Home

Internal

Global

Contatto

Lo Studio Rödl & Partner Italia nell’acquisizione di tre società proprietarie di Impianti Fotovoltaici |

In tutto il mondo

Utilizziamo cookie tecnici per personalizzare il sito web e offrire all’utente un servizio di maggior valore. Chiudendo il banner e continuando con la navigazione verranno installati nel Suo dispositivo i cookie tecnici necessari ai fini della navigazione nel Sito. L’installazione dei cookie tecnici non richiede alcun consenso da parte Sua. Ulteriori informazioni sono contenute nella nostra Cookie Policy.

Il Garante italiano pubblica le FAQ per l’accesso ai dati contenuti nella cartella clinica

Ultimo aggiornamento del 21.01.2025 | Tempo di lettura ca. 4 minuti

Der Text ist auch auf Deutsch verfügbar »

Nel mese di dicembre 2024, a seguito di alcuni reclami di interessati che lamentavano il mancato rilascio gratuito da parte di strutture sanitarie della prima copia cartacea della propria cartella clinica, il Garante privacy italiano ha fornito chiarimenti sulle modalità per correttamente gestire le richieste di accesso ex art. 15 GDPR con riferimento a tali documenti ed informazioni, pubblicando specifiche FAQ.

Come noto, ai sensi dell’art. 15, comma 1, del GDPR, l'interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l'accesso ai dati personali e alle seguenti informazioni:

le finalità del trattamento;
le categorie di dati personali in questione;
i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
il diritto di proporre reclamo a un'autorità di controllo;
qualora i dati non siano raccolti presso l'interessato, tutte le informazioni disponibili sulla loro origine;
l'esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all'articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

Ai sensi del comma 3 della disposizione, il titolare del trattamento, in occasione dell’esercizio del diritto, è tenuto a fornire una copia dei dati personali oggetto di trattamento e se l'interessato presenta la richiesta mediante mezzi elettronici le informazioni devono essere fornite in un formato elettronico di uso comune. In cosa si traduce tale specifico obbligo del titolare quando questi coincide con una struttura ospedaliera e l’oggetto della richiesta dell’interessato verte sui documenti contenuti nella cartella clinica?

Anzitutto, il Garante italiano ha chiarito che l’interessato, con la sua richiesta, può accedere a e ottenere copia dei dati personali oggetto di trattamento: solo nei casi in cui sia necessario garantire l’esattezza, la completezza e l’intelligibilità delle informazioni richieste il titolare è invece tenuto a fornire copia integrale dei documenti contenenti tali dati (in tal senso, il Garante cita la recente sentenza CGUE 307-22 del 26 ottobre 2023). Dunque, sarà il titolare del trattamento a dover valutare, caso per caso, se effettivamente sussista tale esigenza per l’interessato, per bilanciare il riscontro alla richiesta e soprattutto per poter autorizzare le specifiche modalità di gestione (con tutto quanto ne deriva e concerne in termini operativi).

L’articolo 12, comma 5, GDPR, sul punto, sancisce che se le richieste dell'interessato sono manifestamente infondate o eccessive il titolare del trattamento può addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l'azione richiesta, oppure direttamente rifiutare di soddisfare la richiesta, dimostrando il carattere manifestamente infondato o eccessivo della stessa.

Il Garante, per questo, con le sue FAQ, ha ricordato che l’interessato non può pretendere di ottenere a titolo gratuito copia di tutta la documentazione contenuta in cartella clinica: con la sua richiesta di accesso, questi ha diritto di ricevere a titolo gratuito solo la copia dei dati personali e dunque non necessariamente copia di tutti i documenti contenuti in tale cartella. Peraltro, solo la prima copia dei dati viene fornita gratuitamente, dovendosi prevedere il pagamento di un minimo compenso per successive copie.

Come invece gestire i casi in cui la richiesta di accesso fosse generica? Le FAQ del Garante italiano richiamano le Linee guida 1/2022 dell’EDPB: dal momento che il GDPR non prevede requisiti formali per la presentazione di richieste di accesso ai dati personali ai sensi dell’art. 15, si suggerisce ai titolari una certa indulgenza nei confronti dei richiedenti. Chiaro che, se la richiesta fosse del tutto incomprensibile e perciò non consentisse di procedere alla sua agevole gestione, il titolare dovrebbe chiedere all'interessato di specificare l'oggetto della richiesta stessa, o comunque di meglio dettagliarla. Tale ipotesi potrebbe, peraltro, giustificare una proroga del termine per la gestione della richiesta che dunque slitterebbe di ulteriori 30 giorni dal momento del riscontro interlocutorio del titolare.

Alla luce delle FAQ del Garante italiano, si suggerisce pertanto alle strutture sanitarie con sede in Italia di verificare ed eventualmente aggiornare le proprie policy sulla gestione delle richieste degli interessati, nonché di informare e formare le risorse umane coinvolte in tali processi adeguatamente, valutando in parallelo l’adozione di tool automatizzati a supporto.