di Mariagrazia Fasoli, aggiornato al settembre 2023
Nota: l’argomento è approfondito nella nota tecnica “Quando parlo con il mio medico con quanti parlo? la riservatezza in sanità e nei servizi per le dipendenze” reperibile nella pagina “documenti scaricabili” in versione PDF .
SINTESI
- Avete il diritto di accedere ai Servizi per le Dipendenze (SERT) e ai Servizi Multidisciplinari Integrati (SMI) anche in anonimato, cioè senza fornire il vostro nome né alcun documento. Ma se lo fate avrete probabilmente problemi per i trattamenti farmacologici con metadone o buprenorfina, non potrete ottenere finanziamenti per le comunità terapeutiche che richiedono una retta alla vostra regione (quasi tutte) e non potrete ottenere certificati che presuppongono l’identificazione.
- La legge garantisce il segreto professionale anche nei confronti della magistratura ed equipara il personale del SERT/SMI all’avvocato difensore ma viene spesso ignorata sia dai servizi sia dai magistrati nonostante la situazione sia stata segnalata al Dipartimento Politiche Antidroga affinchè i ministeri competenti intervengano per farla applicare.
- Per inserire i vostri dati riguardanti uso di alcol e droghe nel vostro fascicolo sanitario elettronico – FSE (che viene aperto anche senza consenso ma può essere alimentato solo con il consenso dell’interessato) occorre un consenso specifico.
- In qualunque momento potete chiedere l’oscuramento di questo genere di dati e nessuno potrà più vederli tranne gli operatori che li hanno trattati e non deve essere possibile vedere che l’oscuramento è avvenuto.
- In qualunque momento avete il diritto di consultare il vostro fascicolo sanitario elettronico e anche di vedere chi altri lo ha consultato. Solo i curanti possono consultarlo e solo per il periodo in cui siete in cura, a meno che voi non autorizziate la consultazione da parte di altri.
- Ad oggi (2023) le aziende sanitarie e ospedaliere hanno ricevuto numerosissime multe per decine di migliaia di euro per violazioni delle leggi sulla riservatezza in particolare per la gestione illegittima dei dati informatizzati. Abbiamo direttamente verificato anche informazioni errate sui siti aziendali come ad esempio la citazione di norme abrogate da anni e la mancata citazione di norme in vigore. Pertanto pria di firmare “liberatorie” sarebbe prudente verificare le informazioni contenute nelle informative.
- La cartella clinica può essere richiesta, oltre che da voi o da chi voi decidiate di delegare, anche da chiunque abbia un “interesse legittimo di pari rango” e anche senza il vostro consenso (per esempio in fase di separazione e affidamento dei figli) e non può essere oscurata perché, a differenza del FSE, è un atto pubblico.
- Le eventuali violazioni delle norme sulla riservatezza possono essere segnalate al Garante per la Protezione dei Dati Personali con modulo apposito presente sul sito istituzionale.
Diritto all’anonimato nei servizi per le dipendenze
(articolo 120 commi 3 e 6 del DPR 309/1990 )
Il Decreto del Presidente della Repubblica (DPR) 309/1990, “Testo Unico delle leggi in materia di disciplina degli stupefacenti e sostanze psicotrope, prevenzione, cura e riabilitazione dei relativi stati di tossicodipendenza“, che regola il funzionamento dei Servizi Pubblici Tossicodipendenze (SERT), dei Servizi Multidisciplinari Integrati (SMI) e delle strutture residenziali accreditate (comunità terapeutiche che ricevono le rette dall’ente pubblico) dispone all’articolo 120 che le persone che si rivolgono a questi servizi possono (comma 3) “a loro richiesta beneficiare dell’anonimato nei rapporti con i servizi, i presidi e le strutture delle Unità Sanitarie Locali nonché con i medici, gli assistenti sociali e tutto il personale addetto o dipendente” e che (comma 6) “coloro che hanno chiesto l’anonimato hanno diritto a che la loro scheda sanitaria non contenga le generalità né altri dati che valgano alla loro identificazione”.
Ciò vuol dire che chiunque (stranieri irregolari compresi), su semplice richiesta e senza dare nessuna giustificazione, ha il diritto di essere curato senza dare il suo nome e senza presentare nessun documento. In questo caso il servizio dovrà attribuirgli una sigla o un numero di cartella che verrà utilizzato anche per gli esami tossicologici.
Ciò, naturalmente, comporta l’impossibilità di ottenere certificati di tossicodipendenza dato che tutti i certificati sono rilasciabili solo a persone identificate. Non è nemmeno possibile richiedere copia della propria cartella clinica dato che non potrà essere nominativa. Si ha invece sempre il diritto di prenderne visione su semplice richiesta.
Anche se il DPR 309/1990 è una legge speciale nazionale e quindi, a rigor di diritto, dovrebbe prevalere sempre su tutte le leggi statali o regionali, precedenti o successive, purtroppo, di fatto, chi chiede di usufruire di questo diritto non può però avere accesso a prestazioni che altre normative consentono solo previa identificazione. In particolare non può ottenere l’esenzione dal ticket (che richiede un certificato di tossicodipendenza), non può usufruire di finanziamenti pubblici per il pagamento di rette in comunità terapeutiche convenzionate, e, nella maggior parte dei casi, non potrà essere trasferito ad altri servizi qualora fosse in trattamento con metadone o altri farmaci oppioidi. L’art.43 della stessa legge prevede inoltre che qualora il farmaco venisse prescritto da un medico esterno al Servizio, costui oltre a dover indicare le generalità dell’interessato, dovrebbe anche munirsi di piano terapeutico nominativo compilato dal SERT/SMI. In verità l’art. 64 del DPR/1990 dispone che sui registri degli stupefacenti vengano indicati i nomi dei pazienti “salvo quanto stabilito nell’articolo 120, comma 5”. Il comma 5 però non c’entra nulla sia perché abrogato da referendum popolare sia perché, nella versione originale, si riferiva alla segnalazione dei pazienti ai SERT da parte del medico curante. Evidentemente nella trascrizione si è sostituito un 3 con un 5. Rimane pur sempre il rinvio all’art 120 che non fa eccezione rispetto al diritto a curarsi in anonimato. Alcuni servizi quindi, adottando determinate procedure ritengono di poterlo fare. Ulteriori approfondimenti possono essere reperiti nella sezione “Prescrizione stupefacenti”
Segnaliamo infine che il comma 9 dell’articolo 120 impone alle Regioni di “prevedere un sistema di codifica atto a tutelare il diritto all’anonimato del paziente e ad evitare duplicazioni di carteggio”, con ciò risolvendo la questione, ma finora nessuna Regione ha rispettato le legge.
L’interessato può, in qualunque momento, rinunciare all’anonimato e chiedere di essere identificato dagli operatori di riferimento presentando un documento di identità i cui estremi verranno riportati in cartella, di cui, a questo punto potrà ottenere copia. Tuttavia ciò non sarà possibile se si ripresentasse al servizio dopo una interruzione dei contatti e nessuno potesse effettuare il riconoscimento personale necessario per collegare con certezza il soggetto alla cartella anonima.
Il segreto professionale
(art 120 comma 7 del DPR 309/1990, articoli 103 e 200 del Codice di Procedura Penale )
L’art. 120 comma 7 del DPR 309/1990 stabilisce che “Gli operatori del servizio pubblico per le dipendenze e delle strutture private autorizzate ai sensi dell’articolo 116 (SMI e comunità) non possono essere obbligati a deporre su quanto hanno conosciuto per ragione della propria professione, ne’ davanti all’autorità giudiziaria ne’ davanti ad altra autorità. Agli stessi si applicano le disposizioni dell’articolo 200 del codice di procedura penale e si estendono le garanzie previste per il difensore dalle disposizioni dell’articolo 103 del codice di procedura penale in quanto applicabili.”
Il paziente, quindi, ha diritto al rispetto del segreto professionale anche se NON chiede l’anonimato.
Il segreto professionale è il diritto alla riservatezza assoluta che da secoli viene riconosciuta a chi si rivolge a un medico, ad un avvocato o ad un sacerdote e che oggi si è esteso anche ad altre professioni come quella dello psicologo, dell’infermiere professionale, dell’assistente sociale e dell’educatore.
Gli Ordini e i Collegi professionali hanno il compito di stabilire le regole a cui tutti i loro iscritti devono attenersi e per questo emanano dei “codici deontologici”.
Il Codice di Deontologia Medica (CDM), per esempio, dispone (artt. 10, 11 e 12), che “il medico deve mantenere il segreto su tutto ciò di cui è a conoscenza in ragione della propria attività professionale”. Inoltre “il medico non deve rendere all’Autorità competente in materia di giustizia e di sicurezza testimonianze su fatti e circostanze inerenti il segreto professionale”. Norme analoghe, o anche più rigide, sono dettate dai Codici Deontologici degli psicologi, degli infermieri, degli assistenti sociali e degli educatori. Tutto ciò significa che, senza il consenso dell’interessato (se maggiorenne) o senza il consenso dei genitori o del tutore o curatore (se minorenne o incapace), nessuna informazione sui nostri pazienti dovrebbe essere fornita né ai famigliari né ad altri (ivi compresa la magistratura, come si vedrà più oltre) con alcune eccezioni espressamente previste sia dalla legge sia dagli stessi Codici Deontologici. Segnaliamo che, a differenza del precedente, il CDM in vigore non prevede però tassativamente le eccezioni alla regola generale del segreto ma rimanda la liceità della rivelazione ad “una giusta causa prevista dall’ordinamento o dall’adempimento di un obbligo di legge”. Questa nuova formulazione, che, di fatto, rimanda allo Stato la decisione di rispettare o no il segreto, è stata fortemente criticata, in particolare da alcuni Ordini Provinciali. Si è infatti osservato che, con questa logica, si giustificherebbero, a rigore, persino i medici che in vigenza di leggi razziali od omofobe (peraltro tuttora in vigore in alcuni paesi) avessero denunciato alle autorità le persone non ariane od omosessuali. Più rigorosa, ad esempio, appare la tutela del segreto professionale nel Codice Deontologico degli Psicologi Italiani che, agli artt. 12,13,14 e 15, limita la deroga ai casi di obbligo di referto o di denuncia (quindi quando sussiste un’ipotesi di reato che non coinvolga il cliente) e, anche in questi casi, limita “allo stretto necessario il riferimento a quanto appreso in ragione del proprio rapporto professionale”. In linea di massima, la giusta causa di rivelazione del segreto professionale dovrebbe configurarsi quando la denuncia alle autorità sanitarie è obbligatoria per legge (per esempio nel caso di alcune malattie infettive contagiose) e quando, per qualsiasi motivo, la rivelazione sia necessaria e urgente per salvare l’interessato o terze persone da gravi rischi per la salute o per la vita.
Come si è detto il segreto professionale è riconosciuto, in Italia, anche dalle leggi dello Stato. L’articolo 622 del Codice Penale (CP), infatti, punisce con la reclusione la violazione del segreto professionale, ma solo nel caso che la rivelazione produca un danno e che ci sia la denuncia dell’interessato. L’articolo 200 del Codice di Procedura Penale (CPP) dispone, invece, che sacerdoti di qualunque religione ammessa dallo Stato, avvocati, medici, farmacisti, levatrici e ogni altro esercente una professione sanitaria “non possono a pena di nullità essere obbligati a deporre su ciò che a loro fu confidato o pervenuto a loro conoscenza per ragione del proprio ministero o ufficio o della propria professione”. Ricordiamo che, nel nostro paese, per esercitare una professione, anche come lavoratori dipendenti, è obbligatorio essere iscritti all’Ordine e, quindi, anche i professionisti dipendenti pubblici sono inclusi in questo articolo.
Il già citato articolo 120 del DPR 309/1990 estende (comma 7) questo dovere a tutti i dipendenti del servizio pubblico per le tossicodipendenze, nonché a “coloro che operano presso enti, centri, associazioni o gruppi convenzionati con i servizi pubblici per il trattamento delle tossicodipendenze”.
Allo stesso personale, inoltre, si estendono le garanzie che l’articolo 103 del Codice di Procedura Penale (CPP) riserva all’avvocato difensore. In particolare tale articolo vieta anche alla magistratura le perquisizioni, il sequestro di documenti, le intercettazioni telefoniche, il sequestro o ogni forma di controllo della corrispondenza presso le sedi dei servizi se non per accertare reati commessi dal personale o per cercare cose o persone specificamente determinate. In questo caso tuttavia ciò deve essere fatto personalmente dal giudice o dal pubblico ministero e solo alla presenza del presidente o di un consigliere dell’Ordine Professionale. Gli atti in violazione di queste disposizioni, “non possono essere utilizzati” e “quando le comunicazioni e conversazioni sono comunque intercettate, il loro contenuto non puo’ essere trascritto, neanche sommariamente, e nel verbale delle operazioni sono indicate soltanto la data, l’ora e il dispositivo su cui la registrazione e’ intervenuta.” (art. 103 comma 7).
L’obbligo di denuncia
(art 331 Codice Procedura Penale e artt. 361 e 362 Codice Penale)
Tutto quanto sopra illustrato vale, naturalmente, per coloro che all’interno dei servizi si comportano da pazienti. Chi invece commettesse un reato perseguibile d’ufficio all’interno o nei dintorni immediati del servizio (per esempio lo spaccio di stupefacenti o atti di minaccia o violenza nei confronti di operatori sanitari) dovrebbe essere immediatamente denunciato in base all’art. 331 del CPP che ne fa obbligo a tutti gli addetti a pubblico servizio. In caso contrario l’operatore incorrerebbe nel reato di omessa denuncia. La legge infatti vuole tutelare il diritto alla salute e non certo consentire che all’interno delle strutture sanitarie si possano commettere impunemente delitti.
Diritto alla riservatezza dei dati personali
Regolamento (UE) 2016/679 (GDPR) e il Decreto Legislativo 196/2003
I diritti dei cittadini rispetto al trattamento e all’uso dei dati personali da loro forniti ai Servizi Sanitari sono garantiti dal Regolamento (UE) 2016/679 (GDPR) e il Decreto Legislativo (D. Lgs) 196/2003.
Queste norme obbligano gli Stati Membri dell’Unione Europea ad assicurare “la protezione delle libertà e dei diritti fondamentali delle persone fisiche, in particolare della loro vita privata, rispetto al trattamento dei dati personali” e prevedono (art. 9 del GDPR) una speciale protezione per particolari categorie di dati, tra cui quelli inerenti la salute.
Tale articolo stabilisce che “è vietato trattare dati che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche o l’appartenenza sindacale, nonché trattare dati genetici, dati biometrici intesi a identificare in modo univoco la persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona”. Le eccezioni a tale divieto sono tassativamente indicate al comma due. Per quanto di competenza dei servizi sanitari, in particolare il trattamento è consentito nei casi in cui: a) l’interessato ha prestato consenso esplicito per una o più finalità specifiche c) è necessario per un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nella incapacità fisica o giuridica di prestare il proprio consenso; e) riguarda dati resi manifestatamente pubblici dall’interessato; oppure f) per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni; h) per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali; i) per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale; j) a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici purchè proporzionato alla finalità perseguita e nel rispetto di diritti fondamentali e interessi dell’interessato.
Tuttavia, anche in questi casi, (comma 3) il Regolamento stabilisce che i dati indicati nel paragrafo 2, lettera h, riguardanti, tra l’altro, la diagnosi, assistenza o terapia sanitaria o sociale ovvero la gestione dei sistemi e servizi sanitari o sociali, possono essere trattati solo “da o sotto la responsabilità di un professionista soggetto al segreto professionale (…) o da altra persona anch’essa soggetta all’obbligo di segretezza”. Inoltre l’art. 2 sexies, comma 1 bis del D. Lgs. 196/2003 dispone che, in ogni caso, anche i dati sanitari trattati per fini legittimi, tassativamente autorizzati da una legge, (ivi compresi quelli contenuti nel Fascicolo Sanitario Elettronico) debbano essere “privi di elementi identificativi diretti”.
I dati personali trattati in violazione di queste norme non possono essere utilizzati (art. 2 decies del D. Lgs. 196/2003).
In concreto ciò significa che le informazioni che il cittadino fornisce ai suoi terapeuti dovrebbero, di regola (e sempre che la struttura applichi correttamente la legge), restare riservati per chiunque altro, compresa la magistratura, dato che, come si è già detto, il DPR 309/1990 (che è una legge speciale e perciò prevale sulle leggi ordinarie) equipara il personale dei Servizi Dipendenze all’avvocato difensore. I dati trattati per fini di ricerca o di salute pubblica in base ad una legge devono invece essere di regola anonimizzati.
Chi può accedere alla cartella clinica del SERT
Di regola solo i curanti, l’interessato o persone da lui autorizzate o delegate possono accedere alla cartella clinica del SERT.
Richiamiamo tuttavia l’attenzione sul fatto che viene spesso applicato anche alle cartelle cliniche dei SERT l’art. 92 del D. Lgs 196 2003.
Tale articolo introduce la possibilità di accesso alla cartella clinica anche a soggetti diversi da quelli sopra citati, anche senza il consenso dell’interessato, a fronte di “documentata necessità di far valere o difendere un diritto in sede giudiziaria ai sensi dell’art. 26 co. 4 di rango pari a quello dell’interessato” o nel caso entri in gioco un “diritto della personalità o un altro diritto o libertà fondamentale inviolabile, meritevole di tutela purché si tratti di una situazione giuridicamente rilevante di rango pari a quella dell’interessato”. E’ quindi previsto il rilascio della cartella “in tutto o in parte” a terzi legittimati. Il Garante ha chiarito con suo provvedimento (“Provvedimento generale sui diritti di pari rango”, 9 luglio 2003) l’estensione di tali diritti tra cui, a titolo di esempio (e come confermano anche alcune sentenze), sono comprese le richieste del coniuge per cause di annullamento di matrimonio e le richieste di accesso nell’ambito di investigazioni difensive (cioè, ad esempio, da parte dell’avvocato di una terza persona accusata di un reato, in cui l’interessato è testimone d’accusa).
I diritti dell’interessato
Il GDPR definisce i diritti dell’interessato agli articoli 12-22. Riportiamo sinteticamente il contenuto degli articoli 12-18 in quanto pertinenti anche ai trattamenti effettuati dai servizi sanitari.
Art. 12 – “Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato”
Obbliga il titolare (cioè il rappresentante legale dell’ente, in genere il Direttore Generale) a fornire su richiesta all’interessato tutte le informazioni relative al trattamento dei suoi dati “in forma concisa, trasparente, intelligibile e facilmente accessibile, con un linguaggio semplice e chiaro”. Le informazioni sono fornite per iscritto o con altri mezzi, purché sia accertata l’identità dell’interessato. Ciò deve avvenire senza ritardo e, in ogni caso, entro un mese dalla richiesta, prorogabile di due mesi in casi particolarmente complessi e dopo aver spiegato dettagliatamente all’interessato i motivi del ritardo. Qualora il titolare ritenga di non poter ottemperare alla richiesta deve comunicarne i motivi ed informare l’interessato delle modalità con cui fare ricorso.
Art. 13 – “Informazioni da fornire qualora i dati personali siano raccolti presso l’interessato”
L’interessato deve ricevere informazioni preliminari su: identità del titolare (il rappresentante legale che deve dettare le procedure per il trattamento dei dati), dati di contatto del responsabile del trattamento (cioè colui che di fatto effettua o fa effettuare il trattamento, di solito il direttore della struttura cioè del SERT o della Comunità) e del Responsabile della Protezione dei Dati (cioè la persona incaricata per legge di sovraintendere all’applicazione della normativa in quel particolare ente), finalità e base giuridica del trattamento, destinatari o categorie di destinatari che avranno accesso ai dati, periodo di conservazione dei dati, diritto dell’interessato di chiedere l’accesso ai dati, rettifica, cancellazione, limitazione o opposizione al trattamento, diritto di reclamo al Garante, obbligatorietà o meno del conferimento dei dati per ottenere la prestazione.
Art. 14 – “Informazioni da fornire qualora i dati personali non siano stati ottenuti presso l’interessato”
In caso i dati non siano stati raccolti presso l’interessato (per esempio sono stati riferiti da un famigliare o da un’altra struttura sanitaria) è necessario comunicargli anche le informazioni disponibili sulla loro origine. Inoltre il titolare deve fornire una copia dei dati oggetto di trattamento ma senza ledere i diritti altrui.
Art. 15 – “Diritto di accesso dell’interessato”
L’interessato ha il diritto di ottenere la conferma che sia o meno in corso un trattamento dei suoi dati personali e in tal caso, di ottenere l’accesso alle seguenti informazioni: finalità, tipo di dati, persone o categorie di persone a cui possono essere comunicati, periodo di conservazione, diritto di reclamo, origine dei dati, eventuale esistenza di un processo decisionale informatizzato. Inoltre il titolare deve fornire all’interessato una copia gratuita dei dati.
Art. 16, 17, 18 – “Diritto di rettifica, diritto alla cancellazione (“diritto all’oblio”), diritto alla limitazione al trattamento”
L’interessato ha diritto di ottenere senza ritardo la rettifica dei dati inesatti e l’integrazione dei dati incompleti, anche fornendo una dichiarazione integrativa.Ha diritto ad ottenere la cancellazione quando i dati non sono più necessari per le finalità per cui sono stati conferiti, quando ha revocato il consenso o ha inoltrato opposizione e non sussistono altre basi giuridiche per il trattamento e quando i dati sono stati trattati illecitamente. Ha diritto a limitarne il trattamento quando ne contesta l’esattezza, quando il trattamento è illecito ma non ne chiede la cancellazione ma la limitazione, quando sono necessari per l’esercizio di diritti oppure si è opposto al trattamento e si è in attesa di verifica dell’eventuale prevalenza dei motivi del titolare.
L’informativa all’interessato
In ambito sanitario, le informazioni sopra descritte possono essere fornite anche attraverso avvisi esposti nelle sale d’attesa e sui siti internet degli enti. Devono comunque rispettare le indicazioni di chiarezza, completezza e trasparenza previste dall’art.12 del GDPR, in particolare per le modalità dei trattamenti informatizzati. Devono inoltre contenere le indicazioni necessarie per ottenere ulteriori informazioni sui propri dati e su come accedervi facilmente. Non è quindi accettabile predisporre l’informativa come una generica “liberatoria” non solo perché, in questo modo, si violerebbe lo spirito e la lettera della legge ma anche perché, paradossalmente, in caso di contestazioni, si fornirebbe la prova di non aver adeguatamente informato il cittadino.
Il consenso dell’interessato in Sanità e nei Servizi Tossicodipendenze
Con il provvedimento n. 55 del 7 marzo 2019 “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”, il Garante ha precisato che, diversamente dal passato e fermo restando l’obbligo di informazione, non è più necessario, nel quadro della nuova disciplina (art. 9, paragrafo 2 lettera h del GDPR), richiedere il consenso per i trattamenti dei dati per finalità di cura cioè “quelli effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.” E’ infatti evidente che, per il solo fatto di richiedere una prestazione sanitaria, si accetta anche di consentire il trattamento delle informazioni strettamente necessarie ad erogarla. Ciò però riguarda solo i dati “essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute” come da art. 53 del GDPR mentre “trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari”, anche se effettuati da professionisti della sanità, richiedono una distinta base giuridica. Pertanto il consenso è ancora richiesto, ad esempio, per alimentare (non più per costituire) il fascicolo sanitario elettronico, per la refertazione on line, per l’utilizzo di app o posta elettronica. E’ necessario il consenso anche per i dati trattati attraverso dossier sanitario elettronico (trattamento informatizzato che fa capo ad un unico titolare) anche se il Garante si riserva di “individuare nell’ambito delle misure di garanzia da adottarsi sulla base dell’art. 2-septies del Codice, i trattamenti che, ai sensi dell’art. 9, par. 2, lett. h), possono essere effettuati senza il consenso dell’interessato.”
Per il trattamento di dati soggetti a maggior tutela, come quelli riguardanti le dipendenze, sarebbe quindi corretto acquisire un consenso scritto ricordando che il comma 2 del citato art. 7 dispone che se la dichiarazione scritta riguarda diverse questioni (per esempio il trattamento di dati a fini diversi come diagnosi e terapia o ricerca scientifica o la autorizzazione a comunicazione a diversi soggetti) “la richiesta di consenso è presentata in modo chiaramente distinguibile dalle altre materie, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro”. In caso contrario, nessuna parte della dichiarazione è vincolante. L’interessato inoltre “ha il diritto di revocare il proprio consenso in qualsiasi momento” ma “la revoca del consenso non pregiudica la liceità del trattamento precedente” e ed anche di ciò occorre dare informazione. Inoltre nel valutare se il consenso sia stato liberamente prestato, si tiene nella massima considerazione l’eventualità che “la prestazione di un servizio, sia condizionata alla prestazione del consenso al trattamento di dati personali non necessario all’esecuzione di tale contratto.” In sintesi se un paziente richiede un certo trattamento (per esempio la disassuefazione da oppiacei) non è legittimo estorcergli il consenso al trattamento di dati non necessari a quella specifica prestazione come, ad esempio, quelli relativi le sue condizioni famigliari o sociali o i suoi precedenti penali.
Sanità digitale
Rimandiamo alla trattazione più approfondita, citata all’inizio, le informazioni sulla sanità digitale. In questa pagina ci limitiamo a ricordare per “fascicolo sanitario elettronico” (FSE) si intende il fascicolo formato con dati sanitari condivisi elettronicamente originati da diversi titolari (per esempio ospedale pubblico, medico di base, centro specialistico privato).
Il nuovo regolamento (in corso di pubblicazione sulla Gazzetta Ufficiale mentre scriviamo, settembre 2023) rende obbligatoria la costituzione del FSE in tutto il territorio nazionale e definisce, una serie di standard tecnici a cui adeguarsi, compresa la inter-operatività tra sistemi regionali.
Il FSE deve contenere i seguenti dati e documenti erogati anche al di fuori del Servizio Pubblico (art.3): dati identificativi ed amministrativi; referti; verbali di Pronto Soccorso; lettere di dimissione; prescrizioni ed erogazioni specialistiche e farmaceutiche a carico e non del Sistema Sanitario; vaccinazioni; lettere di invito per screening. Contiene inoltre un profilo sanitario sintetico che dovrà essere redatto dal medico di base (art 4) e un taccuino personale dell’assistito dove l’interessato potrà inserire dati anamnestici non certificati (art. 5). Ministero della Salute e Regioni dovranno fornire all’interessato una informativa su modello nazionale con quanto previsto dagli artt. 13 e 14 del GDPR (art.7). L’assistito, dopo aver preso visione dell’informativa potrà esprimere un consenso (o un dissenso) “libero, specifico, informato ed inequivocabile” e disgiunto alla consultazione dei dati da parte di operatori sanitari per le diverse finalità di cura, prevenzione e profilassi internazionale. Il consenso potrà essere revocato in qualsiasi momento ma i dati non verranno cancellati ma rimarranno consultabili dall’interessato e da chi li prodotti.
L’accesso ai dati per finalità di cura (art. 15), prevenzione (art. 16) o profilassi internazionale (art 19) è in ogni caso consentito solo a medici, infermieri, ostetriche, farmacisti e amministrativi con privilegi selettivi: ad esempio non è consentito all’infermiere consultare un referto di laboratorio né al farmacista consultare una scheda di vaccinazione che invece è accessibile all’infermiere.
In caso di emergenza e di incapacità fisica o psichica a fornire il consenso è consentito l’accesso al FSE se le informazioni sono indispensabile a cure salvavita e per il tempo strettamente necessario ad erogarle con l’esclusione dei dati oscurati. (art 20).
Gli accessi al FSE devono essere registrati e l’interessato deve poterne prendere visione tramite apposita funzionalità. Inoltre le Regioni dovranno fornire un sistema di notifica degli accessi via posta elettronica o tramite app mobile (art 22).
Fascicolo Sanitario Elettronico e dati su uso di alcol e droghe
I dati soggetti a maggior tutela, tra i quali l’uso di alcol e droghe, “sono resi visibili solo all’assistito” che può decidere di renderli accessibili a terzi rilasciando “esplicito, informato e specifico consenso” al soggetto che eroga la prestazione. Solo nel caso di richiesta di anonimato il FSE non va alimentato (art.6). Devono infatti essere rispettate le disposizioni relative al diritto all’anonimato previste per chi fa uso di sostanze stupefacenti, di sostanze psicotrope e di alcool (D.P.R. 309/1990). L’interessato ha il diritto di oscurare singoli dati al momento della alimentazione del FSE facendone richiesta direttamente a chi eroga la prestazione che ha il dovere di informarlo di questa possibilità. L’oscuramento può essere richiesto o revocato in qualsiasi momento anche tramite apposita funzionalità on line e comporta che i soggetti abilitati ad accedere ai dati per finalità di cura non vengano a conoscenza che i dati oscurati esistono (oscuramento dell’oscuramento, art. 9). Per quanto riguarda minori e incapaci, il rilascio del consenso ed i diritti relativi all’accesso e all’oscuramento devono essere esercenti dagli esercenti responsabilità genitoriale o tutela (artt. 8 e 11).
Rileviamo per inciso che ciò parrebbe in contrasto con le disposizioni dell’art. 120 del DPR 309/1990 che stabiliscono che, nel caso di minori o incapaci, la richiesta di presa in carico può essere diretta al SERT “anche” (e non “solo”) dai genitori o dal tutore. Ricordiamo ancora una volta che la legge speciale, come il DPR 309, prevale sulla legge ordinaria precedente o successiva e quindi non si potrà certo rifiutare di accogliere un minorenne perché non può dare il consenso al FSE.
Altre misure per il rispetto dei diritti dell’interessato
Il Garante per la protezione dei dati personali, in seguito a “reclami e segnalazioni con i quali si rappresentava che alcune strutture sanitarie, nell’erogare prestazioni e servizi per finalità di prevenzione, diagnosi, cura e riabilitazione, non rispetterebbero le garanzie previste dalla legge a tutela, in particolare, della dignità e della riservatezza delle persone interessate” con suo provvedimento 9 novembre 2005“Strutture sanitarie: rispetto della dignità”,ribadiva che una serie di misure organizzative “devono essere adottate per espresso obbligo di legge da tutti gli organismi sanitari, sia pubblici (es. aziende sanitarie territoriali, aziende ospedaliere), sia privati (es. case di cura)” e che, tra l’altro, gli organismi sanitari pubblici e privati, in qualità di titolari del trattamento dei dati personali, devono garantire il rispetto dei principi, per quanto pertinenti, esplicitati nel D. Lgs 196/2003, che di seguito riassumiamo precisando che nel testo originale il Garante fa riferimento all’abrogato art 83 del Codice ora sostituito da una serie di diposizioni contenute o implicite nel GDPR.
a)Dignità dell’interessato – La prestazione medica e ogni operazione di trattamento di dati personali deve avvenire nel pieno rispetto della dignità dell’interessato. La tutela della dignità personale deve essere garantita nei confronti di tutti i soggetti cui viene erogata una prestazione sanitaria, con particolare riguardo a fasce deboli quali i disabili, fisici e psichici, i minori, gli anziani e i soggetti che versano in condizioni di disagio o bisogno.
b) Riservatezza nei colloqui e nelle prestazioni sanitarie – Necessarie idonee cautele in relazione allo svolgimento di colloqui per evitare che in tali occasioni le informazioni sulla salute dell’interessato possano essere conosciute da terzi.
e) Distanza di cortesia – Le strutture sanitarie devono predisporre apposite distanze di cortesia in tutti i casi in cui si effettua il trattamento di dati sanitari (es. operazioni di sportello, acquisizione di informazioni sullo stato di salute).
f) Ordine di precedenza e di chiamata – Nelle sale d’aspetto l’ordine di precedenza e di chiamata degli interessati deve prescindere dall’uso dei nomi (ad es., attribuendo un codice numerico).
g) Correlazione fra paziente e reparto o struttura – Si devono adottare specifiche procedure per prevenire che estranei possano dedurre lo stato di salute del paziente attraverso la correlazione tra la sua identità e l’indicazione della struttura o del reparto.
Le procedure che prevedono, per esempio, la somministrazione di farmaci contemporaneamente a più pazienti nello stesso locale, l’attesa in sale promiscue con altri servizi sociali o sanitari, la chiamata nominale degli interessati, l’indicazione all’esterno del tipo di patologia trattata (Centro AIDS, Servizio Alcologia), l’esecuzione di prelievi urinari con porte aperte sono perciò illegittime e sanzionabili.
A chi rivolgersi per far valere i propri diritti
Purtroppo può risultare piuttosto complicato per chi desideri mantenere la massima riservatezza sui propri dati riguardanti l’uso di alcol e droghe segnalare eventuali violazioni perché ciò potrebbe di per sé comportare l’allargamento del numero di persone a cui diventa noto il fatto in sé e perché, in caso di negazione del diritto all’anonimato, il solo fatto di inviare una diffida firmata che verrà sicuramente protocollata vanifica il mantenimento del segreto.
Spesso è sufficiente però citare le norme di legge per ottenere quanto dovuto.
In caso contrario si può chiedere un incontro con il Responsabile della Protezione dei Dati che, ai sensi dell’art. 37 del GDPR, deve essere nominato in ogni azienda sanitaria.
Qualora non si ottenga quanto dovuto nemmeno in questo modo o quando si ritenesse che le violazioni della normativa abbiano causato un danno non resta che rivolgere un reclamo al Garante utilizzando il modello presente sul sito.
Ricordiamo inoltre che è sempre possibile chiedere assistenza ad una associazione di consumatori ma è utile assicurarsi che si tratti di organismi indipendenti, cioè non finanziati da enti pubblici o privati, che potrebbero entrare in conflitto di interesse.
Le informazioni su come rivolgersi al Garante, nonché sulla la legislazione e la giurisprudenza aggiornate in materia e sulle iniziative in corso possono essere reperite sul sito internet
E’ possibile rivolgersi direttamente al Garante ai seguenti recapiti:
Piazza Venezia n. 11 – 00187 Roma;
Centralino telefonico: (+39) 06.696771;
Fax: (+39) 06.69677.3785;
Posta elettronica: protocollo@gpdp.it;
PEC (solo da altra PEC): protocollo@pec.gpdp.it