Cancellazione dati paziente: cosa deve fare il medico
Share
La richiesta è sempre più frequente: il paziente scrive, o si presenta direttamente in studio, e chiede la cancellazione dei propri dati personali. È l’effetto più visibile della diffusione del GDPR e della crescente attenzione verso la privacy. Nel contesto sanitario, però, questa richiesta non può essere gestita come accade in altri settori. Qui il dato non è solo un’informazione personale, ma è parte integrante della cura. E proprio per questo il diritto alla cancellazione si scontra con una serie di obblighi che il medico non può ignorare. Il risultato è una situazione apparentemente paradossale: il paziente ha diritto a chiedere, ma il professionista non sempre ha il potere di concedere.
Dati sanitari: perché la legge impone di conservarli
Il punto di partenza è la natura stessa del dato sanitario. Il GDPR lo considera una categoria “particolare”, meritevole di una tutela rafforzata. Ma, allo stesso tempo, il sistema normativo italiano ne impone la conservazione. Le indicazioni del Garante per la protezione dei dati personali chiariscono che la documentazione sanitaria non può essere trattata come un dato qualsiasi. Cartelle cliniche, referti e prescrizioni rappresentano la traccia documentale del percorso di cura e devono essere disponibili anche a distanza di anni. Questa esigenza non è solo amministrativa. Ha una funzione precisa: garantire la continuità assistenziale e permettere, se necessario, la ricostruzione delle decisioni cliniche. In altre parole, il dato sanitario è anche uno strumento di tutela, sia per il paziente sia per il medico.
Il conflitto tra diritto all’oblio e obblighi di legge
È proprio qui che emerge il nodo centrale. Il GDPR riconosce il diritto alla cancellazione, ma prevede anche una serie di eccezioni. In ambito sanitario, queste eccezioni diventano la regola.
Il medico, infatti, è spesso vincolato da obblighi di conservazione che derivano da norme sanitarie, fiscali e civilistiche. Questo significa che, anche di fronte a una richiesta legittima, la cancellazione non è possibile se i dati devono essere conservati per legge o per finalità di tutela giuridica. Il diritto all’oblio, quindi, non scompare, ma viene ridimensionato. Non è un diritto automatico, bensì un diritto da bilanciare con altri interessi di pari livello.
Quando la cancellazione è davvero possibile
Esistono comunque situazioni in cui la richiesta del paziente deve essere accolta. Accade quando i dati non sono più necessari rispetto alle finalità per cui sono stati raccolti oppure quando il trattamento si fonda esclusivamente sul consenso e questo viene revocato. È il caso, ad esempio, delle attività non strettamente sanitarie, come comunicazioni informative o servizi digitali accessori. In queste circostanze, il dato perde la sua funzione originaria e non esistono obblighi che ne giustifichino la conservazione. In presenza di queste condizioni, il professionista non ha margini di discrezionalità: la cancellazione deve essere effettuata.
Molto più spesso, però, la risposta è negativa
Nella pratica quotidiana, la maggior parte delle richieste riguarda dati clinici. Ed è proprio qui che il diritto alla cancellazione incontra i suoi limiti più evidenti.
La documentazione sanitaria deve essere conservata perché può essere necessaria per ricostruire un percorso di cura o per affrontare eventuali contenziosi. Anche gli obblighi fiscali impongono la conservazione di alcuni dati per periodi definiti. In questi casi, il medico non può cancellare i dati, ma deve comunque gestire la richiesta in modo corretto. Questo significa fornire una risposta chiara, motivata e nei tempi previsti dal GDPR. Non rispondere, o farlo in modo generico, espone a rischi sanzionatori.
Cancellare non significa sempre eliminare
Uno degli aspetti più fraintesi riguarda il significato della cancellazione. Nel linguaggio del GDPR, non coincide necessariamente con la distruzione del dato. Esiste infatti la possibilità di limitare il trattamento, riducendo l’utilizzo delle informazioni al minimo indispensabile. È una soluzione che consente di rispettare gli obblighi di conservazione senza continuare a utilizzare i dati per finalità non più giustificate.
In ambito sanitario, questa opzione rappresenta spesso il punto di equilibrio più efficace. Permette di mantenere la documentazione necessaria, ma allo stesso tempo risponde alla richiesta del paziente di ridurre l’impatto del trattamento sui propri dati personali.
Una gestione che misura la qualità organizzativa
Ricevere una richiesta di cancellazione non è un episodio marginale. È, al contrario, un indicatore della maturità organizzativa di uno studio o di una farmacia. Le indicazioni operative insistono su un punto: la gestione deve essere strutturata. Non si tratta solo di decidere se cancellare o meno, ma di seguire un percorso che includa verifica dell’identità, analisi della richiesta e risposta entro i termini previsti. Il GDPR, infatti, introduce il principio di accountability, che obbliga il titolare del trattamento a dimostrare di aver agito correttamente. In questo senso, ogni richiesta diventa una prova concreta di conformità.
Tra diritti del paziente e responsabilità del medico
La cancellazione dei dati sanitari, dunque, è un terreno in cui si incontrano due esigenze fondamentali: la tutela della persona e la sicurezza del sistema sanitario. Per il paziente, rappresenta un diritto di controllo sulle proprie informazioni. Per il medico, è un ambito in cui si intrecciano obblighi normativi e responsabilità professionale. Gestire correttamente questa richiesta significa trovare un equilibrio tra queste due dimensioni. Non si tratta solo di applicare una norma, ma di interpretarla nel contesto della pratica clinica. Ed è proprio in questo equilibrio che si costruisce, oggi più che mai, la fiducia tra paziente e professionista sanitario.
Scopri come il team di OKPrivacy può aiutarti a proteggere i tuoi dati e quelli dei tuoi pazienti