CONSIGLIO D'EUROPA - COMITATO DEI MINISTRI

RACCOMANDAZIONE N. R (81) 1
DEL COMITATO DEI MINISTRI AGLI STATI MEMBRI
RELATIVA ALLA REGOLAMENTAZIONE APPLICABILE ALLE BANCHEDI DATI SANITARI AUTOMATIZZATE
(adottata dal Comitato dei Ministri il 23 gennaio 1981)
(Traduzione non ufficiale)

 

Il Comitato dei Ministri, in virtù dell'articolo 15 (b) dello Statuto del Consiglio d'Europa,

Considerando che scopo del Consiglio d'Europa è di realizzare una unione più stretta fra i suoi membri;

Cosciente del fatto che l'elaboratore è sempre più utilizzato per le cure mediche, la ricerca medica, la gestione ospedaliera e gli archivi della salute pubblica;

Persuaso che è importante garantire il carattere riservato e la sicurezza delle informazioni personali immagazzinate negli archivi e di vigilare affinchè ne sia fatto un uso conforme all'etica;

Richiamando i principi generali relativi alla protezione dei dati nei settori privato e pubblico definiti nella Risoluzione (73) 22 e (74) 29, come pure le garanzie per la protezione deidati personali relativi alla salute, definite dalla Convenzione per la protezione delle persone in materia di trattamento automatizzato dei dati personali;

Constatando, inoltre che, garanzie in questo senso sono previste in molti Stati membri da leggi in vigore o in corso di elaborazione in materia di protezione dei dati, come pure inmateria di segreto medico e professionale;

Considerando che è auspicabile dare ai responsabili delle banche di dati sanitari indicazioni più complete sul modo migliore di mettere in pratica questi principi, tenuto conto del carattere particolare degli archivi informatici che essi contengono;

Raccomanda ai Governi degli Stati membri:

a) di fare in modo che ogni banca di dati sanitari automatizzati creata sul loro territorio sia sottoposta ad un regolamento che tenga conto dei principi contenuti nell'allegatoalla presente Raccomandazione;

b) di portare questa Raccomandazione a conoscenza di tutti i servizi, autorità ed istituzioni, sia pubblici che privati, che gestiscano banche di dati sanitari automatizzati;

c) di favorire la presa di coscienza e l'informazione dei membri della classe medica e degli operatori dell'informatica sulla protezione dei dati sanitari e di promuovere a questo riguardo una stretta cooperazione tra queste due categorie professionali.

Incarica il Segretario Generale del Consiglio d'Europa di portare il contenuto della presente Raccomandazione a conoscenza dei Governi dell'Australia, del Canada, della Finlandia, del Giappone, degli Stati Uniti d'America e della Jugoslavia, così come del Direttore Generale dell'Organizzazione Mondiale della Sanità.


ALLEGATO ALLA RACCOMANDAZIONE N. R (81) 1

Principi applicabili alle banche di dati sanitari automatizzate

1. Obiettivi e campo di applicazione della regolamentazione

1.1 I principi seguenti si applicano alle banche di dati automatizzate create a scopi di cure mediche, di salute pubblica, di gestione dei servizi sanitari e di salute pubblica, o di ricerche mediche, in cui siano memorizzate informazioni sanitarie e, all'occorrenza, informazioni sociali o amministrative connesse, relative a individui identificati o identificabili (banche di dati sanitari automatizzate).

1.2 Tutte le banche di dati sanitari automatizzate debbono sottostare ad un proprio regolamento specifico, conformemente alle leggi dello Stato nel cui territorio esse operano.

Il regolamento di banche dei dati sanitari utilizzati nel campo della salute pubblica, nella gestione dei servizi sanitari e della salute, o per il progresso della scienza medica, deve rispettare pienamente la preminenza dei diritti e delle libertà dell'individuo.

1.3 Il regolamento deve essere sufficientemente preciso in modo da fornire risposte concrete ai vari problemi che si possono porre nel corso del funzionamento della banca dei dati sanitari in questione.

1.4 Quando una banca di dati sanitari comprende più serie di archivi sanitari o sotto sistemi di dati sanitari dovrà, all'occorrenza, essere fornita di distinti regolamenti complementari in cui si tenga conto delle particolarità di tali elementi.

1.5 Le prescrizioni e gli obblighi derivanti dalla presente Raccomandazione dovranno essere debitamente presi in considerazione, non solo nei riguardi delle banche di dati sanitari che sono operative, ma anche di quelle che si trovano in fase di sviluppo.


2. Pubblicità relativa alle banche di dati sanitari automatizzate

2.1 I progetti relativi alla creazione di banche di dati sanitari automatizzate, come pure i progetti riguardanti la modifica essenziale di una banca dati già esistente, dovranno essere portati in anticipo a conoscenza del pubblico.

2.2 Quando una banca di dati sanitari automatizzata diviene operativa, essa deve essere oggetto di una azione pubblicitaria che faccia apparire, almeno, gli elementi seguenti:

    a) il nome della banca di dati sanitari;
    b) il riferimento all'atto, in virtù del quale la banca è stata creata;
    c) un riassunto del regolamento della banca dati ed una serie di indicazioni che permettano di ottenere o consultare il regolamento integrale della banca dati.

3. Disposizioni essenziali del regolamento della banca dati

3.1 Il regolamento della banca dati dovrà contenere, almeno, alcune disposizioni relative a:
    a) la sua o le sue finalità specifiche;
    b) le categorie delle informazioni registrate;
    c) la persona fisica o giuridica per conto della quale la banca dati è utilizzata e che è abilitata a determinare le categorie dei dati che vi saranno trattati;
    d) la o le persone incaricate della sua gestione corrente;
    e) le categorie di persone abilitate a far registrare i dati, a farli modificare o a farli cancellare ("generatori dei dati");
    f) la persona o l'organo:
      - a cui determinate decisioni dovranno essere sottoposte per approvazione;
      - che controlla l'utilizzazione della banca dati;
      - a cui si può ricorrere in caso di controversia;
    g) le categorie di persone che, in forza delle loro funzioni, hanno accesso alla banca dati e le categorie di dati alle quali, esse, sono abilitate ad accedere;
    h) le modalità di comunicazione delle informazioni a terzi;
    i) la comunicazione delle informazioni alle persone interessate;
    j) la conservazione prolungata dei dati;
    k) la procedura riguardante le richieste di utilizzazione dei dati, per fini diversi da quelli per cui sono stati raccolti;
    l) la sicurezza dei dati e delle installazioni;
    m) le condizioni per permettere un eventuale collegamento con altre banche dati.

4. Registrazione dei dati

4.1 La persona o l'organo responsabile della creazione e/o della gestione di una banca di dati sanitari deve assicurare:
    a) che le informazioni siano ottenute con mezzi leciti e leali;
    b) che siano raccolti solo dati adeguati e pertinenti in rapporto alle finalità dichiarate;
    c) che, nei limiti del possibile, sia sempre verificata l'esattezza dei dati; e
    d) che il contenuto dell'archivio sia aggiornato secondo le necessità.

4.2 Allo scopo di assicurare, da una parte, l'accesso selezionato alle informazioni secondo quanto disposto con il paragrafo 5.1 e, dall'altra, la sicurezza dell'informazione, gli archividovranno in linea generale essere sistemati in modo da permettere la separazione di:
    a) identificatori e dati relativi alla identità delle persone;
    b) dati relativi all'amministrazione;
    c) dati di carattere sanitario;
    d) dati di carattere sociale.
Una distinzione tra dati oggettivi e dati soggettivi dovrà essere fatta in relazione ai dati menzionati alle lettere c) e d) precedenti.
Tuttavia, nel caso in cui fosse inutile o impossibile realizzare una tale separazione, dovranno essere adottate altre iniziative per assicurare la protezione della vita privata degliindividui e la riservatezza dei dati.

4.3 Le persone da cui sono attinte le informazioni sanitarie dovranno essere informate della utilizzazione che ne verrà fatta.


5. Accesso alle informazioni e loro utilizzazione

5.1 Come regola generale, l'accesso alle informazioni non può essere accordato che ai membri della professione medica e, nella misura in cui sia stabilito dalla legislazione o dagli usi nazionali, ai membri del personale paramedico, limitando per ciascuno l'accesso ai dati strettamente necessari per l'espletamento del proprio compito.

5.2 Allorchè una delle persone, di cui si è fatto cenno al paragrafo precedente, cessa di esercitare la sua funzione, non ha più diritto di registrare, modificare, cancellare i dati e non può più accedere ad essi, salvo accordo speciale con le persone o gli organi previsti al paragrafo 3.1.f.

5.3 Le persone, di cui si fa menzione al paragrafo 5.1, che hanno accesso ai dati in forza delle loro funzioni, non possono utilizzare tali dati per uno scopo diverso da quello per il quale hanno ottenuto la facoltà di accesso ai dati, a meno che:
    a) non trasformino l'informazione in una forma che renda impossibile l'identificazione della persona interessata, o
    b) tale utilizzazione non sia stata autorizzata dalla persona o dall'organo previsto nel paragrafo 3.1.f, o
    c) tale autorizzazione non sia imposta per legge,
fermo restando che il diritto o la normativa nazionale possono imporre un obbligo supplementare, inteso ad ottenere il consenso della persona interessata (o, se essa è deceduta, della sua famiglia), o del suo medico curante.

5.4 Senza il consenso espresso e cosciente della persona interessata, l'esistenza e il contenuto di un dossier sanitario che la riguardi, non può essere comunicato a persone o organismi fuori del campo delle cure mediche, della sanità pubblica o della ricerca medica, a meno che, una tale comunicazione non sia permessa dalle regole del segreto professionale dei medici.

5.5 Il collegamento e il raffronto di informazioni relative ad uno stesso individuo, memorizzate in diverse banche di dati sanitari, è possibile se esse servono per la prestazione di cure mediche, per la sanità pubblica, o la ricerca medica, a condizione che tutto si effettui conformemente a specifici regolamenti.


6. La persona interessata e il suo dossier sanitario

6.1 Dovranno essere prese iniziative per permettere ad ogni persona di conoscere l'esistenza e il contenuto di informazioni che la riguardano registrate in una banca di dati sanitari.
Queste informazioni, se una norma di legge nazionale lo prevede, saranno comunicate all'interessato per il tramite del suo medico.
Nessuna eccezione a questo principio sarà ammessa, all'infuori di quelle previste dalla legge, o da un regolamento e di quelle che non riguardano:
    a) banche dati che operano per fini statistici o di ricerca scientifica e quando non vi siano rischi manifesti di violazione della vita privata delle persone interessate;
    b) informazioni la cui conoscenza potrebbe portare un danno grave alla persona interessata.

6.2 Ognuno può richiedere la rettifica di dati errati che lo riguardano e, in caso di rifiuto, fare ricorso alla persona o all'organo previsti nel paragrafo 3.1.f.
Quando l'informazione viene rettificata, può tuttavia essere previsto che sia conservata traccia delle informazioni erronee, nella misura in cui la conoscenza di tale errore puòtornare utile alla continuazione del trattamento medico o a fini di ricerca.


7. Conservazione prolungata dei dati

7.1 In linea di massima, i dati relativi a un individuo non dovranno essere conservati oltre un ragionevole tempo utile al raggiungimento della finalità principale.

7.2 Quando si ritenga importante la conservazione dei dati sanitari che non sono più utilizzati, nell'interesse della salute pubblica, della scienza medica, o per fini storici, o statistici, dovranno essere adottate disposizioni tecniche atte ad assicurare la sicurezza e la soddisfacente conservazione dei dati.


8. Obblighi professionali

Oltre ai membri del corpo medico e paramedico, il personale incaricato della elaborazione dei dati, come pure chi partecipa alla progettazione, al funzionamento, all'utilizzazione o alla manutenzione di una banca di dati sanitari, deve rispettare il carattere riservato delle informazioni e vigilare per un corretto utilizzo delle stesse.


9. Protezione più estesa

Nessuno dei principi enunciati nel presente allegato sarà interpretato come limitativo della facoltà che ogni Stato membro ha di introdurre disposizioni di legge che diano una protezione più ampia alle persone a cui i dati sanitari si riferiscono.