Di seguito alla prima, generale, nota del 30 giugno1997, il Garante esamina nuovamente, in termini generali, alcuneproblematiche relative alla sanità, soffermandosi, in particolare,sulle modalità di acquisizione del consenso da parte dimedici e farmacisti, sull'obbligo di informativa, sull'autorizzazioneal trattamento dei dati sensibili, nonché alla delicatatematica dei dati contenuti nelle certificazioni mediche sullaquale, peraltro, è intervenuta successivamente la delegalegislativa prevista dalla legge di conversione del c.d. decreto«Di Bella».
Roma, l3 febbraio 1998
Federazione Nazionale degli Ordini dei Medici Chirurghie degli Odontoiatri
Federazione Italiana Medici di Medicina Generale
Federazione Regionale della Regione Emilia Romagna
Sindacato Nazionale Autonomo Medici Italiani
Ordine Provinciale dei Medici Chirurghi e degli Odontoiatridi Venezia
Federazione degli Ordini dei Farmacisti Italiani
Federazione nazionale unitaria dei titolari di farmaciaitaliani
OGGETTO: Quesiti attinenti all'attività deimedici e dei farmacisti.
Il Garante ha ricevuto numerosi quesiti da partedi medici, di farmacisti e di loro organizzazioni rappresentative,relativamente al trattamento dei dati sanitari.
Al riguardo, si deve premettere che la legge n. 675del 1996 considera i dati personali idonei a rivelare lo statodi salute come "sensibili", prevedendo per il loro trattamentoparticolari garanzie.
CONSENSO E INFORMATIVA
In linea generale, gli esercenti le professioni sanitarieche intendono trattare i dati sullo stato di salute devono informarepreventivamente gli interessati circa l'utilizzazione che desideranofarne, specificando gli elementi indicati nell'art.10 della leggen. 675/1996; inoltre, sulla base dell'informativa, devono richiedereai pazienti il consenso per iscritto (artt. 22 e 23), con le soleeccezioni che verranno specificate di seguito.
E' importante sottolineare che il consenso deve essererichiesto anche nei casi previsti dall'art. 12 della citata legge.Questa disposizione infatti disciplina alcune ipotesi equipollential consenso valide esclusivamente per i trattamenti dei dati cosiddetticomuni, e non può quindi essere applicata ai dati sensibili.
Le norme appena richiamate valgono anche per i medicidi medicina generale, ai quali non può applicarsi la disciplinasul trattamento dei dati personali prevista per i soggetti pubblici(in particolare gli artt. 22, comma 3; e 41, comma 5, che possonoessere utilizzati, al contrario, dalle Aziende Sanitarie Locali,ed il cui contenuto verrà meglio chiarito in seguito).
Relativamente alle modalità con cui èpossibile adempiere a tali obblighi, si fa presente che il soggettotenuto a dare l'informativa e a raccogliere il consenso èil titolare del trattamento dei dati. E' tuttavia legittimo darel'informativa e richiedere il consenso anche in relazione a trattamentidi dati effettuati da soggetti terzi ben individuati.
La legge 675/1996 esclude che le pubbliche amministrazionidebbano richiedere il consenso degli interessati, ma non impediscealle stesse, ed in particolare alle aziende sanitarie locali,di collaborare con i medici di base, ad esempio attivando un sistema,d'intesa con ciascuno di essi o mediante un'apposita normativa,volto a permettere agli interessati di ricevere l'informativae di formulare il consenso all'atto della scelta del medico difiducia, eventualmente anche in relazione ai relativi sostituti(artt. 26 e 55 del d.P.R. 22 luglio 1996, n. 484). In tali ipotesi,le aziende potrebbero poi inviare ai medici la relativa documentazione,analogamente a quanto si verifica per modelli di scelta e revocadel medico.
Qualora una o più aziende decidano di adottareuna simile prassi, le aziende dovranno informare gli interessati,con sufficiente dettaglio, di tutti i trattamenti che sarannoeffettuati, ponendo attenzione anche alla natura obbligatoriao facoltativa dei singoli trattamenti, dando così agliassistiti la possibilità di esprimere un consenso differenziatoin relazione a ciascuno di essi stessi.
Naturalmente, ogni decisione organizzativa in propositonon compete al Garante, e deve essere presa di comune accordodai soggetti coinvolti.
Va tuttavia ricordato che il consenso deve essereespresso in forma specifica (artt. 11 e 22), e non puòconsiderarsi implicito nella scelta del medico di fiducia, e chegli esercenti le professioni sanitarie che effettuano trattamentiper i quali le aziende sanitarie non abbiano informato e chiestoil consenso degli assistiti, nei termini ipotizzati, devono provvederea tali adempimenti direttamente. Analogo obbligo compete aglialtri esercenti le professioni sanitarie che non siano medicidi fiducia.
Problemi analoghi a quelli appena segnalati possonosorgere in relazione al trattamento delle ricette mediche cherecano il nome dell'assistito, e che sono necessarie per l'acquistodei farmaci, con conseguente conservazione dell'originale pressoi farmacisti ed invio di una copia alle aziende sanitarie locali,per ottenerne il corrispettivo (accordo tra Farmacie e Serviziosanitario nazionale reso esecutivo con il d.P.R. n. 94 del 1989).
Le considerazioni sopra formulate, al fine di semplificarele modalità di prestazione del consenso, possono valereanche per tali trattamenti. Si potrebbe quindi ipotizzare la menzionedelle operazioni di trattamento di dati relative alle ricettenell'informativa e nella richiesta del consenso sottoposte all'assistitoprima dell'inizio dei trattamenti da parte degli esercenti leprofessioni sanitarie, includendo anche un riferimento puntualeal farmacista.
In alternativa, si potrebbe prevedere l'inserimentodell'informativa e delle formule per la richiesta del consensonei moduli utilizzati per le ricette. In tale ultimo caso, essepotrebbero essere sottoscritte dall'interessato prima della consegnaal farmacista.
In considerazione della particolare delicatezza dellequestioni in esame, e del numero delle persone coinvolte, il Garanteresta disponibile per valutare con i soggetti interessati le formepiù opportune al fine di garantire la riservatezza degliassistiti, e di semplificare, al tempo stesso, l'attivitàdei soggetti che partecipano a vario titolo alle procedure dicura e di tutela della salute degli assistiti.
AUTORIZZAZIONE
In linea generale, la legge n. 675/1996 prevede cheper trattare i dati idonei a rivelare lo stato di salute occorredotarsi, di un'autorizzazione del Garante, oltre che del consensoscritto degli interessati (art. 22).
Tuttavia, per gli esercenti le professioni sanitariee gli organismi sanitari pubblici è stata prevista unadisciplina di favore. Questi ultimi, infatti, possono trattarei dati sulla salute anche senza l'autorizzazione del Garante,qualora perseguano finalità di tutela dell'incolumitàfisica o della salute dell'interessato, e si limitino ad utilizzarei dati e ad effettuare le operazioni dirette a tale fine.
I medesimi soggetti possono peraltro prescinderedal consenso dell'interessato - ma non dall'autorizzazione delGarante - qualora le medesime finalità riguardano un terzoo la collettività (art. 23, comma 1).
Questa Autorità ha emanato un'autorizzazionegenerale per il trattamento dei dati idonei a rivelare lo statodi salute (autorizzazione n.2 del 27 novembre 1997, pubblicatasulla Gazzetta ufficiale del 29 novembre 1997).
Essa avrà efficacia fino al 30 settembre 1998,nelle more dell'emanazione dei decreti legislativi che dovrannoregolare tutta la materia alla luce di quanto previsto dalla raccomandazionen. R (97) 5, adottata dal Consiglio d'Europa.
Con tale provvedimento, gli esercenti le professionisanitarie sono stati autorizzati a trattare i dati idonei a rivelarelo stato di salute, nelle ipotesi in cui i dati e le operazionisiano indispensabili per tutelare l'incolumità fisica ela salute di un terzo o della collettività, quando l'interessatonon ha prestato il proprio consenso scritto o non può prestarloper irreperibilità, per impossibilità fisica o perincapacità di intendere e di volere.
Gli esercenti le professioni sanitarie che effettuanotrattamenti ricompresi nel provvedimento indicato non sono quinditenuti a presentare una richiesta di autorizzazione al Garante.
L'autorizzazione generale ha tra i propri destinatarianche gli organismi sanitari pubblici, i quali, in alternativaalle regole introdotte con la medesima autorizzazione, hanno inoltrefacoltà di trattare i dati sulla salute anche in base aduna puntuale disposizione di legge che specifichi i dati che possonoessere trattati, le operazioni eseguibili e le rilevanti finalitàdi interesse pubblico perseguite (art. 22, comma 3). A tale proposito,si deve infine ricordare che, fino al 7 maggio del 1998, i soggettipubblici, esclusi gli enti pubblici economici, possono trattarei dati idonei a rivelare lo stato di salute e gli altri dati sensibilianche in assenza delle disposizioni di legge indicate, purchéeffettuino una comunicazione preventiva al Garante (art. 41, comma5).
DATI CONTENUTI NELLE CERTIFICAZIONI MEDICHE
Alcuni quesiti pervenuti al Garante riguardano idati contenuti nelle certificazioni mediche, nonché laloro circolazione.
Il d.P.R. 22 luglio 1996, n. 484 (art. 37), prevedeche le richieste di indagine o di visita specialistica debbanoessere corredate dalla diagnosi o dal sospetto diagnostico. Taleindicazione può essere utile ai medici che visitano successivamenteil paziente, per avere un quadro più completo sul suo statodi salute, e per confrontare le risultanze delle analisi giàeffettuate con quelle successive.
Da alcune segnalazioni pervenute risulta che le richiestedi indagine o di visita, corredate di tutte le indicazioni inesse contenute, vengono trasmesse anche ad uffici amministrativie a personale non medico, nel corso di procedimenti volti a registrarele diverse operazioni, specie in vista della contabilizzazionee del rimborso delle spese effettuate.
I dati relativi alle diagnosi ed al sospetto diagnosticorientrano certamente fra quelli per i quali la legislazione suidati personali richiede l'adozione di particolari garanzie a tuteladell'interessato.
In considerazione di ciò, si ritiene necessarioche, per alcuni adempimenti di carattere amministrativo, venganopredisposti moduli differenti, o tali da consentire una compilazionedifferenziata. Infatti, determinate fasi procedurali possono essereespletate utilmente prescindendo dall'indicazione di alcuni datirelativi alle patologie riscontrate nell'assistito.
E quindi opportuno che le amministrazioni interessateindividuino per quali trattamenti sia indispensabile l'indicazionedelle patologie riscontrate negli assistiti e degli altri datirelativi alla loro salute. Le amministrazioni potrebbero predisporre,quindi, alcuni formulari che potrebbero rendere superfluo il trattamentodi alcuni dati quando ciò non è strettamente necessarioper il perseguimento delle finalità di ogni singola faseprocedurale.
In ogni caso, i funzionari amministrativi e gli altrisoggetti che per ragioni d'ufficio debbano trattare i dati indiscorso sono tenuti ad eseguire sugli stessi esclusivamente leoperazioni indispensabili per le finalità perseguite, nelrispetto della riservatezza degli interessati.
Nelle more della predisposizione dei moduli primasuggeriti, i medici potrebbero ottemperare alla presente segnalazioneomettendo l'indicazione della patologia specifica nella copiadei certificati destinati al trattamento da parte del personalenon medico.
Va considerata conforme alla legge n.675/1996 la prassisegnalata da un'organizzazione di operatori sanitari, in basealla quale alcuni medici appongono a margine della ricetta laformula: "omessa diagnosi su esplicita richiesta del paziente",seguita dalla firma del paziente stesso.
IL PRESIDENTE