Il dato sanitario naturalmente rientra in questa seconda categoria essendo un dato di natura strettamente personale. Fanno parto della macro famiglia dei dati particolari anche i dati genetici, i dati biometrici, quelli giudiziari e quei dati che delineano informazioni riguardanti l’orientamento politico, religioso e sessuale di un individuo. I dati particolari verranno quindi trattati dal Titolare di trattamento rispettando un livello di Accountabiliy (la responsabilizzazione nell’adottare misure tecniche e organizzative adeguate al tipo di dato che si tratta) più complesso rispetto al trattamento di dati comuni.
Il Regolamento europeo definisce “dati relativi alla salute” tutti i dati riguardanti o che comunque rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria. Riguardo tali servizi il considerando 35 all’ interno del GDPR precisa ulteriormente che viene riconosciuto come dato sanitario le informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione. Non di meno rientrano in questa categoria le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica (accostando il dato mendico sanitario a quello biologico e genetico). Naturalmente fanno parte della famiglia anche quelle informazioni concernenti una malattia, disabilità o patologia che affliggano un individuo.
Procurando, nel caso di eventuale perdita di integrità, disponibilità e (soprattutto) riservatezza di tali dati, un danno molto rilevante; questo tipo di dati personali non dovrebbero essere oggetto di trattamento, a meno che il trattamento non sia consentito nei casi specifici previsti dal regolamento. Tali deroghe si concretizzano in vari punti espressi ex art. 9 del GDPR: si parte naturalmente dalla casistica in cui l’interessato ha espresso consenso esplicito, i casi in cui questo trattamento si renda necessario per assolvere gli obblighi ed esercitare diritti specifici del Titolare di trattamento o dell’interessato in materia di diritto del lavoro o della sicurezza e protezione sociale. In ambito strettamente medico, il trattamento è ovviamente consentito per tutelare l’interesse vitale del paziente estendendo tale deroga in materia di medicina del lavoro e medicina preventiva. Altra caratterista che consente ad un professionista di trattare dati medico sanitari è l’appartenere a quelle categorie lavorative legate a segreto professionale. Ultima, ma non per importanza, la deroga che permette tale trattamento a tutela della salute pubblica.
Le strutture sanitari fin sa subito sono state sotto la lente d’ingrandimento del garante europeo in materia di ispezioni, e purtroppo non sono mancate brutte sorprese che hanno poi portante a pesanti sanzioni per alcune strutture in alcuni stati europei. Una visione olistica, che porta quindi ad una pianificazione d’insieme e coordinata in ottica privacy può evidenziare anche a noi utenti che la struttura sanitaria al quale ci affidiamo sta tutelando in maniera adeguata i nostri dati sanitari. Alcuni semplici segnali in questa direzione possono essere rilevati ad esempio nella compilazione del consenso per la trasmissione dei risultati della nostra visita anche in via telematica, o anche nell’ anonimizzazione tramite codici numerici della patologia oggetto della nostra visita sui ticket da pagare (molte volte a sportelli con personale amministrativo). Anche la premura del personale nel chiamare il paziente per la visita cercando di non dare informazioni sul suo nome e cognome, ad esempio assegnando ad ogni paziente il nome di un oggetto/frutto/città al momento dell’ingresso della sala d’attesa, per poi essere chiamato con tale nome fittizio.
Queste ed altre sono piccole accortezze, punta dell’iceberg di una politica privacy a tutela di noi pazienti, che aiutano però ad evitare danni alla privacy degli interessati che rimangono sempre il fulcro sul quale progettare la strategia aziendale in materia di data protection nel settore sanitario.