Dall'intervento precedente dell'ingegnere Beretta emerge la polemica non indifferente sul problema del consenso al trattamento dei dati idonei a rivelare lo stato di salute.

Mettiamoci intorno a un tavolo e discutiamo, ma sui temi delicati della privacy lo stiamo facendo già dal 1999 e l'Autorità non è soddisfatta dei risultati raggiunti, non tanto del contributo che pure alcuni hanno dato, ma dell'apporto minimalista che a volte anche in senso corporativo viene dato, guardando con ottica parziale, a volte soggettiva e talvolta anche di parte ad un problema che deve essere invece oggetto di un bilanciamento più ampio.

E' assolutamente ingiustificato, ed è da deplorare senza appello, il fatto che a distanza di più di tre anni da una delega legislativa in questa materia, che ha avuto attuazione con il decreto legislativo 30 luglio 1999, n. 282 - Disposizioni per garantire la riservatezza dei dati personali in ambito sanitario, non veda la luce un provvedimento che è di mera attuazione di una scelta che il Parlamento ha valutato nella sua specificità.

L'iter parlamentare della legge 31 dicembre 1996, n. 675 si è sviluppato per quasi 5 anni, per non parlare poi delle precedenti legislature, e se c'è un punto che è stato discusso dalle Camere (anzi, il più discusso) è stato quello relativo al consenso della persona interessata.

Sono state svolte riflessioni molto approfondite anche sull'attuale formulazione dell'articolo 23 della l. n. 675/1996 e se c'è una scelta che il Parlamento all'unanimità ha ribadito in più circostanze è stata quella della necessità di una manifestazione consapevole del consenso in relazione al trattamento dei dati personali, da distinguere concettualmente rispetto al trattamento medico e, quindi, al consenso relativo alla prestazione di un trattamento medico.

Va precisato che non ci interessa esaltare sempre e comunque il mito del consenso anche perché abbiamo visto che, a volte, il momento del consenso viene considerato burocraticamente.

A questo riguardo va riconosciuto che molto dipende anche dal modo in cui il consenso viene prospettato: dal tipo di informativa, dal momento in cui cade, ecc. Sono perfettamente d'accordo che se il consenso è richiesto nel momento dell'urgenza della prestazione, è chiaro che l'interesse scema di molto.

D'altra parte non è accettabile che si possa rivedere l'obbligo del consenso per il solo fatto che la prestazione di cura o di prevenzione è effettuata nell'interesse del destinatario della prestazione e che già questo giustifichi di per sè una "delega", sia pure sulla base di un'informativa, al trattamento di dati in forme che dovrebbero ritenersi quindi lecite in ragione del solo fatto che esistono regole di deontologia professionale e che, oltre al segreto professionale, è prevista anche una responsabilità professionale connessa alla violazione delle regole deontologiche.

Il trattamento di dati personali può infatti avvenire con modalità molto diverse tra loro e c'è una notevole differenza tra l'utilizzo di determinate informazioni per alcune finalità collegate e, invece, per altre finalità che sono più direttamente legate all'amministrazione.

Ci sono elevate sensibilità da parte di cittadini che a volte, anche esasperando la tutela accordata dalla l. n. 675/1996, esigono rispetto della dignità che manca a tutto campo in molte realtà del territorio nazionale.

Non guardate alla vostra realtà florida: sappiamo perfettamente che la ASL 5 di Pisa, che ha organizzato questa iniziativa, ha buone esperienze nel campo applicativo della l. n. 675/1996. D'altra parte, esperienze di questo tipo vanno, purtroppo, bilanciate con altre dalle quali emergono cadute di stile e di professionalità, che sono espressioni della mancanza di una cultura profonda della riservatezza da parte di persone che non si limitano a non raccogliere il consenso, ma che dal momento stesso in cui ad esempio effettuano prenotazioni per alcune prestazioni mediche, fino al momento dell'intervento chirurgico, guardano soprattutto ai principi dell'economicità e della speditezza e si pongono poco il problema della soddisfazione del paziente sotto molti altri profili.

Riceviamo ancora oggi, a distanza di cinque anni dall'entrata in vigore della l. n. 675/1996, reclami di persone malate di AIDS che non sono prese in alcuna considerazione al momento in cui effettuano analisi e hanno diritto ad un minimo di dignità.

Vi sono ancora oggi ASL che affiggono avvisi e cartelli con esposizione al pubblico di dati sulla salute assolutamente non pertinenti ed essenziali rispetto alla finalità che si persegue.

Registriamo ancora oggi una scarsa attenzione non tanto ai profili tecnologici e di sicurezza, quanto al vivere quotidiano, al rapporto con gli incaricati del trattamento ed alla pertinenza dell'accesso di alcune persone rispetto ad altre.

Allora, cerchiamo di cogliere opportunità come quelle che vengono dai convegni come questo per capire che cosa possiamo fare.

Il decreto del Ministero della salute previsto dall'articolo 23, comma 1-bis, della l. n. 675/1996, che si è al momento di nuovo arenato presso il Ministero, non può andare oltre le linee delineate a livello legislativo.

Se così è, allora l'autorità politica deve assumersi la responsabilità di chiedere nuovamente al Parlamento una correzione di rotta e valutare se il Parlamento sia d'accordo su questo aspetto sul quale ha in verità, in più legislature, deliberato all'unanimità (e, ripeto, questo è uno dei pochi punti discussi approfonditamente dal Parlamento).

Mi sembra che quando è stata discussa la legge di conversione del c.d. "decreto Di Bella" (decreto-legge 17 febbraio 1998, n. 23), il Parlamento abbia respinto alcuni emendamenti governativi, che puntavano ad "assemblare" il consenso al trattamento dei dati personali per intenderlo implicito nel consenso al trattamento medico. La legge di conversione del decreto-legge è molto chiara e, su questo punto, sono intervenuti emendamenti molto evidenti soprattutto per quanto riguarda l'esclusione per gli enti previdenziali della possibilità di trattare, a certe condizioni, dati sulla salute senza il consenso della persona interessata, oppure di poterli trattare secondo quanto previsto dall'articolo 23 della l. n. 675/1996.

Quando, poi, il decreto legislativo 11 maggio 1999, n. 135, è stato portato all'attenzione del Parlamento, per l'esame dello schema di decreto, mi sembra che si sia fatto espresso riferimento alla necessità del consenso che, invece, non figurava in alcuni schemi preliminari. Ciò è avvenuto a distanza di tempo, segno che una certa sensibilità su questo aspetto c'è: la legge sulla privacy è del 1996, il decreto "Di Bella" è di poco successivo, i due decreti sulla sanità sono successivi, del 1999.

Che cosa possiamo fare sotto questo profilo?

Innanzitutto rendiamoci conto di un'opportunità: proprio due giorni fa il Parlamento ha concesso una breve proroga di sei mesi, una proroga tecnica, per l'adozione entro il 30 giugno 2003 di un testo unico sulla protezione dei dati personali che conterrà tutte le disposizioni di legge e di regolamento, generali e speciali, sulla protezione dei dati personali compresa la l. n. 675/1996 (che cesserà di esistere).

E' un'occasione di riduzione ad unità e di armonizzazione di una serie di principi e non c'è dubbio che anche il principio del consenso tornerà sotto i riflettori.

Secondo una prima prospettiva, si potrebbe ritenere che insistere ancora su questo adempimento formale significhi semplicemente fare omaggio a un mito e non tener conto della realtà che porta poi a non avere la possibilità di scegliere.

Per altro verso, vi è chi guarda inorridito alla prospettiva che si possa in sostanza ammettere che la gestione della sfera più delicata delle informazioni possa avvenire appunto anche contro la volontà dell'interessato.

In altri termini, uno dei profili poco discussi del problema "consenso-non consenso" riguarda anche il potere dell'interessato di interloquire dialetticamente rispetto a modalità di trattamento che non considera- legittime, nel senso che il principio del consenso è affiancato da una serie di regole che individuano le modalità di raccolta dei dati oggetto di trattamento e i requisiti di proporzionalità, esattezza, pertinenza, non eccedenza, completezza e aggiornamento.

Però, il consenso è il fattore legittimante e se il consenso venisse meno, come qualcuno sostiene, noi potremmo a questo punto ritenere che il solo rapporto fiduciario professionale è l'elemento che, in uno con la prestazione medica richiesta, può giustificare un'utilizzazione dei dati personali anche contro la volontà del soggetto interessato.

Ci sarebbe allora un'antinomia un po' curiosa per il fatto che, invece, il vero trattamento medico (ossia la prestazione medica) non può essere svolto contro la volontà dell'interessato e, quindi, forse non si capirebbe il parallelismo tra queste due situazioni regolate diversamente.

D'altra parte, la nostra Autorità non è in questo momento appiattita sulla difesa a tavolino, senza analisi, della figura del consenso.

Dobbiamo anche cercare di capire quanta consapevolezza vi sia nel consenso, come attualmente previsto. Questa riflessione l'abbiamo fatta nella Commissione ministeriale che ha redatto, va detto, un buono schema di decreto. In relazione a quanto permette la delega, lo schema disponibile sui tavoli ministeriali è una prima, discreta esercitazione che senz'altro potrebbe essere aperta al dibattito.

Innanzitutto, tenete conto che vanno trattate a parte quelle situazioni in cui ci sia incapacità di agire o incapacità di intendere e di volere, o impossibilità fisica di prestare consenso (situazioni che già la legge disciplina direttamente a livello primario). C'è anche un tentativo di prendere in considerazione situazioni di necessaria rapidità nelle quali si può raccogliere il consenso non da parte di un altro soggetto "equipollente", come prevede la legge, bensì da parte del soggetto legittimato, ma in un secondo momento, quando, cioè, venga meno una determinata situazione di ansietà o che potrebbe incidere sulla tempestività o genuinità della prestazione medica.

E', questa, una prima scommessa che viene sottoposta all'attenzione degli interpreti.

Il secondo aspetto riguarda la circolarità del consenso, poiché la delega legislativa ci dice di provare a semplificare il consenso non nel senso di escluderlo, ma nel senso di farlo valere nei confronti di più soggetti.

Il decreto, quindi, ha provato ad abbinare classi di titolari del trattamento evitando che si ideasse un consenso omnibus, nei confronti di tutti e di chiunque, perchè è chiaro che, se questa è la prospettiva, allora è meglio che si faccia una modifica normativa e si elimini il consenso, in quanto non ha senso una manifestazione di consenso che, partendo dal medico, abbracci tutte le strutture sanitarie del territorio e l'intero Ministero della salute senza eccezione alcuna, con un'alternativa quindi tra prendere e lasciare: è chiaro che questa non è una manifestazione di consenso.

Se noi consideriamo la direttiva 95/46/CE, e la legge italiana, il consenso è inteso quale manifestazione di volontà specifica, nei confronti, cioè, di soggetti determinati e non erga omnes, e "libera", nel senso che l'interessato può beneficiare di determinate prestazioni senza essere necessariamente obbligato ad alcuni tipi di servizi.

Non è detto, infatti, che tutti i servizi siano sempre correlati al minimo richiesto dall'interlocutore: ormai, una serie di realtà ospedaliere e sanitarie si stanno evolvendo nel senso di impegnarsi su determinate prestazioni d'ufficio che l'interessato potrebbe però considerare con un certo scetticismo. Se un ospedale di Milano, anche per economizzare la spesa, gestisce ad esempio le cartelle cliniche esclusivamente con strumenti informatici, fatta salva ovviamente la conservazione a norma di legge della cartella, e si accorda con un provider offrendo all'interessato on line e, quindi, tramite password e user-id, la possibilità, ovunque si trovi nel mondo, di mostrare questa cartella a un medico, possiamo ritenere che questo tipo di prestazione possa essere, in un certo senso, imposto al cittadino (nel senso che chi si reca in questo ospedale, e chiede la prestazione, deve poi accettare tutto questo)?

Per lasciare un margine di scelta all'interessato dobbiamo "lavorare" sugli obblighi professionali.

Dobbiamo, allora, avviare una riflessione con le categorie interessate per precisare il codice di deontologia medico in quanto le norme sul segreto professionale non ci dicono granché. La vecchia tesi, sostenuta in ambito medico prima dell'approvazione della l. n. 675/1996, secondo cui non vi era necessità di ulteriori regole di tutela della riservatezza, perché si doveva avere fiducia nella responsabilità professionale, non ha fondamento, in quanto si parte dall'ovvio presupposto che il professionista mantenga certamente il segreto professionale, salvo casi di giusta causa.

Ma la protezione dei dati personali non significa semplicemente rivelare o meno a terzi il contenuto dei dati, perché ci sono tante altre problematiche che riguardano il modo con cui il professionista o la struttura conserva queste informazioni (in forma cartacea, informatizzata con logiche di elaborazione o senza) e il modo in cui una serie di categorie possono gestirle. Che cosa accade nel caso dei consorzi che sempre più spesso si vanno formando in questo ambito con una condivisione di risorse informative da parte di più organismi? Il soggetto che si reca presso una struttura ospedaliera deve accettare questo tipo di "consorziazione" e, altrimenti, deve essere escluso da quel circuito sanitario?

Mi sembra che tutte queste problematiche non vengano sufficientemente prese in considerazione da chi, in ambito medico, guarda con un certo fastidio alla prestazione del consenso e vorrebbe che il Ministero violasse quest'obbligo giuridico di dare attuazione a un decreto legislativo, perché in effetti in questo momento non c'è dubbio che siamo di fronte ad una situazione di inadempimento.

Si può dire anche che c'è, in un certo senso, responsabilità del Ministero, il quale sta opportunamente esaminando i dubbi di terzi, ma, sul piano giuridico, non c'è dubbio che non colma ancora un vuoto nei confronti dell'Unione europea.

La direttiva 95/46/CE parte infatti dal principio secondo cui il trattamento di questi dati dovrebbe essere vietato: la regola comunitaria è questa e non è, invece, quella contenuta nell'articolo 22 della l. n. 675/1996 che pure è criticata in ambito medico.

Dunque, se volessimo essere in linea con l'Europa dovremmo cambiare il comma 1 dell'articolo 22 e prevedere che in linea di massima è vietato trattare queste informazioni sulla salute e sulla vita sessuale (per non parlare poi del trattamento per fini amministrativi).

Noi sosteniamo, invece, qui, che a fini amministrativi, di monitoraggio della spesa, si può sostanzialmente fare tutto in ragione del fatto che c'è un Ministero, c'è un principio di legalità e si deve aver fiducia nella correttezza dell'operato di chi svolge queste mansioni (mentre la regola che ci viene chiesto di introdurre è un'altra: è una regola di essenzialità indispensabilità, di proporzionalità e, dunque, non tutto dipende dal legislatore nazionale).

Nel 1999, con due decreti legislativi, è stato fatto un piccolo "strappo": la citata direttiva europea prevede che le garanzie per quanto riguarda il caso-eccezione in cui i dati sanitari possono essere trattati, dovrebbero essere fissate dalla legge principale (e quindi da un organo terzo come il Parlamento), oppure dall'Autorità nazionale di controllo della protezione dei dati e, dunque, non dai soggetti che trattano queste informazioni (e neanche dall'esecutivo).

Il d.lg. n. 135/1999 ha individuato, invece, una regola un poco diversa in quanto ha permesso che una fonte secondaria, come un regolamento, possa individuare nell'ambito delle rilevanti finalità di interesse pubblico già menzionate nel decreto legislativo alcune classi di dati e di operazioni in base alle quali quelle finalità possono essere perseguite, in attuazione di alcuni principi generali indicati negli articoli 3, 4 e 5 del medesimo decreto.

Sono trascorsi tre anni e a livello ministeriale non è stato ancora effettuato un monitoraggio di quali sono non i singoli dati, ma le categorie d'informazione che possono essere trattate e, così, non si riesce a spiegare ai cittadini chi fa cosa e per quali finalità.

Il Garante per la protezione dei dati personali ha adottato due provvedimenti di carattere generale con i quali ha rilevato che è inutile che ciascuna ASL, ciascun comune o altri organismi adottino un regolamento nel quale includere pedissequamente l'elenco nominativo delle operazioni di trattamento.

Il Garante ha cercato di redigere un prospetto (noto a tutti e riportato sul sito dell'Autorità), con il quale ha rilevato che vanno messe in evidenza le forme di elaborazione sofisticate di queste informazioni, le interconnessioni, le elaborazioni logiche, laddove non c'è invece bisogno di menzionare analiticamente tutte le operazioni di raccolta, registrazione, selezione. Si deve partire infatti dall'idea che queste operazioni siano di regola svolte ed è necessario, semmai, specificare certe informazioni particolari, come quelle genetiche, sull'AIDS e le altre che abbiano carattere specifico. L'Autorità ha predisposto uno schema di possibile ricognizione dei trattamenti, sebbene non fosse suo compito, che è stato inviato il 17 gennaio 2002 a tutte le autorità politiche; eppure, ancora oggi, questa ricognizione non si riesce a fare.

Ma c'è di più: il Garante esamina un contenzioso che aumenta di giorno in giorno, e nell'ambito del quale c'è anche quello relativo al trattamento di informazioni sanitarie.

Come è noto, i principi di essenzialità, pertinenza e non eccedenza sono già in vigore a prescindere dal fatto che manchi questa ricognizione; tuttavia, il Garante verifica giorno per giorno che una serie di regole (che sarebbero di buon senso, prima ancora che di protezione dei dati) non vengono osservate con violazione grave dei diritti dei cittadini.

Mi limito a richiamare, non volendo entrare nei tecnicismi di queste regole che non sono semplici nella lettura, il principio di essenzialità fissato dall'articolo 3 del d.lg. n. 135/1999, a mente del quale i soggetti pubblici possono trattare dati sensibili solo se essenziali rispetto alla finalità perseguita, altrimenti devono scegliere dati anonimi o dati di natura diversa: chi rispetta questo principio nelle aziende sanitarie locali?

Alla ASL che il Garante ha "bacchettato", a seguito di una segnalazione, per aver affisso la lista dei degenti da sottoporre a trattamento chirurgico, con l'indicazione anche del tipo di trattamento, che cosa dobbiamo spiegare? Risponderanno che lo hanno fatto per esigenze di praticità e che in fondo la lista era stata affissa all'interno della struttura e non è vero che vi passava il pubblico?

Chi effettua la verifica periodica della pertinenza di queste informazioni rispetto alle finalità, nonché la verifica della pertinenza tra queste informazioni e i singoli adempimenti? Quante aziende sanitarie locali assolvono questi adempimenti oggi previsti dalla legge? Chi rispetta, in certe aree geografiche (perché so che in altre invece questo viene fatto), il principio dei files disgiunti (ovvero, la cifratura di informazioni in registri informatici organizzati, che permette di consultare questi registri normalmente per esigenze amministrative e di andare poi a cercare le informazioni identificative soltanto in caso di necessità)?

Siamo poi sicuri che venga sempre valutata la selettività dell'operazione di trattamento?

L'esame del contenzioso dell'Autorità porta ad una conclusione negativa anche per quanto riguarda le categorie di trattamenti e la designazione degli incaricati del trattamento, che è effettuata in un modo assolutamente burocratico senza tenere conto del fatto che certi soggetti hanno più titolo di altri. L'art. 3 del d.lg. n. 135/1999, poi, prevede che soltanto chi persegue direttamente certe finalità dovrebbe avere accesso a certe informazioni. Da determinate iniziative di verifica di spesa o di monitoraggio, non abbiamo, invece, questa sensazione.

Vi sono inoltre adempimenti che, in verità, potevano essere già svolti su base locale e che, invece, si aspetta siano fissati dal decreto del Ministero della salute. Mi riferisco a micro-realtà di quotidiane contestazioni che vanno dalla cartella clinica lasciata incustodita ai bordi del letto nel reparto ospedaliero, alle incertezze o ai contenziosi che riguardano, ad esempio, la mancata informazione a voce o direttamente o per telefono di persone che chiamano il pronto soccorso o che, all'ingresso in una struttura ospedaliera, chiedono conferma se Tizio è ricoverato o meno in quel reparto.

Vi sono situazioni in cui il problema viene completamente ignorato ed altre, invece, in cui si va all'eccesso opposto, in quanto non si danno informazioni agli aventi diritto (creando situazioni anche paradossali, soprattutto per quanto riguarda la ricerca di minori dispersi) e situazioni nelle quali agli interessati non si dice comunque nulla all'ingresso di una struttura ospedaliera.

Il Garante sta cercando di avviare contatti con alcune nuove strutture ospedaliere per creare una sorta di "percorso privacy", in maniera tale anche da semplificare i momenti in cui all'interno di queste strutture si richiede il consenso. Risulta, infatti, che in alcune strutture, per questo eccesso di zelo (passiamo appunto da un eccesso all'altro), il cittadino viene infastidito a ogni sportello in quanto per effettuare un determinato ciclo di prestazioni, anche nell'arco della stessa mattinata o nell'ambito dello stesso temporaneo ricovero al pronto soccorso, deve prestare nuovamente un distinto consenso reparto per reparto.

Allora, quest'analisi cosa ci porta a dire? Probabilmente c'è qualcosa che manca nel nostro modo di operare in termini di cultura.

Dobbiamo fare un esame di coscienza per capire cosa dipende dalla normativa e cosa dipende da noi stessi.

Per quanto riguarda i profili applicativi delineati, penso che molto dipenda da noi stessi o può dipendere dalla professionalità, più che dalla deontologia, e questo dovrebbe essere oggetto di un esame attento.

Per quanto attiene, invece, al medio periodo, dobbiamo chiederci se possiamo seguire la soluzione delineata da questo schema di decreto del Ministero della salute che identifica distinte classi di titolari del trattamento, rendendo più sensato chiedere il consenso dell'interessato con formule molto semplificate.

L'ipotesi prospettata da questo schema di decreto è quella di effettuare un'idonea informativa, anche consegnando un tesserino mobile, e di prevedere un primo nucleo di soggetti cui rendere conoscibile il consenso raccolto dal medico di base, quali il farmacista lo specialista.

Abbiamo poi ideato un secondo percorso con riferimento, invece, alle strutture ospedaliere prevedendo, come regola di base per questa seconda fascia, che ci sia un sistema organizzato all'interno della struttura ospedaliera che precluda l'ulteriore reiterata richiesta del consenso, anche in tempi diversi, per prestazioni effettuate all'interno dello stesso complesso, con la possibilità anche di andare verso una standardizzazione della manifestazione del consenso non solo nell'ambito delle strutture ospedaliere, della stessa azienda sanitaria locale, ma anche di una consorziazione (uso questa parola che potrebbe non essere corretta) di più aziende sanitarie locali fino ad arrivare, eventualmente, su scala regionale.

Dipende dalla specificità del consenso, dipende dalla formula della specificità del consenso, dipende anche dall'effettività con la quale il Sistema sanitario regionale riesce ad attuare questi principi di essenzialità e specificità. Perché è chiaro che se non c'è questa specificità, e se presso alcune aziende sanitarie locali tutti possono accedere a tutto per il solo fatto che c'è una password e un tracciamento delle operazioni questo approccio così permissivo non aiuta la generalizzazione del consenso.

Il decreto, però, non vuole soltanto fissare nuovi adempimenti, ma contiene anche un chiarimento interessante: il fatto che per alcuni adempimenti di carattere amministrativo, legati anche allo svolgimento di doverose funzioni istituzionali del Ministero della salute, il consenso non viene preso in considerazione. In altre parole, è effettuata un'analisi del rapporto tra l'articolo 22 della l. n. 675/1996, per quanto riguarda alcune rilevanti finalità di interesse pubblico, e l'articolo 23 della medesima legge che si riferisce invece, quando parla di consenso, al trattamento effettuato per la cura della salute e dell'incolumità fisica dell'interessato.

C'è, in sostanza, un'interpretazione autentica, per quanto quest'interpretazione possa essere data con un regolamento, di quella formula dell'art. 17, comma 1, del d.lg. n. 135/1999 che recita: "nel rispetto dell'articolo 23, comma 1, della legge" n. 675/1996.

Qualcuno aveva ritenuto che questa avesse portato ad estendere il consenso per tutta la pubblica amministrazione sanitaria e, quindi, ad obbligare il Ministero della salute a raccogliere il consenso anche per funzioni non direttamente di cura o di prevenzione nell'interesse della persona interessata.

Questo regolamento opera quindi questa apertura in favore di una terza fascia che è appunto questa del Ministero della salute e di alcuni istituti di ricerca per finalità di carattere amministrativo e di materia farmaceutica e punta molto l'accento su una buona informativa anche sfruttando canali (e qui sono d'accordo) di comunicazione di massa, infrastruttura e fuori struttura, per valorizzare il momento dell'informativa senza tenere conto del momento del consenso.

Ci sono alcuni aspetti che non riguardano più, a questo punto, il consenso, ma riguardano il problema della pertinenza.

Mi riferisco all'aspetto delle ricette mediche e ali'inclusione o meno del nome nella ricetta stessa. Anche qui il Ministero può fare qualcosa fino ad un certo punto, nel senso che il "mandato" legislativo è molto preciso: si vuole, da un lato, tenere comunque conto che il farmacista non è un dispenser, ma qualcuno che ha anche un ruolo nella verifica della correttezza di quella fornitura di medicinale, che può intervenire anche successivamente in un ruolo di "supplenza" del medico prescrittore o anche rimediare a propri errori, e, per altro verso, cercare di dare una risposta al problema della privacy all'interno della farmacia che in molte zone è particolarmente sentito.

Credo che si debba tenere conto non solo di quanto chiede la categoria professionale, ma anche di quanto chiede il cittadino il quale, in alcune situazioni di grave malattia, non solo in piccoli centri ma anche in grandi centri, si trova in imbarazzo e si sposta in aree distanti per presentare la ricetta in farmacia per non rivelare determinate situazioni nell'area dove vive stabilmente. Vogliamo prendere in considerazione questo aspetto, oppure vogliamo circoscriverlo alla soluzione della distanza di cortesia in farmacia, che risponde ad un problema anche di educazione ma che più di tanto non risolve?

Abbiamo provato ad identificare un meccanismo che avrebbe salvaguardato tutte queste esigenze, un meccanismo mediante il quale, attraverso l'uso di una carta copiativa, si permetterebbe al medico di non creare nuovi ricettari. Non ci sarebbe bisogno di cambiare molto i modelli che si usano attualmente, ma solo di aggiungere un'ulteriore foglio, prevedendo, tra l'altro, anche una disciplina transitoria che permetterebbe di esaurire inoltre i modelli già distribuiti.

Ciò permetterebbe di non rendere visibile nel primo frontespizio della ricetta il nome e cognome della persona, ma di poterlo appunto identificare, sotto la responsabilità del farmacista, qualora questi si accorga, uscita la persona dalla farmacia, di un errore o voglia comunque intervenire o abbia necessità di fare qualche cosa per una situazione di emergenza.

Non capiamo perché questo tipo di soluzione venga osteggiata e non è francamente giustificabile quest'atteggiamento di ostilità, perché se l'obiezione è quella che il farmacista non è un dispenser questa obiezione noi la teniamo presente. Ma bisogna tenere presente anche i diritti dell'interessato e se l'obiezione è che la ASL deve poi poter effettuare i dovuti accertamenti anche questa obiezione è tenuta in considerazione.

Vorremmo però sapere se presso la ASL tutte le regole in materia di gestione degli incaricati vengono osservate o se, magari, come abbiamo visto in alcune realtà, le ricette vengono date in outsourcing all'esterno senza neanche fare la designazione della società quale responsabile del trattamento (per non parlare poi di quella relativa agli incaricati del trattamento).

Sarebbe stato forse necessario discutere di molti altri aspetti più seri e meno seri perché l'esperienza dell'applicazione della legge sulla privacy negli ultimi mesi ha fornito l'occasione per curare questioni più leggere (come quella della grafia leggibile di coloro che compilano dati di carattere sanitario) e questioni più delicate (come quelle relative alla controversa situazione critica delle cartelle cliniche, con riferimento soprattutto alla nuova legge sulle indagini difensive e, quindi, al rapporto fra il diritto di qualcuno di chiedere copia di questo documento e il particolare regime di riservatezza che invece accompagna la cartella clinica). Rapporto, questo, che non è risolto affatto da una, a mio avviso, discutibilissima sentenza del Tribunale di Trapani, che è stata esaminata di recente dalla Corte di cassazione, che si limita ad affermare il principio secondo cui non si è in presenza di un atto segreto nel senso stretto del termine, ma non ci dice nulla sull'applicazione di questa legge sulle indagini difensive.

Forse è prematuro, in relazione anche al vostro dibattito, affrontare ulteriori aspetti che interessano da vicino la regione Lombardia, relativi al modo con cui gestire la scommessa della tessera sanitaria assieme alla carta d'identità elettronica tenuto conto anche del rapporto, in questo momento assente, tra le iniziative italiane e quelle che sono state invece annunziate a livello europeo dal commissario greco Diamantopoulou che ha preannunciato entro il 2003/2004 una tessera uniforme su scala europea.

Quindi, si dovranno fare anche valutazioni per uniformare gli sforzi e per evitare differenti impegni di energie che potrebbero, poi, non risultare fruttiferi nel lungo periodo.

D'altra parte, l'Autorità auspica un salto di qualità del dibattito, anche a seguito di questa iniziativa, sotto due profili.

Il primo attiene al governo dell'esistente perché su quei punti che ho evidenziato il Garante rileva una disattenzione, se posso dire su alcuni aspetti anche colpevole, per quanto riguarda proprio la gestione dell'ordinario rispetto a regole che oggi sono molto chiare e che non comportano nessun problema organizzativo se non un dovere di attivazione e di diligenza.

Un secondo tema, che l'Autorità è pronta ad affrontare senza nessun fondamentalismo, è quello del consenso, perché credo che qui il problema non sia quello di discutere tra consenso esplicito, come pure prevede la direttiva, e consenso scritto (anche perché c'è un problema di documentazione di una manifestazione di volontà che può essere utile in caso di contenzioso). Il problema è come far sì che si possano coniugare le esigenze di speditezza della macchina sanitaria con le esigenze del cittadino il quale, anche se non lo chiede (e qui mi riferisco alle riflessioni dell'ingegnere Beretta), ha diritto d'ufficio ad una tutela elevata, rafforzata di un bene particolarmente elevato che è quello della protezione dei dati personali, visto che la più grande novità che uscirà dal testo unico sarà quella, spero, della codificazione del diritto alla protezione dei dati personali come diritto autonomo e fondamentale rispetto al diritto alla riservatezza.