Risposta del 18 maggio 2000
Garante per la protezione
    dei dati personali


L'interessato deve poter esprimere una volontà consapevole riguardo al fatto che il trattamento riguardi informazioni di natura personale oppure dati anonimi.

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, con la partecipazione del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Ugo De Siervo e dell'ing. Claudio Manganelli, componenti e del dott. Giovanni Buttarelli, segretario generale;

Vista la nota dell'Azienda ospedaliera di Padova pervenuta l'8 marzo 2000;

Viste le osservazioni in atti formulate dall'Ufficio ai sensi dell'art. 7, comma 2, lett. a), del d.P.R. n. 501/1998 , con nota a firma del segretario generale;

Relatore il prof. Ugo De Siervo;

OSSERVA:

PREMESSA
Con nota n. 12995 dell'8 marzo 2000, l'Azienda ospedaliera di Padova ha rivolto un quesito al Garante in ordine alla possibilità per alcune aziende farmaceutiche che sponsorizzano la sperimentazione di farmaci di accedere, e con quali eventuali limitazioni, alle cartelle cliniche dei pazienti interessati.

L'azienda ha precisato che questi ultimi esprimono per scritto il consenso informato alla sperimentazione (secondo un protocollo approvato da un comitato etico), nonché il consenso al trattamento dei dati personali (in base al modello allegato alle cartelle cliniche, di cui ha trasmesso successivamente copia al Garante).

Al riguardo occorre premettere che il trattamento in questione riguarda essenzialmente dati personali idonei a rivelare lo stato di salute ed ha finalità di ricerca scientifica; rientra, quindi, nella generale disciplina di cui agli artt. 22 e 23 della legge n. 675/1996 (come integrata dall'art. 17 del d.lg. 11 maggio 1999, n. 135, nel testo modificato dai decreti legislativi 30 luglio 1999, n. 281 e 282).

Va ricordato poi che tra le novità introdotte da tale più recente disciplina è stato previsto che il trattamento dei dati sulla salute per scopi di ricerca scientifica in campo medico, biomedico o epidemiologico può aver luogo senza il consenso dell'interessato qualora "la ricerca sia prevista da un'espressa disposizione di legge o rientri nel programma di ricerca biomedica o sanitaria di cui all'articolo 12bis del d.lg. 30 dicembre 1992, n. 502" (art. 5, d.lg. 30 luglio 1999, n. 282).

Qualora non sussista uno di questi presupposti, l'azienda ospedaliera deve, invece, acquisire il consenso degli interessati, nel rispetto della regola generale prevista dal citato art. 23, comma 1, della legge n. 675/1996.

In proposito va parimenti ricordato che il consenso al trattamento è validamente prestato solo se è espresso in forma specifica e in modo "informato" (art. 11, comma 3, legge n. 675/1996 ). E' in altre parole indispensabile che la manifestazione di volontà sia espressa sulla base di una previa informativa all'interessato ai sensi dell'art. 10, comma 1, della medesima legge e nei confronti di un ben individuato trattamento e dei relativi titolari.

Pertanto, qualora l'azienda ospedaliera renda l'informativa all'interessato oralmente, anziché per scritto (come sembra potersi desumere dalla seconda parte del modello di consenso recante l'intestazione "consenso informato scritto"), è necessario che il medico che la fornisce renda una sintetica, ma esauriente informativa recante tutti gli elementi di cui all'art. 10, comma 1, della legge n. 675/1996, indicando precisamente anche l'azienda farmaceutica interessata (nel ruolo che essa svolge in relazione a quanto di seguito precisato), nonché la persona, il servizio o l'organismo al quale l'interessato può rivolgersi per esercitare i diritti di cui all'art. 13 della medesima legge (eventualmente, le stesse persone o ricercatori indicati nella seconda parte del modello citato).

Per quanto riguarda la possibilità per l'azienda farmaceutica di accedere alla documentazione medica dei soggetti che hanno manifestato il proprio consenso, occorre tener conto di alcune ulteriori considerazioni.

TITOLARE E RESPONSABILITA' DEL TRATTAMENTO
E' anzitutto essenziale verificare quale rapporto intercorra tra l'azienda ospedaliera e l'azienda farmaceutica per ciò che riguarda il trattamento dei dati personali.

Occorre in altre parole chiarire, in relazione alla legge n. 675 (e alle diverse delucidazioni fornite dal Garante a proposito delle figure del "titolare del trattamento" e del "responsabile del trattamento"), se l'azienda farmaceutica:

    a) svolga unicamente il ruolo di collaboratore "esterno" di un trattamento di dati personali le cui scelte di fondo (e responsabilità) competono solo all'azienda ospedaliera. In tal caso, quest'ultima rappresenta l'esclusivo titolare del trattamento, che ha la facoltà di designare l'azienda sponsor quale "responsabile del trattamento" permettendole quindi di accedere ai dati in funzione, però, unicamente strumentale alla sperimentazione, nei limiti e secondo le finalità individuate analiticamente dall'azienda ospedaliera, per scritto e con successive istruzioni, in conformità all'art. 8 della citata legge. In questo caso, non si realizza, ai sensi della legge n. 675/1996 , una "comunicazione" di dati a terzi e l'accesso ai dati da parte dell'azienda sponsor è "interno" ad un trattamento che si sviluppa, sul piano giuridico, nell'ambito della sfera di responsabilità della sola struttura ospedaliera;

    b) intenda, invece, accedere alla documentazione sanitaria degli interessati ed utilizzarla per scopi inerenti alla ricerca prevista, individuando però le finalità e le modalità del trattamento in condizioni di autonomia rispetto alla struttura ospedaliera, quale autonomo titolare o contitolare del trattamento, avente responsabilità distinte rispetto a quest'ultima. In questo diverso caso, si realizza, infatti, una vera e propria "comunicazione" di dati a terzi, che vanno nominativamente e distintamente indicati nel modello di consenso, anche per ciò che riguarda il luogo ove esercitare i diritti di cui all'art. 13 della legge.
    Il modulo di consenso sottoposto al Garante dovrà essere quindi modificato a seconda che il rapporto in questione ricada nell'una o nell'altra delle situazioni poc'anzi indicate.

NATURA DEI DATI TRATTATI
Il trattamento dei dati deve comunque svilupparsi nel pieno rispetto delle prescrizioni contenute nell'autorizzazione generale del Garante n. 2/1999 (pubblicata sulla Gazzetta Ufficiale del 2 ottobre 1999).

Ne consegue che l'utilizzazione di dati personali, dunque non anonimi, è consentito esclusivamente se la "disponibilità di dati solo anonimi su campioni della popolazione non permetta alla ricerca di raggiungere i suoi scopi".

In secondo luogo, il trattamento dei dati successivamente alla loro raccolta "non deve permettere di identificare gli interessati anche indirettamente, salvo che l'abbinamento al materiale di ricerca dei dati identificativi dell'interessato sia temporaneo ed essenziale per il risultato della ricerca e sia motivato, altresì, per iscritto".

E' dunque vietato qualsiasi trattamento dei dati in questione in difformità da quanto sopra indicato.

Va segnalata quindi l'assoluta necessità che tali prescrizioni siano rigorosamente rispettate, così come, da parte dei soggetti pubblici, gli artt. 2 - 4 del d.lg. 11 maggio 1999, n. 135, poiché la loro inosservanza rende illecito il trattamento ed è sanzionata anche sul piano penale (a seconda dei casi, artt. 35 e 37 legge n. 675/1996).

Inoltre va chiarito comunque il significato dell'espressione, che figura nel modulo di consenso ("…purché sia assicurata la riservatezza e garantito l'anonimato degli stessi"). L'interessato, infatti, deve poter esprimere una volontà consapevole riguardo al fatto che il trattamento (compresa la comunicazione all'esterno dei dati) riguardi informazioni di natura personale oppure dati anonimi.

Per quanto attiene al trattamento dei dati dei pazienti sieropositivi, si osserva poi che la legge n. 675 non ha abrogato le disposizioni della normativa in materia di Aids (legge n. 135/1990) e ne ha confermato piuttosto la vigenza (art. 43, comma 2, legge n. 675/1996 ). E' pertanto evidente che nel caso in cui si trattino informazioni delicate quali quelle relative all'AIDS o all'infezione da HIV, la cui utilizzazione e circolazione può comportare seri pregiudizi per la vita privata e la dignità personale degli interessati nonché rischi di discriminazione, il rispetto dei princìpi di riservatezza dovrà essere ancor più accurato.

In proposito, va inoltre rammentato che il decreto legislativo 11 maggio 1999, n. 135, sul trattamento dei dati "sensibili" da parte dei soggetti pubblici, prevede che gli organismi sanitari che trattano i dati idonei a rivelare lo stato di salute debbano rispettare i princìpi di correttezza e di pertinenza sanciti dall'art. 9 della legge n. 675 e adottare specifiche cautele a tutela della riservatezza degli interessati (art. 3, commi 4 e 5, d.lg. n. 135/1999 ).

Si segnala infine che una particolare attenzione deve essere prestata al profilo della sicurezza dei dati, sia per quanto riguarda le più ampie misure previste dall'art. 15, comma 1, della legge, sia per ciò che riguarda le "misure minime" previste dal d.P.R. 28 luglio 1999 n. 318 (pubblicato sulla G.U. n. 216 del 14 settembre 1999 ed oggetto del provvedimento del Garante del 29 febbraio 2000 che verrà allegato in copia), il cui art. 5 prevede che siano rilasciate da parte del titolare o, se designato, del responsabile, specifiche autorizzazioni agli incaricati del trattamento o ai soggetti incaricati della manutenzione dei sistemi informativi per l'accesso ai dati "sensibili".

L'Autorità resta a disposizione per ogni ulteriore chiarimento, segnalando all'azienda ospedaliera la necessità di conformare i trattamenti di dati alle indicazioni formulate.

TUTTO CIO' PREMESSO:

il Garante esprime il parere richiesto nei termini di cui in motivazione.

      Roma, lì 18 maggio 2000

IL PRESIDENTE
(Rodotà)
IL RELATORE
(De Siervo)
IL SEGRETARIO GENERALE
(Buttarelli)