Provvedimento del Garante per la protezione dei dati personali del 9 novembre 2005.
Strutture sanitarie: rispetto della dignità.
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Giovanni Buttarelli, segretario generale;
Vista la normativa internazionale e comunitaria in materia di protezione dei dati personali (direttiva n. 95/46/CE), anche in relazione agli articoli 2, 10, 11 e 32 della Costituzione;
Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;
CONSIDERATO:
1. Premessa
Sono pervenuti a questa Autorità reclami e segnalazioni con i quali si rappresenta che alcune strutture sanitarie, nell'erogare prestazioni e servizi per finalità di prevenzione, diagnosi, cura e riabilitazione, non rispetterebbero le garanzie previste dalla legge a tutela, in particolare, della dignità e della riservatezza delle persone interessate.
In materia di trattamento dei dati personali in ambito sanitario, il Codice prevede che gli organismi sanitari pubblici e privati adottino misure ed accorgimenti di carattere supplementare rispetto a quelle già previste per il trattamento dei dati sensibili e per il rispetto delle misure di sicurezza. In particolare, l'art. 83 individua alcune specifiche prescrizioni che devono tradursi anche in adeguate misure organizzative, ferma restando la necessità di adottare comunque tutti gli ulteriori accorgimenti che si rendessero opportuni per garantire il più ampio rispetto dei diritti e delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale.
Con il presente provvedimento, il Garante intende richiamare l'attenzione dei soggetti che operano in ambito sanitario in ordine alla necessità di adeguare il funzionamento e l'organizzazione delle strutture sanitarie alle previsioni stabilite dal Codice in materia di protezione di dati personali (art. 83). I medesimi soggetti sono altresì invitati ad adottare tutte le misure ritenute necessarie ed opportune, conformemente ai principi generali, per garantire il rispetto della dignità della persona e il massimo livello di tutela degli interessati in ambito sanitario.
2. Ambito di applicazione delle misure per il rispetto dei diritti degli interessati
Le misure organizzative in esame devono essere adottate per espresso obbligo di legge da tutti gli organismi sanitari, sia pubblici (es. aziende sanitarie territoriali, aziende ospedaliere), sia privati (es. case di cura).
Sono tenuti alla loro adozione anche i servizi e le strutture di soggetti pubblici operanti in ambito sanitario o aventi competenza in materia di prevenzione e sicurezza del lavoro (es. osservatori epidemiologici regionali, servizi di prevenzione e sicurezza sul lavoro).
I medici di medicina generale e i pediatri di libera scelta, nonché, deve ritenersi, anche i medici specialisti operanti in studi medici privati, non sono invece destinatari dell'obbligo di adottare dette misure, che riguardano l'organizzazione di strutture. I medesimi soggetti devono comunque ottemperare ai principi cui si ispirano le disposizioni in esame, predisponendo in ogni caso misure idonee a garantire il rispetto dei diritti e delle libertà fondamentali e della dignità degli interessati, nonché del segreto professionale, secondo modalità adeguate a garantire un rapporto personale e fiduciario con gli assistiti (art. 83, comma 2-bis, del Codice).
3. Garanzie per l'interessato
Gli organismi sanitari pubblici e privati, in qualità di titolari del trattamento dei dati personali, devono garantire, in particolare, il rispetto dei seguenti princìpi:
a) dignità dell'interessato (art. 83, comma 2, lett. e) del Codice)
La prestazione medica e ogni operazione di trattamento dei dati personali deve avvenire nel pieno rispetto della dignità dell'interessato (artt. 2 e 83 del Codice).
La tutela della dignità personale deve essere garantita nei confronti di tutti i soggetti cui viene erogata una prestazione sanitaria, con particolare riguardo a fasce deboli quali i disabili, fisici e psichici, i minori, gli anziani e i soggetti che versano in condizioni di disagio o bisogno.
Particolare riguardo deve essere prestato nel rispettare la dignità di pazienti sottoposti a trattamenti medici invasivi o nei cui confronti è comunque doverosa una particolare attenzione anche per effetto di specifici obblighi di legge o di regolamento o della normativa comunitaria (ad es., in riferimento a sieropositivi o affetti da infezione da Hiv –l. 5 giugno 1990, n. 135-, all'interruzione di gravidanza –l. 22 maggio 1978, n. 194- o a persone offese da atti di violenza sessuale -art. 734-bis del Codice penale-).
Nei reparti di rianimazione dove si possono visitare i degenti solo attraverso vetrate o videoterminali devono essere adottati accorgimenti, anche provvisori (ad es., mediante paraventi), che delimitino la visibilità dell'interessato durante l'orario di visita ai soli familiari e conoscenti.
La necessità di rispettare la dignità è stata rappresentata a questa Autorità anche in relazione alle modalità di visita e di intervento sanitario effettuati nelle aziende ospedaliero-universitarie alla presenza di studenti autorizzati. Le strutture che intendono avvalersi di questa modalità devono indicare nell'informativa da fornire al paziente che (art. 13 del Codice), in occasione di alcune prestazioni sanitarie, si perseguono anche finalità didattiche, oltre che di cura e prevenzione (cfr. d.lg. n. 517/1999). Durante tali prestazioni devono essere adottate specifiche cautele volte a limitare l'eventuale disagio dei pazienti, anche in relazione al grado di invasività del trattamento circoscrivendo, ad esempio, il numero degli studenti presenti e rispettando eventuali legittime volontà contrarie.
b) riservatezza nei colloqui e nelle prestazioni sanitarie (art. 83, comma 2, lett. c) e d))
É doveroso adottare idonee cautele in relazione allo svolgimento di colloqui, specie con il personale sanitario (ad es. in occasione di prescrizioni o di certificazioni mediche), per evitare che in tali occasioni le informazioni sulla salute dell'interessato possano essere conosciute da terzi. Le medesime cautele vanno adottate nei casi di raccolta della documentazione di anamnesi, qualora avvenga in situazioni di promiscuità derivanti dai locali o dalle modalità utilizzate.
Il rispetto di questa garanzia non ostacola la possibilità di utilizzare determinate aree per più prestazioni contemporanee, quando tale modalità risponde all'esigenza terapeutica di diminuire l'impatto psicologico dell'intervento medico (ad es., alcuni trattamenti sanitari effettuati nei confronti di minori).
c) notizie su prestazioni di pronto soccorso (art. 83, comma 2, lett. f))
L'organismo sanitario può dare notizia, anche per via telefonica, circa una prestazione di pronto soccorso, ovvero darne conferma a seguito di richiesta anche per via telefonica.
La notizia o la conferma devono essere però fornite correttamente ai soli terzi legittimati, quali possono essere familiari, parenti o conviventi, valutate le diverse circostanze del caso.
Questo genere di informazioni riguarda solo la circostanza che è in atto o si è svolta una prestazione di pronto soccorso, e non attiene ad informazioni più dettagliate sullo stato di salute.
L'interessato -se cosciente e capace- deve essere preventivamente informato dall'organismo sanitario (ad es. in fase di accettazione), e posto in condizione di fornire indicazioni circa i soggetti che possono essere informati della prestazione di pronto soccorso. Occorre altresì rispettare eventuali sue indicazioni specifiche o contrarie.
Il personale incaricato deve accertare l'identità dei terzi legittimati a ricevere la predetta notizia o conferma, avvalendosi anche di elementi desunti dall'interessato.
d) dislocazione dei pazienti nei reparti (art. 83, comma 2, lett. g))
Il Codice incentiva le strutture sanitarie a prevedere, in conformità agli ordinamenti interni, le modalità per fornire informazioni ai terzi legittimati circa la dislocazione dei degenti nei reparti, allorché si debba ad esempio rispondere a richieste di familiari e parenti, conoscenti e personale del volontariato.
L'interessato cosciente e capace deve essere, anche in questo caso, informato e posto in condizione (ad es. all'atto del ricovero) di fornire indicazioni circa i soggetti che possono venire a conoscenza del ricovero e del reparto di degenza. Occorre altresì rispettare l'eventuale sua richiesta che la presenza nella struttura sanitaria non sia resa nota neanche ai terzi legittimati (cfr. Carta dei servizi pubblici sanitari, dPCM 19 maggio 1995).
Come per le prestazioni di pronto soccorso, questo genere di informazioni riguarda la sola presenza nel reparto e non anche informazioni sullo stato di salute.
Possono essere fornite informazioni sullo stato di salute a soggetti diversi dall'interessato quando sia stato manifestato un consenso specifico e distinto al riguardo, consenso che può essere anche manifestato da parte di un altro soggetto legittimato, in caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato (art. 82).
e) distanza di cortesia (art. 83, comma 2, lett. b))
Le strutture sanitarie devono predisporre apposite distanze di cortesia in tutti i casi in cui si effettua il trattamento di dati sanitari (es. operazioni di sportello, acquisizione di informazioni sullo stato di salute), nel rispetto dei canoni di confidenzialità e della riservatezza dell'interessato.
Vanno in questa prospettiva prefigurate appropriate soluzioni, sensibilizzando gli utenti con idonei inviti, segnali o cartelli.
f) ordine di precedenza e di chiamata (art. 83, comma 2, lett. a))
All'interno dei locali di strutture sanitarie, nell'erogare prestazioni sanitarie o espletando adempimenti amministrativi che richiedono un periodo di attesa (ad es., in caso di analisi cliniche), devono essere adottate soluzioni che prevedano un ordine di precedenza e di chiamata degli interessati che prescinda dalla loro individuazione nominativa (ad es., attribuendo loro un codice numerico o alfanumerico fornito al momento della prenotazione o dell'accettazione). Ovviamente, tale misura non deve essere applicata durante i colloqui tra l'interessato e il personale medico o amministrativo.
Quando la prestazione medica può essere pregiudicata in termini di tempestività o efficacia dalla chiamata non nominativa dell'interessato (ad es. in funzione di particolari caratteristiche del paziente anche legate ad uno stato di disabilità), possono essere utilizzati altri accorgimenti adeguati ed equivalenti (ad es., con un contatto diretto con il paziente).
Non risulta giustificata l'affissione di liste di pazienti nei locali destinati all'attesa o comunque aperti al pubblico, con o senza la descrizione del tipo di patologia sofferta o di intervento effettuato o ancora da erogare (es. liste di degenti che devono subire un intervento operatorio). Non devono essere, parimenti, resi facilmente visibili da terzi non legittimati i documenti riepilogativi di condizioni cliniche dell'interessato (es. cartelle infermieristiche poste in prossimità del letto di degenza) (artt. 22, comma 8, e 26, comma 5, del Codice).
g) correlazione fra paziente e reparto o struttura (art. 83, comma 2, lett. h))
Gli organismi sanitari devono mettere in atto specifiche procedure, anche di formazione del personale, per prevenire che soggetti estranei possano evincere in modo esplicito l'esistenza di uno stato di salute del paziente attraverso la semplice correlazione tra la sua identità e l'indicazione della struttura o del reparto presso cui si è recato o è stato ricoverato.
Tali cautele devono essere orientate anche alle eventuali certificazioni richieste per fini amministrativi non correlati a quelli di cura (ad es., per giustificare un'assenza dal lavoro o l'impossibilità di presentarsi ad una procedura concorsuale).
Analoghe garanzie devono essere adottate da tutti i titolari del trattamento, ivi comprese le farmacie, affinché nella spedizione di prodotti non siano indicati, sulla parte esterna del plico postale, informazioni idonee a rivelare l'esistenza di uno stato di salute dell'interessato (ad es., indicazione della tipologia del contenuto del plico o del reparto dell'organismo sanitario mittente).
h) regole di condotta per gli incaricati (art. 83, comma 2, lett. i)).
Il titolare del trattamento deve designare quali incaricati o, eventualmente, responsabili del trattamento i soggetti che possono accedere ai dati personali trattati nell'erogazione delle prestazioni e dei servizi per svolgere le attività di prevenzione, diagnosi, cura e riabilitazione, nonché quelle amministrative correlate (artt. 30 e 29 del Codice).
Fermi restando, in quanto applicabili, gli obblighi in materia di segreto d'ufficio, deve essere previsto che, al pari del personale medico ed infermieristico, già tenuto al segreto professionale (art. 9 del codice di deontologia medica del 3 ottobre 1998; art. 4 del codice deontologico per gli infermieri del maggio del 1999), gli altri soggetti che non sono tenuti per legge al segreto professionale (ad es., personale tecnico e ausiliario) siano sottoposti a regole di condotta analoghe (cfr. anche art. 10 del codice di deontologia medica).
A tal fine, anche avvalendosi di iniziative di formazione del personale designato, occorre mettere in luce gli obblighi previsti dalla disciplina in materia di protezione dei dati personali con particolare riferimento all'adozione delle predette misure organizzative (artt. 30 e 35 del Codice e punto 19.6 del disciplinare tecnico allegato B) al Codice), evidenziando i rischi, soprattutto di accesso non autorizzato, che incombono sui dati idonei a rivelare lo stato di salute e le misure disponibili per prevenire effetti dannosi.
4. Comunicazione di dati all'interessato
Gli esercenti le professioni sanitarie e gli organismi sanitari possono comunicare all'interessato informazioni sul suo stato di salute solo per il tramite di un medico (individuato dallo stesso interessato, oppure dal titolare del trattamento) o di un altro esercente le professioni sanitarie che, nello svolgimento dei propri compiti, intrattenga rapporti diretti con il paziente (ad es., un infermiere designato quale incaricato del trattamento ed autorizzato per iscritto dal titolare).
La necessità di rispettare queste modalità andrebbe menzionata nelle istruzioni impartite agli incaricati del trattamento (art. 84, comma 2, del Codice). Nel caso in cui l'interessato riceva una comunicazione dalla struttura sanitaria che documenti gli esiti di esami clinici effettuati, l'intermediazione può essere soddisfatta accompagnando un giudizio scritto con la disponibilità del medico a fornire ulteriori indicazioni a richiesta.
Il personale designato deve essere istruito debitamente anche in ordine alle modalità di consegna a terzi dei documenti contenenti dati idonei a rivelare lo stato di salute dell'interessato (es. referti diagnostici). In riferimento alle numerose segnalazioni pervenute, va rilevato che le certificazioni rilasciate dai laboratori di analisi o dagli altri organismi sanitari possono essere ritirate anche da persone diverse dai diretti interessati, purché sulla base di una delega scritta e mediante la consegna delle stesse in busta chiusa.
5. Altri adempimenti da rispettare
I titolari del trattamento in ambito sanitario devono infine rispettare gli obblighi che attengono:
a) alla notificazione al Garante, dovuta nei soli casi di cui all'art. 37 del Codice (cfr. anche provvedimento del Garante n. 1/2004 del 31 marzo 2004 recante i casi da sottrarre all'obbligo di notificazione, pubblicato sulla G. U. n. 81 del 6 aprile 2004 e disponibile sul sito dell'Autorità www.garanteprivacy.it (doc. web n. 852561));
b) alla predisposizione dell'informativa da fornire agli interessati (art. 13 del Codice);
c) all'acquisizione del consenso per i trattamenti di dati personali connessi all'erogazione delle prestazioni e dei servizi per svolgere attività di prevenzione, diagnosi, cura e riabilitazione (artt. 22, 26 e 76 del Codice);
d) per gli organismi sanitari pubblici, al rispetto delle disposizioni contenute nel regolamento per il trattamento dei dati sensibili per finalità amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione adottato ai sensi dell'art. 20 del Codice (cfr. Provv. del 30 giugno 2005);
e) al rispetto delle autorizzazioni generali rilasciate dal Garante ed, in particolare, dell'autorizzazione generale al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale (artt. 26 e 76 del Codice);
f) alle misure di sicurezza (artt. 31-36 del Codice e allegato B) al Codice).
TUTTO CIÒ PREMESSO, IL GARANTE:
prescrive a tutti i titolari del trattamento di dati personali interessati in ambito sanitario, ai sensi dell'art. 154, comma 1, lett. c), del Codice di adottare, ove già non attuate, le misure necessarie od opportune al fine di rendere il trattamento dei medesimi dati conforme alle disposizioni vigenti, sulla base dei principi richiamati nel presente provvedimento e dei primi chiarimenti con esso forniti;
prescrive ai medesimi titolari, ai sensi dell'art. 154, comma 1, lett. c), del Codice di adottare comunque tutte le ulteriori misure per garantire, in materia di trattamento dei dati personali nell'ambito sanitario, il massimo rispetto del principio di dignità;
avvia una consultazione allo scopo di acquisire elementi di informazione e documentazione da parte di organismi sanitari, nonché di soggetti, portatori di interessi pubblici e privati e portatori di interessi diffusi, costituiti in associazioni e comitati, in ordine alle modalità di attuazione adottate ed alle problematiche riscontrate.
Roma, 9 novembre 2005
Il Presidente, Pizzetti
Il Relatore, Pizzetti
Il Segretario generale, Buttarelli