I diritti GDPR del paziente
IL DIRITTO ALL’OBLIO: QUANDO I DATI SONO (TROPPO) SENSIBILI
Immagina di aver postato sul forum di un ospedale, dieci anni fa, una domanda su un intervento delicato. Oggi quel post continua a spuntare in cima a Google quando cerchi il tuo nome, magari proprio mentre stai inviando il CV per un nuovo lavoro. La buona notizia è che l’ordinamento europeo ti dà una via d’uscita: il “diritto all’oblio”. La notizia meno buona è che non è un interruttore on/off, soprattutto quando in ballo ci sono categorie di dati “sensibili” come le informazioni sanitarie. Facciamo quindi il punto in modo pratico (e senza parrucconi).
1. Che cos’è, davvero, il diritto all’oblio
Il GDPR (Regolamento UE 2016/679) lo chiama “diritto alla cancellazione” (art. 17), ma tutti lo conoscono come diritto all’oblio. In soldoni: se certe condizioni si avverano – i dati non servono più, hai revocato il consenso, il trattamento è illecito, ecc. – puoi chiedere che quelle informazioni spariscano. Il titolare che li aveva messi online deve pure avvertire gli “amici degli amici” (gli altri siti che li rilanciano) di fare lo stesso.
2. Quando il dato è «sensibile» (spoiler: quasi tutto ciò che riguarda la salute lo è)
L’art. 9 del GDPR parla di “categorie particolari di dati” (salute, genetici, biometria, vita sessuale, credo religioso, opinioni politiche, ecc.). Qui la regola di default è: vietato trattare, salvo deroghe strette. È il motivo per cui un referto medico pubblicato contro la tua volontà crea più problemi – e più chance di ottenere l’oblio – rispetto alla foto della tua ultima vacanza.
3. Medici, cartelle cliniche e nuovo “oblio oncologico”
• Fascicolo Sanitario Elettronico: il Garante ha ricordato (Provv. 12 settembre 2024, doc. n. 10061561) che la richiesta di cancellazione non può cancellare storicamente i dati dal FSE, ma può limitarne la visibilità a terzi.
• Oblio oncologico: con la legge n. 193/2023 le persone guarite da tumore non devono più dichiarare la vecchia patologia dopo 10 anni (5 se la diagnosi era in età pediatrica). Il Garante ha pubblicato le FAQ l’8 agosto 2024 per spiegare come funziona nella pratica.
• Ricerca scientifica: l’art. 9 §2 j) GDPR permette di tenere i dati anche controvoglia dell’interessato, se serve a studi di sanità pubblica e sono previste garanzie adeguate (pseudonimizzazione, ecc.).
4. Le sentenze che contano
• CGUE, causa C‑131/12, Google Spain (2014): nasce l’obbligo, per i motori di ricerca, di deindicizzare i risultati superati o irrilevanti.
• CGUE, causa C‑507/17, Google/CNIL (2019): l’oblio va garantito in tutta l’UE, ma non per forza nel resto del mondo.
• CGUE, causa C‑136/17, GC e a. (2019): i link che rivelano dati sensibili vanno filtrati con uno scrutinio più severo.
• CGUE, causa C‑460/20, Google (2022): se l’informazione è “manifestamente inesatta” il gestore deve cancellare i link senza troppe prove tecniche.
5. Il Garante italiano all’opera
• Provv. 17 maggio 2023 (doc. n. 9903127): niente oblio per un ex dirigente condannato per reati societari gravi – l’interesse pubblico alla memoria batte la reputazione personale.
• Provv. 28 settembre 2023 (doc. n. 9948230): sì all’oblio per un medico sospeso ma reintegrato; troppi anni erano passati e la notizia era diventata fuorviante.
• Provv. 16 novembre 2023 (doc. n. 9972735): stop alle newsletter che ripubblicano sentenze penali senza anonimizzare; dati giudiziari ≠ clickbait.
• Provv. 12 settembre 2024 (doc. n. 10061561): come sopra, focus su cartelle cliniche online e bilanciamento con ricerca sanitaria.
6. Come si chiede concretamente?
1️⃣ Controlla se il sito ha un modulo “privacy” o una e‑mail DPO. Spiega che eserciti l’art. 17 GDPR.
2️⃣ Per Google & co. compila il form pubblico (basta cercare “Google diritto all’oblio”).
3️⃣ Se dopo 30 giorni nessuno ti filasse, puoi bussare al Garante (art. 77 GDPR) allegando la prova della tua richiesta precedente.
Tip: allega la screenshot dei risultati di ricerca e spiega perché quei dati sono “non più necessari”, “inesatti” o “sensibili”.
7. Morale della favola
Il diritto all’oblio non è il pulsante “cancella passato” di Men in Black, ma è uno strumento potente se sai quando e come usarlo – soprattutto quando tocca la tua salute. E ricordati: più i dati sono delicati, più alta è la tua leva (e più bassa quella del motore di ricerca).
L'OBLIO ONCOLOGICO
Diritto all’oblio sanitario: cosa cambia per il medico
Ogni giorno i medici gestiscono migliaia di dati clinici, spesso sensibili, talvolta delicatissimi. Ma cosa succede quando un paziente chiede di "dimenticare" una malattia superata? Entra in gioco il diritto all’oblio sanitario: una nuova frontiera di tutela del paziente e una responsabilità crescente per il medico.
Cos’è il diritto all’oblio sanitario?
Il diritto all’oblio sanitario consente a chi ha superato una malattia grave, come un tumore, di non essere più discriminato per la sua storia clinica in ambiti cruciali: polizze assicurative, prestiti bancari, mutui, lavoro.
In Italia è stato normato dalla recente Legge n. 193/2023, che prevede:
- il divieto di richiedere informazioni sanitarie ormai non più rilevanti;
- il divieto di utilizzare dati clinici "remoti" per valutazioni economiche e lavorative;
- tempi di "estinzione" della memoria clinica ai fini extramedici:
- 10 anni dalla fine del trattamento attivo;
- 5 anni se la malattia si è verificata prima dei 21 anni.
Perché i medici devono saperlo?
Il diritto all’oblio sanitario non riguarda solo banche e assicurazioni: riguarda la documentazione che il medico rilascia e gestisce ogni giorno.
Ecco perché:
- il paziente può chiedere certificazioni senza obbligo di menzionare patologie superate;
- il medico deve valutare attentamente quali dati riportare nei certificati;
- in caso di richiesta di cancellazione o limitazione, il medico deve distinguere fra obblighi legali di conservazione e cancellazioni ammissibili;
- un’errata gestione dei dati può esporre a responsabilità professionali, sanzioni privacy e contenziosi.
Per il medico cosa cambia
- 📝 Valutare quali informazioni riportare nei certificati.
- 📂 Conservare le cartelle rispettando i termini di legge.
- ❌ Non fornire informazioni sanitarie "non più rilevanti" su richiesta del paziente.
- ⚖️ Evitare di riportare malattie superate in assenza di necessità clinica attuale.
Rischi professionali
- Violazioni GDPR → sanzioni.
- Responsabilità civile → contenziosi.
- Responsabilità deontologica → segnalazioni.
VADEMECUM RAPIDO
Diritto all’oblio sanitario - Cosa fare in studio
✅ Quando il paziente chiede di "cancellare" dati
- Verifica se la richiesta riguarda dati ancora obbligatori per legge → se sì, non sono cancellabili.
- Se i dati non sono più rilevanti clinicamente e non sussistono obblighi di conservazione → valuta la cancellazione.
✅ Certificazioni mediche
- Indica solo dati attuali e rilevanti.
- Non riportare diagnosi pregresse non più influenti.
- Attenzione: il medico certifica fatti clinici, non cronache sanitarie.
✅ Conservazione cartelle
- Conserva i documenti per i periodi previsti da norme regionali e fiscali.
- Non anticipare autodistruzioni dei dati.
✅ Consenso e informativa privacy
- Aggiorna le informative inserendo i riferimenti al diritto all’oblio.
- Spiega al paziente i limiti normativi.
✅ In caso di dubbi
- Consulta il DPO se nominato.
- Chiedi consulenza privacy qualificata.
MedPrivacy
Affianchiamo gli operatori sanitari nella gestione concreta degli obblighi privacy.
IL DIRITTO DI ACCESSO
Il diritto di accesso ai dati sanitari: che cosa deve sapere il medico
In ambito sanitario la gestione dei dati personali rappresenta un aspetto estremamente delicato, poiché coinvolge non soltanto la privacy del paziente, ma anche responsabilità giuridiche importanti in capo al medico e alla struttura sanitaria.
Uno dei diritti centrali riconosciuti al paziente è il diritto di accesso ai propri dati personali e sanitari (art. 15 GDPR, Reg. UE 2016/679), ossia il diritto di ottenere conferma dell’esistenza di trattamenti di dati che lo riguardano, e di riceverne copia integrale, in forma intellegibile.
Quali dati rientrano nell’accesso?
Rientrano:
i dati contenuti nella cartella clinica;
i referti diagnostici;
la documentazione di ricovero, dimissione e follow-up;
i dati amministrativi correlati alla prestazione sanitaria (es. autorizzazioni, consensi, note informative);
eventuali comunicazioni sanitarie con altri professionisti o strutture coinvolte.
Chi può richiedere l’accesso
Possono richiedere l’accesso:
il paziente interessato;
i suoi rappresentanti legali (genitori per i minori, tutori, amministratori di sostegno, procuratori);
soggetti terzi autorizzati, ma solo previa delega scritta e limitatamente alle informazioni autorizzate.
In caso di pazienti deceduti, il diritto può essere esercitato da soggetti aventi un interesse proprio e legittimo (es. eredi, familiari).
Il consenso è necessario?
Per l’accesso ai propri dati non è richiesto il consenso. L’accesso è un diritto autonomo che il paziente può esercitare direttamente. Il consenso rileva invece ai fini del trattamento ordinario dei dati da parte del medico o della struttura.
Limiti e eccezioni
L'accesso può essere limitato solo nei casi in cui:
l’esercizio del diritto possa arrecare un concreto pregiudizio alla salute psico-fisica dell’interessato (art. 152 D.lgs. 196/2003, come modificato dal D.lgs. 101/2018);
esistano diritti prevalenti di terzi che vadano tutelati.
Tali limitazioni devono essere motivate e documentate dal medico.
Termini e modalità
Il medico o la struttura devono rispondere:
entro 30 giorni dalla richiesta (prorogabili di ulteriori 60 giorni in caso di particolare complessità);
fornendo copia gratuita dei dati, salvo il diritto di addebitare costi amministrativi ragionevoli per copie ulteriori.
Quali responsabilità ha il medico?
Garantire la tracciabilità e la corretta conservazione della documentazione clinica.
Fornire accesso completo e tempestivo.
Limitare l’accesso solo nei casi eccezionali previsti dalla legge.
Documentare ogni eventuale diniego o limitazione motivata.
MINI VADEMECUM PER IL MEDICO
Diritto di accesso ai dati personali in ambito sanitario
(Reg. UE 2016/679 e D.lgs. 196/2003 novellato)
🔎 CHI PUÒ CHIEDERE L’ACCESSO:
Il paziente interessato;
I genitori o tutori per minori;
Eredi e familiari legittimati;
Soggetti delegati formalmente.
📝 CHE COSA DEVO CONSEGNARE:
Cartella clinica completa;
Referti;
Certificazioni e attestazioni sanitarie;
Comunicazioni intercorse con altri professionisti;
Qualunque dato amministrativo sanitario.
🚫 QUANDO POSSO RIFIUTARE O LIMITARE:
Rischio di grave danno per la salute psico-fisica del paziente (motivato);
Tutela di terzi coinvolti (es. dati genetici di familiari);
Dati coperti da segreto professionale di terzi.
⏳ ENTRO QUANDO:
Entro 30 giorni dalla richiesta (proroga massima di 60 giorni per motivi complessi).
💰 COSTI:
Gratuito per la prima copia;
Eventuali costi solo per copie supplementari.
⚠ RICORDA:
La documentazione clinica deve essere conservata secondo i tempi minimi previsti dalla normativa sanitaria (minimo 10 anni per la cartella clinica, salvo eccezioni).a
IL DIRITTO DI ESSERE INFORMATO
Il diritto all’informazione sanitaria: un dovere per il medico, un diritto per il paziente
La tutela della salute passa prima di tutto attraverso l’informazione. Il paziente ha diritto non solo a ricevere cure adeguate, ma anche a comprendere esattamente il proprio stato di salute, le terapie proposte, i rischi e i benefici correlati. Questo principio, fondamentale in medicina, è oggi espressamente codificato sia nel diritto italiano che nel GDPR.
Le fonti normative
Il diritto all’informazione trova base in:
Art. 13 Costituzione (diritto all’autodeterminazione e libertà personale);
Art. 32 Costituzione (diritto alla salute, diritto di scelta terapeutica);
L. 219/2017 (Norme in materia di consenso informato e disposizioni anticipate di trattamento - DAT);
Codice Deontologico Medico (artt. 33-38);
Reg. UE 2016/679 - GDPR (principio di trasparenza e correttezza nel trattamento dei dati sanitari).
In cosa consiste il diritto all’informazione
Il paziente deve ricevere, in modo completo e comprensibile:
informazioni sul proprio stato di salute;
diagnosi effettuate e ipotesi diagnostiche in corso;
descrizione chiara di esami, interventi, terapie proposte;
rischi, benefici e alternative terapeutiche;
possibili conseguenze dell’omessa terapia;
effetti collaterali e prognosi.
Come deve essere fornita l’informazione
In modo chiaro, semplice e comprensibile, adeguato al livello culturale e linguistico del paziente;
Personalizzata in base al caso clinico concreto;
In forma orale (salvo poi documentarla nella cartella clinica);
Documentata per iscritto nei casi previsti (es. interventi chirurgici, esami invasivi, consenso informato).
Il rapporto con il consenso informato
L’informazione è il presupposto necessario per l’acquisizione di un consenso informato valido. Senza un’informazione completa e comprensibile, il consenso sarebbe giuridicamente viziato.
Quando si può limitare l’informazione
Solo in casi eccezionali e motivati, il medico può:
modulare l’informazione per ragioni di salute psicologica del paziente (cosiddetta “informazione protetta”);
coinvolgere i familiari su richiesta del paziente stesso o nei limiti consentiti.
Conseguenze della mancata informazione
L’omissione o carenza di informazione può comportare:
responsabilità civile per danno da violazione del diritto all’autodeterminazione;
responsabilità penale per lesioni o altri reati se il trattamento viene effettuato senza valido consenso;
responsabilità deontologica e disciplinare per il medico.
MINI VADEMECUM PER IL MEDICO
Diritto del paziente ad essere informato (L. 219/2017 e GDPR)
🔎 COSA DEVO COMUNICARE:
Diagnosi e stato di salute attuale;
Finalità e natura degli esami/interventi proposti;
Benefici e rischi prevedibili;
Terapie alternative;
Conseguenze dell’eventuale rifiuto.
🗣 COME DEVO INFORMARLO:
In modo chiaro e comprensibile;
Adeguando il linguaggio al paziente;
Documentando l’informazione nella cartella clinica;
Acquisendo il consenso informato quando richiesto.
🚫 QUANDO POSSO LIMITARE:
Solo per tutela della salute psichica (motivando);
In caso di volontà espressa del paziente a non essere informato.
⚠ RICORDA:
L’informazione non è solo un atto burocratico ma un vero e proprio diritto costituzionale.
La documentazione dell’avvenuta informazione tutela anche il medico da responsabilità future.
IL DIRITTO DI OPPOSIZIONE
Il diritto di opposizione del paziente al trattamento dei dati: esempi pratici
Accanto ai più noti diritti di accesso e informazione, il paziente ha anche il diritto di opporsi al trattamento dei propri dati sanitari. Ma in ambito medico questo diritto ha dei limiti ben precisi, spesso non conosciuti.
La regola generale
Il diritto di opposizione (art. 21 GDPR) consente al paziente di dire:
"Non voglio che i miei dati siano utilizzati per questa finalità".
Ma attenzione: non vale per ogni tipo di trattamento.
Il GDPR lo consente solo:
se il trattamento si fonda su interesse pubblico o legittimo interesse (non su obblighi legali);
se il paziente ha motivi particolari connessi alla sua situazione.
ESEMPI CONCRETI
1⃣ Esempio in cui l’opposizione NON può essere esercitata
Caso clinico: Il paziente si reca dal medico per eseguire esami e ricevere diagnosi e terapia.
Trattamento dati: Raccolta anamnesi, analisi cliniche, prescrizione farmaci, redazione cartella clinica.
Può opporsi? NO. Questi trattamenti sono obbligatori per legge e per l’erogazione della prestazione sanitaria. Il paziente, scegliendo di farsi curare, acconsente implicitamente al trattamento indispensabile per la cura.
2⃣ Esempio in cui l’opposizione È possibile
Caso clinico: Lo studio medico intende inviare periodicamente ai pazienti una newsletter informativa con consigli di prevenzione, promozione di nuovi servizi o convenzioni.
Trattamento dati: Invio comunicazioni via email.
Può opporsi? SÌ. Qui il trattamento avviene per legittimo interesse dello studio (marketing diretto). Il paziente ha sempre diritto di opporsi e chiedere la cessazione dell’invio.
3⃣ Esempio in cui l’opposizione È possibile
Caso clinico: La struttura sanitaria comunica i dati del paziente ad una società esterna per indagini statistiche o ricerche di mercato.
Trattamento dati: Trasferimento dati a terzi per finalità commerciali o statistiche.
Può opporsi? SÌ. Trattamento accessorio, non obbligatorio. Il paziente può sempre negare o revocare il consenso, o opporsi per motivi legati alla sua situazione personale.
4⃣ Esempio in cui l’opposizione NON può essere esercitata
Caso clinico: Il paziente chiede al medico di non inserire alcune informazioni rilevanti nella propria cartella clinica ufficiale.
Trattamento dati: Annotazioni obbligatorie in cartella clinica.
Può opporsi? NO. La tenuta della cartella è obbligatoria per legge (fini medico-legali, tracciabilità terapeutica, responsabilità professionale). Il medico deve registrare tutte le informazioni rilevanti per la diagnosi e la terapia.
5⃣ Esempio borderline
Caso clinico: Il paziente, affetto da una patologia rara, si oppone al trattamento dei propri dati per studi scientifici condotti dalla struttura.
Trattamento dati: Raccolta e analisi dati sanitari a fini di ricerca.
Può opporsi? Sì, ma… Se la ricerca si fonda sul consenso o sul legittimo interesse, l’opposizione può essere valida. Tuttavia, se lo studio è stato autorizzato dall’autorità sanitaria e avviene in anonimato, l’opposizione potrebbe non essere accolta.
Riepilogo per il medico
Situazione
Può opporsi?
Dati trattati per la diagnosi e cura
No
Cartella clinica e referti obbligatori
No
Invio newsletter o comunicazioni promozionali
Sì
Cessione dati a terzi per finalità commerciali
Sì
Studi scientifici non obbligatori
Sì
Studi obbligatori o anonimizzati autorizzati
In genere no
IL DIRITTO DI RETTIFICA
Il diritto di rettifica del paziente sui propri dati sanitari: esempi pratici
Il Regolamento Generale sulla Protezione dei Dati (art. 16 GDPR) riconosce al paziente il diritto di ottenere la rettifica dei propri dati personali inesatti o l'integrazione di quelli incompleti.
In ambito medico, tuttavia, l’esercizio di tale diritto richiede particolare attenzione, perché coinvolge anche aspetti clinici, deontologici e medico-legali.
La regola generale
Il paziente può chiedere:
La correzione di dati errati (es. data di nascita, codice fiscale, recapiti);
L’integrazione di dati incompleti (es. allergie omesse, patologie pregresse non annotate);
La precisazione di informazioni cliniche non aggiornate.
⚠ Importante:
Il diritto di rettifica non consente però al paziente di "modificare" valutazioni cliniche, diagnosi o giudizi professionali espressi dal medico, salvo che vi siano effettivi errori o omissioni documentabili.
ESEMPI CONCRETI
1⃣ Esempio in cui la rettifica DEVE essere accolta
Caso clinico:
La scheda anagrafica del paziente riporta erroneamente la data di nascita 12/03/1972 invece di 12/03/1971.
Rettifica richiesta:
Correzione della data.
Obbligo del medico:
SÌ. Si tratta di un errore oggettivo su dati identificativi.
2⃣ Esempio in cui la rettifica DEVE essere accolta
Caso clinico:
La cartella clinica non riporta l’allergia al penicillina, sebbene dichiarata dal paziente.
Rettifica richiesta:
Inserimento dell’allergia.
Obbligo del medico:
SÌ. Il dato clinico rilevante va integrato per la sicurezza terapeutica.
3⃣ Esempio in cui la rettifica NON può essere accolta
Caso clinico:
Il paziente contesta la diagnosi di "ansia generalizzata" posta dallo psichiatra e chiede la cancellazione di tale voce dalla cartella.
Rettifica richiesta:
Rimozione diagnosi.
Obbligo del medico:
NO. La diagnosi è frutto di valutazione clinica autonoma. Può semmai essere aggiornata se nel tempo emergono nuovi elementi.
4⃣ Esempio borderline
Caso clinico:
Il paziente si accorge che un valore di laboratorio è stato trascritto erroneamente dal personale (inversione di due cifre).
Rettifica richiesta:
Correzione del valore ematochimico.
Obbligo del medico:
SÌ. Se documentabile l'errore materiale, il dato va rettificato.
5⃣ Esempio pratico di integrazione su richiesta
Caso clinico:
Il paziente fornisce nuova documentazione che comprova una patologia pregressa non rilevata in anamnesi iniziale.
Rettifica richiesta:
Aggiornamento della cartella clinica.
Obbligo del medico:
SÌ. L’integrazione dei dati anamnestici è doverosa per la completezza della documentazione sanitaria.
Riepilogo per il medico
Situazione
Deve rettificare?
Errore anagrafico/documentale
Sì
Dati anamnestici mancanti
Sì
Errori di trascrizione esami
Sì
Contestazione di diagnosi
No
Contestazione valutazione professionale
No
Aggiornamenti anamnestici documentati
Sì
IL DIRITTO DI PORTABILITA'
Il diritto del paziente alla portabilità dei dati: cosa significa concretamente
Tra i nuovi diritti introdotti dal GDPR, quello alla portabilità dei dati (art. 20 GDPR) è spesso poco compreso, soprattutto in ambito sanitario. Cerchiamo di chiarirlo con esempi pratici per aiutare il medico a gestire correttamente eventuali richieste.
La regola generale
La portabilità consente al paziente:
di ricevere i dati personali che ha fornito al medico in un formato strutturato, di uso comune e leggibile da dispositivo automatico (es.: file elettronico, PDF, CSV);
e/o di trasmetterli direttamente ad altro titolare (ad es. altro medico o struttura sanitaria).
Condizioni:
il trattamento deve basarsi su consenso o su contratto;
il trattamento deve essere effettuato con mezzi automatizzati (quindi dati digitali, non cartacei).
ESEMPI CONCRETI
1⃣ Esempio tipico di portabilità
Caso clinico:
Il paziente cambia medico di base e chiede la trasmissione del proprio fascicolo sanitario elettronico al nuovo medico.
Dati coinvolti:
Esami, diagnosi, prescrizioni, referti digitali.
È applicabile la portabilità?
SÌ.
I dati sono stati trattati con strumenti elettronici e su base contrattuale (prestazione sanitaria richiesta dal paziente).
2⃣ Esempio in cui NON si applica la portabilità
Caso clinico:
Il paziente chiede al medico di ricevere copia cartacea della sua cartella clinica redatta solo su supporto cartaceo.
È applicabile la portabilità?
NO.
Qui opera solo il diritto di accesso (art. 15 GDPR). La portabilità riguarda solo i dati in formato elettronico.
3⃣ Esempio borderline
Caso clinico:
Il paziente chiede al medico estetico di ricevere copia digitale delle foto pre e post trattamento per inviarle ad altro specialista.
Dati coinvolti:
Immagini e referti digitali.
È applicabile la portabilità?
SÌ, se le immagini sono state acquisite e conservate in formato digitale e il trattamento si basa su consenso.
4⃣ Esempio in cui la portabilità NON prevale
Caso clinico:
Il paziente chiede il trasferimento automatico della sua cartella clinica a un’assicurazione privata.
È applicabile la portabilità?
NO.
La trasmissione verso terzi non sanitari (es.: assicurazioni) richiede comunque il rispetto delle normative sulla privacy e sul segreto professionale. Occorre valutare attentamente la legittimità e acquisire apposito consenso informato.
Riepilogo per il medico
Situazione
È applicabile la portabilità?
Fascicolo sanitario elettronico
Sì
Cartella clinica solo cartacea
No
Copia semplice di referti digitali
Sì
Trasmissione verso assicurazioni
No (serve consenso)
Dati estetici o immagini digitali su consenso
Sì
IL DIRITTO ALLA LIMITAZIONE DEL TRATTAMENTO
Il diritto del paziente alla limitazione del trattamento: esempi pratici
Oltre al diritto di accesso, rettifica, opposizione e portabilità, il paziente ha anche il diritto alla limitazione del trattamento dei propri dati personali, disciplinato dall’art. 18 GDPR.
Ma cosa significa in concreto? E soprattutto: come deve regolarsi il medico?
La regola generale
La limitazione del trattamento consiste nel “congelare” temporaneamente l’uso dei dati: i dati restano conservati, ma non possono essere trattati ulteriormente se non per conservarli o per tutelare diritti legali.
Il paziente può chiedere la limitazione:
se contesta l’esattezza dei dati (in attesa di verifica);
se il trattamento è illecito ma non vuole la cancellazione;
se i dati non servono più, ma servono per far valere un diritto;
se si è opposto al trattamento e si attende la valutazione prevalenza degli interessi.
ESEMPI CONCRETI
1⃣ Esempio tipico: contestazione dell’esattezza
Caso clinico:
Il paziente contesta un’errata diagnosi inserita in cartella clinica e chiede di correggerla.
Trattamento dati:
Anamnesi e diagnosi.
Si applica la limitazione?
SÌ.
Il medico deve limitare il trattamento di quei dati contestati, in attesa di verifica o rettifica. Gli altri dati restano utilizzabili.
2⃣ Esempio: dati non più necessari, ma conservati per fini legali
Caso clinico:
Il paziente ha cessato il rapporto con il medico da anni e chiede la cancellazione, ma sono pendenti contenziosi legali.
Trattamento dati:
Cartella clinica archiviata.
Si applica la limitazione?
SÌ.
Il medico può conservarli limitando ogni altro utilizzo, in quanto necessari solo a difesa legale.
3⃣ Esempio: trattamento illecito ma il paziente non vuole la cancellazione
Caso clinico:
Un test genetico è stato effettuato senza adeguata informativa. Il paziente contesta il trattamento ma preferisce non cancellare il risultato perché potrebbe essergli utile in futuro.
Si applica la limitazione?
SÌ.
I dati possono restare archiviati ma non utilizzabili attivamente.
4⃣ Esempio: opposizione pendente
Caso clinico:
Il paziente si oppone al trattamento dei suoi dati per ricerche scientifiche facoltative in attesa della decisione dell’autorità.
Si applica la limitazione?
SÌ.
Finché non viene deciso il bilanciamento degli interessi, i dati devono restare limitati nel trattamento.
5⃣ Esempio in cui NON si applica la limitazione
Caso clinico:
Il paziente chiede di limitare la registrazione di una terapia essenziale in cartella clinica.
Trattamento dati:
Annotazioni obbligatorie a fini medico-legali e di cura.
Si applica la limitazione?
NO.
Il medico ha l’obbligo legale di registrare integralmente il trattamento sanitario.
Riepilogo per il medico
Situazione
Si applica la limitazione?
Dati contestati in attesa di verifica
Sì
Dati non più necessari salvo fini legali
Sì
Trattamento illecito ma paziente vuole conservarli
Sì
Opposizione pendente
Sì
Dati indispensabili per la cura
No
DIRITTO AL RICORSO E AL RECLAMO
Il diritto del paziente di presentare reclamo e ricorso
Quando il paziente ritiene che il trattamento dei propri dati sanitari violi il GDPR, ha diritto di:
1️⃣ Presentare un reclamo al Garante Privacy (art. 77 GDPR)
Il paziente può rivolgersi direttamente al Garante per la protezione dei dati personali.
Il reclamo può essere presentato anche tramite moduli online.
Il Garante avvierà un’istruttoria e potrà sanzionare il titolare del trattamento, ordinare la cessazione o la modifica del trattamento.
Esempio pratico:
Il paziente scopre che il suo medico ha pubblicato sui social immagini cliniche senza adeguato consenso. Può presentare reclamo al Garante.
2️⃣ Presentare ricorso all’autorità giudiziaria (art. 79 GDPR)
Il paziente può agire in giudizio per far valere i propri diritti.
Il ricorso può essere presentato anche in parallelo o indipendentemente dal reclamo al Garante.
Si può ottenere il blocco del trattamento illecito e anche il risarcimento dei danni.
Esempio pratico:
Una struttura sanitaria ha comunicato a terzi i dati di un paziente senza base giuridica. Il paziente può citare in giudizio la struttura e chiedere i danni.
In breve:
Azione
Dove si presenta
Effetti possibili
Reclamo
Garante Privacy
Sanzioni, ordini di modifica
Ricorso
Tribunale ordinario
Blocco trattamento, risarcimento danni
Suggerimento per il medico:
👉 Tenere sempre tracciabilità scritta del consenso, delle informative rilasciate e dei presupposti giuridici adottati per i trattamenti.
👉 Curare la trasparenza: quanto più il paziente è correttamente informato, tanto meno aumentano i rischi di contestazioni.
DIRITTO A RICEVERE UNA RISPOSTA
Avete letto che la domanda del paziente deve essere riscontrata entro 30 giorni. Anche solo il fatto di non rispondere viene sanzionato (anche pesantemente) dal Garante.
DIRITTO ALLA PRIVACY E CONSENSO INFORMATO
Consenso privacy (GDPR) ≠ consenso informato (Legge 219/2017): come convivono
Quando il paziente entra in ambulatorio si imbatte in due consensi diversi, autonomi e non sovrapponibili. Il fatto che si chiamino entrambi “consenso” genera confusione, ma in realtà riguardano oggetti, fonti normative e finalità distinte.
Che cos’è
Consenso privacy<br>(artt. 6-7 e 9 GDPR)
Consenso informato medico<br>(Legge 219/2017)
Oggetto
Il trattamento dei dati personali (dati anagrafici, clinici, immagini, referti).
Il trattamento sanitario vero e proprio (diagnosi, cure, interventi, terapie).
Finalità
Garantire che i dati siano trattati lecitamente, trasparentemente, in modo limitato e sicuro.
Tutelare l’autodeterminazione del paziente e la liceità dell’atto medico.
Base giuridica ordinaria
Consenso esplicito dell’interessato oppure altra base (es. art. 9 §2 h: “necessità di cura” → niente firma per i professionisti sanitari). privacy-regulation.eugaranteprivacy.it
Consenso libero e informato: senza, la prestazione è illecita salvo urgenze o norme speciali. gazzettaufficiale.it
Forma
Deve essere documentato (scritta, digitale, registrazione vocale). Può essere revocato in ogni momento con la stessa facilità con cui è dato.
Può essere scritto, orale o mediante video-registrazione; va annotato in cartella clinica/FSE e può essere revocato in qualsiasi momento prima o durante la cura. ntplusdiritto.ilsole24ore.com
Esenzioni / limiti
Se i dati sono trattati “da o sotto la responsabilità di un professionista sanitario soggetto al segreto professionale” per finalità di prevenzione, diagnosi, assistenza o terapia, il consenso non serve; basta l’informativa. privacy-regulation.eu
Può essere omesso solo nelle urgenze vitali o se il paziente è incapace e non c’è tempo di sentire il tutore; resta l’obbligo di agire secondo le migliori pratiche cliniche. biodiritto.org
Ambito di revoca
Revocando il consenso privacy il titolare deve cessare i trattamenti non fondati su altre basi legali, ma può continuare quelli “necessari” per la cura o obbligatori per legge.
Revocando il consenso sanitario il paziente può rifiutare o interrompere la cura anche se già iniziata; il medico deve rispettare la scelta ed è esente da responsabilità se ha rispettato le procedure. vidas.it
Conseguenze di mancanza / illegittimità
Trattamento illecito → rischio di sanzioni del Garante e risarcimento danni.
Atto medico abusivo → responsabilità civile, penale e disciplinare del professionista. promedical.it
Cosa significa in pratica
Visita oculistica in studio privato
Il medico registra anamnesi e referti senza chiedere il consenso privacy (usa l’esenzione art. 9 § 2 h); consegna però l’informativa GDPR.
Deve invece ottenere il consenso informato prima di instillare il collirio midriatico o eseguire l’OCT.
Ricontatto del paziente per promozioni o survey di marketing
Non rientra nelle finalità di cura → serve un consenso privacy dedicato e granulare; il paziente può negarlo senza pregiudicare l’assistenza. consultingpb.com
Emergenza in PS
Se il paziente è incosciente: l’équipe procede senza consenso informato (urgenza) ma tratta i dati in forza dell’esenzione GDPR e delle norme sull’emergenza sanitaria.
in sintesi
Consenso privacy tutela come usiamo i dati; può non essere richiesto in ambito di cura se li tratta un professionista sanitario.
Consenso informato tutela se e quali cure il paziente accetta; è sempre necessario salvo emergenze.
Sono indipendenti: il paziente può negare l’uso dei dati per marketing ma accettare la terapia, o viceversa sospendere la terapia ma permettere lo studio clinico sui dati già raccolti (se esiste un’altra base legale).
Sapere dove finisce uno e comincia l’altro è il primo passo per evitare sanzioni… e soprattutto per rispettare davvero la volontà del paziente in tutte le sue forme.
Perché non si possono “fondere” i due moduli?
Fonti diverse: regolamento europeo sulla protezione dei dati vs legge nazionale su diritti sanitari.
Contenuti diversi: l’informativa privacy parla di tempi di conservazione, diritti d’accesso, DPO; il consenso informato spiega diagnosi, benefici, rischi e alternative terapeutiche.
Possibili combinazioni di firme: spesso si usano moduli separati o un unico foglio con due sezioni distinte e due caselle di firma per non viziare la libertà di scelta
GDPR in ambulatorio: chi deve chiedere il consenso e chi no? Facciamo chiarezza
mmaginate di entrare nello studio dell’oculista per un controllo della vista: vi siede davanti, vi fa leggere le solite lettere sfocate e – sorpresa! – non vi mette sotto il naso un modulo da firmare per il consenso al trattamento dei dati. Tutto regolare. Ma se, appena usciti, fate un salto dall’ottico per scegliere i nuovi occhiali, eccolo lì il foglio con la penna: «Firmi qui per la privacy, grazie». Perché questa differenza? C’entra (eccome) il GDPR, il regolamento europeo che da sette anni regola la vita – e i dati – di pazienti e clienti.
La regola base: niente dati sanitari senza motivo
Il GDPR parte da un divieto: i dati sulla salute sono sacri, si trattano solo in casi ben precisi. Uno di questi – l’articolo 9, per i fanatici della normativa – dice che se a maneggiare quei dati è un professionista sanitario soggetto a segreto professionale, allora il consenso non serve: basta informare il paziente su cosa verrà fatto con le informazioni raccolte.
Chi rientra nell’esenzione
Oculisti, fisioterapisti, infermieri, veterinari, psicologi… insomma, tutti i “camici” iscritti a un Ordine o Albo nazionale riconosciuto dal ministero della Salute. La legge 3/2018 ne elenca trenta, suddivise in quattro grandi aree (infermieristico-ostetrica, riabilitazione, tecnico-diagnostica e prevenzione), più gli ordini storici di medici, farmacisti & co. Se siete dentro questo club, niente firma del consenso per la visita o la terapia: consegnate solo l’informativa e via.
Chi resta fuori (e deve farsi firmare il modulo)
Poi ci sono le figure “di confine”, utilissime ma non riconosciute come professioni sanitarie: ottici, odontotecnici, estetisti, massaggiatori sportivi, personal trainer, tatuatori. Non essendo vincolati al segreto professionale, per conservare misure, referti o semplici appunti sui clienti devono chiedere un consenso esplicito. Stesso discorso per osteopati e chiropratici: la loro iscrizione a un ordine è ancora in stand-by, quindi prudenza e modulo alla mano.
Un esempio pratico
Oculista (medico specialista): può inserire nel gestionale l’esito dell’OCT o la vostra anamnesi senza farvi firmare nulla, a patto di avervi già consegnato l’informativa.
Ottico (negozio di occhiali): per registrare la diottria o conservare la prescrizione del medico deve ottenere il vostro “sì” nero su bianco.
Le buone maniere del bravo professionista
Informativa sempre: il paziente va avvisato su cosa farete dei suoi dati e per quanto tempo li terrete.
Niente “multi-uso” senza altro permesso: volete usare la foto di un caso clinico sui social o inviare newsletter promozionali? Serve un nuovo consenso specifico.
Registro dei trattamenti: obbligatorio per chiunque tratti stabilmente dati sanitari, dallo studio dentistico alla micro-clinica privata.
Segreto esteso ai collaboratori: assistenti, stagisti, informatici – tutti devono firmare un impegno di riservatezza.
In soldoni
Se indossate un camice “ufficiale” (e un Ordine vi riconosce), l’esenzione dal consenso è vostra alleata: informate il paziente e lavorate sereni.
Se operate nel mondo wellness o vendete dispositivi, il consenso resta il vostro miglior amico. Meglio una firma in più che una sanzione dell’Autorità Garante.
Così, la prossima volta che qualcuno vi chiederà di scarabocchiare l’ennesimo modulo, saprete se si tratta di burocrazia superflua o di un dovere di legge. E magari potrete fare pure bella figura spiegando il perché.
Chi deve chiedere il Consenso Privacy.
Ottico (vendita occhiali/lenti)
Odontotecnico
Massofisioterapista / Massaggiatore (arti ausiliarie)
Estetista
Tatuatore / Piercer
Personal trainer / Coach sportivo
Puericultrice
Operatore socio-sanitario (OSS)
Naturopata / Erborista / Consulente “wellness”
Coach alimentare privo di abilitazione sanitaria
Osteopata e chiropratico sono stati “individuati” dalla legge 3/2018, ma finché non saranno istituiti gli albi e definiti i percorsi formativi restano fuori dall’esenzione e devono quindi continuare a richiedere il consenso.
Chi non deve chiedere il Consenso Privacy.
Se sei iscritto ad un albo sanitario che ti impone il segreto professionale non ne hai bisogno.
©Copyright. Tutti i diritti riservati.
Abbiamo bisogno del vostro consenso per caricare le traduzioni
Per tradurre i contenuti del sito web utilizziamo un servizio di terze parti che potrebbe raccogliere dati sulla vostra attività. Si prega di rivedere i dettagli nell'informativa sulla privacy e accettare il servizio per vedere le traduzioni.