g-docweb-display Portlet

2.2 Sanità - Relazione 1999 - 3 maggio 2000

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Indice

2. Stato di attuazione della legge n. 675/1996 e nodi da affrontare - Relazione 1999 - 3 maggio 2000

2.2. Sanità

2.2.1. Profili generali
A distanza di circa tre anni dall´entrata in vigore della legge n. 675/1996, il quadro normativo in materia di protezione dei dati personali idonei a rivelare lo stato di salute può dirsi notevolmente mutato, anche se l´efficacia di buona parte dei mutamenti dipenderà dalla prossima e doverosa adozione di alcuni atti.

La disciplina generale contenuta negli artt. 22 e 23 della legge n. 675 è stata infatti modificata a seguito dell´emanazione dei due decreti legislativi: 11 maggio 1999, n. 135 recante "disposizioni integrative della legge n. 675 sul trattamento dei dati sensibili da parte dei soggetti pubblici" e 30 luglio 1999, n. 282, che detta "disposizioni per garantire la riservatezza dei dati personali in ambito sanitario".

Mentre il primo ha posto fine al regime transitorio che ha consentito ai soggetti pubblici di proseguire – da ultimo fino all´8 maggio 1999, previa comunicazione al Garante - il trattamento dei dati sensibili anche in assenza di una "espressa disposizione di legge che individui i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite" (artt. 22, comma 3 e 41, comma 5, l. n. 675/1996), con il secondo, in attuazione della delega contenuta nelle leggi n. 676/1996 e n. 344/1998, il legislatore ha integrato e modificato le disposizioni dell´art. 23 della l. n. 675, prevedendo innanzitutto una disciplina uniforme per il trattamento dei dati sulla salute da parte degli organismi sanitari pubblici nonché degli organismi sanitari e degli esercenti le professioni sanitarie in regime di convenzione o di accreditamento con il S.S.N. Al di fuori di questa disciplina restano esclusi solo gli esercenti le professioni sanitarie ed i soggetti privati estranei al S.S.N.

Ciò mentre in precedenza, come ben noto, si distingueva nettamente la disciplina fra i "soggetti pubblici" (art. 22. comma 3), "gli esercenti le professioni sanitarie e gli organismi sanitari pubblici" (art. 23) e gli altri soggetti (art. 22).

Ai soggetti, pubblici o privati, operanti nell´ambito del S.S.N. si applica la disciplina di cui all´art. 23, primo comma della legge 675/1996, integrata da quanto previsto dai nuovi commi 1 bis, ter e quater dell´art. 23. Ai soggetti estranei al S.S.N., sino all´adozione del codice di deontologia e di buona condotta di cui all´art. 17, comma 3, del d.lg. n. 135/1999 come modificato dall´art. 3 del d.lg. n. 282/1999, continua ad applicarsi rispettivamente la regola generale della doppia condizione del consenso scritto dell´interessato e dell´autorizzazione del Garante, ovvero la disciplina speciale prevista dall´art. 23, comma 1, della legge n. 675/1996.

Al riguardo si rammenta che l´Autorità, con provvedimento del 29 settembre 1999, ha rinnovato l´autorizzazione generale per il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, la quale avrà efficacia fino al 30 settembre 2000 (autorizzazione n. 2/1999, pubblicata sulla "Gazzetta Ufficiale" n. 232 del 2 ottobre 1999). Il nuovo testo non contiene mutamenti di carattere sostanziale rispetto all´autorizzazione precedente, se non nelle parti in cui era necessario tener conto delle modificazioni intervenute a seguito dell´emanazione dei due decreti legislativi sopra menzionati.

Si segnala inoltre che, sulla base di una specifica richiesta, il Garante ha ritenuto di dover espressamente autorizzare il trattamento dei dati sulla salute anche per scopi di trapianto, "limitatamente ai dati dei donatori e dei beneficiari e alle operazioni indispensabili all´effettuazione di trapianti di organi e tessuti, nonché di donazioni di sangue" (capo 1.2, lett. g), autorizzazione n. 2/1999).

Tornando invece alla recente disciplina più innovativa e al decreto legislativo n. 135/1999 (per la cui compiuta trattazione si rinvia al par. 2.1.5), si nota che il suo nucleo centrale consiste nell´individuazione di alcune rilevanti finalità di interesse pubblico per il cui perseguimento è ora consentito il trattamento dei dati sensibili da parte dei soggetti pubblici, purché nel rispetto di alcuni princìpi generali in materia di modalità del trattamento e di informativa agli interessati, di dati trattati e di operazioni eseguibili (artt. 2, 3 e 4 d.lg. n. 135).

I diversi soggetti pubblici sono vincolati ad effettuare i trattamenti di dati personali in materia sanitaria nel rispetto di alcune specifiche garanzie di riservatezza. Anzitutto l´art. 17 prevede che, in ciascun ambito di attività, l´interessato possa essere identificato dai soli soggetti che perseguono direttamente le finalità individuate nel comma 1 e che l´accesso ai dati sia consentito ai soli "incaricati" del trattamento preposti alle specifiche fasi delle diverse attività, secondo il principio della pertinenza dei dati di volta in volta trattati (art. 17, comma 2, d.lg. n. 135/1999).

Al riguardo il Garante, in più pareri resi al Ministero della sanità nell´esercizio della sua funzione consultiva (art. 31, comma 2, della legge n. 675), ha segnalato la necessità di provvedere al più presto, ove non si sia già provveduto, alla nomina dei "responsabili" e degli "incaricati" del trattamento ai sensi degli articoli 8 e 19 della legge n. 675; ciò anche al fine di assicurare il rispetto delle disposizioni del regolamento in materia di sicurezza, le quali prevedono, per l´accesso alle operazioni di trattamento dei dati c.d. "particolari", che siano rilasciate agli incaricati del trattamento o della manutenzione specifiche autorizzazioni da parte del titolare o, se designato, del responsabile (art. 5, d.P.R. 28 luglio 1999, n. 318).

Nella stessa ottica di garanzia, i princìpi generali contenuti nel capo I del d.lg. n. 135/1999 stabiliscono che "i dati idonei a rivelare lo stato di salute e la vita sessuale devono essere conservati separatamente da ogni altro dato personale trattato per finalità che non richiedano il loro utilizzo" e che il trattamento di tali dati deve sempre avvenire con "tecniche di cifratura o codici identificativi che consentano di identificare gli interessati solo in caso di necessità" (art. 3, comma 5, d.lg. n. 135/1999).

Quest´ultima garanzia è peraltro estesa al trattamento di tutti i dati sensibili, qualora essi siano contenuti in elenchi, registri o banche dati gestite con l´ausilio di mezzi elettronici o comunque automatizzati (art. 3, comma 4, d.lg. n. 135/1999).

In relazione a tali principi il Garante, nel corso di questo anno di attività, si è trovato più volte a dover sottolineare che si tratta di disposizioni immediatamente efficaci, la cui osservanza è quindi obbligatoria per tutti i soggetti pubblici sin dal maggio 1999 (si veda, ad esempio, il provvedimento del 1° dicembre 1999).

In particolare, per quanto attiene l´ambito sanitario, nel capo II del suddetto decreto, l´articolo 17, specificamente dedicato alla "tutela della salute", riconoscendo la rilevante finalità di interesse pubblico di una serie di attività rientranti nei compiti del servizio sanitario nazionale e degli altri organismi sanitari pubblici, ha sancito la legittimità di ogni trattamento di dati sulla salute che si svolga nell´ambito di tali attività nel rispetto dell´art. 23, comma 1, della l. n. 675.

Allo stesso modo i successivi articoli 18, 19 e 20 considerano di rilevante interesse pubblico i trattamenti dei dati volti all´applicazione della disciplina relativa all´interruzione volontaria della gravidanza, alla cura e riabilitazione dei tossicodipendenti e all´assistenza dei portatori di handicap.

Come si è detto, l´impianto delineato dall´art. 17 del d.lg. n. 135 è stato successivamente integrato dal d.lg. 30 luglio 1999, n. 282, il quale è stato emanato in attuazione della delega contenuta nelle leggi nn. 676/1996 e 344/1998, per la disciplina della riservatezza dei dati personali in ambito sanitario.

Con esso, in particolare, il legislatore ha fissato i criteri direttivi cui dovrà uniformarsi il decreto del Ministro della sanità nell´individuare modalità semplificate per le informative e per la prestazione del consenso nei confronti di organismi sanitari pubblici, di organismi sanitari e di esercenti le professioni sanitarie convenzionati o accreditati dal S.S.N, nonché per il trattamento dei dati da parte dei medesimi soggetti (art. 23 l. n. 675/1996, come integrato dall´art. 2, comma 1, d.lg. n. 282/1999).

La novità sostanziale di tale decreto delegato sta infatti nell´aver integrato per i soggetti surrichiamati l´art. 23 della legge n. 675, prevedendo rilevanti semplificazioni in materia di informativa e di consenso.

Mentre la prima potrà essere effettuata anche da un unico soggetto, in particolare dal medico di medicina generale scelto dall´interessato, per conto di più titolari del trattamento, il consenso, non più necessariamente scritto, ma anche semplicemente documentato per iscritto, potrà essere validamente prestato nei confronti di tutti gli operatori della "catena sanitaria" previsti nell´informativa (art. 23, comma 1bis, lett. a) e b) l. n. 675/1996).

Infine, recependo le istanze degli operatori sanitari che, nella prima fase di applicazione della legge, avevano rappresentato la difficoltà di acquisire il consenso in alcune situazioni particolari, il d.lg. n. 282, da un lato, ha disposto che nel caso in cui la persona bisognosa di cure si trovi in stato di incapacità di agire, ovvero di impossibilità fisica o di incapacità di intendere o di volere, il consenso può essere validamente manifestato da altri soggetti, ovvero da chi esercita la potestà genitoriale o di tutela, da un familiare, da un prossimo congiunto, da un convivente o, in loro assenza, dal responsabile della struttura presso cui l´interessato dimori; d´altra parte, lo stesso decreto legislativo ha rimesso al decreto del Ministro della sanità il compito di identificare quelle situazioni d´urgenza nelle quali l´informativa e il consenso dell´interessato possono intervenire successivamente alla raccolta ed al trattamento dei dati (art. 23, commi 1bis, lett. c) e 1quater, l. n. 675/1996).

Le semplificazioni previste dal decreto legislativo n. 282 – che in larga parte troveranno precisa definizione ed attuazione nel regolamento ministeriale che sarà emanato previo parere della Conferenza permanente Stato-regioni e del Garante - dovranno coordinarsi, se non essere analoghe, con quanto stabilito nei codici di deontologia e di buona condotta, adottati dalle rappresentanze dei soggetti privati e degli esercenti le professioni sanitarie estranei al S.S.N., ai sensi dell´art. 31, comma 1, lett. h) della legge n. 675 (si veda, in proposito, il par. 3.6, relativo all´avvio dei codici deontologici).

L´art. 17 del d.lg. n. 135 stabilisce infatti che, per quanto non previsto dal regolamento ministeriale, il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale è fatto oggetto di appositi codici deontologici. Questi devono prevedere modalità semplificate per l´informativa e per la prestazione del consenso, nonché regole di condotta analoghe al segreto professionale per quegli incaricati del trattamento che non sono tenuti per legge al vincolo del segreto (art. 17 comma 3, d.lg. n. 135/1999 come modificato dall´art. 3 d.lg. n. 282/1999).

Un ulteriore aspetto che dovrà essere oggetto di disciplina da parte del regolamento ministeriale e dei codici deontologici è la previsione di modalità che consentano anche ai professionisti sanitari diversi dai medici, che intrattengono rapporti diretti con i pazienti, di comunicare all´interessato (o agli altri soggetti individuati nell´art. 23, comma 1quater) le informazioni relative al suo stato di salute (v. art. 23, comma 2, l. n. 675/1996; art. 17, comma 3, lett. b) d.lg. n. 135/1999; art. 2, comma 1, lett. d) d.lg. n. 282/1999).

Il decreto legislativo recante "disposizioni per garantire la riservatezza dei dati personali in ambito sanitario" non poteva inoltre tralasciare la complessa problematica relativa alle prescrizioni mediche, già oggetto di ampi dibattiti in occasione del c.d. "decreto Di Bella" (per il quale si rinvia alla Relazione annuale per l´anno 1997, pagg. 38 e 81).

In particolare, l´art. 4, dopo aver fatto salvi i casi in cui norme speciali prevedono che le ricette siano rilasciate in forma anonima o con particolari annotazioni (ovvero quelli indicati dal c.d. decreto Di Bella), rinvia anch´esso ad un decreto del Ministro della sanità per l´individuazione dei medicinali la cui prescrizione non necessita dell´indicazione delle generalità dell´interessato (art. 4, comma 1, d.lg. n. 282/1999).

D´altra parte il medesimo decreto, per la cui adozione sarebbe stato fissato il termine del 1° aprile 2000, dovrà prevedere un apposito modello per la prescrizione di medicinali a carico, anche parziale, del servizio sanitario nazionale. Tale modello, la cui utilizzazione sarà obbligatoria decorsi diciotto mesi dall´entrata in vigore del decreto che lo disciplina, deve essere configurato in modo da permettere di risalire all´identità dell´interessato solo ove ciò sia necessario per controllare la correttezza della prescrizione, per effettuare verifiche amministrative ovvero per scopi epidemiologici e di ricerca (art. 4, comma 2).

Laddove invece, come ai sensi del testo unico in materia di tossicodipendenze, è fatto obbligo di accertare l´identità dell´interessato, le ricette sono conservate separatamente da ogni altro documento che non ne richieda l´utilizzazione.

Un´ultima disposizione riguarda la conservazione e la distruzione delle ricette da parte del farmacista: sono conservate per il periodo prescritto e successivamente distrutte con modalità che escludono l´accesso di terzi ai dati contenuti nelle stesse (art. 4, comma 5).

 

222. Dati genetici
Il trattamento dei dati genetici è stato oggetto di particolare attenzione da parte del Garante sin dall´emanazione della prima autorizzazione generale al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale (autorizzazione n. 2/1997, punto 2, lett. b).

Tale provvedimento (come i successivi rinnovi), con alcune esclusioni soggettive e limitazioni nelle finalità, ma soprattutto nel presupposto del consenso scritto dell´interessato, autorizza il trattamento dei dati genetici "limitatamente alle informazioni e alle operazioni indispensabili per tutelare l´incolumità fisica e la salute dell´interessato, di un terzo o della collettività". È invece necessaria un´apposita autorizzazione del Garante nel caso in cui il trattamento sia finalizzato alla tutela della salute di un terzo o della collettività e l´interessato non abbia prestato il proprio consenso.

Il quadro normativo è parzialmente mutato con i decreti delegati 135 e 281 del 1999, che prevedono un´apposita e speciale autorizzazione per il solo trattamento dei dati genetici, "da chiunque effettuato" (art. 17, comma 5, del d.lg. n. 135/1999, come integrato e modificato dall´art. 16 del d.lg. 30 luglio 1999, n. 281), con anche la prescrizione di uno speciale procedimento ("sentito il Ministro della sanità, che acquisisce a tal fine il parere del Consiglio superiore di sanità").

Nelle more di questa autorizzazione, che dovrà essere rilasciata dal Garante entro il maggio 2000, i trattamenti di dati genetici possono essere iniziati o proseguiti nel rispetto delle prescrizioni contenute nell´autorizzazione n. 2/1999, tra cui in particolare il divieto della loro comunicazione a terzi.

Questi erano i riferimenti normativi entro i quali si è mossa l´Autorità nel decidere in merito alla richiesta di autorizzazione presentata da due coniugi che intendevano acquisire i dati sanitari contenuti nella cartella clinica del padre della richiedente, anche in assenza del consenso di quest´ultimo.

In tale occasione il Garante, ai sensi dell´art. 23 della legge n. 675, ha autorizzato l´ospedale universitario - presso il quale era in corso un´indagine genetica a scopo procreativo - ad acquisire i dati suddetti, sulla base della considerazione che il diritto al benessere psico-fisico della donna, ovvero ad una sua scelta riproduttiva consapevole ed informata, dovesse prevalere sul diritto alla assoluta riservatezza dell´interessato (provvedimento del 22 maggio 1999, in Bollettino n. 8, p. 13).

 

223. Ricerca medica ed epidemiologica
La peculiarità delle problematiche poste dalla ricerca medica ed epidemiologica rispetto alla ricerca scientifica in genere spiega la scelta di disciplinare tale materia in modo più specifico nell´ambito del d.lg. n. 282, piuttosto che solo in quello recante "disposizioni in materia di trattamento di dati personali per finalità storiche, statistiche e di ricerca scientifica" (d.lg. 30 luglio 1999, n. 281), al quale comunque deve farsi riferimento per la disciplina degli aspetti generali della ricerca e del ruolo del codice di deontologia e di buona condotta, il cui rispetto anche in quest´ambito "costituisce condizione essenziale per la liceità del trattamento dei dati" (si vedano i par. 2.4 e 3.6 di questa relazione).

Con l´art. 5 del d.lg. n. 282 il legislatore delegato ha introdotto un´importante semplificazione: il trattamento dei dati idonei a rivelare lo stato di salute per scopi di ricerca scientifica in campo medico, biomedico o epidemiologico può essere effettuato senza il consenso dell´interessato, a condizione che la ricerca sia prevista da un´espressa disposizione di legge o rientri nel programma di ricerca biomedica o sanitaria contemplata dall´art. 12 bis della legge 30 dicembre 1992, n. 502.

In tutti gli altri casi devono essere osservate le prescrizioni contenute e richiamate nel capo 1.2 dell´autorizzazione n. 2/1999, in attesa di eventuali modificazioni conseguenti all´adozione del regolamento ministeriale di cui al comma 1 bis dell´art. 23 della legge 675/1996, quale introdotto dall´art. 2 del d.lg. n. 282.

La previsione dell´art. 5 sopra citato, che consente di prescindere dal consenso dell´interessato, ha destato l´allarme della Lega italiana per la lotta all´AIDS, la quale ha chiesto al Garante di chiarire se essa debba considerarsi applicabile anche in materia di sorveglianza epidemiologica dei casi di infezione da HIV.

A tale riguardo, con provvedimento del 16 febbraio 2000, l´Autorità ha precisato che il d.lg. n. 282/1999, in quanto reca disposizioni di modifica ed integrazione della legge n. 675/1996 in relazione al trattamento dei dati personali in ambito sanitario, non può ritenersi in contraddizione con il principio generale che fa salve le disposizioni di legge che prevedono limiti più restrittivi, tra cui in particolare la normativa contenuta nella legge 5 giugno 1990, n. 135, la quale impone il mantenimento di un rigoroso rispetto della riservatezza delle persone affette da AIDS (art. 43, comma 2, l. n. 675). Pertanto – ha chiarito il Garante - benché non espressamente richiamate nel testo del d.lg. n. 282, restano ferme le disposizioni della legge n. 135/1990 le quali prevedono, da un lato, che "nessuno può essere sottoposto, senza il suo consenso, ad analisi tendenti ad accertare l´infezione da HIV, salvo che per motivi di necessità clinica e nel proprio interesse" e, dall´altro, che "la rilevazione statistica della infezione da HIV deve essere comunque effettuata con modalità che non consentano l´identificazione della persona" (art. 5, commi 2 e 3, l. n. 135/1990).

Per completezza di esposizione si segnala che, sempre con riferimento al rapporto tra le disposizioni della legge n. 675/1996 e quelle della normativa in materia di prevenzione e lotta contro l´AIDS, il Garante ha esaminato la questione relativa alla legittimità della comunicazione al tribunale per i minorenni che decide circa l´affidamento preadottivo, dei dati relativi alla sieropositività degli aspiranti genitori adottivi (si veda il provvedimento del 15 luglio 1999, in Bollettino n. 9, p. 77).

Anche in questa occasione, confermando la piena vigenza delle disposizioni della legge n. 135/1990 (in particolare, art. 5, commi 1 e 4), l´Autorità ha ritenuto che il medico del servizio di medicina legale che compie i dovuti accertamenti (tra cui quello per l´infezione HIV, sulla base del consenso scritto degli interessati), possa comunicare il risultato diagnostico direttamente ed esclusivamente all´interessato e debba invece trasmettere al tribunale per i minorenni una relazione medica da cui si evinca soltanto un giudizio complessivo circa la sussistenza di eventuali condizioni di rischio o patologiche che possono minacciare l´interesse del minore.

D´altra parte, valutando l´eventuale necessità che il tribunale, in virtù di specifici vincoli derivanti da obblighi internazionali ratificati con legge, debba acquisire il risultato dell´accertamento dell´AIDS o dell´infezione HIV, l´Autorità ha suggerito di adottare una prassi secondo la quale ciascuno dei coniugi, informato dal medico in ordine alla proprie condizioni di salute, provveda personalmente a produrre la documentazione al tribunale dei minorenni. Questa soluzione infatti, pur non ostacolando in nessun modo lo svolgimento dei procedimenti per le adozioni, realizzerebbe un adeguato bilanciamento tra l´interesse dei minori "ad un ambiente familiare stabile ed armonioso, nel quale essi possano crescere sviluppando la loro personalità in un sano ed equilibrato contesto di vita, affettivo ed educativo" (Corte Cost. 24 luglio 1995, n. 361) e il diritto degli adottanti al rispetto della propria dignità e riservatezza.

 

224. Tessera sanitaria
La previsione di sperimentazioni della carta sanitaria elettronica, contenuta nell´art. 59, comma 50, lett. i), della legge 27 dicembre 1997, n. 449 e nel decreto-legge 28 dicembre 1998, n. 450 convertito, con modificazioni, dalla legge 26 febbraio 1999, n. 39, risultava priva di una normativa a tutela della riservatezza degli interessati ed idonea a delimitare il possibile contenuto della stessa tessera, nonché a definire i livelli di accesso ai dati memorizzati. Il legislatore delegato è quindi intervenuto a fissare alcuni principi fondamentali in materia di protezione dei dati sanitari ed a stabilire alcune garanzie nelle fasi di formazione e di corretta utilizzazione delle carte sanitarie elettroniche.

L´art. 6 del d.lg. n. 282/1999 infatti, da un lato dispone che gli interessati, ai quali sia stata preventivamente fornita l´informativa prevista dall´art. 10 della legge n. 675, possono opporsi all´inserimento nella tessera sanitaria elettronica di quei dati sulla salute che "eccedano i dati relativi alla gestione amministrativa e alle situazioni di urgenza, quali definite a livello internazionale"; dall´altro prevede espressamente che il decreto del Ministro della sanità previsto dall´art. 2, comma 1, del d.l. n. 450/1998, convertito con modificazioni dalla legge n. 39/1999, determini anche le categorie di incaricati delle aziende sanitarie locali e di operatori sanitari che possono accedere ai diversi dati inseriti nelle carte, nonché le categorie professionali tenute ad inserirli e il periodo massimo entro il quale i dati devono essere aggiornati.