Da Maggio 2018 è entrata in vigore la nuova normativa di legge in materia di trattamento dei dati personali. Sono previste cospicue pene pecuniarie nei confronti degli inadempienti. Per ottemperare a questa normativa occorre adeguare la propria routine di lavoro mediante servizi forniti da enti certificati.
Il Regolamento (UE) 2016/679 (GDPR) prevede che, al momento di raccogliere i dati personali dal paziente, occorre fornire informazioni circa “le finalità del trattamento” [art. 13.1(c)]. Con “dato personale” si intende qualsiasi informazione che renda identificabile l’interessato [art. 4.1(1)] – quindi anche le fotografie.
Il GDPR richiede di precisare “se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l’interessato ha l’obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati” [art. 13.2(e)].
In primo luogo, allora, occorre indicare quali dati sono necessari ai fini del trattamento medico (nome, analisi mediche etc.), precisando che in mancanza di tali dati non sarà possibile procedere con la prestazione. Se, tuttavia, si vuole utilizzare dati personali anche per altre finalità (pubblicità, pubblicazione sul sito Internet o su Facebook etc.) occorre un ulteriore consenso che chiarisca esplicitamente [art. 5.1(b)] che uso si vuol fare di tali dati, chiarendo che tale consenso è solo facoltativo e il rifiuto non comporterà l’impossibilità della prestazione medica.
Il primo contatto con il cliente può avvenire mediante un sito web. Anche in tal caso deve fornirsi l’informativa e, in particolare, devono precisarsi le “finalità” del trattamento, chiarendo espressamente se la persona fisica che accede al sito sia associata a identificativi on-line prodotti dai dispositivi, dalle applicazioni, dagli strumenti e dai protocolli utilizzati, quali gli indirizzi IP, a marcatori temporanei (cookies) o a identificativi di altro tipo [Cons. 30 GDPR].
Se il medico vorrà utilizzare i dati personali già raccolti per una finalità diversa da quella resa nota, prima di tale ulteriore trattamento dovrà fornire all’interessato nuova informativa [art. 13.3 GDPR].
In caso di violazione, il trattamento sarà illecito ed il medico si esporrà al rischio di sanzioni amministrative, di dover risarcire i danni eventualmente cagionati e, nei casi più gravi, di azione penale.