Garante per la protezione
    dei dati personali


Strutture sanitarieprivate:  informativa chiara e consenso specifico per trattare i dati deipazienti

PROVVEDIMENTO DEL 9FEBBRAIO 2012

Registro dei provvedimenti
n. 55 del 9febbraio 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele DePaoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30giugno 2003, n. 196, di seguito «Codice»);

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

E' stata segnalata all'Autorità una presunta violazione delladisciplina in materia di protezione dei dati personali nell'ambitodell'iniziativa "Non solo Mimose", promossa dalla società Bios Marxs.r.l., volta ad offrire alle donne, nei giorni tra il 7 e il 9 marzo 2011,alcuni esami medici gratuiti. In tale occasione è stata fornita alle donne chehanno aderito all'iniziativa un'informativa nella quale è prevista lacomunicazione dei dati raccolti a "partners commerciali, (Š) altre societàche forniscono servizi specifici; intermediari bancari e societàemittenti/gestori carte di credito; terzi che per conto della Bios Marx s.r.l.forniscono servizi informatici; società del gruppo di appartenenza".

A seguito della segnalazione pervenuta, l'Ufficio ha richiestoinformazioni alla società Bios Marx s.r.l. in relazione al contenutodell'informativa fornita in occasione della suddetta iniziativa, conparticolare riferimento alle finalità per le quali è prevista la comunicazionedi dati personali degli interessati ai soggetti sopra indicati.

Dalla documentazione fornita dalla società Bios Marx s.r.l. a seguitodella richiesta di informazioni dell'Ufficio è stato riscontrato che il modellodi informativa utilizzato nella predetta iniziativa effettivamente riporta ladicitura sopra richiamata, ovvero prevede alla lettera "d) ambito dicomunicazione e di diffusione dei dati" che i dati raccolti "potrannoessere comunicati alle seguenti categorie di soggetti: partners commerciali (Š)altre società che forniscono servizi specifici; intermediari bancari e societàemittenti/gestori carte di credito; terzi che per conto della Bios Marx s.r.l.forniscono servizi informatici; società del gruppo di appartenenza". Dettomodello di informativa non contiene, peraltro, alcuna indicazione in meritoalle finalità perseguite attraverso tali comunicazioni, nonché alla tipologiadi dati personali comunicati.

La società Bios Marx s.r.l., nella richiamata risposta alla richiestadi informazioni dell'Ufficio, ha precisato che in tale occasione è stato"erroneamente" fornito alle donne che hanno aderito all'iniziativa"Non solo Mimose" il modello di informativa –in atti-normalmente distribuito ai pazienti/clienti della Bios Marx s.r.l., per i qualisono previsti trattamenti di dati personali diversi. In particolare, la societàha precisato che la comunicazione ad "intermediari bancari e societàemittenti/gestori carte di credito" avviene solo nel caso in cui talisoggetti debbano "procedere alla riscossione di quanto dovuto" e nonanche con riferimento all'iniziativa "Non solo Mimose" che "eradel tutto gratuita".

Dal modello di informativa e di consenso fornito dalla società BiosMarx s.r.l. è emerso che "la raccolta e il trattamento dei Suoi dati saràcurata da Bios Marx s.r.l., al fine di permettere l'erogazione dellaprestazione richiesta" e che "nel caso in cui (Š) (il paziente)presti apposito consenso, i dati forniti potranno essere trattati, direttamenteo anche da soggetti terzi, oltre che per ottemperare agli obblighi previstidalla legge, da un regolamento o dalla normativa comunitaria ed in particolareper dare integrale esecuzione a tutti gli obblighi contrattuali". In calceal suddetto modello di informativa è prevista un'unica manifestazione delconsenso dell'interessato "al trattamento di tutti i miei datipersonali".

1. La titolarità del trattamentodell'organismo sanitario privato
La società Bios Marxs.r.l., appartenente al gruppo Bios International, offre servizi di diagnosticadi laboratorio e specialistica sia privatamente che in regime di accreditamentocon il Servizio sanitario nazionale. Nell'ambito di tali attività tratta datipersonali anche idonei a rivelare lo stato di salute dei pazienti in qualità dititolare del trattamento (cfr. modello di informativa e consenso in atti).

Dalla documentazione in atti emerge che la società Bios Marx s.r.l. hautilizzato il modello di informativa e di consenso oggetto della segnalazionenon solo nei confronti delle pazienti che hanno aderito all'iniziativa"Non solo Mimose", ma anche di tutti i pazienti che accedono aiservizi sanitari offerti sopra richiamati.
Il suddetto modello presenta,tuttavia, delle criticità e non risulta, pertanto, conforme alla normativa inmateria di protezione dei dati personali.

2. Informativa
L'organismosanitario privato deve fornire ai propri pazienti -prima della raccolta deiloro dati personali- un'informativa in cui siano indicate in modo analitico lefinalità perseguite, distinguendo tra quelle di cura della salute eamministrative a queste strettamente correlate, dalle altre finalitàeventualmente perseguite (ad es. ricerca scientifica o offerta di ulterioriservizi sanitari) (art. 13, comma 1, lett. a) del Codice).

Nell'informativa devono essere, inoltre, specificati i dati personaliil cui conferimento risulti obbligatorio e quali, invece, facoltativo inrelazione alle diverse finalità perseguite, avendo cura di precisare anche leconseguenze per l'interessato di un suo eventuale rifiuto (art. 13, comma 1,lett. b) e c) del Codice).

L'informativa deve, poi, contenere una chiara indicazione dei soggettio delle categorie di soggetti ai quali i dati possono essere comunicati, nonchéspecificare la finalità in tal modo perseguita e la tipologia dei datipersonali oggetto della comunicazione (art. 13, comma 1, lett. d) del Codice).

Appare opportuno evidenziare, infatti, che, salvi i casi di emergenzasanitaria, il mancato conferimento dei dati richiesti per le finalità di curadella salute (ivi comprese quelle amministrative a queste strettamente correlate),rende impossibile all'interessato l'accesso alla prestazione sanitaria, mentreil mancato consenso al trattamento dei dati per altre finalità eventualmenteperseguite (es. ricerca scientifica, offerta di ulteriori servizi sanitari,comunicazione dello stato di salute dell'interessato a familiari o invio direferti al medico curante) non impedisce l'accesso alla prestazione sanitaria.

Si richiama, in particolare, quanto già indicato dal Garante conspecifico riferimento alla comunicazione di dati sanitari (es. referti) asoggetti terzi, quali il medico curante o un familiare dell'interessatoindicati da quest'ultimo. In tali casi, l'organismo sanitario deve specificarela facoltatività di tale comunicazione nell'informativa e deve acquisire unospecifico consenso dell'interessato al riguardo (cfr. "Linee guida in temadi referti on-line" adottate dal Garante il 19 novembre 2009 e le"Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossiersanitario" dell'Autorità del 16 luglio 2009). Al riguardo, specificheprescrizioni in ambito sanitario sono state inoltre individuate dal Garantenell'Autorizzazione al trattamento dei dati idonei a rivelare lo stato disalute e la vita sessuale (Autor. n. 2/2011 del 24 giugno 2011 - pubblicata sulla Gazzetta Ufficiale n. 162 del 14 luglio 2011).

In tale quadro, si rileva che la mancanza degli elementi soprarichiamati rende inidonea l'informativa contenuta nel modello utilizzato dallaBios Marx s.r.l., sia nell'ambito dell'iniziativa "Non solo Mimose",che in occasione dei rapporti correnti con i pazienti.

3. Consenso
Conspecifico riferimento al trattamento dei dati effettuato per le finalità dicura della salute dell'interessato e per quelle amministrative a questestrettamente correlate, gli organismi sanitari privati devono sempre acquisireil preventivo consenso dell'interessato (artt. 23 e 76 del Codice eAutorizzazione n. 2/2011 del 24 giugno 2011 citata). Tale consenso può esseremanifestato con un'unica dichiarazione, anche oralmente e deve esseredocumentato, anziché con atto scritto dell'interessato, con annotazionedell'esercente la professione sanitaria (art. 81 del Codice).

In correlazione con l'informativa ricevuta, l'interessato deve poteresprimere il proprio consenso in forma specifica con riferimento alle finalitàperseguite e alle diverse operazioni di trattamento che il titolare intendeeffettuare.

Come anticipato nel precedente punto 2 del presente provvedimento,infatti, l'organismo sanitario, prima della raccolta dei dati per l'esecuzionedella prestazione sanitaria richiesta, deve specificare i casi in cui ilconferimento dei dati sia obbligatorio o facoltativo, fornendo, di conseguenzala possibilità all'interessato di manifestare il consenso per il trattamentodei dati ai soli fini di cura della salute (comprese le attività amministrativea queste strettamente correlate), ovvero anche un autonomo consenso, del tuttodistinto dal primo, per ulteriori finalità cui facoltativamente intende aderire(es. partecipare a iniziative di ricerca scientifica, ottenere ulterioriservizi sanitari, acconsentire alla comunicazione del proprio stato di salute afamiliari/conoscenti oppure all'invio di referti al medico curante).

Ciò premesso, il consenso generale acquisito in un unico atto con ilmodello utilizzato dalla Bios Marx s.r.l., sia nell'ambito dell'iniziativa"Non solo Mimose" che in occasione dei correnti rapporti con ipazienti, non può, quindi, considerarsi validamente prestato in quanto esso nonrisulta espresso specificamente in riferimento ad un trattamento chiaramenteindividuato e, inoltre, è correlato ad un'informativa non idonea (artt. 13, 23e 76 e ss. del Codice).

4. Prescrizioni
Iltrattamento dei dati personali dei pazienti raccolti dalla società Bios Marxs.r.l. sulla base di una informativa inidonea e di un consenso non validamenteprestato è illecito e, pertanto, i dati stessi non possono essere utilizzati(art. 11, comma 2, del Codice).

Il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma1, lett. d), del Codice, ha in tal caso il compito di vietare, anche d'ufficio,in tutto o in parte, il trattamento illecito o non corretto dei dati o didisporne il blocco e di adottare, altresì, gli altri provvedimenti previstidalla disciplina applicabile al trattamento dei dati personali.

In tale quadro, sulla base delle motivazioni in precedenza illustrate,si ritiene, quindi, necessario vietare alla Società Bios Marx s.r.l. dieffettuare ulteriori trattamenti di dati personali dei pazienti raccolti sullabase del modello di informativa e di consenso in atti; si ritiene inoltrenecessario prescrivere contestualmente che i medesimi dati personali possanoessere trattati solo per l'esecuzione delle prestazioni sanitarie richiestedagli interessati e per adempiere a obblighi previsti da leggi, regolamenti onormativa comunitaria.

Il Garante, inoltre, ai sensi degli artt. 143, comma 1, lett. b) e154, comma 1, lett. c), del Codice, ha il compito di prescrivere al titolare lemisure opportune o necessarie per rendere il trattamento conforme alledisposizioni vigenti.

Pertanto, si ritiene necessario prescrivere alla Società Bios Marxs.r.l. di modificare il modello di informativa e di consenso utilizzato neirapporti con i pazienti, al fine di rendere il trattamento conforme alledisposizioni vigenti, indicando:

1. nell'informativa, oltre agli altri elementi previsti dall'art.13 del Codice:

€ i trattamenti di dati personali indispensabili all'erogazionedella prestazione medica richiesta (ivi comprese le attività amministrativecorrelate), evidenziando al riguardo che il mancato consenso dell'interessatoimpedirebbe di usufruire della prestazione stessa. Qualora sia prevista anchela comunicazione dei dati per il perseguimento della predetta finalità, devonoessere indicati i soggetti o le categorie di soggetti destinatari;

€ la natura facoltativa del conferimento dei dati personali perl'eventuale perseguimento di ulteriori finalità (es. ricerca scientifica;offerta di ulteriori servizi) rispetto alle quali il mancato consensodell'interessato non impedisce di usufruire della prestazione sanitaria. Anchein questo caso, qualora sia prevista una comunicazione dei dati, devono essereindicati i soggetti o le categorie di soggetti destinatari;

€ la facoltà per l'interessato che le informazioni sul suo statodi salute siano comunicate a soggetti terzi (es. familiari o conoscenti) ovveroche i referti siano inviati al medico curante.

2. nella richiesta di consenso la possibilità di esprimere unamanifestazione di volontà specifica e correlata all'informativa in relazione:

€ al trattamento e alla eventuale comunicazione dei datipersonali indispensabili al perseguimento delle finalità di cura della salutedell'interessato e di quelle amministrative a queste strettamente correlate;

€ al trattamento e alla eventuale comunicazione dei dati per ilperseguimento di specifiche e facoltative ulteriori finalità rispetto a quelledi cura della salute;

€ alla facoltà che le informazioni sul suo stato di salute sianocomunicate a soggetti terzi (es. familiari o conoscenti indicatidall'interessato medesimo) ovvero che i referti siano inviati al medicocurante.

Si ritiene altresì necessario prescrivere alla società Bios Marxs.r.l. di dare riscontro a questa Autorità delle modifiche apportate al modellodi informativa e di consenso per il trattamento dei dati dei pazienti, inconformità alle prescrizioni sopra richiamate, entro e non oltre il termine disessanta giorni dalla data di ricezione del presente provvedimento.

L'Autorità si riserva infine di verificare, con autonomo procedimento,la sussistenza dei presupposti per contestare le violazioni delle disposizionidi cui agli artt. 13, commi 1 e 23, del Codice e la conseguente applicazionedelle sanzioni di cui agli artt. 161 e 162, comma 2-bis del Codice.

Si evidenzia che, ai sensi dell'art. 170 del Codice, chiunque,essendovi tenuto, non osserva il presente provvedimento di divieto è punito conla reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma2-ter, del Codice, in caso di inosservanza del divieto, è altresì applicata insede amministrativa, in ogni caso, la sanzione del pagamento di una somma datrentamila a centottantamila euro.

PER QUESTI MOTIVI ILGARANTE

a) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1,lett. c) del Codice, prescrive alla società Bios Marx s.r.l., che i datipersonali già raccolti alla data della ricezione del presente provvedimentosulla base del modello di informativa e di consenso in atti, possano essereulteriormente trattati solo per l'esecuzione della prestazione sanitariarichiesta dall'interessato e per adempiere a obblighi previsti da leggi,regolamenti o normativa comunitaria;

b) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1,lett. d) del Codice, accertata l'illiceità del trattamento dei dati personalidei pazienti raccolti dalla società Bios Marx s.r.l. mediante l'utilizzo delmodello di informativa e di consenso in atti, vieta alla stessa Società dieffettuare ulteriori trattamenti dei predetti dati personali;

c) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1,lett. c) del Codice, prescrive alla società Bios Marx s.r.l., di modificare ilmodello di informativa e di consenso utilizzato nel seguente modo:

1. nell'informativa, oltre agli altri elementi previsti dall'art.13 del Codice, occorre indicare:

€ i trattamenti di dati personali indispensabili all'erogazionedella prestazione medica richiesta (ivi comprese le attività amministrativecorrelate), evidenziando al riguardo che il mancato consenso dell'interessatoimpedisce di usufruire della prestazione stessa. Qualora sia prevista anche lacomunicazione dei dati per il perseguimento della predetta finalità, devonoessere indicati i soggetti o le categorie di soggetti destinatari;

€ la natura facoltativa del conferimento dei dati personali perl'eventuale perseguimento di ulteriori finalità (es. ricerca scientifica;offerta di altri servizi), evidenziando al riguardo che il mancato consensodell'interessato non impedisce di usufruire della prestazione sanitaria. Anchein questo caso, qualora sia prevista una comunicazione dei dati, devono essereindicati i soggetti o le categorie di soggetti destinatari;

€ la facoltà per l'interessato di scegliere che le informazionisul suo stato di salute siano comunicate a soggetti terzi (es. familiari oconoscenti) ovvero che i referti siano inviati al medico curante.

2. nella richiesta di consenso la possibilità di esprimere unamanifestazione di volontà -specifica e correlata all'informativa- in relazione:

€ al trattamento e alla eventuale comunicazione dei datipersonali indispensabili al perseguimento delle finalità di cura della salutedell'interessato e di quelle amministrative a queste strettamente correlate;

€ al trattamento e alla eventuale comunicazione dei dati perl'eventuale perseguimento di specifiche e facoltative ulteriori finalità,distinte da quelle di cura della salute;

€ alla facoltà che le informazioni sul suo stato di salute sianocomunicate a soggetti terzi (es. familiari o conoscenti indicatidall'interessato medesimo) ovvero che i referti siano inviati al medicocurante.

d) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1,lett. c) del Codice, prescrive alla società Bios Marx s.r.l. di dare riscontroa questa Autorità delle modifiche apportate al modello di informativa e diconsenso per il trattamento dei dati dei pazienti in conformità alleprescrizioni contenute nella precedente lettera c) entro e non oltre il terminedi sessanta giorni dalla data di ricezione del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011,avverso il presente provvedimento può essere proposta opposizione all'autoritàgiudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogoove ha la residenza il titolare del trattamento dei dati, entro il termine ditrenta giorni dalla data di comunicazione del provvedimento stesso, ovvero disessanta giorni se il ricorrente risiede all'estero.

Roma, 9 febbraio 2012

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale reggente
De Paoli