Garante per la protezione
    dei dati personali


Comunicato Stampa

L'AUTORITA' INDICA LE REGOLE PER UTILIZZARE I DATI SULLA SALUTE NELLA SPERIMENTAZIONE DEI FARMACI. LE GARANZIE PER L'ACCESSO AI DATI DA PARTE DELLE AZIENDE FARMACEUTICHE.

Informazione accurata del paziente, suo consenso scritto e specifico all'utilizzo dei dati contenuti nella cartella clinica, uso delimitato dei dati e rigoroso rispetto delle misure di sicurezza volte a evitare la distruzione, la perdita o l'accesso e l'uso illecito delle informazioni raccolte.

Sono queste le fondamentali garanzie indicate dall'Autorità a conclusione di un'istruttoria avviata l'8 marzo scorso su richiesta di un'azienda ospedaliera che chiedeva di verificare la possibilità da parte delle aziende farmaceutiche, che sponsorizzano la sperimentazione di farmaci, di accedere alle cartelle cliniche dei pazienti. Vengono così fissate le linee guida per la corretta circolazione di questa delicatissima categoria di dati, con una precisa individuazione del ruolo delle aziende.

Il Garante ha indicato i limiti che devono essere rispettati affinché la consultazione a fini di ricerca scientifica e di sperimentazione di informazioni riguardanti lo stato di salute delle persone avvenga nell'osservanza delle disposizioni già previste dalla legge sulla privacy e non sconfini in un illecito sanzionabile anche sul piano penale.

I principi contenuti nel provvedimento emanato dall'Autorità possono essere sintetizzati nel modo seguente:

- Informazione al paziente e suo consenso scritto e specifico

L'azienda ospedaliera deve, innanzitutto, acquisire il consenso scritto e specifico del paziente all'utilizzo dei suoi dati per fini di sperimentazione farmacologica. Il consenso è valido solo se espresso in forma specifica e in maniera consapevole. Il paziente deve preliminarmente essere informato in modo chiaro sulle finalità del trattamento e sul fatto che le informazioni contenute nella cartella clinica saranno utilizzate ed eventualmente comunicate ad una o più aziende farmaceutiche indicate nominativamente. Il paziente deve, inoltre, sapere se i dati comunicati lo rendono identificabile o sono resi anonimi. L'informativa può essere data anche oralmente dal medico prima della sottoscrizione del modulo di consenso e deve contenere l'indicazione dell'eventuale azienda farmaceutica interessata nonché il nominativo o l'indirizzo delle persona o del servizio cui il paziente potrà rivolgersi per esercitare i diritti di cancellazione, rettifica o aggiornamento sui suoi dati. Occorre, pertanto, evitare formule generiche o frasi suscettibili di creare dubbi o equivoci.

Per quanto riguarda le altre garanzie, il trattamento deve avvenire nel pieno rispetto delle prescrizioni dettate dall'autorizzazione generale del Garante n.2/1999 (G.U. del 2 ottobre 1999) che fissa una serie di disposizioni sull'utilizzo di dati sensibili idonei a rivelare lo stato di salute delle persone. In particolare, in base a queste disposizioni, l'utilizzo di tali dati, successivamente alla loro raccolta, di regola non deve comunque permettere di identificare gli interessati, salvo che l'abbinamento al materiale di ricerca dei dati scientifici dell'interessato sia temporaneo ed essenziale per il risultato della ricerca e sia motivato per iscritto.

- Titolare e responsabilità del trattamento

Oltre che al consenso scritto e informato del paziente, l'eventuale accesso da parte dell'azienda farmaceutica alla documentazione medica è subordinato al rispetto delle norme sulla privacy concernenti la responsabilità e la titolarità del trattamento dei dati personali che assumono una diversa valenza a seconda del rapporto che intercorre tra l'azienda farmaceutica interessata alla sperimentazione e l'ospedale, da chiarire al paziente.

    a) Nel caso in cui l'azienda farmaceutica operi in qualità di "collaboratore" della struttura ospedaliera, la titolarità e la responsabilità esclusiva del trattamento spetta all'ospedale che può però avvalersi della stessa azienda riguardo al compito materiale di accedere ai dati per le sole finalità riguardanti la sperimentazione indicando, per iscritto e in modo analitico, i limiti e entro cui questa deve svolgersi e le istruzioni cui il responsabile designato a livello aziendale deve attenersi nel trattamento dei dati. In questo caso tutte le fasi del trattamento avvengono sotto la supervisione della struttura ospedaliera che ne risponde anche nei confronti dei pazienti coinvolti dalla sperimentazione.

    b) Se l'azienda farmaceutica conduce, invece, l'attività di sperimentazione in modo autonomo rispetto all'ospedale, il trattamento sui dati che le vengono comunicati ricade interamente sotto la sua sfera di responsabilità: la azienda farmaceutica diventa il soggetto, da indicare in questa veste anche sul modulo di consenso, nei confronti del quale i titolari delle cartelle cliniche potranno fare eventualmente valere le proprie ragioni e avrà quindi l'obbligo di notificare al Garante l'inizio, le modalità e le finalità del trattamento.

- Utilizzo e conservazione dei dati sanitari e adozione delle misure minime di sicurezza

Il trattamento dei dati deve avvenire nel pieno rispetto dell'autorizzazione generale n. 2/1999 del Garante, e per le aziende ospedaliere, anche del decreto legislativo n. 135/1999 per l'uso effettuato da soggetti pubblici (che integra la legge n.675 del 1996).

L'utilizzo delle informazioni deve essere limitato ai dati strettamente indispensabili al perseguimento degli scopi scientifici per cui sono stati raccolti e rispetto ai quali i pazienti hanno manifestato il proprio consenso. Un particolare regime di protezione rafforzata deve, inoltre, essere assicurato, ai dati relativi a pazienti sieropositivi o affetti da HIV nei confronti dei quali, precisa l'Autorità, il rispetto dei principi di riservatezza deve essere ancora più accurato.

Particolare attenzione dovrà essere prestata al profilo della sicurezza dei dati. Ospedali e aziende interessate alla sperimentazione farmacologica dovranno, pertanto, adottare le cautele e gli accorgimenti previsti dall'art.15 della legge n.675 del 1996 e del regolamento n. 318/99 sulle misure minime di sicurezza (G.U. n. 216/99).

Qualunque trattamento che non rispetti i principi e le regole indicate dall'Autorità nella sua decisione espone l'autore delle violazioni all'applicazione delle sanzioni amministrative e penali previste dalla legge sulla privacy per l'uso illecito dei dati sensibili (art. 35 e 37) e la violazione delle autorizzazioni emanate in materia dal Garante.

19 Maggio 2000