I trattamenti per fini di cura

Diverse sono state le pronunce dell’Autorità con riferimento al trattamento dei dati per fini di cura. Merita particolare attenzione un provvedimento adottato nei confronti di una fondazione, che si occupa di assistenza geriatrica, la quale aveva sottoposto a verifica preliminare, ai sensi dell’art. 17, d.lgs. n. 196/2003, un trattamento di dati da effettuare attraverso un articolato sistema di monitoraggio, anche a distanza, di pazienti non auto-sufficienti, basato sull’uso di un bracciale o una cavigliera dotati di un localizzatore e di un misuratore di frequenza cardiaca. In particolare, il dispositivo avrebbe consentito la localizzazione del paziente soltanto all’interno dell’articolata struttura di cura e al verificarsi di determinati eventi suscettibili di esporre al pericolo il paziente; ciò avrebbe altresì determinato l’attivazione di una “telecamera di zona”, con conseguente registrazione delle immagini per circa trenta minuti e invio di un messaggio di allerta al personale, al fine di renderne possibile il tempestivo intervento. Il Garante, considerate le finalità di prevenzione, diagnosi e cura perseguite attraverso tale sistema e l’estrema delicatezza dei dati trattati, aveva ritenuto opportuno prescrivere ulteriori misure, oltre a quelle già previste dalla fondazione (tra le quali l’acquisizione di un consenso specifico e ulteriore rispetto a quello già fornito dall’interessato all’atto di ingresso in struttura), al fine di innalzare il livello di tutela e assicurare la dignità dei pazienti. In particolare, è stato prescritto che il bracciale o la cavigliera avrebbero dovuto essere applicati con le modalità meno invasive per il paziente, al quale, qualora le condizioni lo avessero consentito, avrebbe dovuto essere fornita un’informativa sul trattamento dei dati personali adeguata alle sue capacità di comprensione. Inoltre, il giudizio della commissione interna alla struttura istituita per stabilire la necessità di una sorveglianza continua attraverso un dispositivo indossabile, avrebbe dovuto essere oggetto di valutazione periodica, così come, almeno ogni settimana, avrebbe dovuto essere verificata la regolarità del funzionamento e la corretta attribuzione del bracciale o della cavigliera al singolo paziente, al fine di evitare il verificarsi di scambi o altri comportamenti che avrebbero potuto alterarne la funzionalità (provv. 25 gennaio 2018, n. 29, doc. web n. 7810766). Con riferimento ai malati di Alzheimer, è stato formulato un quesito in ordine all’installazione di un sistema di videosorveglianza presso un reparto di una casa di riposo ove gli stessi sono ospitati. In particolare, è stato evidenziato, con specifico riferimento alla possibilità di posizionare alcuni monitor in corridoio e nella sala da pranzo/soggiorno della struttura, la necessità di adottare specifici accorgimenti per salvaguardare la dignità degli interessati ed evitare la diffusione dei dati personali relativi alla salute, espressamente vietata dall’art. 2-septies, comma 8, del Codice. È stato rappresentato (cfr. nota 19 novembre 2018), in ogni caso, che il titolare, prima di procedere al trattamento, è tenuto ad effettuare una valutazione d’impatto sulla protezione dei dati personali oggetto di trattamento che possa presentare un rischio elevato per i diritti e le libertà delle persone fisiche, considerati la natura, l’oggetto, il contesto e le finalità del trattamento (art. 35 del RGPD e considerando 75; cfr., altresì, punto III.B. 7 delle Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del RGPD adottate dal Gruppo Art. 29 (WP248) il 4 aprile 2017 e successivamente emendate e adottate il 4 ottobre 2017, nel quale è espressamente indicato, tra i citati criteri, il trattamento dei dati relativi a interessati vulnerabili, quali anziani e pazienti) (cfr. successivo par. 5.4.2).

L’informativa e il consenso al trattamento dei dati sanitari

Specifiche istanze sono pervenute anche in relazione alla comunicazione di dati personali sulla salute. Tra queste una richiesta della Direzione di programmazione economica e di bilancio di una regione volta ad acquisire copia del verbale Inps “senza gli omissis” per permettere l’istruttoria della pratica di esenzione bollo auto in caso di invalidità grave; a questo proposito l’Ufficio, oltre a ricordare il principio secondo il quale i dati devono essere adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per le quali sono trattati (cd. principio di “minimizzazione dei dati”; art. 5, par. 1, lett. c), del RGPD), ha richiamato il provv. 16 febbraio 2011, n. 69 (doc. web n. 1792975), secondo il quale, considerato che “le certificazioni mediche che devono corredare le richieste relative alle diverse disabilità ammesse ai benefici fiscali” sono destinate a circolare tra i diversi soggetti (anche di natura privata) coinvolti (ciascuno per quanto di competenza) nelle procedure di valutazione dei requisiti legali di disabilità, deve essere garantita la rigorosa applicazione del principio di pertinenza sin dal momento della iniziale redazione della documentazione da parte degli operatori sanitari (tra i quali, ad es., le commissioni mediche previste dalla legge). La non indispensabilità dell’indicazione dei dati personali relativi alla diagnosi accertata in sede di visita medica risulta peraltro dal fatto “che la normativa di settore, se da un lato richiede la certificazione dello stato di «handicap grave» di cui all’art. 3, comma 3, l. n. 104/1992, in molti casi imponendo anche un’esplicita evidenziazione della gravità della patologia (ad es., con riguardo alla natura psichica o mentale della stessa), tuttavia non prevede come indispensabile l’indicazione della specifica patologia diagnosticata all’interessato” (cfr. punto 4.2, provv. 16 febbraio 2011, n. 69, cit.; provv. 21 marzo 2007, doc. web n. 1395821; v. anche provv.ti 21 aprile 2009, doc. web n. 1616870; 9 novembre 2005, doc. web n. 1191411) (nota 4 luglio 2018). Sempre in materia di comunicazione di dati sulla salute, l’Ufficio ha risposto a un quesito di un medico in merito alla possibilità – alla luce dei chiarimenti contenuti nella lettera inviata dal Presidente del Garante alla Federazione italiana medici di medicina generale e al Consiglio nazionale dei presidenti degli Ordini dei medici chirurghi e degli odontoiatri (doc. web n. 3533561) – di mettere a disposizione, su richiesta del paziente, le sue ricette appendendole su una bacheca esterna allo studio medico, posta all’interno dell’edificio, con una indicazione esterna del nome del paziente. Al richiedente, è stato fatto osservare che tali modalità di consegna delle prescrizioni mediche non sono in linea con le indicazioni evidenziate dal Garante sul punto, secondo le quali “le procedure, in vigore già da tempo, consentono ai medici di lasciare ai pazienti ricette e i certificati presso le sale d’attesa dei propri studi o presso le farmacie, senza doverglieli necessariamente consegnare di persona. Per impedire la conoscibilità da parte di estranei di dati delicati, come quelli sanitari, è però indispensabile che ricette e certificati vengano consegnati in busta chiusa. La busta chiusa è tanto più necessaria nel caso in cui non sia il paziente a ritirare i documenti, ma una persona da questi appositamente delegata” (cfr. comunicato stampa 14 novembre 2015, doc. web n. 3533579) (nota 21 marzo 2018). Con riferimento alla comunicazione di dati personali, anche non relativi alla salute, è stato fornito riscontro a un quesito in merito alla possibilità di consentire a terzi la visualizzazione dei dati di dettaglio sulla formazione continua per la verifica della regolarità formativa del professionista. In particolare, nel richiamare la specifica disciplina di settore che prevede l’obbligo per il professionista di seguire percorsi di formazione continua (aggiornamento professionale e formazione permanente), la cui violazione determina un illecito disciplinare (artt. 16-bis e 16-ter, d.lgs. 30 dicembre 1992, n. 502 e art. 3, comma 5, lett. b), d.l. 13 agosto 2011, n. 138, convertito con modificazioni in legge 14 settembre 2011, n. 148), è stato rappresentato che, secondo lo statuto del Consorzio gestione anagrafica delle professioni sanitarie (Co.Ge.A.P.S.), è espressamente vietato al Consorzio acquisire, vantare o cedere a terzi diritti di proprietà o di uso autonomo di tali dati al di fuori del perseguimento degli scopi consortili, che concernono esclusivamente la gestione dell’Anagrafe nazionale dei crediti formativi Ecm, nonché attività di studio e reperimento di fondi ed infrastrutture utili allo scopo della formazione continua (art. 2). Pertanto, alla luce del quadro normativo sopra richiamato, non risulta, allo stato, possibile per il Consorzio consentire a terzi la visualizzazione del numero di crediti formativi conseguiti da ogni singolo professionista (nota 24 aprile 2018).

Il Fascicolo sanitario elettronico (Fse) e il dossier sanitario

Con riferimento a trattamenti di dati personali effettuati attraverso il Fse il Garante ha fornito un parere in merito a uno schema di decreto volto a potenziare i servizi telematici resi disponibili dall’Infrastruttura nazionale per l’interoperabilità del Fascicolo sanitario – Fse (Ini) di cui al decreto del Mef 4 agosto 2017 e a evitare disservizi per l’assistito in caso di un suo trasferimento per l’assistenza verso una regione o provincia autonoma in cui non sia ancora operativo il Fse. Le osservazioni formulate dall’Ufficio hanno inteso assicurare, da una parte, la delimitazione dei nuovi servizi resi disponibili dall’Ini e la garanzia di un accesso online al Fse precedentemente istituito dall’altra, richiamare il Mef alla tenuta, attraverso l’Ini, dell’indice dei documenti sanitari e di quello relativo ai metadati dei documenti sanitari, relativi agli assistiti, risultanti nell’anagrafe nazionale degli assistiti, individuando le necessarie misure per assicurare il rispetto del principio di limitazione della conservazione (parere 27 settembre 2018, n. 456, doc. web n. 9054337). L’Ufficio continua a dialogare con le istituzioni coinvolte nella realizzazione del Fse (Ministero della salute, Mef, regioni) in merito all’applicazione della disciplina in materia di protezione dei dati personali ai trattamenti effettuati attraverso il fascicolo anche alla luce dei nuovi adempimenti dettati dal RGPD. Numerose sono state le istruttorie avviate in merito ai trattamenti di dati personali effettuati attraverso i Fse regionali. In particolare, in un caso è stato accertato l’erroneo inserimento nei documenti disponibili nel Fascicolo di alcune lettere di dimissione ospedaliera riferite ad altri pazienti. A seguito dell’intervento dell’Ufficio è stato modificato il flusso di integrazione dei documenti, prevedendo la consistenza dei messaggi per mezzo di intervalli temporali predefiniti, finalizzati ad evitare errori di concorrenza che hanno determinato l’incongruenza dei dati. In considerazione dell’illecita comunicazione a terzi di dati personali di natura sensibile presenti nelle lettere di dimissione ospedaliera di terzi da parte del titolare, è stato avviato un procedimento sanzionatorio (nota 17 gennaio 2018). In merito ai trattamenti effettuati attraverso il dossier sanitario sono proseguite le istruttorie nei confronti delle strutture sanitarie, sia pubbliche che private, dalle quali è emersa una crescente conformità alle indicazioni fornite dall’Autorità nelle Linee guida in materia di dossier sanitario (provv. 4 giugno 2015, n. 331, doc. web n. 4084632). Permangono, tuttavia, sistemi informativi riconducibili al dossier sanitario ancora non pienamente conformi al dettato normativo. Al riguardo, in occasione di un’attività ispettiva presso una struttura ospedaliera, è stata riscontrata la mancanza degli specifici adempimenti previsti dalla disciplina in materia di protezione dei dati personali con riferimento ai trattamenti effettuati nell’ambito del dossier sanitario aziendale. A seguito dell’intervento dell’Ufficio, l’ospedale ha posto in essere una pluralità di azioni correttive che hanno riguardato la manifestazione del consenso, le informazioni da rendere ai pazienti e la formazione del personale medico ed infermieristico (nota 15 ottobre 2018).

La tutela della dignità della persona

L’Autorità ha continuato a mostrare grande attenzione in merito al rispetto delle disposizioni del decreto legislativo n. 196/2003 e delle norme di settore volte ad assicurare la tutela della dignità delle persone nell’ambito dei trattamenti di dati personali per finalità di cura. In un caso, l’Ufficio è intervenuto nei confronti di un operatore di un ospedale veneto il quale, in presenza di terzi, aveva richiesto alla segnalante presente in sala di attesa, dopo essere stata chiamata per cognome, se dovesse effettuare una interruzione di gravidanza. In particolare, è stato rivolto un richiamo al rispetto della dignità di pazienti sottoposti a trattamenti medici invasivi, nei cui confronti va prestata una particolare attenzione anche per effetto di peculiari obblighi di legge o di regolamento (ad es., in riferimento a individui sieropositivi o affetti da infezione da Hiv, a persone offese da atti di violenza sessuale o in casi di interruzione di gravidanza: cfr. punto 3.a), provv. 9 novembre 2005, doc. web n. 1191411). Nel caso di specie, l’ospedale ha quindi ribadito, nelle indicazioni dirette al personale sulla procedura da seguire, la necessità di evitare di chiamare l’utenza con il nome o di citare la prestazione alla quale la stessa si deve sottoporre manifestando l’intenzione di intervenire sul piano disciplinare in caso di accertata violazione da parte dei propri dipendenti (nota 19 luglio 2018). Le medesime problematiche sono state evidenziate anche dopo l’entrata in vigore del RGPD; in particolare, è stata avviata un’istruttoria nei confronti di un ospedale nel quale un medico (in servizio presso lo stesso) non avrebbe rispettato, in occasione di una visita oculistica, le garanzie previste dalla legge a tutela della dignità e della riservatezza delle persone interessate, divulgando alcune informazioni del loro stato di salute, ivi compresa la presunta causa della malattia, a terzi. In particolare, è stato ritenuto compatibile con il RGPD e con le disposizioni del decreto legislativo n. 101/2018, l’art. 83 del Codice (cfr. art. 22, comma 11, d.lgs. n. 101/2018 e il punto 3.b) del citato provv. 9 novembre 2005; art. 22, comma 4, d.lgs. n. 101/2018). Pertanto, è necessario che siano adottate idonee cautele in relazione allo svolgimento di colloqui, specie con il personale sanitario (ad es. in occasione di prescrizioni o di certificazioni mediche), per evitare che in tali occasioni le informazioni sulla salute dell’interessato possano essere conosciute da terzi. Le medesime cautele vanno adottate nei casi di raccolta della documentazione di anamnesi, qualora avvenga in situazioni di promiscuità derivanti dai locali o dalle modalità in concreto utilizzate (nota 9 novembre 2018).

Il trattamento di dati personali in relazione all’accertamento dell’infezione da Hiv

Con specifico riferimento alle misure a tutela della dignità e della riservatezza dei malati di Hiv in occasione dell’erogazione di prestazioni sanitarie, l’Ufficio è intervenuto fornendo specifiche indicazioni in merito alla possibilità da parte degli esercenti le professioni sanitarie di comunicare lo stato di sieropositività di una paziente, alle persone più vicine alla stessa, con particolare riguardo al partner, anche in assenza di consenso dell’interessata; ciò in quanto la stessa paziente si era rifiutata di comunicare al partner la propria condizione esponendolo al rischio di contagio. La questione prospettata è apparsa meritevole di considerazione, attesa l’estrema delicatezza degli interessi coinvolti, ed è stata affrontata sottolineando da un canto che il decreto legislativo n. 196/2003 prevedeva in capo agli organismi sanitari e agli esercenti le professioni sanitarie l’obbligo di operare con il consenso dell’interessato, potendone tuttavia prescindere, sulla base dell’autorizzazione del Garante, qualora si fosse dovuto tutelare la salute o l’incolumità fisica di un terzo e l’interessato si fosse rifiutato o fosse impossibilitato a prestare il consenso (v. autorizzazione generale n. 2 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale); dall’altro, evidenziando che il richiamato decreto legislativo non conteneva deroghe alle disposizioni di legge che stabiliscono “divieti o limiti più restrittivi” in materia di trattamento di taluni dati personali. Tale deve considerarsi anche la legge 5 giugno 1990, n. 135, in tema di Aids e Hiv, nella quale figura, in particolare, l’obbligo di comunicare i risultati di accertamenti diagnostici diretti o indiretti per l’infezione da Hiv alla sola persona cui tali esami si riferiscono (art. 5, comma 4). Pertanto, è stato ritenuto che, ai fini della comunicazione ai familiari dello stato di sieropositività del paziente, vada ricercato il consenso della persona interessata in tutti i modi possibili. In proposito, è stata valutata l’opportunità che il medico provvedesse a sensibilizzare la persona sieropositiva circa il grave rischio per la vita del partner ingenerato da un suo comportamento omissivo, cercando di persuaderla a comunicare a questi la propria sieropositività oppure a manifestare il proprio consenso alla rivelazione da parte dello stesso medico (cfr. al riguardo le Linee guida dell’Organizzazione Mondiale della Sanità del dicembre 2016 sul test di autodiagnosi Hiv e la notifica volontaria al partner, reperibili in http://www.who.int/hiv/pub/vct/hiv-self-testing-guidelines/en/; la Raccomandazione del Consiglio d’Europa No. R (89) 14 nel settore della sanità e nel contesto sociale, reperibile in https://rm.coe.int/09000016804caf46; le faq del Ministero della salute su Hiv e Aids). Ciò anche alla luce delle possibili responsabilità penali del soggetto che, consapevole del proprio stato patologico, ometta di informare il partner (cfr. artt. 582-583 c.p., nonché Cass. pen. n. 30425/2001). Sempre sotto il profilo penale, possono essere tenute parimenti in considerazione le riflessioni in ambito giuridico e scientifico circa i presupposti per l’eventuale applicazione dell’esimente dello stato di necessità (art. 54 c.p.) o della “giusta causa” – richiamata anche dalle norme di deontologia medica – che legittimerebbe la rivelazione di informazioni eventualmente coperte da segreto professionale (art. 622 c.p., nonché codice di deontologia medica 2014, artt. 10, 12 e 34) nel caso in cui la sieropositività sia resa nota dal medico senza il consenso dell’interessato a un suo familiare, allorché vi sia l’urgenza di salvaguardare l’integrità psico-fisica del familiare medesimo, laddove sia in grave (e altrimenti non evitabile) pericolo la salute o la vita di questi (nota 9 marzo 2018). Il richiamo alla specifica normativa in ordine alla comunicazione di risultati di accertamenti diagnostici per l’infezione da Hiv è stato altresì rivolto a un Servizio di politiche del lavoro e formazione professionale provinciale, il quale, nell’ambito della richiesta della visita sanitaria di controllo, aveva trasmesso copia della documentazione sanitaria dalla quale si evinceva la diagnosi di Hiv anche alla società presso la quale l’interessato prestava la propria attività lavorativa. In tale occasione, nel rilevare la sussistenza di specifici obblighi normativi nei riguardi del lavoratore per consentire al datore di lavoro di verificare le sue reali condizioni di salute nelle forme di legge, è stato evidenziato che, per attuare tali obblighi è, ad esempio, previsto che venga fornita all’amministrazione di appartenenza un’apposita documentazione a giustificazione dell’assenza, consistente in un certificato medico contenente la sola indicazione dell’inizio e della durata presunta dell’infermità (cd. prognosi). È stato inoltre precisato che, in assenza di speciali disposizioni di natura normativa che dispongano diversamente per specifiche figure professionali, il datore di lavoro pubblico non è mai legittimato a raccogliere certificazioni mediche contenenti anche l’indicazione della diagnosi (cfr. Linee guida in materia di trattamento di dati personali di lavoratori per finalità di gestione del rapporto di lavoro in ambito pubblico, 14 giugno 2007, doc. web n. 1417809). Pertanto, la predetta comunicazione di dati sulla salute non è risultata conforme alla disciplina in materia di protezione dei dati personali e in merito ad essa è stato avviato un procedimento sanzionatorio in ragione della illegittima comunicazione.

Fonte: Autorità Garante - Relazione 2018