CE - GRUPPO DI LAVORO PER LA TUTELA DEI DATI PERSONALI

Documento di lavoro sul
trattamento dei dati personali relativi alla salute contenuti nelle cartelle cliniche elettroniche (CCE) - wp131

Adottato il 15 febbraio 2007

SINTESI

Nel presente documento di lavoro sul trattamento dei dati personali relativi alla salute contenuti nelle cartelle cliniche elettroniche (CCE), il Gruppo di lavoro Articolo 29 fornisce degli orientamenti sull'interpretazione del quadro giuridico in materia di protezione dei dati applicabile alle CCE, e spiega alcuni principi generali. Il presente documento di lavoro fornisce altresì indicazioni sui requisiti relativi alla protezione dei dati richiesti per la costituzione delle CCE e sulle garanzie necessarie.

Il Gruppo di lavoro Articolo 29 esamina dapprima il quadro giuridico generale in materia di protezione dei dati applicabile alle CCE. Esso ricorda il divieto generale di trattamento dei dati personali relativi alla salute sancito dall'articolo 8, paragrafo 1 della direttiva 95/46/CE sulla tutela dei dati, ed esamina in seguito la possibile applicazione delle deroghe di cui all'articolo 8, paragrafi 2, 3 e 4 della stessa direttiva ai sistemi di CCE, sottolineando la necessità di interpretarle in modo restrittivo.

Il Gruppo di lavoro riflette inoltre in merito a un quadro giuridico adatto ai sistemi di CCE, e formula undici raccomandazioni per gli ambiti in cui speciali garanzie risultano particolarmente necessarie per tutelare i diritti alla protezione dei dati dei pazienti e delle persone in genere. Gli ambiti interessati sono i seguenti:

1. Rispetto dell'autodeterminazione

2. Identificazione e riconoscimento dei pazienti e del personale sanitario

3. Autorizzazione ad accedere alle CCE per leggerle e compilarle

4. Utilizzo delle CCE ad altri fini

5. Struttura organizzativa di un sistema di CCE

6. Categorie di dati contenuti nelle CCE e modalità di presentazione

7. Trasferimento internazionale di documentazione medica

8. Sicurezza dei dati

9. Trasparenza

10. Responsabilità

11. Meccanismi di controllo relativi al trattamento dei dati contenuti nelle CCE

Il Gruppo di lavoro Articolo 29 invita la professione medica, gli operatori sanitari, tutte le persone e istituzioni interessate e tutti cittadini in genere ad esprimere osservazioni sul presente documento.

INDICE

  • I. INTRODUZIONE
  • II. QUADRO NORMATIVO PER LA PROTEZIONE DEI DATI APPLICABILE ALLE CARTELLE CLINICHE ELETTRONICHE
  • 1. Principi generali
  • 2. Tutela speciale per i dati personali di natura delicata
  • 3. Divieto generale di trattamento dei dati personali relativi alla salute e relative deroghe
  • 4. Articolo 8, paragrafo 2, lettera a): "consenso esplicito"
  • 5. Articolo 8, paragrafo 2, lettera c): "interesse vitale della persona interessata"
  • 6. Articolo 8, paragrafo 3: "trattamento di dati (medici) da parte di professionisti in campo sanitario"
  • 7. Articolo 8, paragrafo 4: deroghe per motivi di interesse pubblico rilevante
  • III. RIFLESSIONI SU UN QUADRO GIURIDICO ADATTO PER I SISTEMI DI CCE
  • 1. Rispetto dell'autodeterminazione
  • 2. Identificazione e riconoscimento dei pazienti e del personale sanitario
  • 3. Autorizzazione ad accedere alle CCE per leggerle e compilarle
  • 4. Utilizzo delle CCE ad altri fini
  • 5. Struttura organizzativa di un sistema di CCE
  • 6. Categorie di dati contenuti nelle CCE e modalità di presentazione
  • 7. Trasferimento internazionale di documentazione medica
  • 8. Sicurezza dei dati
  • 9. Transparenza
  • 10. Responsabilità
  • 11. Meccanismi di controllo relativi al trattamento dei dati contenuti nelle CCE
  • IV. CONCLUSIONI

    IL GRUPPO DI LAVORO PER LA TUTELA DELLE PERSONE CON RIGUARDO AL TRATTAMENTO DEI DATI PERSONALI,

    vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio1, in particolare l'articolo 29 e l'articolo 30, paragrafo 1, lettera b),

    visto il regolamento interno del Gruppo di lavoro2, in particolare gli articoli 12 e 14,

    HA ADOTTATO IL SEGUENTE DOCUMENTO DI LAVORO:

    I. Introduzione

    Scopo del presente documento del Gruppo di lavoro Articolo 29 è fornire orientamenti sull'interpretazione del quadro giuridico in materia di protezione dei dati applicabile ai sistemi di cartelle cliniche elettroniche, ed enunciare alcuni principi generali. Il parere formulato è inteso inoltre a stabilire le condizioni indispensabili in materia di protezione dei dati per poter creare un sistema di cartelle cliniche elettroniche a livello nazionale, insieme alle garanzie necessarie.

    I costi dei sistemi sanitari pubblici stanno drammaticamente aumentando, e i governi stanno cercando nuove strategie per affrontare il problema. Una delle risposte ricorrenti riguarda le "cartelle cliniche elettroniche".

    Altri termini usati in questo ambito sono quelli di "cartelle mediche elettroniche", "dati elettronici sui pazienti", "dati computerizzati sui pazienti", ecc., che possono essere utilizzati come sinonimi.

    Ai fini del presente documento di lavoro una "cartella clinica elettronica" (in appresso CCE) è definita come: "Una documentazione medica completa o documentazione analoga sullo stato di salute fisico e mentale, passato e presente, di un individuo, in forma elettronica, e che consenta la pronta disponibilità di tali dati per cure mediche ed altri fini strettamente collegati3."

    Tradizionalmente, la documentazione relativa alle cure mediche era disponibile presso il personale sanitario ma non veniva raccolta in un unico documento. Il concetto di CCE, invece, sottintende la compilazione della documentazione medica di una persona proveniente da fonti e periodi diversi.

    La cartella clinica elettronica fornirebbe quindi informazioni quanto più possibile complete sullo stato di salute passato e presente di un individuo, attinente a un periodo di tempo ragguardevole che potrebbe addirittura essere quello di una vita intera ("dalla culla alla tomba").

    Una volta compilati, i dati delle CCE sarebbero disponibili in formato elettronico a tutto il personale sanitario autorizzato e ad altre istituzioni autorizzate ovunque e ogniqualvolta tali informazioni siano necessarie.

    Le CCE risultano un mezzo adeguato per:

    • migliorare la qualità delle cure fornendo informazioni più complete sul paziente;

    • migliorare l'efficienza economica delle cure mediche evitando così un'ulteriore, rapida crescita del deficit del bilancio sanitario;

    • fornire i dati necessari per un controllo della qualità, per le statistiche e per la pianificazione nel settore sanitario pubblico, provocando effetti postivi per il suo bilancio.

    Dalle risposte a un questionario distribuito nel 2005 alle autorità europee per la protezione dei dati è emersa l'importanza e l'urgenza, nella maggior parte degli Stati membri, di sistemi di CCE a livello nazionale. Il grado di attuazione di tali progetti è molto diverso: se la maggior parte degli Stati membri ne sta ancora discutendo, altri li hanno già introdotti almeno in parte.

    Dato che l'assistenza sanitaria assume sempre più un carattere transfrontaliero, la Commissione europea ha sottolineato, nella comunicazione "Sanità elettronica — migliorare l’assistenza sanitaria dei cittadini europei: piano d’azione per uno spazio europeo della sanità elettronica"4, l'importanza dei servizi di sanità elettronica e dell'interoperabilità delle cartelle cliniche elettroniche.

    La Comunità europea sta inoltre finanziando importanti progetti, ad esempio sui dati elettronici sui pazienti o sull'identificazione dei pazienti (ad es. la carta europea di assicurazione sanitaria).

    In sede di attuazione di tali programmi la Commissione europea, in cooperazione con gli Stati membri, è tenuta a garantire il rispetto di tutte le norme giuridiche pertinenti in materia di tutela dei dati personali nonché, ove opportuno, l'adozione di meccanismi atti ad assicurare la riservatezza e la sicurezza di tali dati 5.

    I sistemi di CCE possono assicurare maggiore qualità e sicurezza dell'informazione medica di quanto consentano le forme tradizionali di documentazione. Tuttavia, parlando della tutela dei dati, va sottolineato che i sistemi di CCE danno la possibilità non solo di trattare una quantità maggiore di informazioni di natura personale (ad es. in nuovi contesti o per aggregazione), ma anche di rendere i dati del paziente più facilmente disponibili ad una cerchia di destinatari più ampia di prima.

    Va anche osservato che le informazioni contenute in un sistema di CCE, oltre ad essere accessibili al personale sanitario, possono attirare l'interesse di terzi come ad esempio le compagnie di assicurazione e le autorità giudiziarie, di polizia, ecc.

    Sotto l'aspetto della tutela dei dati personali, compilando informazioni mediche esistenti su una persona provenienti da fonti diverse, e permettendo così un accesso più facile ed ampio a dati delicati, i sistemi di CCE introducono nuovi scenari di rischio, e prospettano tutta una nuova gamma di possibili usi abusivi delle informazioni mediche individuali.

    Se, in gran parte dei progetti, questi nuovi rischi si concretizzeranno effettivamente solo ad uno stadio futuro di piena attuazione, è tuttavia necessario essere consapevoli di questi pericoli già da ora: ora, infatti, la maggior parte dei modelli esistenti è solo di limitata o parziale applicazione (ad es. solo ad un insieme di base di dati medici, oppure ad ospedali di una specifica regione), ma l'attuazione a livello generale è soltanto una questione di tempo.

    II. Quadro normativo per la protezione dei dati applicabile alle cartelle cliniche elettroniche

    Il trattamento dei dati personali nei sistemi di CCE deve rispettare pienamente le norme che disciplinano la protezione di tali dati. Il Gruppo di lavoro tiene a sottolineare che il quadro che si applica all'uso delle CCE è esposto al considerando 2 della direttiva, secondo il quale "i sistemi di trattamento dei dati sono al servizio dell'uomo; (…) indipendentemente dalla nazionalità o dalla residenza delle persone fisiche, debbono rispettare le libertà e i diritti fondamentali delle stesse, in particolare la vita privata, e debbono contribuire al progresso economico e sociale, allo sviluppo degli scambi nonché al benessere degli individui".

    Il diritto fondamentale alla tutela dei dati personali si basa essenzialmente sull'articolo 8 della Convenzione europea di salvaguardia dei diritti dell'uomo e delle libertà fondamentali (ECHR) e sull'articolo 8 della Carta dei diritti fondamentali dell'Unione europea6.

    Norme più dettagliate sono stabilite nella direttiva 95/46/CE sulla tutela dei dati e nella direttiva 2002/58/CE relativa alla vita privata e alle comunicazioni elettroniche7, nonché nelle legislazioni nazionali degli Stati membri che attuano dette direttive.

    Il trattamento dei dati personali delle CCE deve anche rispettare le norme stabilite dalla Convenzione del Consiglio d'Europa sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale (ETS n. 108) e dal Protocollo aggiuntivo della Convenzione 108 sulle autorità di controllo ed i flussi transfrontalieri di dati (ETS n. 181).

    Il Gruppo di lavoro tiene inoltre ad attirare particolarmente l'attenzione sulla raccomandazione n. R(97) 5 del Consiglio d'Europa sulla tutele dei dati medici (13 febbraio 1997) Rinvia inoltre alle raccomandazioni formulate nel "Working Document on Online Availability of Electronic Health Records" dell'International Working Group on Data Protection in Telecommunications8.

    1. Principi generali

    I responsabili del trattamento dei dati, che raccolgono le informazioni nell'ambito delle applicazioni CCE, devono quindi rispettare tutti i principi generali di protezione dei dati, fra cui i seguenti:

    • limitazione d'utilizzo (finalità): parzialmente formulato all'articolo 6, paragrafo 1, lettera b) della direttiva, tale principio vieta il trattamento successivo dei dati se incompatibile con le finalità per cui questi sono stati rilevati;

    • qualità dei dati: formulato nella direttiva, questo principio stabilisce che i dati personali debbano essere pertinenti e non eccedenti rispetto alle finalità per le quali vengono rilevati. I dati non pertinenti non devono quindi essere raccolti: se lo sono stati, devono essere eliminati (articolo 6, paragrafo 1, lettera c)). Tale principio vuole inoltre che i dati siano esatti e aggiornati;

    • conservazione: i dati personali non devono essere conservati per un arco di tempo superiore a quello necessario al conseguimento delle finalità per le quali sono rilevati o successivamente trattati;

    • informazione: ai sensi dell'articolo 10 della direttiva, i responsabili del trattamento dei dati nei sistemi di CCE devono fornire alle persone presso le quali raccolgono tali dati determinate informazioni: devono ad esempio comunicare la propria identità, le finalità del trattamento, i destinatari dei dati e l'esistenza del diritto d'accesso;

    • diritto d'accesso dell'interessato: l'articolo 12 della direttiva conferisce all'interessato la facoltà di verificate l'esattezza dei dati e di assicurarsi che siano aggiornati. Questi diritti si applicano pienamente anche ai dati personali raccolti nei sistemi di CCE;

    • obblighi di sicurezza: l'articolo 17 della direttiva impone ai responsabili del trattamento l'obbligo di attuare misure appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita o dalla diffusione non autorizzata. Tali misure possono essere tecniche ed organizzative.

    1. Tutela speciale per i dati personali di natura delicata

      2. Il trattamento di dati personali legati allo stato di salute di una persona è particolarmente delicato e richiede pertanto una tutela speciale.

      L'articolo 2, lettera a) della direttiva 95/46/CE definisce come segue i dati personali:

      "'Dati personali': qualsiasi informazione concernente una persona fisica identificata

      o identificabile ('persona interessata'); si considera identificabile la persona che può

      essere identificata, direttamente o indirettamente, in particolare mediante

      riferimento ad un numero di identificazione o ad uno o più elementi specifici

      caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o

      sociale".

      L'articolo 8, paragrafo 1 della direttiva definisce nel seguente modo le

      categorie particolari di dati: "Gli Stati membri vietano il trattamento di dati personali che rivelano l'origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, l'appartenenza sindacale, nonché il trattamento di dati relativi alla salute e alla vita sessuale."

      Un riferimento al fatto che una persona si sia ferita a un piede e lavori part-time per ragioni mediche costituisce un dato personale relativo alla salute ai sensi dell'articolo 8, paragrafo 1 della direttiva9.

      Questa definizione si applica anche ai dati personali che hanno un legame chiaro e stretto con la descrizione dello stato di salute di una persona: le informazioni sul consumo di medicinali, alcol o droghe, così come i dati genetici, sono senza alcun dubbio "dati personali sulla salute", specialmente se sono inseriti in un fascicolo medico.

      Devono essere considerati come sensibili anche tutti gli altri dati — ad es. quelli amministrativi (numero di sicurezza sociale, data del ricovero, ecc.) — figuranti nella documentazione relativa al trattamento del paziente: se non fossero rilevanti non sarebbero stati inclusi nel fascicolo medico, e non avrebbero neanche dovuto esserlo.

      I membri del Gruppo di lavoro ritengono quindi che tutti i dati contenuti nella documentazione medica, nelle cartelle cliniche elettroniche e nei relativi sistemi debbano essere considerati "dati personali di natura delicata".

      Essi sono pertanto soggetti non solo a tutte le norme generali della direttiva sulla protezione dei dati personali, ma anche alle regole speciali di tutela relative al trattamento delle informazioni di natura delicata di cui all'articolo 8 della direttiva.

    2. Divieto generale di trattamento dei dati personali relativi alla salute e relative deroghe

      3. L'articolo 8, paragrafo 1 della direttiva 95/46/CE sulla tutela dei dati vieta, in modo generale, il trattamento dei dati personali relativi alla salute. Lo stesso vale per l'articolo 6 della Convenzione n. 108 del Consiglio d'Europa.

      La tutela speciale prevista dall'articolo 8, paragrafo 1 completa le altre disposizioni della direttiva, in particolare l'articolo 6 sui principi della qualità dei dati e l'articolo 7 sui principi relativi alla legittimazione del loro trattamento. Tuttavia, considerata l'importanza dell'uso delle informazioni su un paziente per curarlo adeguatamente, il divieto generale di trattamento dei dati medici prevede alcune deroghe.

      La direttiva sulla tutela dei dati prevede deroghe obbligatorie all'articolo 8, paragrafi 2 e 3, e una deroga facoltativa all'articolo 8, paragrafo 4. Tutte queste deroghe sono limitate, esaustive, e devono essere interpretate in modo restrittivo.

    3. Articolo 8, paragrafo 2, lettera a): "consenso esplicito"

      4. Ai sensi dell'articolo 8, paragrafo 2, lettera a) della direttiva: "Il paragrafo 1 non si applica qualora: (a) la persona interessata abbia dato il proprio consenso esplicito a tale trattamento, salvo nei casi in cui la legislazione dello Stato membro preveda che il consenso della persona interessata non sia sufficiente per derogare al divieto di cui al paragrafo 1"

      a) Il consenso della persona interessata può quindi giustificare il trattamento dei dati di natura delicata10.

      Come già indicato in precedenti documenti di lavoro del Gruppo Articolo 29 (WP 1211 e WP 11412), è essenziale che, per essere valido, il consenso, in qualunque circostanza sia espresso, sia una manifestazione di volontà libera, specifica e informata della persona interessata, come definito all’articolo 2, lettera h) della direttiva.

      aa) Il consenso deve essere dato liberamente: consenso "libero" significa una decisione volontaria, presa da una persona in pieno possesso di tutte le sue facoltà e senza alcuna forma di coercizione, sociale, finanziaria, psicologica o d'altro tipo. Un consenso dato in una situazione medica sotto la minaccia di non essere curati o di ricevere cure peggiori non può essere considerato "libero".

      Il consenso dato da una persona che non abbia avuto la possibilità di fare veramente una scelta o che sia stata messa davanti al fatto compiuto non può essere considerato valido.

      Secondo il Gruppo di lavoro Articolo 29, qualora la situazione medica imponga in modo necessario e inevitabile all'operatore sanitario di trattare i dati personali in un sistema di CCE, è fuorviante che questi cerchi di legittimare tale operazione attraverso il consenso dell'interessato.

      Il fatto di basarsi sul consenso dovrebbe essere limitato ai casi in cui la persona interessata è veramente libera di scegliere e può in seguito ritirare tale consenso senza venire danneggiata.13

      bb) Il consenso deve essere specifico: il consenso "specifico" deve riferirsi a una situazione ben definita e concreta in cui si prevede un trattamento dei dati medici.

      Pertanto un "consenso generale" dell'interessato — ad esempio alla raccolta dei suoi dati medici per una CCE e ai trasferimenti successivi di tali dati, passati e futuri, a operatori sanitari coinvolti nella cura — non costituisce un consenso conformemente all'articolo 2, lettera h) della direttiva.

      cc) Il consenso deve essere informato: "informato" significa basato sulla valutazione e comprensione dei fatti e sulle conseguenze di una determinata azione. L'interessato deve ricevere, in modo chiaro e comprensibile, informazioni precise e complete su tutti gli aspetti rilevanti, in particolare quelli specificati agli articoli 10 e 11 della direttiva, come i suoi diritti, la natura dei dati trattati, le finalità del trattamento, i destinatari di eventuali trasferimenti.

      Questo implica anche la consapevolezza delle conseguenze del mancato assenso al trattamento in questione.

      b) Diversamente da quanto disposto dall'articolo 7 della direttiva, nel caso di dati personali sensibili, e quindi delle CCE, il consenso deve essere esplicito. Non soddisfa il criterio del carattere "esplicito" la soluzione del silenzio-assenso (opt-out).

      Conformemente alla definizione generale secondo cui il consenso presuppone una dichiarazione di volontà, il carattere esplicito deve riferirsi, in particolare, alla natura delicata dei dati. L'interessato deve essere consapevole del fatto che rinuncia alla tutela speciale. Non è necessario tuttavia un consenso scritto.

      c) Il Gruppo di lavoro Articolo 29 ha constatato che talvolta è complicato ottenere il consenso a causa di problemi pratici, soprattutto quando non vi è un contatto diretto fra il responsabile del trattamento dei dati e le persone interessate.

      Quali che siano le difficoltà, il responsabile del trattamento deve essere in grado di dimostrare, in tutti i casi, che:

      i) ha ottenuto il consenso esplicito di ogni persona interessata e,

      ii) tale consenso esplicito è stato dato sulla base di informazioni sufficientemente precise.

      d) Di nuovo in contrasto con l'articolo 7, l'articolo 8, paragrafo 2, lettera a) riconosce che possono esservi casi in cui neanche il consenso esplicito dell'interessato è sufficiente per derogare al divieto di trattamento dei dati di natura delicata. Gli Stati membri sono liberi di regolamentare o meno, e secondo quali modalità, tali casi.

    4. Articolo 8, paragrafo 2, lettera c): "interesse vitale della persona interessata"

      5. Il trattamento di dati personali di natura delicata può essere giustificato se necessario per salvaguardare un interesse vitale della persona interessata o di un terzo nel caso in cui la persona interessata sia nell'incapacità fisica o giuridica di dare il proprio consenso.

      Il trattamento deve avere attinenza con interessi individuali fondamentali della persona in questione o di un terzo e deve — nel contesto medico — essere necessario per una cura da cui dipende la vita del paziente, in una situazione in cui questi non è in grado di esprimere la sua volontà.

      Di conseguenza questa deroga si può applicare solo a un numero limitato di casi e non può assolutamente essere invocata per giustificare il trattamento di dati personali di natura medica per scopi che non siano le cure del paziente (ad esempio per effettuare ricerca medica generale che darà risultati solo in futuro14). Esempio: una persona ha perso conoscenza in seguito a un incidente e non può dare il consenso alla necessaria comunicazione dei dati sulle sue allergie conosciute.

      Nell'ambito dei sistemi di CCE, la disposizione della direttiva permetterebbe a un operatore sanitario l'accesso alle informazioni contenute nella CCE per ottenere i dettagli su tali allergie note, poiché potrebbero essere determinanti ai fini delle cure da scegliere.

    5. Articolo 8, paragrafo 3: "trattamento di dati (medici) da parte di professionisti in campo sanitario"

      6. L'articolo 8, paragrafo 3 autorizza il trattamento dei dati personali di natura delicata a tre condizioni cumulative: esso deve essere "necessario", deve servire "alla prevenzione o alla diagnostica medica, alla somministrazione di cure o alla gestione di centri di cura", e deve essere "effettuato da un professionista in campo sanitario soggetto al segreto professionale sancito dalla legislazione nazionale, comprese le norme stabilite dagli organi nazionali competenti, o da un'altra persona egualmente soggetta a un obbligo di segreto equivalente".

    1. Questa deroga riguarda solo il trattamento di dati personali allo scopo specifico di fornire servizi sanitari di natura preventiva, diagnostica, terapeutica o post-terapeutica e di gestire tali servizi (ad es. per la fatturazione, la contabilità o le statistiche). La deroga non riguarda un trattamento successivo non necessario per la prestazione diretta di questi servizi, come la ricerca medica, il rimborso dei costi da parte di un regime di assicurazione malattia, o il recupero di crediti.

      2. Non rientrano nel campo d'applicazione dell'articolo 8, paragrafo 3 operazioni di trattamento di dati in settori quali la pubblica sanità e la protezione sociale - soprattutto al fine di assicurare la qualità e la redditività per quanto riguarda le procedure per rispondere alle richieste di prestazioni e servizi nell'ambito del regime di assicurazione sanitaria -, che sono menzionate nel considerando 34 della direttiva come esempio per invocare l'articolo 8, paragrafo 4.

    2. Il trattamento dei dati personali ai sensi dell'articolo 8, paragrafo 3 deve poi essere "necessario" per gli scopi specifici menzionati al punto a). Il Gruppo di lavoro sottolinea che, nel contesto delle CCE, ciò significa che l'inserimento di qualsiasi dato personale in una cartella clinica elettronica deve essere pienamente giustificato: il semplice carattere di "utilità" del poter disporre di tali dati in una CCE non è sufficiente.

    3. La terza condizione dell'articolo 8, paragrafo 3 è che il trattamento dei dati di natura delicata sia effettuato da personale sanitario o da altro personale soggetto al segreto professionale (medico) o a un obbligo di segreto equivalente. Il requisito etico della riservatezza applicabile alla professione medica è stato inizialmente enunciato col "Giuramento di Ippocrate"15 e successivamente confermato dalla Dichiarazione di Ginevra dell'Associazione medica mondiale (1948).

      4. Esso tutela le informazioni raccolte da un operatore sanitario durante le cure di un paziente. L'utilizzo di tali informazioni è consentito solo nei limiti del contratto di cura. Questa relazione di fiducia esclude tutti i terzi, anche altri operatori sanitari, a meno che il paziente non abbia acconsentito alla comunicazione dei suoi dati o ciò sia specificamente previsto per legge.

      Il Gruppo di lavoro fa notare che l'obbligo particolare del segreto professionale deve essere stabilito dalla legislazione nazionale degli Stati membri, oppure da organismi professionali nazionali competenti ad adottare norme vincolanti per la categoria. Queste norme nazionali sul segreto professionale devono anche prevedere effettive sanzioni in caso di violazione.

      Ai sensi della direttiva, il personale non medico che debba, per necessità, trattare questi dati di natura delicata deve essere ugualmente soggetto a norme vincolanti che garantiscano almeno un livello equivalente di riservatezza e protezione. In particolare, tali norme devono prevedere l'obbligo di utilizzare i dati solo ai fini di cui all'articolo 8, paragrafo 3 della direttiva.

      Il personale sanitario direttamente responsabile delle cure ha generalmente l'obbligo giuridico di tenere una documentazione sul trattamento (atti medici, prescrizioni, ecc.) nel fascicolo del paziente.

      Conformemente alle numerose disposizioni giuridiche esistenti sull'obbligo del segreto professionale da parte del personale sanitario, la conservazione e l'utilizzo dei fascicoli dei pazienti sono tradizionalmente limitati alla relazione bilaterale diretta fra il malato e l'operatore sanitario/la struttura sanitaria cui questi si rivolge.

    4. La deroga di cui all'articolo 8, paragrafo 3 della direttiva al divieto generale di trattamento dei dati di natura delicata va interpretata in modo restrittivo.

    5. Alla domanda se l'articolo 8, paragrafo 3 della direttiva potrebbe costituire l'unica base giuridica per il trattamento dei dati personali in un sistema di CCE, il Gruppo di lavoro Articolo 29 risponde che detto articolo 8, paragrafo 3 può riguardare solo il trattamento di dati medici per gli scopi medici e sanitari ivi menzionati, e alle rigorose condizioni che tale trattamento sia "necessario" ed effettuato da un professionista in campo sanitario o da un'altra persona soggetta al segreto professionale o a un obbligo equivalente.

    Se il trattamento di dati personali in una CCE va, in un modo o nell'altro, al di là di questi obiettivi o non è conforme alle condizioni stabilite, allora l'articolo 8, paragrafo 3 non può servire come unica base giuridica per tale trattamento.

    Il Gruppo di lavoro segnala tuttavia che, anche nel caso in cui siano soddisfatti tutti i presupposti fissati, i sistemi di CCE creano nuovi scenari di rischio che richiedono nuove garanzie supplementari per essere controbilanciati.

    I sistemi di CCE consentono infatti un accesso diretto a una compilazione della documentazione esistente — proveniente da fonti diverse (ad es. ospedali, operatori sanitari, ecc.) e sull'arco di un'intera vita - relativa alle cure mediche di una data persona: essi oltrepassano quindi il limite tradizionale della relazione diretta fra il singolo paziente e il medico o la struttura sanitaria; la registrazione delle informazioni mediche in una CCE va al di là dei metodi usuali di conservazione e di utilizzo della documentazione medica sui pazienti.

    Sotto l'aspetto tecnico, la molteplicità dei punti d'accesso su una rete aperta come Internet aumenta le possibilità di intercettazione dei dati. Il mantenimento delle regole di riservatezza adatte alla tradizionale documentazione cartacea può rivelarsi insufficiente per proteggere la privacy di un paziente una volta che le cartelle cliniche elettroniche sono messe on-line.

    I sistemi di CCE completamente sviluppati tendono così ad aprire e a facilitare l'accesso alle informazioni mediche e ai dati personali di natura delicata: garantire che solo il personale sanitario competente abbia accesso alle informazioni, ai fini legittimi legati alle cure dell'interessato, è una sfida considerevole.

    I sistemi di CCE rendono il trattamento dei dati personali sensibili più complesso, con conseguenze immediate per i diritti degli individui: devono pertanto essere considerati un nuovo scenario di rischio per quanto attiene alla tutela di tali dati.

    La principale, e tradizionale, garanzia dell'articolo 8, paragrafo 3 — a parte la limitazione delle finalità e la condizione di rigorosa necessità — è l'obbligo di riservatezza imposto al personale sanitario per quanto riguarda i dati medici dei pazienti. Questa garanzia potrà non essere più pienamente applicabile con le CCE, dato che uno dei loro scopi è proprio quello di far accedere alla documentazione medica, a fini terapeutici, gli operatori che non hanno partecipato alle cure precedenti registrate in un fascicolo.

    Anche quando il trattamento dei dati è giustificato dall'articolo 8, paragrafo 3, il Gruppo di lavoro non è pertanto convinto che il fatto di basarsi solo sull'obbligo del segreto professionale assicuri una tutela sufficiente in caso di CCE. Un nuovo scenario di rischio richiede garanzie supplementari, e se possibili nuove, oltre a quelle stabilite dall'articolo 8, paragrafo 3, per fornire un'adeguata tutela ai dati personali nell'ambito delle CCE. 7.

    1. Articolo 8, paragrafo 4: deroghe per motivi di interesse pubblico rilevante

      2. Diverse disposizioni della direttiva offrono un margine considerevole di flessibilità per trovare il giusto equilibrio fra, da un lato, la tutela dei diritti della persona interessata e, d'altro lato, gli interessi legittimi dei responsabili del trattamento dei dati, dei terzi e l'eventuale interesse pubblico.

      L'articolo 8, paragrafo 4 della direttiva consente agli Stati membri di stabilire ulteriori deroghe al divieto di trattamento delle categorie di dati di natura delicata: "Purché siano previste le opportune garanzie, gli Stati membri possono, per motivi di interesse pubblico rilevante, stabilire ulteriori deroghe oltre a quelle previste dal paragrafo 2 sulla base della legislazione nazionale o di una decisione dell'autorità di controllo."

      Il considerando 34 recita: (34) "considerando che gli Stati membri devono anche essere autorizzati, quando un motivo di interesse pubblico rilevante lo giustifichi, a derogare al divieto di trattamento di categorie di dati di natura delicata in settori quali la pubblica sanità e la protezione sociale - soprattutto al fine di assicurare la qualità e la redditività per quanto riguarda le procedure per rispondere alle richieste di prestazioni e servizi nell'ambito del regime di assicurazione sanitaria -, la ricerca scientifica nonché le statistiche pubbliche; che spetta loro tuttavia prevedere le garanzie appropriate e specifiche per tutelare i diritti fondamentali e la vita privata delle persone".

      1. Di conseguenza, se uno Stato membro intende avvalersi di questa possibilità, la deroga deve essere contenuta in una disposizione giuridica o in una decisione dell'autorità di controllo (base giuridica speciale).

      2. Il trattamento dei dati di natura delicata deve essere giustificato da motivi di interesse pubblico rilevante. Il considerando 34 della direttiva menziona esempi di settori in cui è particolarmente probabile che si verifichino casi di "interesse pubblico rilevante", come la pubblica sanità e la sicurezza sociale, per assicurare la qualità e la redditività per quanto riguarda le procedure per rispondere alle richieste di prestazioni e servizi nell'ambito del regime di assicurazione sanitaria.

      L'interesse pubblico rilevante deve essere dimostrato da ogni Stato membro per ogni caso, e in relazione a tutto l'ambito del trattamento cui si applica la deroga, e il trattamento deve essere necessario alla luce di tale interesse pubblico rilevante. Le misure di questo tipo devono essere proporzionate: non deve essere possibile, cioè, applicare nessun altro provvedimento meno invasivo.

      Inoltre, per essere legittima, qualsiasi ingerenza con il diritto al rispetto della privacy e della vita familiare deve essere conforme all'articolo 8 della Convenzione europea di salvaguardia dei diritti dell'uomo e deve essere interpretata alla luce della giurisprudenza di Strasburgo: deve essere "prevista dalla legge" e deve essere, "in una società democratica, […] necessaria" a fini di interesse pubblico.

      La giurisprudenza di Strasburgo ha ripetutamente affermato che le disposizioni di legge che prevedono tale ingerenza devono "indicare con sufficiente chiarezza la portata della discrezionalità riconosciuta alle autorità competenti e le modalità del suo esercizio, tenuto conto dell’obiettivo legittimo della misura in questione, per fornire all’individuo una protezione adeguata contro un’interferenza arbitraria ".

      1. Gli Stati membri sono tenuti a prevedere le garanzie appropriate e specifiche per tutelare i diritti fondamentali e la vita privata delle persone in questo contesto.

      2. Il ricorso all'articolo 8, paragrafo 4 deve essere notificato dallo Stato membro alla Commissione conformemente all'articolo 8, paragrafo 6 della direttiva.

      Per quanto riguarda le cartelle cliniche elettroniche, il Gruppo di lavoro Articolo 29 osserva che gli argomenti a favore dell'introduzione dei sistemi di CCE (cfr. sopra, sezione I) possono invocare un"interesse pubblico rilevante".

      In alcuni Stati membri, il "diritto alla tutela della salute" è sancito dalla Costituzione. Ciò sottolinea l'importanza attribuita a tutti i mezzi adeguati per garantire questa "tutela della salute". Un sistema di CCE, in tali contesti giuridici, sarebbe certamente fondato sull'"interesse pubblico rilevante", poiché si tratta di uno strumento essenzialmente destinato ad assicurare ai pazienti un'assistenza medica adeguata.

      L'articolo 8, paragrafo 4 della direttiva potrebbe quindi servire come base giuridica per i sistemi di CCE, purché siano rispettate tutte le condizioni ivi menzionate. In particolare, devono essere previste le opportune garanzie per la tutela dei dati personali nel sistema CCE.

      Il Gruppo di lavoro discuterà delle possibili garanzie e del quadro giuridico appropriato per i sistemi di CCE nella sezione seguente.

      III. Riflessioni su un quadro giuridico adatto per i sistemi di CCE

      Il Gruppo di lavoro Articolo 29 svilupperà in appresso gli aspetti dei sistemi di CCE per i quali delle garanzie speciali16 sembrano particolarmente necessarie per assicurare i diritti dei pazienti alla protezione dei dati. Considerato l'impatto dei sistemi di CCE e la particolare necessità di garantirne la trasparenza, sarebbe preferibile che tali garanzie venissero stabilite nell'ambito di uno speciale quadro giuridico completo.

      1. Rispetto dell'autodeterminazione

        2. Anche se un sistema di CCE non è interamente fondato sul consenso come base giuridica (articolo 8, paragrafo 2), la decisione del paziente sul come e il quando usare i suoi dati deve rivestire un ruolo fondamentale come garanzia importante.17

      1. L'"accettazione", nel contesto delle garanzie adeguate, è diversa dal "consenso" ai sensi dell'articolo 8, paragrafo 2 della direttiva, e non deve quindi rispettare tutte le condizioni dell'articolo 8, paragrafo 2: ad es., se il consenso come base giuridica per il trattamento dei dati sulla salute deve sempre essere "esplicito" ai sensi dell'articolo 8, paragrafo 2, l'accettazione come garanzia non deve necessariamente essere data in forma esplicita e preventiva (opt-in): la possibilità di autodeterminazione potrebbe — in funzione della situazione — anche essere conferita sotto la forma di un diritto al rifiuto (opt-out).

      2. Dato che i diversi tipi di dati sulla salute non hanno lo stesso potenziale di arrecare pregiudizio, andrebbero distinte delle categorie di utilizzo con vari gradi di possibilità d'esercizio dell'autodeterminazione. Le disposizioni giuridiche che instaurano un sistema di CCE dovrebbero prevedere — per quanto riguarda l'inserimento dei dati in una cartella clinica elettronica o l'accesso a tali dati — un maggiore ricorso al sistema di opt-in, cioè del consenso preventivo ed esplicito (specialmente per il trattamento di dati che possono essere particolarmente pregiudizievoli, come dati psichiatrici, dati su un aborto, ecc.18), e possibilità di "opt-out" per dati meno riservati.19 Ciò potrebbe garantire il livello necessario di tutela da un lato, e, d'altro lato la necessaria praticabilità e flessibilità.

      3. In linea di principio un paziente dovrebbe sempre avere la possibilità, se lo desidera, di impedire la comunicazione dei suoi dati medici, raccolti da un operatore sanitario durante la cura, ad altri operatori sanitari. Va inoltre esaminata la questione della modalità della soppressione dell'accesso alle informazioni contenute in una CCE: se, cioè, la soppressione deve essere celata per non essere visibile, oppure se, forse in certi casi, deve apparire un messaggio che comunica che informazioni supplementari esistono, ma sono disponibili solo a specifiche condizioni.

      4. Partendo dal presupposto che nessuno può essere costretto a far parte dei sistemi di CCE, le disposizioni giuridiche che li creano dovrebbero affrontare la questione del possibile ritiro completo da detti sistemi. Sarebbe opportuno decidere se il ritiro farebbe scattare l'obbligo di cancellare completamente i dati dal sistema o semplicemente di impedirne l'accesso, lasciando eventualmente la scelta all'interessato.

      1. Identificazione e riconoscimento dei pazienti e del personale sanitario

        1. L'identificazione affidabile20 dei pazienti nei sistemi CCE è di fondamentale importanza. L'utilizzo di dati sulla salute relativi alla persona sbagliata, a causa di un errore di identificazione, può avere conseguenze spesso nefaste. Le tessere sanitarie basate sul sistema delle smart card potrebbero contribuire in maniera significativa a una corretta identificazione elettronica dei pazienti e anche al loro riconoscimento21 se vogliono accedere ai dati della loro CCE. abusivo dei diritti di accesso, ecc.

        2. Inoltre, dato il carattere particolarmente delicato dei dati sulla salute, le persone non autorizzate non devono potervi accedere. Un controllo affidabile dell'accesso dipende da un'affidabile identificazione22 e riconoscimento. Per questo è indispensabile identificare inequivocabilmente gli utilizzatori e anche riconoscerli correttamente. 23

        3. Poiché uno dei principali vantaggi dei sistemi di CCE è la possibilità di accedervi per via elettronica, indipendentemente dal momento e dal luogo, dovranno essere stabilite delle procedure affidabili di identificazione e riconoscimento per via elettronica.

        Il riconoscimento per mezzo della firma elettronica — possibile per gli utenti autorizzati, con un'identificazione ufficiale adeguata, ad es. su smart card speciali — dovrebbe essere presa in considerazione almeno in un'ottica a lungo termine per evitare i noti rischi del riconoscimento con la password.

        Per gli operatori sanitari, occorrerà sviluppare un sistema di identificazione e riconoscimento che dimostri non solo la loro identità ma anche il ruolo in cui intervengono, ad es. come psichiatra o come infermiere.

      1. Autorizzazione ad accedere alle CCE per leggerle e compilarle

        1. Garanzie generali per l'accesso Nei sistemi di CCE sono contenuti dati medici riservati. Come principio fondamentale, l'accesso a una CCE può quindi essere consentito — a parte allo stesso paziente — solo agli operatori sanitari / al personale autorizzato delle strutture sanitarie che intervengono in quel momento nelle cure. Fra il paziente e l'operatore sanitario che vuole accedere alle sue cartelle elettroniche deve esservi una relazione di effettivo e attuale trattamento medico.

          2. Sembra inoltre necessario definire quali categorie di operatori sanitari/strutture, e a quali livelli, possono avere accesso ai dati delle CCE (medici generalisti, medici ospedalieri, farmacisti, infermieri, chiroterapeuti, psicologi, terapeuti familiari, ecc.).

          La protezione delle informazioni potrebbe inoltre essere rafforzata da diritti d'accesso modulari, costituendo cioè, in sistema di CCE, categorie determinate di dati medici il cui accesso sarebbe limitato a categorie specifiche di operatori/strutture sanitarie24. I possibili vantaggi di una configurazione modulare delle CCE saranno trattati più ampiamente sotto, al punto 6.

        2. Garanzie speciali d'accesso con implicazione del paziente Se fattibile e se possibile — cioè se il paziente è presente e se è in grado di agire — il paziente dovrebbe avere la possibilità, se lo desidera, di impedire l'accesso ai dati della sua CCE. Ciò implica che sappia, prima, chi desidera accedere ai suoi dati, quando e perché, e le eventuali conseguenze di un rifiuto. Devono essere elaborate procedure che evitino indebite pressioni psicologiche sul paziente affinché acconsenta ad autorizzare l'accesso ai suoi dati.

          3. Quando è necessaria una prova dell'accettazione del paziente dell'accesso alla sua CCE, sono indispensabili strumenti affidabili a tal fine, come la verifica elettronica del token del paziente, o - se tali strumenti sono già generalmente disponibili - la firma elettronica del

          paziente, ecc. La presentazione di questa prova deve essere documentata elettronicamente in vista di eventuali controlli. Devono anche essere definite delle norme che stabiliscano se la persona interessata può chiedere che alcuni dati non siano inseriti nel dossier. Un possibile modo per regolare tale questione potrebbe essere l'uso di "buste sigillate" che non possono essere aperte senza il consenso esplicito del paziente.

        3. Accesso delle persone interessate ai dati delle loro CCE La concessione o meno ai pazienti dell'accesso (elettronico) diretto alla loro CCE a fini di lettura è una questione di fattibilità medica. Il diritto d'accesso associato alla tutela dei dati, ad esempio ai sensi dell'articolo 12 della direttiva 95/46/CE, non significa sempre necessariamente un accesso diretto. Un accesso diretto potrebbe, tuttavia, contribuire considerevolmente ad instaurare fiducia verso il sistema CCE. Dal punto di vista della protezione dei dati, il presupposto indispensabile per la concessione dell'accesso diretto sarebbe quello di rendere sicuri l'identificazione e il riconoscimento elettronici per impedire l'accesso alle persone non autorizzate. Le disposizioni su un sistema di CCE dovrebbero anche definire se i pazienti debbano inserire loro stessi i dati nella loro CCE, o se tale operazione debba essere svolta dal personale sanitario. Una trasparenza adeguata delle procedure di acquisizione dei dati nelle cartelle, con indicazione del relativo autore, permetterebbe molto probabilmente di risolvere gli eventuali problemi di responsabilità per quanto riguarda l'esattezza delle informazioni. Si potrebbe anche prendere in considerazione l'idea di limitare l'accesso a fini di scrittura a un modulo specifico della CCE. In tale conteste si deve tenere conto delle capacità e delle esigenze particolari dei malati cronici, delle persone anziane, dei disabili e degli invalidi.

        1. Utilizzo delle CCE ad altri fini

          2. L'accettazione dei sistemi di CCE da parte dei cittadini dipenderà dalla fiducia nella loro riservatezza. Il motivo dell'accesso legittimo ai dati di una cartella clinica elettronica deve corrispondere allo scopo fondamentale di ogni sistema di CCE, cioè quello di una riuscita cura medica grazie a informazioni migliori.

          Il Gruppo di lavoro ritiene che l'accesso ai dati medici di una CCE per scopi diversi da quelli enumerati all'articolo 8, paragrafo 3 della direttiva debba in linea di principio essere vietato.

          Ciò escluderebbe ad esempio l'accesso alle CCE per i medici che intervengono come periti per parti terze, ad es. per compagnie d'assicurazione private, in controversie, per la concessione di aiuti al pensionamento, per i datori di lavoro dell'interessato, ecc. Inoltre, il codice disciplinare applicabile agli operatori sanitari dovrebbe prevedere sanzioni effettive in caso di violazione di queste norme.

          Dovrebbero essere prese misure particolari per impedire che i pazienti siano illegittimamente indotti a comunicare i dati delle loro CCE, ad es. su richiesta di un possibile, futuro datore di lavoro o di una compagnia d'assicurazione privata. È fondamentale che il paziente sia informato per evitare che acconsenta a tali richieste di divulgazione, che sono illegali ai sensi della legislazione sulla protezione dei dati.

          Potrebbe anche essere opportuno applicare delle misure tecniche, come requisiti speciali per la stampa di una cartella clinica elettronica completa, ecc.

          Il trattamento dei dati delle CCE a fini di ricerca medica scientifica e di statistiche pubbliche potrebbe essere consentito come eccezione alla regola sopra indicata, purché conforme alla direttiva (articolo 8, paragrafo 4 e il corrispondente considerando 34): si tratta di deroghe che devono essere previste per legge per scopi specifici e preventivamente stabiliti, a condizioni speciali per garantire la proporzionalità ("garanzie appropriate e specifiche") in modo da tutelare i diritti fondamentali e la vita privata delle persone. Inoltre, qualora fattibile e possibile, i dati dei sistemi di CCE dovrebbero essere usati per altri scopi (ad es. statistiche o valutazione della qualità) solo in forma anonima, o come minimo usando una pseudonimizzazione sicura25.

        2. Struttura organizzativa di un sistema di CCE

          3. Nelle discussioni sulle varie modalità di conservazione dei dati in un sistema di CCE, vengono generalmente menzionate le seguenti alternative principali:

          • CCE come sistema che dà accesso ai fascicoli medici conservati dagli operatori sanitari, che hanno l'obbligo di registrare le informazioni sulle cure dei loro pazienti — soluzione spesso denominata "stoccaggio decentralizzato", oppure

          • CCE come sistema uniforme di stoccaggio in cui il personale sanitario deve trasferire la documentazione — soluzione spesso denominata "stoccaggio centralizzato"; • una terza alternativa potrebbe essere quella di consentire al paziente di "gestire" le proprie cartelle mediche, offrendogli la possibilità di stoccare i propri dati sulla salute nell'ambito di uno speciale servizio on-line sotto il suo controllo, anche, eventualmente, decidendo quali dati inserire in una CCE.26

          a) Se la terza soluzione (stoccaggio sotto il controllo della persona interessata) sembra la migliore in termini di autodeterminazione, l'esattezza e la completezza della documentazione potrebbero porre problemi se è solo il paziente a decidere quali dati conservare nella CCE, e il sistema non prevede alcun intervento correttivo del personale medico.

          b) Nel caso dello stoccaggio "decentralizzato", che diventa un "sistema" solo una volta create delle modalità di ricerca, la struttura esistente della documentazione sui dati relativi alla salute presso i vari prestatori di servizi sanitari rimane immutata. La facilità di localizzazione dei dati di un paziente dipende dalla qualità del sistema di ricerca. Nell'ambito di questo modello organizzativo, la struttura/gli operatori sanitari restano "responsabili" del dossier (più precisamente: di quella parte della cartella clinica elettronica da loro creata). Data questa architettura complessa, potrebbe essere necessario designare un organo centrale incaricato di gestire e controllare l'insieme del sistema e di garantirne la compatibilità con la protezione dei dati. Potrebbe anche essere utile dare alle persone interessate la possibilità di sottoporre i loro problemi di protezione dei dati all'organo centrale piuttosto che dover cercare fra una moltitudine di responsabili.

          c) Il principale vantaggio del sistema di stoccaggio "centralizzato" sarebbe verosimilmente una maggiore sicurezza tecnica e disponibilità (accesso 24h/24), non così facilmente garantita se un sistema di CCE oltrepassa l'ambito ospedaliero Vi sarà un solo responsabile per tutto il sistema, distinto dalla struttura/dagli operatori sanitari che hanno trasmesso la documentazione (parziale o completa) al sistema centrale.

          Dal punto di vista della protezione dei dati, le eventuali obiezioni contro un sistema di questo tipo potrebbero riguardare l'alto potenziale di utilizzi abusivi. Si potrebbero prevedere dispositivi e misure di sicurezza speciali (ad. es. stoccaggio criptato) per controbilanciare, almeno in gran parte, i rischi del sistema centralizzato di dati.

          Tuttavia, la responsabilità della riservatezza del sistema non è più del personale medico, cosa che potrebbe influenzare il livello di fiducia del paziente verso il sistema stesso. La misura in cui il paziente può influenzare il contenuto e la comunicazione della sua cartella clinica elettronica dipenderebbe in entrambi i casi — stoccaggio decentralizzato e centralizzato — dalla configurazione particolare del sistema (cfr. il punto 3 b).

        3. Categorie di dati contenuti nelle CCE e modalità di presentazione

        L'idea di un "sistema di CCE" è fondamentalmente quella di raccogliere tutti i dati sulla salute di una determinata persona, che possono essere utili a lungo termine, in modo che, in caso di cure future, siano disponibili informazioni complete e pertinenti e i pazienti abbiano maggiori possibilità di ricevere cure efficaci. Il Gruppo di lavoro ritiene che ciò potrebbe sollevare i problemi principali di seguito esposti.

        1. La "completezza" di un dossier medico è praticamente impossibile e anche non auspicabile: in una cartella clinica elettronica devono essere inserite solo informazioni pertinenti.

          2. Una delle questioni più difficili poste dalla creazione di un sistema di CCE sarà quindi quella di decidere quali categorie di dati medici debbano essere raccolte e per quanto tempo possano essere conservate27. Benché la risposta a questa domanda debba essere data in primo luogo dai medici, essa presenta anche un aspetto relativo alla protezione dei dati: secondo i principi di rilevanza e di proporzionalità della raccolta dei dati, ogni compilazione di informazioni deve essere limitata a quelle che sono pertinenti e non eccedenti rispetto alle finalità specifiche del trattamento (articolo 6, paragrafo 1, lettera c) della direttiva). La legittimità dei sistemi di CCE dipenderà quindi anche dalla scelta delle "giuste" categorie di dati e dal "giusto" periodo della loro conservazione.

        2. Per quanto riguarda la presentazione dei dati nelle CCE: il fatto che sia possibile distinguere diverse categorie di dati sulla salute, che richiedono gradi diversi di riservatezza, suggerisce che potrebbe essere utile creare, in un sistema di CCE, diversi moduli di dati con diverse condizioni d'accesso.

          3. Un modulo dati "vaccinazioni" dovrebbe ad esempio essere accessibile in ogni momento alla persona interessata, e potrebbe anche esserlo per un numero piuttosto ampio di operatori sanitari; un modulo dati "medicine" potrebbe offrire un accesso speciale ai farmacisti, se il paziente lo accetta28; un modulo "emergenze" potrebbe prevedere mezzi tecnici speciali per l'accesso, ecc. Potrebbe essere utile anche la creazione di moduli per speciali "sistemi di richiamo": servirebbero a ricordare automaticamente al paziente le necessarie vaccinazioni, i check-up e le visite di controllo.

          I dati di natura particolarmente delicata potrebbero anche essere tutelati meglio se stoccati in moduli separati con condizioni d'accesso particolarmente rigorose. Si tratterebbe ad esempio dei dati su cure psichiatriche, sull'HIV, su aborti, ecc.: invece di escludere tali informazioni dalle cartelle cliniche elettroniche — cosa che potrebbe essere pregiudizievole alla riuscita di cure mediche future -, il sistema potrebbe prevedere speciali restrizioni d'accesso a tali dati, fra cui il consenso esplicito del paziente e particolari barriere tecniche (ad es. le "buste sigillate").

        3. Nello strutturare le cartelle cliniche elettroniche, dovrebbero anche essere prese in considerazione le domande ricorrenti di informazioni speciali. In virtù della legislazione nazionale, ad esempio, le compagnie d'assicurazione private potrebbero avere il diritto di ricevere alcune informazioni (limitate) di carattere medico, qualora ciò sia necessario per onorare i loro obblighi contrattuali con i pazienti assicurati.

        Permettere alle compagnie d'assicurazione private di consultare la cartella clinica elettronica di un paziente sarebbe inaccettabile: per tale ragione una soluzione potrebbe essere quella di creare un "pacchetto di documentazione" speciale standardizzato, che risponda ove necessario alle legittime necessità di informazione dell'assicuratore e che, se il paziente lo autorizza, potrebbe essere trasmesso (elettronicamente) alla compagnia d'assicurazione.

        1. Trasferimento internazionale di documentazione medica

          2. L'accessibilità, su supporto elettronico, dei dati contenuti nei sistemi di CCE può migliorare considerevolmente le possibilità di diagnosi o di cura permettendo il ricorso a competenze mediche disponibili solo in strutture straniere. La consultazione di esperti stranieri a fini di diagnosi non necessita generalmente di rivelare l'identità del paziente. Pertanto, se possibile, tali dati dovrebbero essere trasferiti in paesi al di fuori dell'Unione europea/dello Spazio economico europeo solo in forma anonima o come minimo con una pseudonimizzazione.

          Se non c'è il consenso esplicito dell'interessato al trasferimento dei suoi dati personali29, ciò evita anche la necessità di ottenere il permesso per questo trasferimento di dati, poiché l'interessato non è identificabile dal destinatario.

          Visto il rischio elevato che pesa sui dati personali in un sistema di CCE qualora non vi sia una protezione adeguata, il Gruppo di lavoro Articolo 29 tiene a sottolineare che qualunque trattamento — specialmente lo stoccaggio — di dati CCE dovrebbe avere luogo in paesi che applicano la direttiva UE sulla tutela dei dati oppure un quadro giuridico adeguato sempre per tale tutela.

          I flussi transfrontalieri di dati in un contesto di studi clinici costituiscono uno specifico problema: il gruppo di studio che ha contatto diretto con i pazienti può talvolta avere bisogno dell'accesso ai dati CCE nella loro forma iniziale personalizzata.

          Per tutti i trasferimenti di dati derivanti da studi clinici a patrocinatori o ad altri istituti legittimamente interessati, come condizione indispensabile è necessario tuttavia l'uso come minimo di una pseudonimizzazione sicura, specialmente se tali patrocinatori sono ubicati in paesi che non offrono un'adeguata protezione dei dati. In questo ambito va sempre accordata un'attenzione speciale agli aspetti relativi alla protezione dei dati, per evitare i rischi di divulgazione non autorizzata in contesti che possono non essere sicuri sotto questo aspetto.

        2. Sicurezza dei dati

          3. L'accettabilità di un sistema di trattamento di dati con un potenziale di rischio eccezionale dipende da un livello di sicurezza dei dati sufficientemente alto per tutte le attività del sistema. L'accesso alle persone non autorizzate deve essere praticamente impossibile e deve essere impedito, se si vuole che il sistema sia accettabile dal punto di vista della tutela dei dati. Tuttavia, in caso di effettiva necessità delle informazioni, la disponibilità del sistema al personale autorizzato deve essere praticamente illimitata, se si vuole che il sistema produca i vantaggi promessi per le cure del paziente.

          Il quadro giuridico per la creazione di un sistema di CCE dovrebbe prevedere l'applicazione di una serie di misure di natura tecnica e organizzativa per evitare la perdita dei dati o la modifica, il trattamento e l'accesso non autorizzati. L'integrità del sistema deve essere garantita ricorrendo alle conoscenze e agli strumenti rappresentanti l'attuale stato dell'arte in scienza dell'informatica e tecnologia dell'informazione.

          I sistemi tecnologici a difesa della vita privata (Privacy Enhancing Technologies, PET)30 dovrebbero essere applicati il più possibile per promuovere la protezione dei dati personali. Il criptaggio dovrebbe essere usato non solo per il trasferimento ma anche per lo stoccaggio dei dati nei sistemi di CCE. Tutte le misure di sicurezza dovrebbero essere di facile applicazione per poterne fare maggior ricorso. I costi necessari dovrebbero essere visti come un investimento nella compatibilità dei sistemi di CCE con i diritti fondamentali, che sarà una delle condizioni più importanti se si vuole che tali sistemi abbiamo successo.

          Indipendentemente dal fatto che molte delle garanzie sopra discusse contengano già elementi di sicurezza dei dati, il quadro giuridico relativo alle misure di sicurezza dovrebbe in particolare prevedere:

          • lo sviluppo di un sistema affidabile ed efficace di identificazione e riconoscimento elettronici, così come registri costantemente aggiornati per verificare la necessaria autorizzazione delle persone che chiedono o hanno accesso ai sistemi di CCE;

          • ampia registrazione e documentazione di tutte le fasi del trattamento che hanno avuto luogo nel sistema, specialmente delle richieste d'accesso per leggere o compilare le cartelle cliniche elettroniche, insieme a verifiche interne regolari e controlli dell'autenticità delle autorizzazioni;

          • meccanismi efficaci di back-up e recupero dei dati per rendere sicuro il contenuto del sistema;

          • barriere all'accesso o alla modifica non autorizzati dei dati CCE al momento del trasferimento o dello stoccaggio dei back-up, ad es. usando algoritmi criptografici;

          • istruzioni chiare e documentate per tutto il personale autorizzato su come usare correttamente i sistemi CCE e su come evitare rischi e violazioni della sicurezza;

          • una distinzione chiara delle funzioni e delle competenze delle categorie di persone incaricate del sistema o che come minimo vi partecipano, per poter determinare le responsabilità in caso di problemi;

          • controlli interni ed esterni regolari in materia di protezione dei dati.

        3. Trasparenza

          4. Appare evidente che le cartelle cliniche elettroniche offrono grandi possibilità alle cure mediche, ma anche, in linea di principio, agli utilizzi abusivi tramite un accesso non autorizzato. Per poter avere fiducia nei sistemi di CCE, l'opinione pubblica e i singoli individui chiederanno quindi un'accresciuta trasparenza per quanto riguarda il contenuto e il funzionamento delle CCE.

          I responsabili dei sistemi devono assicurare la notificazione alle autorità per il controllo della tutela dei dati, insieme a informazioni specifiche, facilmente disponibili e comprensibili.

          L'uso di Internet come canale ideale di diffusione delle informazioni può contribuire a instaurare la necessaria trasparenza dei sistemi CCE a livello nazionale.

          Punti di accesso gratuiti, di facile utilizzo ma sicuri, che consentano agli interessati di verificare il contenuto e la comunicazione delle loro CCE potrebbero anche essere un valido contributo alla trasparenza e quindi alla fiducia nel sistema.

        4. Responsabilità

          5. I sistemi di CCE devono anche garantire che le possibili violazioni della privacy causate dallo stoccaggio e dalla fornitura dei dati medici nei sistemi stessi siano adeguatamente controbilanciate dalla responsabilità per i danni causati ad es. da un uso scorretto o non autorizzato dei dati. In un'analisi dei problemi che le cartelle cliniche elettroniche possono porre dal punto di vista della protezione dei dati, le questioni della responsabilità per un utilizzo scorretto dei sistemi possono solo essere sfiorate.

          Il Gruppo di lavoro ritiene che ogni Stato membro che intenda introdurre un sistema CCE dovrebbe svolgere prima delle attente e profonde indagini in materia di legislazione civile e medica, e valutazioni d'impatto, per chiarire le nuove questioni di responsabilità che possono sorgere in questo contesto, ad es. per quanto riguarda l'esattezza e la completezza dei dati inseriti nel sistema, la definizione del grado di conoscenza che un operatore sanitario deve avere della CCE del suo paziente, o per quanto riguarda le conseguenze, previste dalla legislazione in materia di responsabilità, se l'accesso non è possibile per ragioni tecniche, ecc.

        5. Meccanismi di controllo relativi al trattamento dei dati contenuti nelle CCE

        Visti i rischi particolari posti dalla creazione dei sistemi di CCE, sono necessari meccanismi di controllo efficaci per valutare le garanzie esistenti. La complessità delle informazioni contenute in una cartella clinica elettronica, insieme alla moltitudine dei possibili utilizzatori, possono richiedere nuove procedure riguardanti i diritti d'accesso delle persone interessate.

        1. Una speciale procedura di arbitrato dovrebbe essere istituita per le controversie relative all'uso corretto dei dati nei sistemi di CCE; le persone interessate dovrebbero poter ricorrere a questa procedura facilmente e gratuitamente. Considerando che per valutare i ricorsi relativi a informazioni false o trattate inutilmente in un sistema CCE sarà necessaria una competenza di tipo medico, le autorità di controllo per la tutela dei dati potrebbero non essere le più adatte per esaminare questi ricorsi, almeno non in prima istanza. Gli "avvocati dei pazienti" potrebbero, dove già esistono, essere incaricati di questo compito.

        2. Un sistema di CCE deve garantire che l'interessato possa esercitare i suoi diritti d'accesso senza indebite difficoltà. In linea di principio, è il responsabile del trattamento che è obbligato ad accordare l'accesso.

        I sistemi di CCE sono, tuttavia, dei sistemi di messa in comune di dati, con un grande numero di responsabili per il trattamento. In sistemi di questo tipo, un solo organismo speciale deve essere reso responsabile verso le persone interessate per quanto riguarda il trattamento corretto delle domande d'accesso.

        Data la prevedibile complessità di un sistema CCE pienamente sviluppato e la necessità di instaurare un clima di fiducia verso il sistema, sembra essenziale che i pazienti i cui dati sono trattati nel sistema sappiamo come contattare un responsabile con cui poter discutere di eventuali problemi. Ogni normativa sui sistemi CCE dovrà includere delle apposite norme a tal fine.

        1. Per instaurare un clima di fiducia, potrebbe essere introdotta una procedura speciale per informare l'interessato su quando e su chi ha avuto accesso ai dati della sua CCE. Fornire ai pazienti, regolarmente, un elenco delle persone o degli organismi che hanno avuto accesso al loro dossier, li rassicurerebbe quanto alla possibilità di essere al corrente di ciò che avviene ai loro dati nel sistema di CCE.

        2. Sempre nell'ottica della protezione dei dati, deve aver luogo un controllo interno ed esterno periodico dei protocolli d'accesso. La già menzionata relazione annuale sull'accesso trasmessa all'interessato sarebbe un mezzo efficace supplementare per verificare la legalità dell'uso dei dati delle CCE. La designazione di agenti incaricati della tutela dei dati negli ospedali che partecipano ai sistemi CCE, migliorerebbe certamente le probabilità di uso corretto dei dati in tali sistemi.

        IV. CONCLUSIONI

        Tutte le persone e tutti i pazienti hanno diritto alla tutela della privacy, e possono così ragionevolmente aspettarsi che tutti gli operatori sanitari rispettino rigorosamente la riservatezza e la protezione delle loro informazioni personali.

        Questa aspettativa è valida anche per quanto riguarda i sistemi di cartelle cliniche elettroniche (CCE). Il Gruppo di lavoro Articolo 29 ha redatto il presente documento per fornire degli orientamenti sull'interpretazione del quadro giuridico in materia di protezione dei dati applicabile alle CCE, e per spiegare alcuni principi generali.

        Il documento è inteso anche a stabilire le condizioni indispensabili in materia di protezione dei dati per poter creare un sistema di cartelle cliniche elettroniche a livello nazionale, insieme alle garanzie necessarie, e a contribuire ad un'applicazione uniforme delle misure nazionali adottate ai sensi della direttiva 5/46/CE.

        Il Gruppo di lavoro sottolinea che la creazione e il funzionamento dei sistemi di CCE devono rispettare pienamente i principi di protezione dei dati personali sanciti dalla direttiva 95/46/CE. Esso ritiene che il rispetto di tali principi aiuti tutte le persone e gli organismi interessati a garantire il corretto funzionamento di tali sistemi. Il Gruppo di lavoro insiste inoltre sulla necessità di creare e di far funzionare i sistemi di CCE nell'ambito di un solido quadro giuridico di tutela dei dati personali, quale che sia la base giuridica di tali sistemi.

        Il Gruppo di lavoro invita la professione medica, gli operatori sanitari, le persone e le istituzioni che intervengono nella prestazione di servizi sanitari e tutti i cittadini in genere ad esprimere osservazioni sul presente documento.31 Alla luce degli sviluppi in corso nel settore, potranno essere necessari altri lavori, commenti supplementari e follow-up da parte del Gruppo di lavoro Articolo 29

        . Fatto a Bruxelles, 15 febbraio 2007

        Per il Gruppo di lavoro
        Il Presidente
        Peter SCHAAR

        NOTE

        1 Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, (in appresso "la direttiva"), consultabile al seguente sito:
        http://ec.europa.eu/justice_home/fsj/privacy/law/index_en.htm.
        2 Adottato dal Gruppo di lavoro durante la sua terza riunione dell’11.9.1996.
        3 "Cure mediche e ad altri fini strettamente collegati" richiama gli scopi di cui all'articolo 8, paragrafo 3 della direttiva.
        4 COM (2004) 356 definitivo.
        5 Si veda l'articolo 5, paragrafo 5 della decisione 1786/2002/CE.
        6 Il diritto alla protezione dei dati personali non è assoluto, e può essere limitato per specifiche ragioni di interesse pubblico. Tuttavia, questi obiettivi di interesse pubblico possono giustificare un'ingerenza nell'esercizio del diritto alla protezione dei dati personali solo se tale ingerenza è prevista dalla legge e costituisce una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell'ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui, e se non è sproporzionata rispetto all'obiettivo perseguito (articolo 8, paragrafo 2 ECHR).
        7 Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (GU L 20 del 31.7.2002, pagg. 37—47).
        8 Adottato durante la 39a riunione a Washington D.C., 6-7 aprile 2006 (        http://www.berlin-privacygroup. org).
        9 Corte di giustizia delle Comunità europee, sentenza del 6 novembre 2003 nella causa C-101/01 -Bodil Lindqvist.
        10 Accettare di sottoporsi a una determinata cura medica non equivale automaticamente a dare il proprio "consenso", ai sensi dell'articolo 2, lettera h) della direttiva, al trattamento (specialmente alla comunicazione o al trasferimento) dei dati personali raccolti durante la cura stessa.
        11 "Documento di lavoro: Trasferimenti di dati personali a paesi terzi: applicazione degli articoli 25 e 26 della direttiva relativa alla tutela dei dati" (WP 12, 24 luglio 1998).
        12 "Documento di lavoro su un’interpretazione comune dell’articolo 26, paragrafo 1 della direttiva 95/46/CE del 24 ottobre 1995" (WP 114, 25 novembre 2005).
        13 Si veda anche, sempre del Gruppo di lavoro, il "Parere 8/2001 sul trattamento dei dati personali nel contesto dell’occupazione" (WP 84, sezione 10).
        14 Per un'interpretazione della disposizione simile di cui all'articolo 26, paragrafo 1, lettera e) della direttiva, concernente i trasferimenti di dati al di fuori dell'UE, si veda: Gruppo Articolo 29, "Documento di lavoro su un’interpretazione comune dell’articolo 26, paragrafo 1 della direttiva 95/46/CE del 24 ottobre 1995", WP 114, (25 novembre 2005).
        15 "…di osservare il segreto su tutto ciò che mi è confidato, che vedo o che ho veduto, inteso o intuito nell'esercizio della mia professione o in ragione del mio stato" (        http://it.wikipedia.org/wiki/Giuramento_di_Ippocrate).
        16 Le condizioni generali sulla liceità del trattamento dei dati personali stabilite dalla direttiva 95/46/CE non saranno ripetute in questa parte del documento, poiché si applicano in ogni caso. Il presente documento sviluppa solo specifiche condizioni supplementari relative al trattamento dei dati medici nei sistemi di CCE, che sembrano necessarie per controbilanciare gli specifici rischi per la privacy causati da tali sistemi.
        17 In alcuni paesi esiste non solo un diritto fondamentale alla protezione dei dati ma anche un diritto costituzionale ad una tutela ottimale della salute: come conseguenza di quest'obbligo di garantire una cura ottimale, alcuni Stati membri hanno dato agli operatori sanitari un accesso automatico ai dati disponibili in un sistema di CCE. Questo sembra accettabile finché si assicura il necessario equilibrio rafforzando altre garanzie, come norme dettagliate sulle condizioni dell'accesso lecito e sulle — severe — conseguenze in caso di utilizzo
        18 Potrebbero essere utilizzati metodi particolari, come "buste sigillate" che non possono essere aperte senza la cooperazione della persona interessata.
        19 Per costituire effettivamente "opportune garanzie", le soluzioni di "opt-out" dovrebbero tuttavia prevedere informazioni adeguate per il paziente.
        20 "Identificazione" significa che una persona è descritta tramite identificatori come il nome, la data di nascita, l'indirizzo, ecc. Nel presente contesto tale descrizione dovrà essere certificata ufficialmente con l'atto di nascita, il passaporto, la tessera sanitaria, ecc.
        21 "Riconoscimento" significa la prova del fatto che una persona che dichiari una certa identità è realmente tale persona. Avviene generalmente presentando un documento di identità ufficiale munito di foto (ad es. il passaporto), oppure — in contesto elettronico — usando una firma elettronica.
        22 L'"identificazione affidabile" non dovrebbe fare ricorso a numeri di identificazione che sono ampiamente usati in altri contesti, senza garanzie specifiche, per evitare qualsiasi facilità di intercconnessione (si veda l'articolo 8, paragrafo 7 della direttiva).
        23 In Francia, i primi esperimenti che stanno per cominciare sulle CCE sono basati sulla creazione di un identificatore specifico. Non è ancora sicuro se questo sistema sarà mantenuto nella configurazione finale delle CCE.
        24 Ad esempio, l'accesso a dati relativi a cure psichiatriche potrebbe essere limitato a un primo livello agli psichiatri; un modulo speciale sulle medicine potrebbe essere reso accessibile anche ai farmacisti, che non potrebbero consultare le altre parti del sistema.
        25 Ciò significa attribuendo agli identificatori (nomi, data di nascita, ecc.) una nuova designazione, di preferenza tramite criptaggio, in modo che il destinatario delle informazioni non possa identificare la persona interessata.
        26 È il modello attualmente sviluppato in Francia. I provider sono chiamati "hébergeurs" e la loro posizione è regolata da un decreto che è stato oggetto del previo parere del CNIL. Si tratta di un sistema complesso, al centro del quale vi sono l'accreditamento dei provider e le questioni di sicurezza.
        27 Alcune categorie di dati sono importanti per tutta la vita del paziente (ad es. le allergie), mentre altre sono estremamente importanti ma solo per un breve periodo di tempo, ad es. le incompatibiltà fra le cure.
        28 Il vantaggio di questo modulo nelle cartelle cliniche elettroniche sarebbe duplice, poiché permetterebbe anche al medico curante di vedere tutte le medicine prescritte al paziente.
        29 Quando il paziente non è fisicamente in grado di rispondere a una domanda di consenso (ad es. perché è in coma), i suoi dati medici possono tuttavia, conformemente all'articolo 26, paragrafo 1, lettera e) della direttiva, essere trasferiti in altri paesi senza un'adeguata tutela se il suo interesse vitale lo richiede.
        30 Cfr. il punto 4.3 della "Prima relazione sull'applicazione della direttiva sulla tutela dei dati (95/46/CE)" della Commissione, COM (2003) 265 def.
        31 Le osservazioni sul presente documento di lavoro devono essere inviate a:
        Segretariato del Gruppo di lavoro Articolo 29 Commissione europea, Direzione generale "Giustizia, libertà e sicurezza" Unità C.5 — Protezione dei dati personali Ufficio: LX 46 1/43 B - 1049 Bruxelles E-mail:         Amanda.JOYCE-VENNARD@ec.europa.eu ; Fax: +32-2-299 80 94
        Tranne nel caso in cui i loro autori dichiarino esplicitamente che desiderano mantenere riservate alcune informazioni, tutte le osservazioni, sia del settore pubblico che privato, saranno pubblicate sul sito Internet del Gruppo di lavoro Articolo 29.