ODONTOTECNICI - IL GARANTE DELLA PRIVACY CONFERMA L'UTILIZZO DELLA PSEUDONIMIZZAZIONE PER DICHIARAZIONE DI CONFORMITA' E FATTURAZIONE

Con riferimento all'utilizzo della pseudonimizzazione da parte dei laboratori odontotecnici per il trattamento dei dati personali, era stato posto il quesito per capire se tale misura fosse compatibile con l'applicazione dell'esenzione IVA per le prestazioni sanitarie (art. 10 c. 18 DPR 633/72).

La risposta del Garante della Privacy è stata positiva, salvo il caso di prestazione eseguita dall'odontotecnico direttamente nei confronti del cliente. A sostegno di questa tesi, il Garante ha portato una serie di argomentazioni  che riassumiamo di seguito.

Cosa si intende per pseudonimizzazione

Per pseudonimizzazione si intende il trattamento dei dati personali svolto in modo tale che questi ultimi non possano più essere attribuiti a un interessato specifico senza l'utilizzo di informazioni aggiuntive. Si tratta di una misura di sicurezza del trattamento, esplicitamente prevista dal Regolamento, che il titolare del trattamento può mettere in atto per garantire un livello di sicurezza adeguato al rischio.

Pseudonimizzazione e fatturazione

La pseudonimizzazione non contrasta con gli obblighi di fatturazione dell'odontotecnico e può essere adottata da quest'ultimo, salvo alcuni casi specifici sotto riportati.

Nell'esercizio dell'attività dell'odontotecnico si possono presentare due differenti casi: nel caso più frequente, l'odontotecnico svolge la propria attività in base alle prescrizioni mediche dell'odontoiatra, senza avere alcun rapporto con il cliente finale. In tal caso la fattura sarà emessa nei confronti dell'odontoiatra di cui andranno riportati gli estremi identificativi (nome, cognome, etc.). Non sarà quindi necessario indicare, né conoscere i dati del cliente finale. Di conseguenza in questi casi l'adozione della misura della pseudonimizzazione è possibile e non preclude l'applicazione dell'esenzione IVA. Il secondo caso, meno frequente, si verifica quando la prestazione dell'odontotecnico è svolta direttamente nei confronti del cliente (è il caso della riparazione di un dispositivo medico su richiesta diretta del cliente, senza l'intermediazione dell'odontoiatra). In tali casi non sarà possibile utilizzare la psudonimizzazione in quanto la fattura verrà emessa nei confronti del cliente finale di cui andranno riportate le generalità. Di conseguenza l'odontotecnico dovrà raccogliere i dati personali del cliente e trattarli in conformità al GDPR.

Pseudonimizzazione e dichiarazione di conformità

Ulteriore elemento di analisi da verificare è se la pseudonimizzazione sia compatibile con il rilascio della dichiarazione di conformità del dispositivo medico su misura.

Il Regolamento europeo 2017/745, all'art. 21 obbliga l'odontotecnico a rilasciare tale dichiarazione di conformità in qualità di fabbricante del dispositivo stesso stabilendo i dati che devono essere riportati, in particolare il cliente deve poter essere identificato mediante il nome, un acronimo o un codice numerico. Di conseguenza non ci sono impedimenti all'utilizzo della pseudonimizzazione nella compilazione della dichiarazione di conformità da parte dell'odontotecnico, dato che il codice è previsto in alternativa all'indicazione del nome.

Pseudonimizzazione e rimborsi delle Assicurazioni

Occorre infine verificare le ripercussioni nei rapporti con le Compagnie di assicurazione. Accade spesso che il paziente stipuli una polizza assicurativa per coprire le spese del dispositivo medico. In tali casi va verificato se la fattura, in assenza del nome del cliente, possa in qualche misura rendere il rimborso da parte dell'Assicurazione più difficoltoso. 

Nella generalità dei casi, per tali richieste di rimborso verrà utilizzata la fattura rilasciata dall'odontoiatra, che conterrà nome e cognome del paziente, e non la fattura dell'odontotecnico che potrà utilizzare la pseudonimizzazione.