Periodo di conservazione dei dati personali sanitari
Come noto, ai sensi dell’art. 13 par. 2 lett. a) e 14 par. 2 lett a) del GDPR il Titolare del trattamento, nel rendere l’informativa all’interessato, deve indicare anche il periodo di conservazione dei dati oppure, se ciò non è possibile, quali sono i criteri utilizzati per determinare tale periodo; si tratta quindi di una informazione che è necessario fornire prima che il trattamento abbia luogo.
In materia non sono state introdotte sostanziali modifiche dal Regolamento e rimane in vigore la normativa previgente.
I riferimenti normativi principali riguardano in realtà la conservazione presso le aziende sanitarie pubbliche dei documenti sanitari e non direttamente i dati sanitari, ma, ovviamente, i dati personali contenuti in quei documenti saranno conservati per lo stesso periodo temporale previsto per il documento.
In merito, si fa riferimento alle seguenti prescrizioni:
- la circolare del Ministero della sanità del 19 dicembre 1986 n. 900;
- l’articolo 5 del D.M. del 18 febbraio 1982;
- l’articolo 4 del D.M. del 14 febbraio 1997.
Ci sono quindi tempi differenziati di conservazione della documentazione sanitaria: secondo quanto stabilito dalla predetta Circolare dicembre 1986 n. 900, “le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamente, poiché rappresentano un atto ufficiale indispensabile a garantire la certezza del diritto, oltre a costituire preziosa fonte documentaria per le ricerche di carattere storico sanitario”.
Deve invece essere conservata, a cura del medico visitatore, per almeno cinque anni, la documentazione inerente gli accertamenti effettuati nel corso delle visite per il rilascio del certificato di idoneità all’attività sportiva agonistica (art. 5, D.M. 18/02/1982).
La documentazione iconografica radiologica deve essere conservata per un periodo non inferiore a dieci anni (art. 4, d.m. 14 febbraio 1997)[6]. Più complessa è l’individuazione del tempi di conservazione per alcuni documenti sanitari per i quali non ci sono indicazioni in disposizioni normative, come, ad esempio, accade per le cartelle cliniche di strutture private non convenzionate; si deve, quindi far riferimento al Regolamento UE 2016/679.
In questo caso, il titolare del trattamento, in virtù del principio di responsabilizzazione previsto per tutti i trattamenti, dovrà individuare tale periodo in modo che i dati siano conservati, in una forma che consenta l’identificazione degli interessati, per un arco di tempo non superiore al conseguimento delle finalità per le quali i dati sono trattati (principio di limitazione della conservazione, art. 5, par. 1, lett. e del Regolamento) e indicare tale periodo (o i criteri per determinarlo) tra le informazioni da rendere all’interessato.
L’individuazione andrà fatta caso per caso ed in via preventiva, sia perché i tempi di conservazione, come detto, devono comparire nell’informativa privacy che viene resa all’interessato al momento della raccolta, sia perché l’erronea cancellazione, distruzione dei dati o l’eccessivo tempo di conservazione possono comportare rilevanti conseguenze sanzionatorie.