti.

Il filo conduttore era la stretta finalizzazione: i dati potevano essere trattati solo per la prevenzione del contagio e non diffusi a terzi al di fuori delle previsioni normative. Per le certificazioni verdi, il trattamento configurava un obbligo di legge e la verifica non autorizzava alcuna conservazione: dopo il controllo, i dati dovevano essere immediatamente cancellati. Gli strumenti di verifica consentivano di conoscere identità, autenticità e validità della certificazione, senza accedere alle informazioni che ne avevano determinato l’emissione.

Pur trattandosi di un quadro legato a un contesto ormai datato, questa sezione resta un esempio formativo prezioso di come i principi del GDPR — minimizzazione, limitazione della finalità, limitazione della conservazione — si applichino a situazioni nuove e impreviste.

Domande frequenti

Da quando si applica il nuovo Regolamento europeo sulla privacy (GDPR)?

Il Regolamento UE 2016/679, noto come GDPR, si applica a decorrere dal 25 maggio 2018. Da quella data ha sostituito il precedente quadro normativo come riferimento europeo unitario per il trattamento dei dati personali, integrato in Italia dal Codice Privacy aggiornato con il D.Lgs 101/2018.

Chi è il DPO e che ruolo ha in una struttura sanitaria?

Il DPO (Data Protection Officer) è il responsabile della protezione dei dati: una figura di garanzia che riferisce direttamente al vertice gerarchico del titolare o del responsabile del trattamento. Vigila sull’applicazione della normativa, offre consulenza e funge da punto di contatto con il Garante e con gli interessati.

Che cosa sono i dati personali?

I dati personali sono le informazioni che consentono di identificare un individuo, definito dalla normativa “interessato”. In ambito sanitario assumono particolare rilievo i dati relativi alla salute, che rientrano nelle categorie particolari e sono soggetti a tutele rafforzate.

Che cosa si intende per accountability nel GDPR?

L’accountability è la responsabilizzazione del titolare e del responsabile del trattamento: oltre a rispettare i principi di protezione dei dati, devono essere in grado di comprovarlo. È uno dei cambiamenti culturali introdotti dal GDPR, che sposta il baricentro dalle misure minime imposte all’autonoma assunzione di responsabilità dell’organizzazione.

Che cos'è il data breach?

Il data breach è la violazione dei dati personali: può derivare anche dalla perdita o dalla sottrazione dei dati. La sua gestione segue una logica basata sul rischio, con la notifica all’Autorità di controllo subordinata alla valutazione compiuta dal titolare.

Quando va comunicata all'interessato una violazione dei suoi dati personali?

La comunicazione direttamente all’interessato è dovuta quando la violazione è suscettibile di presentare un rischio elevato per i suoi diritti e le sue libertà. Si distingue così dalla notifica all’Autorità di controllo, che segue una valutazione del rischio più generale da parte del titolare.

Per i dati sensibili, come deve essere il consenso?

Per i dati sensibili, che rientrano nelle categorie particolari come i dati sulla salute, il consenso deve essere esplicito. In ambito clinico questo requisito si intreccia con il consenso informato disciplinato dalla legge 219/2017, che ha una sua specifica funzione nella relazione di cura.

Quando deve essere fornita l'informativa all'interessato?

L’informativa deve essere fornita all’interessato prima di effettuare la raccolta dei dati. Tra i suoi contenuti obbligatori figurano anche i dati di contatto del DPO, e deve essere redatta in forma intellegibile e facilmente accessibile, così da rendere l’interessato realmente consapevole del trattamento.

Entro quanto tempo si deve rispondere all'interessato che esercita i suoi diritti?

Il termine di risposta all’interessato, per l’esercizio dei suoi diritti, è di un mese. Tale termine è estensibile fino a tre mesi nei casi di particolare complessità. Riguarda diritti come l’accesso, la rettifica, la cancellazione, la limitazione e la portabilità dei dati.

Che cosa si intende per profilazione?

La profilazione è il trattamento automatizzato di dati personali che utilizza tali dati per valutare determinati aspetti personali relativi a una persona fisica. Per la sua natura potenzialmente invasiva, è oggetto di attenzione specifica nel GDPR e richiede particolari cautele.

Cosa significa il principio di limitazione della finalità?

La limitazione della finalità implica che i dati siano raccolti per finalità determinate, esplicite e legittime, e successivamente trattati in maniera non incompatibile con tali finalità. È uno dei principi cardine del trattamento e impedisce di riutilizzare i dati per scopi diversi e non dichiarati.

Il consenso del paziente deve essere registrato in cartella clinica?

Sì: il consenso del paziente deve essere registrato in cartella clinica. La cartella documenta così non solo il percorso assistenziale, ma anche la base giuridica del trattamento dei dati del paziente, in coerenza con il principio di accountability.

Il paziente può accedere alla propria cartella clinica?

Sì: il paziente può accedere alla propria cartella clinica, in esercizio del diritto di accesso ai dati che lo riguardano. È una delle applicazioni più dirette dei diritti dell’interessato previsti dalla normativa privacy nel contesto sanitario.

Come vanno informati pazienti e visitatori in caso di videosorveglianza in ospedale?

In caso di installazione di sistemi di videosorveglianza in ospedale, pazienti e visitatori devono essere informati tramite appositi cartelli. L’informazione va data nel rispetto anche delle norme a tutela dei lavoratori coinvolti nell’area sorvegliata.

I dati del paziente devono comparire nella ricetta farmaceutica?

I dati dell’interessato devono essere contenuti nella ricetta farmaceutica, ma in modo schermato: così è possibile risalire all’identità del paziente solo in caso di effettiva necessità. È un esempio concreto del principio di minimizzazione applicato alla pratica sanitaria.

In conclusione

Padroneggiare il vocabolario della privacy in sanità non è un obbligo burocratico, ma una competenza che protegge il paziente e l’organizzazione allo stesso tempo. Conoscere la differenza tra titolare e responsabile, sapere quando un consenso deve essere esplicito, riconoscere un data breach e gestirlo correttamente: sono gesti che fanno parte della qualità della cura tanto quanto le competenze cliniche. Il GDPR ha responsabilizzato ogni professionista sanitario, rendendolo parte attiva di un sistema di tutela dei dati. Per approfondire in modo sistematico questi temi e tradurli in pratica quotidiana, il corso FAD Privacy. La tutela dei diritti nel trattamento dei dati personali offre 15 crediti ECM e un percorso strutturato sulla privacy in sanità, dalla teoria normativa fino ai casi concreti di cartelle, ricette e videosorveglianza.