Alcuni trattamenti di dati sanitari sono subordinati all’espletamento di formalità preliminari presso la CNIL. Al fine di facilitare le procedure degli organismi interessati e il rispetto del loro trattamento, la CNIL ha pubblicato delle norme alle quali devono fare riferimento.
Esistono due tipi di archivi applicabili al trattamento dei dati sanitari:
- le norme e le guide cd “soft law” da un lato; e
- dall’altro, le norme per il trattamento soggetto ad autorizzazione della CNIL.
Standard e guide pratiche della cosiddetta “soft law”.
Le cosiddette norme di “soft law” sono quadri di riferimento non vincolanti. Il fatto che un’organizzazione li segua e li rispetti deve consentirle di rendere i propri trattamenti conformi al GDPR .
Tuttavia, i titolari del trattamento possono decidere di discostarsi da alcune delle loro raccomandazioni, ad esempio a causa di fattori relativi alla loro situazione particolare.
| DEPOSITO | DESCRIZIONE |
|---|---|
| Quadro di riferimento relativo al trattamento dei dati personali destinati alla gestione degli studi medici e paramedici | Applicabile al trattamento dei dati sensibili comunemente attuato nell’ambito della gestione medica e amministrativa di una popolazione di pazienti, da parte di operatori sanitari privati. |
| Riferimento ai periodi di conservazione in ambito sanitario (esclusa la ricerca) | Applicabile al trattamento dei dati in ambito sanitario (esclusa la ricerca), al fine di supportare le parti interessate nell’identificazione e determinazione del relativo periodo di conservazione dei dati .Nota: si distingue tra le durate obbligatorie previste dai testi e le durate non obbligatorie raccomandate dalla CNIL. |
| Riferimento ai periodi di conservazione nel campo della ricerca sanitaria | Applicabile ai trattamenti nell’ambito della ricerca sanitaria, al fine di supportare gli operatori del settore nell’individuazione e determinazione del relativo periodo di conservazione dei dati .Nota: si distingue tra durate obbligatorie previste dai testi e durate facoltative che devono essere rigorosamente motivate dal titolare del trattamento.. |
| Quadro di riferimento relativo al trattamento dei dati personali destinati alla gestione delle farmacie | Applicabile ai trattamenti attuati nell’ambito della gestione sanitaria e amministrativa del paziente/ clienteele delle farmacie, da parte degli operatori delle farmacie farmaceutiche. |
Esistono anche guide pratiche, il più delle volte scritte in collaborazione con altri organismi (ad esempio il consiglio nazionale dell’ordine dei medici o dei farmacisti), che consentono di comprendere meglio la normativa in materia di protezione dei dati sanitari.
| GUIDA | DESCRIZIONE |
|---|---|
| Guida pratica ai circuiti NIR per la ricerca sanitaria | Applicabile al trattamento utilizzando il NIR per finalità di abbinamento (ad esempio per lavorare con dati del Sistema Nazionale Dati Sanitari (SNDS)), nonché alle misure di sicurezza da implementare. |
| Guida pratica del Consiglio dell’Ordine Nazionale dei Medici (CNOM) e della CNIL sulla protezione dei dati personali | Applicabile ai trattamenti eseguiti dai medici in libera professione, in attuazione degli obblighi previsti dalla normativa in materia di protezione dei dati personali. La CNIL ha inoltre pubblicato un’ulteriore FAQ . |
| Guida pratica del Consiglio Nazionale dell’Ordine dei Farmacisti (CNOP) e della CNIL sulla protezione dei dati personali | Applicabile ai trattamenti effettuati dai farmacisti titolari di farmacia, nella loro qualità di responsabili del trattamento. |
| Guida all’Unione Nazionale Associazioni Familiari (UNAF) | Applicabile ai trattamenti attuati dai professionisti del settore sociale e medico-sociale nella loro compliance. |
I “riferimenti” relativi al trattamento soggetto ad autorizzazione
Le “norme di riferimento applicabili ai trattamenti soggetti ad autorizzazione” mirano a semplificare l’approccio degli enti nell’ambito degli adempimenti preliminari.
Infatti, il rispetto integrale di tali norme vi esonererà dall’autorizzazione specifica della CNIL, limitandosi a rilasciare una dichiarazione di conformità .
Attenzione: in alcuni casi sarà comunque necessario il parere o l’autorizzazione di altri organi competenti: Comitato per la Tutela delle Persone (CPP), Comitato Etico e Scientifico per le ricerche, studi e valutazioni in campo sanitario (CESREES), Comitato Nazionale Agenzia per la Sicurezza dei Medicinali (ANSM).
Quadri di riferimento riguardanti il trattamento dei dati sanitari al di fuori della ricerca
| DEPOSITO | DESCRIZIONE |
|---|---|
| Il sistema di riferimento della vigilanza sanitaria | Si applica al trattamento dei dati sanitari personali per le finalità di gestione della vigilanza sanitaria (elencate nel decreto 27 febbraio 2017 ), da parte di aziende, operatori e organizzazioni responsabili della commercializzazione di un medicinale, di un dispositivo o di un prodotto. È stata inoltre pubblicata una FAQ su questo framework per consentire alle organizzazioni di comprenderlo meglio. |
| Il repository relativo all’accesso anticipato | Applicabile al trattamento dei dati personali effettuato nell’ambito dell’accesso anticipato da parte dei laboratori farmaceutici che utilizzano un medicinale. Riguarda il monitoraggio dei pazienti, la messa a disposizione dei farmaci e la gestione dei rapporti con i prescrittori e i dispensatori. |
| Il quadro per l’accesso compassionevole | Applicabile al trattamento dei dati personali effettuato nell’ambito dell’accesso compassionevole da parte di laboratori farmaceutici che utilizzano un medicinale avendo ottenuto l’autorizzazione all’accesso compassionevole purché il monitoraggio del paziente sia richiesto dall’ANSM nella sua decisione. |
| Il repository del data warehouse sanitario | Applicabile alla creazione di banche dati sanitarie, basate sull’esercizio di una missione di interesse pubblico, destinate in particolare ad essere riutilizzate a fini di ricerca, studi o valutazioni nel campo della sanità. È stata inoltre pubblicata una checklist per verificare la conformità dei trattamenti agli standard. |
Quadri di riferimento riguardanti il trattamento dei dati per finalità di ricerca, studi e valutazioni in campo sanitario
| DEPOSITO | DESCRIZIONE |
|---|---|
| Se la ricerca è qualificata come ricerca che coinvolge esseri umani (RIPH) | |
| MR-001 | Applicabile alle ricerche che richiedono il consenso delle persone interessate per svolgere la ricerca. |
| MR-002 | Applicabile alla ricerca prestazionale non interventistica relativa ai dispositivi medico-diagnostici in vitro. |
| MR-003 | Applicabile alle ricerche alle quali l’interessato non si oppone alla partecipazione dopo essere stato informato. |
| Se la ricerca è qualificata come ricerca che non coinvolge esseri umani (RNIPH) | |
| MR-004 | Applicabile a ricerche, studi o valutazioni che non soddisfano la definizione di ricerca che coinvolge esseri umani (studi su dati prospettici o retrospettivi). |
| MR-005 | Applicabile a ricerche, studi o valutazioni che richiedono l’accesso ai dati PMSI e/o RPU da parte di strutture sanitarie e federazioni ospedaliere. |
| MR-006 | Applicabile a ricerche, studi o valutazioni che richiedono l’accesso ai dati PMSI da parte dei produttori di prodotti sanitari. |
| MR-007 | Applicabile a ricerche, studi o valutazioni che richiedono l’accesso alla banca dati principale del SNDS da parte di organizzazioni che agiscono nell’ambito della loro missione di interesse pubblico. |
| MR-008 | Applicabile a ricerche, studi o valutazioni che richiedono l’accesso alla banca dati principale dell’SNSDS da parte di organizzazioni che agiscono nell’ambito dei loro interessi legittimi. |
| Repository ESND (ex EGB) | Regola l’accesso al campione di dati SNDS (ESND). |
Per contribuire all’elaborazione dell’insieme di queste norme, la CNIL consulta regolarmente le organizzazioni pubbliche e private che rappresentano le parti interessate.