In 2 frasi. Il GDPR ti conferisce 6 diritti sui tuoi dati personali, compresi i dati sanitari (considerati «sensibili»). Ecco come esercitarli, con i testi esatti e i termini da conoscere.
Prima di cominciare: chi è interessato?
Il GDPR (Regolamento generale sulla protezione dei dati, UE 2016/679) si applica a qualsiasi organizzazione che tratta dati personali nell'UE. Per i tuoi dati sanitari, ciò riguarda:
- Il tuo medico curante, i tuoi specialisti, il tuo farmacista
- Gli ospedali, le cliniche, i laboratori, i centri di radiologia
- La CNAM, la tua mutua, Mon Espace Santé
- Le applicazioni sanitarie (tra cui My Data My Care)
- I dispositivi connessi per la salute e i loro editori
I dati sanitari sono classificati come «dati sensibili» dall'articolo 9 del GDPR: il loro trattamento è in linea di principio vietato, salvo eccezioni rigorosamente disciplinate (consenso esplicito, erogazione di cure, interesse pubblico in materia di salute).
Diritto n°1 — L'accesso (articolo 15)
Hai il diritto di sapere quali dati sono detenuti su di te, per quali finalità, con chi vengono condivisi e per quanto tempo vengono conservati.
Come esercitarlo
Invia una richiesta scritta (l'email è sufficiente) al titolare del trattamento o al DPO (Responsabile della Protezione dei Dati). Dicitura: «Richiedo, sulla base dell'articolo 15 del GDPR, la comunicazione dei dati che mi riguardano».
Termine di risposta
1 mese, prorogabile a 3 mesi per richieste complesse. Gratuito (salvo richieste ripetitive).
Diritto n°2 — La rettifica (articolo 16)
Se i tuoi dati sono inesatti o incompleti (data di nascita errata, allergia indicata male, anamnesi errata), puoi chiederne la correzione.
Caso particolare della cartella clinica
Le osservazioni cliniche di un medico non possono essere «rettificate» dal paziente — sono l'espressione di un'opinione medica protetta. Ma puoi chiedere l'aggiunta di un'osservazione contraddittoria («commento del paziente»), che resterà nella cartella.
Diritto n°3 — La cancellazione (articolo 17)
Detto anche «diritto all'oblio». Puoi chiedere la cancellazione dei tuoi dati in determinati casi:
- Quando non sono più necessari alla finalità iniziale
- Quando revochi il tuo consenso
- Quando il trattamento è illecito
- Quando raggiungi la maggiore età medica e dei dati sono stati raccolti durante la tua minore età
Limiti importanti
I dati sanitari hanno una durata legale di conservazione (20 anni dopo l'ultima prestazione, codice della sanità pubblica). Puoi chiederne la cancellazione, ma il titolare può rifiutare in nome di un obbligo legale o di un interesse pubblico in materia di salute.
Diritto n°4 — La portabilità (articolo 20)
Puoi ottenere i tuoi dati in un formato strutturato, di uso comune e leggibile da una macchina, e trasmetterli a un altro servizio.
In pratica per la salute
Il formato standard è FHIR R4 (Fast Healthcare Interoperability Resources). Tutti i servizi sanitari conformi devono offrire un'esportazione FHIR. My Data My Care, ad esempio, fornisce questa esportazione con un clic dall'app, senza procedure né giustificazioni.
Importante. Questo diritto si applica solo ai dati che hai fornito, o ai dati generati dalla tua attività (dispositivi connessi, appuntamenti). Non si applica alle osservazioni cliniche dedotte da un medico.
Diritto n°5 — L'opposizione (articolo 21)
Puoi opporti a un trattamento dei tuoi dati per motivi connessi alla tua situazione particolare. In ambito sanitario, ciò consente ad esempio di:
- Rifiutare che i tuoi dati alimentino uno studio epidemiologico
- Rifiutare la creazione automatica del tuo Mon Espace Santé (opt-out da attivare su monespacesante.fr)
- Opporti alla trasmissione dei tuoi dati alla tua mutua oltre lo stretto necessario al rimborso
Il titolare può mantenere il trattamento se dimostra un motivo legittimo cogente. Per la salute, l'interesse pubblico in materia di sanità pubblica può prevalere sulla tua opposizione.
Diritto n°6 — La limitazione (articolo 18)
Puoi chiedere il congelamento temporaneo di un trattamento, ad esempio per il tempo necessario a risolvere una controversia sull'esattezza dei dati. Durante la limitazione, i tuoi dati vengono conservati ma non più utilizzati.
Diritti specifici per la salute
Accesso diretto alla cartella clinica
Oltre al GDPR, il Codice della sanità pubblica (articolo L. 1111-7) ti conferisce un diritto di accesso diretto alla tua cartella clinica, senza passare per un medico intermediario. Termine: 8 giorni (cartelle recenti) a 2 mesi (archivi antichi).
Direttive post-mortem
Dalla legge del 2016, puoi designare quando sei in vita una persona che avrà accesso ai tuoi dati sanitari dopo il tuo decesso, oppure al contrario chiederne la cancellazione immediata.
Cosa fare in caso di rifiuto o di silenzio?
Se il titolare non risponde entro 1 mese o rifiuta senza motivo valido, puoi:
- Rivolgerti alla CNIL — gratuito, online su cnil.fr. Termine di risposta: da 3 a 6 mesi.
- Rivolgerti al tribunale ordinario — nei casi gravi, per ottenere il risarcimento dei danni.
- Rivolgerti a un mediatore — alcune mutue e organismi hanno un mediatore dedicato.
Gli impegni MDMC rispetto a questi diritti
Da My Data My Care, questi 6 diritti sono esercitabili direttamente dall'applicazione:
- Accesso — tutto è visibile in permanenza nel tuo passaporto
- Rettifica — modifica diretta del tuo profilo, storico conservato
- Cancellazione — eliminazione dell'account con un clic, cancellazione irreversibile entro 30 giorni
- Portabilità — esportazione FHIR R4 completa con un clic
- Opposizione — qualsiasi trattamento opzionale è disattivabile individualmente
- Limitazione — modalità «sola lettura» attivabile
Per esercitare i tuoi diritti fuori dall'app: dpo@mydatamycare.com. Risposta entro 1 mese al massimo.