Garante per la protezione
    dei dati personali


Informativa per ipazienti di uno studio radiologico: serve una chiara indicazione dei soggettiai quali i dati possono essere comunicati e per quali finalità

PROVVEDIMENTO DEL 15MARZO 2012

Registro dei provvedimenti
n. 104 del 15marzo 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele DePaoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30giugno 2003, n. 196, di seguito "Codice");

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

Il Codacons ha segnalato all'Autorità una presunta violazione delladisciplina in materia di protezione dei dati personali in merito al modello diinformativa e di consenso utilizzato nei rapporti con i propri pazienti dalloStudio Radiologico Essepi s.a.s. di Savona.

In particolare, è stato segnalato che nell'informativa utilizzatadalla predetta Società è prevista la comunicazione dei dati raccolti a "societàdi assicurazione, fondi assistenziali o previdenziali privati o pubblici;banche ed istituti di credito; professionisti e consulenti; società operantinei settori dei trasporti, spedizioni e comunicazioni; SOGEI spa".

La predetta Società, nella risposta alla richiesta di informazionidell'Ufficio in merito al contenuto dell'informativa fornita ai pazienti, hariconosciuto che le espressioni utilizzate nel modello di informativa in usocon i pazienti potessero essere da questi "equivocate", e haaffermato di aver modificato le espressioni contenute nel suddetto modellospecificando che la comunicazione a "società di assicurazione, fondiassistenziali o previdenziali pubblici o privati" avviene "in caso diconvenzionamento diretto".

Con specifico riferimento alle modifiche che la Società affermava diaver apportato al modello di informativa, l'Ufficio ha richiesto ulterioriinformazioni in merito alla necessità che nell'informativa siano specificateper ogni ambito di comunicazione le finalità per il perseguimento delle qualisi effettua l'operazione, i presupposti legittimanti la stessa (ad es.disposizione normativa, consenso dell'interessato), nonché la tipologia di datipersonali oggetto della comunicazione (ad es. dati anagrafici, dati relativialla prestazione eseguita, referti).

In risposta all'ultima richiesta di informazioni dell'Ufficio, loStudio Radiologico Essepi s.a.s. ha inviato il modello di informativa econsenso "attualmente utilizzato" dalla Società, che risulta essereinvariato rispetto a quello oggetto della segnalazione del Codacons, ovveroprivo anche delle modifiche che lo stesso Studio nella prima risposta allarichiesta di informazioni dell'Ufficio aveva dichiarato di aver apportato. Intale risposta il suddetto Studio rileva solo l'opportunità di eliminare dalmodello di informativa in uso la dicitura relativa"all'autorizzazione" per le "comunicazioni inerenti la consegnadi referti e/o esami e notizie di divulgazione scientifica e promozione delleattività dell'istituto" "attraverso SMS", in quanto non più"realizzabile" dalla stessa Società.

Nel modello di informativa attualmente utilizzato dalla Società è,quindi, ancora prevista la comunicazione dei dati raccolti a "società diassicurazione, fondi assistenziali o previdenziali privati o pubblici; bancheed istituti di credito; professionisti e consulenti; società operanti neisettori dei trasporti, spedizioni e comunicazioni; SOGEI spa".

Nel modello di informativa fornito dalla predetta Società è inoltreprecisato che "il conferimento dei dati è obbligatorio per tutto quantoè inerente agli obblighi legali e contrattuali e pertanto l'eventuale rifiuto afornirli ovvero l'eventuale rifiuto al trattamento potrà determinarel'impossibilità () a dar corso ai servizi da voi richiesti". In calceal modello di informativa fornito dalla Società è prevista un'unicamanifestazione del consenso dell'interessato "al trattamento ed allacomunicazione dei propri dati per le finalità e nei limitidell'informativa".

1. La titolarità del trattamentodell'organismo sanitario privato
Lo Studio RadiologicoEssepi s.a.s., offre servizi di diagnostica per immagini sia privatamente chein regime di accreditamento con il Servizio sanitario nazionale. Nell'ambito ditali attività tratta dati personali anche idonei a rivelare lo stato di salutedei pazienti in qualità di titolare del trattamento (cfr. modello diinformativa e consenso in atti).

Dalla documentazione in atti emerge che lo Studio Radiologico Essepis.a.s. ha utilizzato il modello di informativa e di consenso oggetto dellasegnalazione nei confronti di tutti i pazienti che accedono ai servizi sanitarisopra richiamati.

Il suddetto modello presenta, tuttavia, talune criticità di seguitodelineate e non risulta, pertanto, conforme alla normativa in materia diprotezione dei dati personali.

2. Informativa
L'organismosanitario privato deve fornire ai propri pazienti -prima della raccolta deiloro dati personali- un'informativa in cui siano indicate in modo analitico lefinalità perseguite, distinguendo tra quelle di cura della salute eamministrative a queste strettamente correlate, dalle altre finalitàeventualmente perseguite (ad es. ricerca scientifica o offerta di ulterioriservizi sanitari) (art. 13, comma 1, lett. a) del Codice).

Nell'informativa devono essere, inoltre, specificati i dati personaliil cui conferimento risulti obbligatorio e quali, invece, facoltativo inrelazione alle diverse finalità perseguite, avendo cura di precisare anche leconseguenze per l'interessato di un suo eventuale rifiuto (art. 13, comma 1,lett. b) e c) del Codice).

L'informativa deve, poi, contenere una chiara indicazione dei soggettio delle categorie di soggetti ai quali i dati possono essere comunicati,specificando la finalità in tal modo perseguita e la tipologia dei datipersonali oggetto della comunicazione (art. 13, comma 1, lett. d) del Codice).

Appare opportuno evidenziare, infatti, che, salvi i casi di emergenzasanitaria, il mancato conferimento dei dati richiesti per le finalità di curadella salute (ivi comprese quelle amministrative a queste strettamentecorrelate), rende impossibile all'interessato l'accesso alla prestazionesanitaria, mentre il mancato consenso al trattamento dei dati per altre finalitàeventualmente perseguite (es. ricerca scientifica, offerta di ulteriori servizisanitari, comunicazione dello stato di salute dell'interessato a familiari oinvio di referti al medico curante) non impedisce l'accesso alla prestazionesanitaria.

Si richiama, in particolare, quanto già indicato dal Garante conspecifico riferimento alla comunicazione di dati sanitari (es. referti) asoggetti terzi, quali il medico curante o un familiare dell'interessatoindicati da quest'ultimo. In tali casi, l'organismo sanitario deve specificarela facoltatività di tale comunicazione nell'informativa e deve acquisire unospecifico consenso dell'interessato al riguardo (cfr. "Linee guida in temadi referti on-line" adottate dal Garante il 19 novembre 2009 e le"Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossiersanitario" dell'Autorità del 16 luglio 2009). Al riguardo, specificheprescrizioni in ambito sanitario sono state inoltre individuate dal Garantenell'Autorizzazione al trattamento dei dati idonei a rivelare lo stato disalute e la vita sessuale (Provv. n. 2/2011 del 24 giugno 2011 consultabile sulsito www.garanteprivacy.it-doc. web n. 1822577-pubblicato sulla Gazzetta Ufficiale n. 162 del 14 luglio 2011).

In tale quadro, si rileva che la mancanza degli elementi soprarichiamati rende inidonea l'informativa contenuta nel modello utilizzato dalloStudio Radiologico Essepi s.a.s. in occasione dei rapporti correnti con ipazienti.

3. Consenso
Conspecifico riferimento al trattamento dei dati effettuato per le finalità dicura della salute dell'interessato e per quelle amministrative a questestrettamente correlate, gli organismi sanitari privati devono sempre acquisireil preventivo consenso dell'interessato (artt. 23 e 76 del Codice eAutorizzazione n. 2/2011 del 24 giugno 2011 citata). Tale consenso può esseremanifestato con un'unica dichiarazione, anche oralmente e deve esseredocumentato, anziché con atto scritto dell'interessato, con annotazionedell'esercente la professione sanitaria (art. 81 del Codice).

In correlazione con l'informativa ricevuta, l'interessato deve poteresprimere il proprio consenso in forma specifica con riferimento alle finalitàperseguite e alle diverse operazioni di trattamento che il titolare intendeeffettuare.

Come anticipato nel precedente punto 2 del presente provvedimento,infatti, l'organismo sanitario, prima della raccolta dei dati per l'esecuzionedella prestazione sanitaria richiesta, deve specificare i casi in cui ilconferimento dei dati sia obbligatorio o facoltativo, fornendo, di conseguenza,la possibilità all'interessato di manifestare il consenso per il trattamentodei dati ai soli fini di cura della salute (comprese le attività amministrativea queste strettamente correlate), ovvero anche un autonomo consenso, del tuttodistinto dal primo, per ulteriori finalità cui facoltativamente intende aderire(es. partecipare a iniziative di ricerca scientifica, ottenere ulterioriservizi sanitari, acconsentire alla comunicazione del proprio stato di salute afamiliari/conoscenti oppure all'invio di referti al medico curante).

Ciò premesso, il consenso generale acquisito in un unico atto con ilmodello utilizzato dallo Studio Radiologico Essepi s.a.s. in occasione deicorrenti rapporti con i pazienti, non può, quindi, considerarsi validamenteprestato in quanto esso non risulta espresso specificamente in riferimento adun trattamento chiaramente individuato e, inoltre, è correlato adun'informativa non idonea (artt. 13, 23 e 76 e ss. del Codice).

4. Prescrizioni
Iltrattamento dei dati personali dei pazienti raccolti dallo Studio RadiologicoEssepi s.a.s. sulla base di una informativa inidonea e di un consenso nonvalidamente prestato è illecito e, pertanto, i dati stessi non possono essereutilizzati (art. 11, comma 2, del Codice).

Il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma1, lett. d), del Codice, ha in tal caso il compito di vietare, anche d'ufficio,in tutto o in parte, il trattamento illecito o non corretto dei dati o didisporne il blocco e di adottare, altresì, gli altri provvedimenti previstidalla disciplina applicabile al trattamento dei dati personali.

In tale quadro, sulla base delle motivazioni in precedenza illustrate,si ritiene, quindi, necessario vietare allo Studio Radiologico Essepi s.a.s. dieffettuare ulteriori trattamenti di dati personali dei pazienti raccolti sullabase del modello di informativa e di consenso in atti; si ritiene inoltrenecessario prescrivere contestualmente che i medesimi dati personali possanoessere trattati solo per l'esecuzione delle prestazioni sanitarie richiestedagli interessati e per adempiere a obblighi previsti da leggi, regolamenti onormativa comunitaria.

Il Garante, inoltre, ai sensi degli artt. 143, comma 1, lett. b) e154, comma 1, lett. c), del Codice, ha il compito di prescrivere al titolare lemisure opportune o necessarie per rendere il trattamento conforme alledisposizioni vigenti.

Pertanto, si ritiene necessario prescrivere allo Studio RadiologicoEssepi s.a.s. di modificare il modello di informativa e di consenso utilizzatonei rapporti con i pazienti, al fine di rendere il trattamento conforme alledisposizioni vigenti, indicando:

1. nell'informativa, oltre agli altri elementi previsti dall'art.13 del Codice:

 i trattamenti di dati personali indispensabili all'erogazionedella prestazione medica richiesta (ivi comprese le attività amministrativecorrelate), evidenziando al riguardo che il mancato consenso dell'interessatoimpedirebbe di usufruire della prestazione stessa. Qualora sia prevista anchela comunicazione dei dati per il perseguimento della predetta finalità, devonoessere indicati i soggetti o le categorie di soggetti destinatari e latipologia dei dati oggetto della comunicazione;

 la natura facoltativa del conferimento dei dati personali perl'eventuale perseguimento di ulteriori finalità (es. ricerca scientifica;offerta di ulteriori servizi) rispetto alle quali il mancato consensodell'interessato non impedisce di usufruire della prestazione sanitaria. Anchein questo caso, qualora sia prevista una comunicazione dei dati, devono essereindicati i soggetti o le categorie di soggetti destinatari e la tipologia deidati oggetto della comunicazione;

 la facoltà per l'interessato che le informazioni sul suo statodi salute siano comunicate a soggetti terzi (es. familiari o conoscenti) ovveroche i referti siano inviati al medico curante.

2. nella richiesta di consenso la possibilità di esprimere unamanifestazione di volontà specifica e correlata all'informativa in relazione:

 al trattamento e alla eventuale comunicazione dei datipersonali indispensabili al perseguimento delle finalità di cura della salutedell'interessato e di quelle amministrative a queste strettamente correlate;

 al trattamento e alla eventuale comunicazione dei dati per ilperseguimento di specifiche e facoltative ulteriori finalità rispetto a quelledi cura della salute;

 alla facoltà che le informazioni sul suo stato di salute sianocomunicate a soggetti terzi (es. familiari o conoscenti indicatidall'interessato medesimo) ovvero che i referti siano inviati al medicocurante.

Si ritiene, altresì, necessario prescrivere allo Studio RadiologicoEssepi s.a.s. di dare riscontro a questa Autorità delle modifiche apportate almodello di informativa e di consenso per il trattamento dei dati dei pazienti,in conformità alle prescrizioni sopra richiamate, entro e non oltre il terminedi sessanta giorni dalla data di ricezione del presente provvedimento.

L'Autorità si riserva infine di verificare, con autonomo procedimento,la sussistenza dei presupposti per contestare le violazioni delle disposizionidi cui agli artt. 13, commi 1 e 23, del Codice e la conseguente applicazionedelle sanzioni di cui agli artt. 161 e 162, comma 2-bis del Codice.

Si evidenzia che, ai sensi dell'art. 170 del Codice, chiunque,essendovi tenuto, non osserva il presente provvedimento è punito con lareclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2-ter,del Codice, in caso di inosservanza, è altresì applicata in sede amministrativa,in ogni caso, la sanzione del pagamento di una somma da trentamila acentottantamila euro.

PER QUESTI MOTIVI ILGARANTE

a) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1,lett. c) del Codice, accertata l'illiceità del trattamento dei dati personalidei pazienti raccolti dallo Studio Radiologico Essepi s.a.s. mediantel'utilizzo del modello di informativa e di consenso in atti, prescrive alloStudio Radiologico Essepi s.a.s., che i dati personali già raccolti alla datadella ricezione del presente provvedimento sulla base del predetto modello diinformativa e di consenso, possano essere ulteriormente trattati solo perl'esecuzione della prestazione sanitaria richiesta dall'interessato e peradempiere a obblighi previsti da leggi, regolamenti o normativa comunitaria;

b) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1,lett. d) del Codice, vieta allo Studio Radiologico Essepi s.a.s. di effettuareulteriori trattamenti dei predetti dati personali raccolti sulla base delmodello di informativa e di consenso in atti;

c) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1,lett. c) del Codice, prescrive allo Studio Radiologico Essepi s.a.s., dimodificare il modello di informativa e di consenso utilizzato nel seguentemodo:

1. nell'informativa, oltre agli altri elementi previsti dall'art.13 del Codice, occorre indicare:

 i trattamenti di dati personali indispensabili all'erogazionedella prestazione medica richiesta (ivi comprese le attività amministrativecorrelate), evidenziando al riguardo che il mancato consenso dell'interessatoimpedisce di usufruire della prestazione stessa. Qualora sia prevista anche lacomunicazione dei dati per il perseguimento della predetta finalità, devonoessere indicati i soggetti o le categorie di soggetti destinatari e latipologia dei dati oggetto della comunicazione;

 la natura facoltativa del conferimento dei dati personali perl'eventuale perseguimento di ulteriori finalità (es. ricerca scientifica;offerta di altri servizi), evidenziando al riguardo che il mancato consensodell'interessato non impedisce di usufruire della prestazione sanitaria. Anchein questo caso, qualora sia prevista una comunicazione dei dati, devono essereindicati i soggetti o le categorie di soggetti destinatari e la tipologia deidati oggetto della comunicazione;

 la facoltà per l'interessato di scegliere che le informazionisul suo stato di salute siano comunicate a soggetti terzi (es. familiari oconoscenti) ovvero che i referti siano inviati al medico curante.

2. nella richiesta di consenso la possibilità di esprimere unamanifestazione di volontà -specifica e correlata all'informativa- in relazione:

 al trattamento e alla eventuale comunicazione dei datipersonali indispensabili al perseguimento delle finalità di cura della salutedell'interessato e di quelle amministrative a queste strettamente correlate;

 al trattamento e alla eventuale comunicazione dei dati perl'eventuale perseguimento di specifiche e facoltative ulteriori finalità,distinte da quelle di cura della salute;

 alla facoltà che le informazioni sul suo stato di salute sianocomunicate a soggetti terzi (es. familiari o conoscenti indicatidall'interessato medesimo) ovvero che i referti siano inviati al medicocurante.

d) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1,lett. c) del Codice, prescrive allo Studio Radiologico Essepi s.a.s. di dareriscontro a questa Autorità delle modifiche apportate al modello di informativae di consenso per il trattamento dei dati dei pazienti in conformità alleprescrizioni contenute nella precedente lettera c) entro e non oltre il terminedi sessanta giorni dalla data di ricezione del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011,avverso il presente provvedimento può essere proposta opposizione all'autoritàgiudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogoove ha la residenza il titolare del trattamento dei dati, entro il termine ditrenta giorni dalla data di comunicazione del provvedimento stesso, ovvero disessanta giorni se il ricorrente risiede all'estero.

Roma, 15 marzo 2012

Il presidente
Pizzetti

Il relatore
Fortunato

Il segretario generale reggente
De Paoli