18
Le guide di Allegato a Doctor n.15 - dicembre 2003 - Sped. in abb. post. - 45% - art. 2 comma 20/ B legge 662/96, filiale di Milano
Le guide di
Alleg
ato
a Do
ctor
n.15
- dic
embr
e 20
03 -
Sped
. in a
bb. p
ost.
- 45%
- ar
t. 2
com
ma
20/B
legg
e 66
2/96
, filia
le di
Milan
o
Le guide di corriere medicoprivacy e studi medici
Le guide di corriere medicoprivacy e studi medici
32
PRIVACY E STUDI MEDICI
nelTERZO MILLENNIO
L’operaIl volumetto intendeillustrare i principalicambiamenti che in-terverranno nello stu-dio del medico difamiglia e del pedia-tra di libera sceltapresumibilmente apartire dal 2004 perl’entrata in vigore delnuovo codice dellaprivacy. Si propone dioffrire, se non unadescrizione esaustivadella rivoluzione-pri-vacy in sanità e ditutte le situazioni cheriguardano il medico,almeno dettagliati ri-mandi ai principaliadempimenti ai qualisi dovrà provvedere.
L’autoreMauro Miserendino
è redattore di CorriereMedico, Doctor e DocMagazine, riviste spe-
cializzate per i medici difamiglia dove si occupain prevalenza di politica
sanitaria.
PR
OF
ES
SI
ON
E2
00
3-
20
04
Le guide di corriere medicoprivacy e studi medici
5
Le guide di corriere medicoprivacy e studi medici
4
so
mm
ar
io
so
mm
ar
io
Privacy e studi medicinel terzo millennio
pag. 9
pag. 6
Capitolo I
Lo scenario della rivoluzione1.1 – Dal segreto professionale alla legge 675/961.2 – Il decreto 318 del 19991.3 – Il testo unico in materia di dati personali1.4 – Che cos’è il trattamento dei dati1.5 – Dati personali e dati sensibiliTabelle: quando non occorre chiedere il consenso1.6 – Autorizzazione e notificazione
Capitolo II
Duemilaequattro anno zero2.1 – Gli articoli 75 e 942.2 – Primo gennaio, chiamata per numero2.3 – Adempimenti di strutture più complesse2.4 – Primo settembre, si raccoglie il consenso2.5 – Le ricette irriconoscibili2.6 – I dati genetici
Capitolo III
Come tutelare la riservatezza3.1 – Diritti dell’assistito e doveri del medico3.2 – Le misure dell’ex decreto 3183.3 – Alcune misure particolari3.4 – I rischi per i medici inadempientiTabella riepilogativa delle sanzioni
Capitolo IV
Prepararsi al futuro4.1 – L’evoluzione degli studi medici4.2 – Trattamento dati per scopi scientifici4.3 – Trentun marzo, inviare il Dpss4.4 – Il disciplinare tecnico di sicurezzaTabella riepilogativa delle incombenze periodicheUn’ipotesi di modello di consenso
PremessaSegreto, che cosa dice il codice deontologico
pag. 14
pag. 19
pag. 26
Srlcorso Venezia 620121 Milano
Direttore responsabile: Silvano MariniProgetto grafico: Germano Cremonesi
Testi: Mauro MiserendinoVerifiche redazionali: Luciano Lucchini
Stampa: Arti grafiche Nidasio - Assago (Mi)
© 2003, Ariete Salute Srl
I diritti dei testi pubblicati in questo fascicolo
sono di proprietà dell’editore.
Nessuna parte può essere ripresa, ristampata o fotocopiata
senza una specifica autorizzazione.
Indirizzi normativi aggiornati al 27-02-2004
Allegato a Doctor n.15 - dicembre 2003 - Sped. in abb. post. - 45%art. 2 comma 20/B legge 662/96, filiale di Milano
Le guide di corriere medicoprivacy e studi medici
Le guide di corriere medicoprivacy e studi medici
76
C’era una volta la legge 675 sulla privacy. Era stata approva-ta a fine 1996 e istituiva l’Autorità Garante per la Protezione
dei Dati Personali, la stessa “authority” che dalla sua nascita è guidatada Stefano Rodotà. L’obiettivo era allineare la legislazione italiana a quel-la dell’Unione Europea, stabilita con la direttiva 46 del 24 ottobre 1995sulla libera circolazione dei dati, rafforzando la protezione soprattuttoper le informazioni che di sé il cittadino non è disposto a dare a tutti, dal-l’iscrizione a un partito alla confessione religiosa, dalla salute alla vitasessuale.
In sei anni non solo il nostro paese si è adeguato, ma la legi-slazione è stata così al passo con i tempi da porre numerosi problemi,spesso sollevati da procedimenti giudiziari: nel 2002 erano circa 30 milale cause pendenti per presunte violazioni della privacy!
Istruttorie, pronunce, autorizzazioni, normative si sono succedu-te – insieme a nuove direttive europee come la 2002/58 – in campi dis-parati, dalla sanità alla giurisprudenza, dal ramo assicurativo alle comu-nicazioni elettroniche, al punto da rendere indifferibile un testo unico.Testo che – approvato il 30 giugno scorso come decreto legislativo 196,e pubblicato nella Gazzetta Ufficiale del 28 luglio, numero 174 – persemplificare le cose ha abrogato tutte le leggi e i decreti precedenti,inclusa la legge 675. Ne deriva che ha valore di legge e che, se qualcheadempimento o sanzione in esso previsti non piacessero ai destinatari,restano due modi per cambiarli: il ricorso in Corte costituzionale (chepuò fare solo un magistrato nel corso di un processo) o circolari espli-cative del Garante volte ad ammorbidire certe norme.
Il codice copre tutto lo scibile del trattamento dei dati. Ma,accanto agli ospedali, saranno i medici di famiglia e i pediatri di liberascelta i professionisti tenuti ad adempimenti burocratici nuovi e spinosi.Il 2004 sarà l’anno della rivoluzione. Tuttavia, anche se il codice preve-de come inizio per ogni adempimento il 1° gennaio 2004, il Garante hadi recente assicurato gli ordini dei medici su una tempificazione a tappeper meglio organizzare il sistema. La scansione dei tempi – che cambiala previsione di start al 1° gennaio 2004 dell’articolo 186 del Testounico – potrebbe essere ancora rivista. Ad oggi prevede che:
Già dal 1° gennaio 2004 medico di famiglia e pediatra di libera sceltadevono:• chiamare gli assistiti in sala d’attesa per numero di arrivo e non piùper nome. Nessuno degli astanti deve in teoria poter risalire all’identitàdell’altro correlandola con una malattia o uno stato di salute specifico; • mettere in atto comportamenti atti a fare in modo che terzi non colle-
ghino in nessun modo un individuo a una patologia (nessuno nella stan-za durante la visita, etc);• notificarsi al Garante, come dovrebbero sempre aver fatto, per i trat-tamenti di dati diversi dai compiti di diagnosi e cura;• far aderire i loro documenti programmatici sulla messa in sicurezzadei dati sensibili, prodotti ogni 31 marzo dell’anno, alle regole impostedall’allegato B al testo unico (vedi ultimo capitolo).
Dal 30 settembre 2004, se il Garante non affiderà l’incombenzaburocratica agli sportelli delle Asl, generalisti e pediatri dovranno:• raccogliere il consenso (sì o no) di ogni proprio assistito al tratta-mento dei suoi dati personali consegnando un’informativa in cui si spe-cifica che tale consenso verrà esteso ai sanitari con i quali il pazienteverrà via via in contatto; in particolare il sostituto e il collega associa-to, ma anche lo specialista interpellato dal curante in ospedale o sul ter-ritorio, nel pubblico o nel privato, e il farmacista;• annotare la risposta – sì o no – accanto alla data in cui è stata rac-colta; secondo il codice non c’è bisogno della firma dell’assistito ma nonè impossibile che circolari contrattate con gli ordini impongano un con-senso firmato a tutela dei medici;• collocare un adesivo sul libretto o tessera sanitaria dell’assistito atte-stante che l’assistito stesso acconsente o meno a che i propri dati sianotrattati dal proprio medico e da altri sanitari.
Dal 1° gennaio 2005 arriveranno le nuove ricette anti-intruso. Medicie pediatri dovranno:• criptare le prescrizioni di farmaci, visite ed esami sui ricettari del ser-vizio sanitario regionale apponendo un bollino adesivo sulle generalitàdell’assistito, che il medico dovrà comunque scrivere; • non scrivere il nome del proprio assistito sulle prescrizioni di farmaci,visite ed esami sul ricettario bianco che non sono a carico del Serviziosanitario nazionale, così che nessuno possa leggere sullo stesso foglionome della patologia e suo portatore.
Questa la rivoluzione in sintesi. Ma già dal ’96 i medici di fami-glia sarebbero tenuti, in base alla legge 675, a raccogliere il consensodei propri assistiti al trattamento dei loro dati sensibili, e dal 2000devono redigere ogni anno un documento programmatico sulla sicurez-za dei dati. Vale perciò la pena di riepilogare le principali tappe vissutenegli studi, rivisitare il significato di qualche termine e quindi focalizzarevecchi e nuovi adempimenti.
P r e m e s s a
Le guide di corriere medicoprivacy e studi medici
9
LOSC
EN
AR
IOD
ELL
AR
IVO
LUZIO
NE–
1°
capi
tolo
:
Le guide di corriere medicoprivacy e studi medici
8
Dalla legge 675 al decreto
sulla messa in sicurezza
dei dati,ecco come si è evoluta
la tutela del “dato sensibile”
1.1 - Dal segreto professionale allalegge 675/96
Il 31 dicembre 1996 è promul-gata la legge 675 sulla tuteladella privacy. Essa prescrive cheil medico non può rivelare lostato di salute del suo pazientesenza il consenso di quest’ultimo.Non può rivelarlo a nessuno,nemmeno ai parenti. Il divieto vaa integrarsi con gli articoli 326 e622 del codice civile che da 70anni impongono al medico ilsegreto professionale. Gli unicidue casi in cui non si deve chie-dere il permesso al paziente siverificano quando il medico hascoperto che è affetto da unamalattia contagiosa e ritiene didoverlo rivelare per tutelare lavita o l’incolumità dei suoi familia-ri o di terzi. Analoghe previsioni sono nel codi-ce di deontologia medica rinnova-to, che ammette l’informazione aicongiunti quando il paziente loconsente per la salvaguardiadella vita di terzi o perché c’èun’imposizione di legge. Per ilresto, il medico deve tutelare lariservatezza della documentazio-
ne in suo possesso riguardante ipazienti, deve garantire la segre-tezza nella compilazione e tra-smissione di ogni atto, deve assi-curarsi della tutela della riserva-tezza se collabora alla costituzio-ne di banche dati sanitarie (arti-coli 9, 10, 11). Peraltro, a differenza di altreimprese ed operatori, che neces-sitano di autorizzazione delGarante conseguibile previarichiesta, il medico può trattaredati (sensibili) inerenti alla salutee alla vita sessuale del suo assi-stito in quanto esercente profes-sioni sanitarie in base all’autoriz-zazione del 27 novembre del ’97. Certo, non può farlo per tutte leattività, ma solo per fini di dia-gnosi e cura, di ricerca o ammi-nistrative interne. Ciò non toglie che per trattare idati dell’assistito il medico nonsia dispensato dal chiedere ilconsenso all’interessato. In casodi mancato consenso con fuga dinotizie e danni rischia anche annidi reclusione, e di dover risarcirecifre ingenti. Il consenso al trattamento in teo-ria in questi anni doveva essere
SEGRETO CHE COSA DICE IL CODICE DEONTOLOGICO (1999)
Articolo 9 - Segreto professionale
Il medico deve mantenere il segreto su tutto ciò che gli è confidato o che puòconoscere in ragione della sua professione; deve, altresì, conservare il massimoriserbo sulle prestazioni professionali effettuate o programmate, nel rispetto deiprincipi che garantiscano la tutela della riservatezza.La rivelazione assume particolare gravità quando ne derivi profitto, proprio o altrui,o nocumento della persona o di altri.Costituiscono giusta causa di rivelazione, oltre alle inderogabili ottemperanze aspecifiche norme legislative (referti, denunce, notifiche e certificazioni obbligatorie):a) la richiesta o l’autorizzazione da parte della persona assistita o del suo legalerappresentante, previa specifica informazione sulle conseguenze o sull’opportunitào meno della rivelazione stessa;b) l’urgenza di salvaguardare la vita o la salute dell’interessato o di terzi, nel casoin cui l’interessato stesso non sia in grado di prestare il proprio consenso perimpossibilità fisica, per incapacità di agire o per incapacità di intendere e di volere;c) l’urgenza di salvaguardare la vita o la salute di terzi, anche nel caso di diniegodell’interessato, ma previa autorizzazione del garante per la protezione dei dati per-sonali. La morte del paziente non esime il medico dall’obbligo del segreto.Il medico non deve rendere al giudice testimonianza su ciò che gli è stato confida-to o è pervenuto a sua conoscenza nell’esercizio della professione. La cancellazionedall’albo non esime moralmente il medico dagli obblighi del presente articolo.
Articolo 10 - Documentazione e tutela dei dati
Il medico deve tutelare la riservatezza dei dati personali e della documentazione insuo possesso riguardante le persone anche se affidata a codici o sistemi infor-matici. Il medico deve informare i suoi collaboratori dell’obbligo del segreto profes-sionale e deve vigilare affinché essi vi si conformino.Nelle pubblicazioni scientifiche di dati clinici o di osservazioni relative a singole per-sone, il medico deve assicurare la non identificabilità delle stesse. Analogamente ilmedico non deve diffondere, attraverso la stampa o altri mezzi di informazione,notizie che possano consentire l’identificazione del soggetto cui si riferiscono.
Articolo 11 - Comunicazione e diffusione di dati
Nella comunicazione di atti o di documenti relativi a singole persone, anche se de-stinati a Enti o Autorità che svolgono attività sanitaria, il medico deve porre inessere ogni precauzione atta a garantire la tutela del segreto professionale. Ilmedico, nella diffusione di bollettini medici, deve preventivamente acquisire il con-senso dell’interessato o dei suoi legali rappresentanti.Il medico non può collaborare alla costituzione di banche dati sanitari, ove non esis-tano garanzie di tutela della riservatezza, della sicurezza e della vita privata dellapersona.
Lo scenariodella rivoluzione
LOSC
EN
AR
IOD
ELL
AR
IVO
LUZIO
NE–
1°
capi
tolo
:
Le guide di corriere medicoprivacy e studi medici
10 11
rinnovato ogni volta che, anzichéil proprio medico di fiducia, ilpaziente si trovava di fronte unsuo sostituto. Ad oggi non cisono cifre su quanti generalistiabbiano chiesto tale consenso esu come lo abbiano fatto.D’altronde, il Garante negli ultimianni ha seguito una linea morbi-da preferendo il dialogo ai con-trolli e alle sanzioni a tappeto.Tranne in un caso.
1.2 - Il decreto 318 del 1999Il 26 luglio 1999 esce il decreto318 sulle misure di sicurezza daadottare per proteggere i sup-porti contenenti dati sensibili,conforme alla direttiva 95/46dell’Unione Europea. Entro il 1999 i medici di famigliae i pediatri di libera scelta avreb-bero dovuto notificare al Garan-te i loro dipendenti e collabora-tori incaricati del trattamentodei dati personali dei pazienti edella manutenzione dei dati.Contestualmente, in un docu-mento annuale (documento pro-grammatico) avrebbero dovutodefinire criteri organizzativi perproteggere aree e locali, proce-dure per assicurare l’integritàdei dati e la sicurezza della lorotrasmissione, programmi di for-mazione per il personale. Tempoper presentare il documento alGarante: fine 1999; tempo permettersi in regola, primaveradel 2000. Ma nel marzo del
2000 arriva un’altra legge, la315, che proroga a tutto ildicembre di quell’anno il tempoper mettersi in regola, riservan-do però il diritto solo a chi hapresentato il documento pro-grammatico sulle misure di sicu-rezza. Da allora sono successe variecose. I casi giurisprudenziali – inparticolare il processo diCremona alle cooperative dimedicina generale – hanno evi-denziato che non esistono crite-ri di messa in sicurezza inattac-cabili e che i dati dei medici,soprattutto quando si lavora ingruppo con computer collegatiin rete, sono sempre più o menoesposti ad occhi indiscreti. Il Garante ha preso atto di similidifficoltà e da parte sua ha pro-ceduto a una semplificazionedelle normative; nel contempoperò ha preso atto che in alcunicasi la normativa creava intoppi.Pensiamo alla difficoltà per imedici a trasmettersi i dati di unpaziente se questi non haespresso consenso esplicito alloro trattamento; o al pazientericoverato all’insaputa dei paren-ti che lo cercano e alla succes-siva reticenza – per non infran-gere le regole – della strutturache lo ha in cura.L’Autorità ha chiesto così all’or-dine dei medici di contrattareuna richiesta di consenso altrattamento dei dati che, sin dal
momento della sua accettazioneda parte del malato, lo rendesseimplicito. Il consenso, nelleintenzioni del Garante, andavaraccolto proprio dai medici difamiglia, quegli stessi che già dal’97 avrebbero dovuto raccoglie-re il sì o il no di ogni assistito altrattamento dei suoi dati, maquesta volta avrebbe dovutoestendersi a tutti gli altri sanita-ri che prima o poi avesseroavuto in cura quel paziente.Dopo tre anni di trattative consindacati medici e ministro dellaSalute, ecco il Testo unico.
1.3 - Il testo unicoE’ anche chiamato “Codice dellaprivacy”, è diviso in tre parti (di-sposizioni generali, settori spe-cifici, applicazione) e non si oc-cupa solo di sanità, ma anche didati giudiziari, polizia, pubblicaamministrazione, istruzione, la-voro, banche e assicurazioni, co-municazioni elettroniche, inve-stigazione privata, giornalismo emarketing diretto.Il Garante sottolinea alcune novi-tà. In passato, ad esempio,chiunque trattasse dati di citta-dini doveva notificarsi al Ga-rante, ora la notifica va effettua-ta solo se si trattano dati sensi-bili, o nel campo della profilazio-ne dei consumatori.Vengono semplificate le proce-dure di richiesta di consensoper le banche, viene data facoltà
a una parte in un processo ache il suo nome sia tolto in casodi pubblicazione della sentenzasu riviste giuridiche; si dettanoregole per redigere le liste di col-locamento; sono prolungate al30 giugno 2004 le autorizzazio-ni a trattare dati sensibili e giu-diziari, si prevedono codici deon-tologici per il trattamento deidati su Internet, videosorveglian-za, direct marketing. In sanità vengono rivoluzionati icriteri di accettazione in studi,ambulatori, ospedali, in modo danon ricollegare un paziente auna malattia. Vengono previstemodalità di raccolta specifiche afini di ricerca o catalogazione deidati genetici. Quanto alla diagno-si e cura, sono codificati nellostudio del medico informativa econsenso.Il testo originale prevede chel’obbligo di raccolta negli studiparta da gennaio 2004, ma ilGarante ha dato rassicurazionealla Federazione degli ordini chesi partirà a settembre, dopo chesarà stato risolto come rendereesplicito il sì del paziente sullasua tessera. E, sempre per lanecessità di predisporre ade-guati sistemi di criptazione deidati personali sulla ricetta, slit-terà al gennaio 2005 la prescri-zione di farmaci, esami e visitespecialistiche. Prima di focalizzare le innovazio-ni del codice relative agli adem-
Le guide di corriere medicoprivacy e studi medici
Le guide di corriere medicoprivacy e studi medici
Le guide di corriere medicoprivacy e studi medici
1312
pimenti dei medici di primo livel-lo, occorre tuttavia fare un po’ dichiarezza sulla definizione ditrattamento e sulla differenzaesistente tra dati personali iden-tificativi e dati sensibili e diffe-renziare anche in quest’ultimacategoria i dati sensibili sanitarida quelli non sanitari.
1.4 - Che cos’è il trattamento datiPer trattamento dei dati (artico-lo 4 comma 1a) si intendonodiciassette procedimenti cheuna persona interessata, medi-co incluso, può fare avendo inmano riferimenti di singoli citta-dini (anche non registrati in unarchivio computerizzato, ma adesempio in una semplice agendatelefonica): raccolta, registrazio-ne, organizzazione, conservazio-ne, consultazione, elaborazione,modificazione, selezione, estra-zione, raffronto, utilizzo, inter-connessione, blocco, comunica-zione, diffusione, cancellazione edistruzione.Ma quali sono i dati in questio-ne, oggetto di trattamento?
1.5 - Dati personali e dati sensibiliNome, cognome, indirizzo, sonodati importanti, che a nessunopiacerebbe dare in pasto al pub-blico. Ma ci sono altri dati, detti“sensibili”, perché al cittadinointeressano in misura maggiore:pensiamo a quelli che indicanola confessione religiosa o la fedepolitica, o l’iscrizione a un sinda-
cato. Tali dati (elencati all’ar-ticolo 4 comma 1d) non posso-no essere oggetto di trattamen-to al di fuori delle organizzazioni(sindacati, partiti, chiese) cheper legge li trattano, i quali peròpossono raccoglierli anchesenza il consenso dell’interessa-to.Per tornare al medico, sono datisensibili quelli riferiti a salute esfera sessuale, sui quali da sem-pre va tenuto il segreto profes-sionale. Questo rispetto a terzi;ma rispetto a sanitari che pos-sono salvare la vita al paziente?Per il codice della privacy, i datisensibili possono essere “girati”senza consenso (articolo 24) seci sono motivi di interesse pub-blico o la salvaguardia di terzi.Non possono mai essere diffusi.Possono essere trasmessiadempiendo a norme europee inparticolari casi dov’è in gioco l’i-giene e la sicurezza sul lavoro odella popolazione.I dati non sensibili/identificativipossono essere trattati lecita-mente senza consenso, sempreper fini correlabili all’attività sani-taria, in alcuni casi comunquecorrelati alla tutela della salute eriportati nella tabella a fianco.
1.6 - Autorizzazione e notificazioneCon autorizzazione generale adhoc, i medici sono stati esentatidal Garante dal chiedergli il per-messo a trattare i dati dei pa-zienti non solo per finalità di dia-
NELL’AMBITO DEL SSN
Operazioni di trattamento dati sensibilinell’ambito del Ssnper le quali è permesso non chiedere il consenso all’interessato (articolo 85)
FUORI DAL SSNOperazioni di trattamento dati sensibilianche effettuate all’esterno del Ssnper le quali è permesso non chiedere il consensoall’interessato (articolo 86)
- Prevenzione, diagnosi e cura- Attività correlate alle precedenti- Gestione dei flussi dei dati sull’assistenza sanitaria- Farmacovigilanza- Certificazioni- Verifica di igiene e sicurezza dei luoghi di lavoro- Collegamento tra enti del Ssn o tra singoli sanitari(previo consenso al medico di famiglia)
- Tutela della maternità- Interruzioni di gravidanza- Assistenza a tossicodipendenti- Gestione di comunità alloggio, assegnied istruzione a portatori di handicap
QUANDO NON OCCORRE CHIEDERE IL CONSENSO
gnosi e cura ma anche per fini diricerca. Ciò non toglie che, ac-canto a raccolta di consenso eobblighi di messa in sicurezzadei dati con compilazione di do-cumento programmatico, c’è unaltro adempimento: la notifica-zione (articolo 39) del tratta-mento particolare di dati perso-nali. Tale adempimento riguardatutti i medici coinvolti in ricerchegenetiche che rendano ricono-scibili/rintracciabili i nominativiinseriti, sia soprattutto in opera-zioni a fini di:• procreazione assistita;• prestazioni sanitarie svolte via
Internet (banche dati);• indagini epidemiologiche;
• rilevazione di malattie mentali,infettive e diffusive;
• sieropositività all’Hiv;• trapianto di organi e tessuti;• monitoraggio della spesa sani-
taria.Per chi fosse interessato a taliattività, la notificazione si pre-senta al garante prima dei lavoridi trattamento e una sola volta aprescindere dal numero di ope-razioni svolte, su modello tele-matico apposito, e si ripresentaprima di cessare il trattamentoo di cambiare elementi della no-tificazione precedente. A lavorare ad un trattamento siinizia dopo 45 giorni dall’ok delGarante. LO
SC
EN
AR
IOD
ELL
AR
IVO
LUZIO
NE–
1°
capi
tolo
:
Le guide di corriere medicoprivacy e studi medici
14
2.1 - Gli articoli 75 e 94A entrare nello specifico dellasanità è il titolo V del codice dellaprivacy, con gli articoli dal 75 al94. Dal testo, abbiamo estrattogli adempimenti richiesti ai medi-ci di famiglia e ai pediatri di libe-ra scelta nell’ordine in cui, secon-do gli ultimissimi indirizzi delGarante, dovrebbero comparire. Tuttavia da gennaio 2004, pareormai certo, entrerà in vigore unaltro obbligo in sostanza moltooneroso. Si tratta di far rispetta-re alcune misure di sicurezza,valide sia per i generalisti sia pergli altri medici (dagli specialistiagli ospedalieri dipendenti distrutture pubbliche e private),atte a tutelare il segreto circa lasalute dei pazienti.
2.2 - Primo gennaio, chiamata pernumeroLa misura chiave è all’articolo 83(“Altre misure per il rispetto deidiritti degli interessati”) e richie-de di non chiamare mai i propriassistiti per nome quando aspet-tano il loro turno in sala d’attesa.L’articolo prescrive che quandosi chiama la persona, cui si staper erogare una qualsiasi pre-
stazione (dalla terapia alla suasemplice prescrizione) o adempi-mento amministrativo (certifica-zione), si deve seguire l’ordine dipresentazione “prescindendo dal-l’individuazione nominativa”. Permeglio adeguarsi, gli studi medi-ci potrebbero dotarsi di macchi-netta “sputa-numero” per cuiogni paziente, entrando in salad’attesa, ritirerebbe il proprio inordine progressivo, come già sifa, ad esempio, nei laboratori dianalisi cliniche. Potrebbe inoltrecrescere potenzialmente il rap-porto del medico di famiglia conl’ospedale. Per l’articolo 84 saràun medico di fiducia a recupera-re i dati dell’assistito detenutidagli ospedali in cui questi èstato ricoverato: «I dati persona-li idonei a rivelare lo stato di salu-te possono essere resi noti all’in-teressato o ai congiunti da partedi esercenti le professioni sanita-rie solo per il tramite di un medi-co designato dall’interessato odal titolare a meno che quei datinon siano stati in precedenza for-niti all’interlocutore dall’interes-sato stesso». Terza regola che riguarda glistudi dei generalisti come gli
Le guide di corriere medicoprivacy e studi medici
15
ospedali: tutti gli incaricati deltrattamento dati sensibili (infer-mieri, collaboratori di studio)andranno sottoposti alle regolesul segreto professionale.
2.3 - Adempimenti di strutture piùcomplesseL’articolo 83 chiede altri adempi-menti, stavolta più tagliati, versostrutture complesse come leaccettazioni degli ospedali e glisportelli Asl. Intanto, ci vorrannodistanze e barriere salva-privacyagli sportelli; quindi, si chiedeche la raccolta di dati sanitarinon avvenga di fronte a terzi nonaventi interesse “specifico e pre-minente” a conoscere la salutedell’interessato. Ancora, occor-rerà rispettare la dignità dell’in-teressato in ogni operazione ditrattamento dei dati (è capitatoin alcune sale d’attesa che por-tatori di malattie diverse sianostati chiamati ciascuno per ilnome della malattia o della pre-stazione specifica da erogare).Le stesse liste d’attesa nel casopratico non dovrebbero più esse-re nominative.Seguono tre norme pratiche perle corsie. Se un paziente vienericoverato in una struttura e nonpuò o non vuole vietare che ciò sisappia, occorre assicurare aiterzi interessati l’informazionerelativa al suo ricovero. Sempredopo avere informato il ricovera-to e averne ottenuto il consenso,è necessario dire esattamente
dove si trova il paziente ai paren-ti che vanno a visitarlo. Infine,sarà bene tenere il più allentatapossibile, di fronte a estranei, lacorrelazione tra ricoverati e lorostato di salute.
2.4 - Trenta settembre, si raccoglie il consensoL’adempimento più nuovo e one-roso per il medico di famiglia èall’articolo 78. Dal 30 settembre2004 (è la scadenza annunciatadal Garante alla Federazionedegli ordini), a meno che l’incom-benza non sia affidata alle Asl,generalisti e pediatri dovrannochiedere il consenso degli assi-stiti per trattare i loro dati sensi-bili; il “sì” servirà per poterli gira-re anche ad altri professionistidella sanità quando necessario.Il consenso andrebbe raccoltoman mano che gli assistiti si pre-sentano nello studio, a partireappunto da settembre 2004. Laprocedura in esame, previstaper motivi di diagnosi e cura, è informa semplificata e consta diun’informativa, della domanda erisposta (richiesta del consenso)e dell’annotazione della risposta.In extremis, come vedremo,potrebbe essere introdottaanche la firma del paziente.
a) L’informativa pre-consensoL’informativa (articolo 13) è laspiegazione da parte del medicodei motivi per i quali serve la rac-colta del consenso.
DU
EM
ILA
EQ
UATT
RO
AN
NO
ZER
O–
2°
capi
tolo
:
Dal sì al trattamento dei dati
sensibili valido per altri sanitari
alle ricette “bendate”: ecco
le novità dal prossimo anno
Duemilaequattroanno zero
Le guide di corriere medicoprivacy e studi medici
17
DU
EM
ILA
EQ
UATT
RO
AN
NO
ZER
O–
2°
capi
tolo
:
Le guide di corriere medicoprivacy e studi medici
16
Si dirà all’assistito che altri sani-tari, in particolare se interpellatidal curante stesso, potrannoconoscere i suoi dati sanitari permotivi di prevenzione, diagnosi,cura nei suoi confronti. Il curante dovrà contestualmenteinformare l’assistito del fatto chepuò anche negare il consensoalla possibilità di conferire i pro-pri dati ad altri medici, ma nelcontempo gli dovrà ribadire che ilsuo “no” potrebbe creargli gravidifficoltà. E’ disagevole dover pre-stare il consenso ogni volta checi si fa visitare da un medico o,peggio, non poter essere curatiin certe situazioni di emergenzain cui non ci si ricorda, ad esem-pio, alcuni dettagli circa le cureeffettuate o in atto. Il medicodovrà poi dire in quali manipotrebbero andare questi dati,per esempio epidemiologi e ricer-catori che studiano l’incidenza dicerte malattie sulla collettività.Preferibilmente, le informativesaranno fornite prestampate. Ilcodice parla di “carte tascabilicon allegati pieghevoli” dove nevengono riepilogati motivi e punti.E’ chiaro che dovranno esseremesse a punto dalle pubblicheamministrazioni e che la difficoltàper adeguarsi è all’origine delloslittamento della scadenza e delventilato affidamento dell’onereagli sportellisti Asl.
b) I destinatari del consensoDall’informativa si è dispensati
solo se richiede impiego spropor-zionato di mezzi o se i dati sonotrattati in base a obblighi di leggeo per tutelare un diritto sancitoin sede giudiziaria. Ma chi sono i destinatari dei datiinoltrabili dal medico una voltaottenuto il consenso? Si tratta:• dei sostituti del medico di fami-glia o del pediatra; • degli specialisti interpellati damedico e pediatra;• dei loro colleghi associati aiquali può capitare di sostituirli;• dei farmacisti “chiamati incausa” dalla ricetta; • di tutti i professionisti – o sog-getti indicati dalla normativa, nonnecessariamente sanitari (e dun-que collaboratori di studio esegretari) – che entrano in con-tatto con il medico di famiglia o ilpediatra per fornirgli a loro voltadati sui suoi assistiti (articolo79). Anche gli ospedali pubblici eprivati, titolari di personalità giu-ridica, possono avvalersi dellemodalità semplificate di raccoltadel consenso che sarà estensibi-le a cascata a tutti i reparti concui il paziente potrà entrare incontatto, ma dovranno avereorganismi di sorveglianza delprocesso di raccolta dati (artico-lo 80).
c) Il consenso vero e proprioE veniamo al “sì” del paziente. E’semplificato, in quanto basta chesia verbale. Inizialmente il Ga-rante ha proposto che il medico
dovesse semplicemente annotar-lo, scrivendo accanto la data diavvenuta registrazione. Ma lanorma non era ancora del tuttocodificata che i medici avevanoobiettato la pericolosità di unatale formula. Infatti, nulla dimo-strerebbe che il paziente ha datol’assenso e, in caso di contenzio-so, quest’ultimo potrebbe direche il medico si è inventato ilconsenso. In una recente riunio-ne con il Garante gli ordini deimedici hanno ottenuto di potersperimentare (sempre dal 30settembre 2004) il consensoscritto: il paziente dovrebbe dun-que firmare il permesso al suocurante di detenere i dati sensi-bili contenuti nella sua schedapersonale. E’ probabile che lamodalità scritta, come previsio-ne, si estenda entro fine 2003 atutto il consenso.
d) Bollini sui libretti sanitariSecondo problema: come farsapere a tutti i professionisti chevengono in contatto con l’assisti-to per scopi di prevenzione, dia-gnosi e cura che questi è favore-vole a che si conoscano i suoidati di salute? Il garante pensa diintrodurre per settembre 2004un bollino da applicare o conse-gnare ai medici o, in alternativa,da far consegnare agli utenti allosportello Asl affinché sia incolla-to sulla vecchia tessera sanitariao sulla futura carta sanitariaelettronica.
e) Dispensa dal consensoE se l’assistito finisse in ospeda-le in coma prima che si sappiase è favorevole o no al tratta-mento dei propri dati? In tal caso, informativa e con-senso possono – sancisce ilGarante all’articolo 82 – interve-nire successivamente alla pre-stazione (casi di emergenza sani-taria/igiene). Il medico si puòcomportare allo stesso modo sec’è di mezzo un bambino per ilquale non sia possibile acquisireil consenso da genitori, familiario da chi esercita legalmente lapatria potestà o se si presentirischio grave, imminente e irre-parabile per la sua salute. Dopoil raggiungimento della maggioreetà, il procedimento della raccol-ta di consenso previa informativasi ripeterà.Infine, ma solo per salvaguarda-re terzi e collettività in casi parti-colari (ad esempio per gravi ma-lattie contagiose), i sanitari po-tranno, come previsto sin dal1996, evitare di chiedere il con-senso a un trattamento e girarei dati ai colleghi interessati (main quest’ultimo frangente servela preventiva autorizzazione delGarante, onere dal quale si èdispensati in tutti gli altri casi).
2.5 - Le ricette irriconoscibiliI sindacati dei medici di famiglianon vogliono sentirne parlare,ma l’articolo 87 parla chiaro: dal1° gennaio 2005 ogni volta che
Le guide di corriere medicoprivacy e studi medici
19
CO
ME
TUTE
LAR
ELA
RIS
ER
VATE
ZZA
– 3°
capi
tolo
:
Le guide di corriere medicoprivacy e studi medici
18
il medico (o il pediatra) compilauna ricetta, per ogni assistitodestinatario di una prescrizione acarico del Ssn dovrà apporre unafascetta adesiva o un tagliandosul foglietto del servizio sanitarioregionale così da rendere irrico-noscibili i destinatari della terapiao dell’impegnativa a farmacisti eagli altri sanitari. Il tagliando tuttavia potrà esseremomentaneamente staccato dalmedico dell’Asl autorizzato aeffettuare verifiche amministrati-ve, contabili o di appropriatezzadella prescrizione. Anche il far-macista (articolo 87 comma 4),per verificare la correttezza diun’operazione, può staccareoccasionalmente il tagliandoannotando però l’operazionesulla ricetta e controfirmando incalce. Il Garante chiede poi di non indi-care le generalità per i farmacinon a carico del servizio sanita-rio, vale a dire quelli che il pazien-te pagherà per intero (articolo88) a fronte della presentazionedella ricetta “bianca” intestata alproprio curante. I medici hanno fatto presenteche tale indicazione – previstacomunque anch’essa dal gennaio2005 – favorirà confusioni eimpedirà agli assistiti di scarica-re il costo dei farmaci dalladichiarazione dei redditi. L’indicazione delle generalità èammessa soltanto in casi indi-spensabili (articolo 89), come
l ’urgenza che i l farmacistadispensi al malato una particola-re preparazione in passato giàsomministratagli. Sono esclusi dalla disciplina glistupefacenti per la cui prescrizio-ne va sempre accertata l’identitàdel malato (dpr 309/90) e per iquali la ricetta del curante va con-servata in un archivio separato.
2.6 - I dati geneticiIn base all’articolo 90 del codice,da gennaio 2004 per girare adaltri i risultati di test geneticioccorre l’autorizzazione del Ga-rante che nell’assenso, previoplacet del ministero della Salutee del Consiglio superiore di sani-tà, specificherà che cosa si puòfare con quei dati. Di recente igaranti europei hanno detto no aitest genetici sul lavoro e chiestoregole ferree per la schedaturadei dati biometrici dei lavoratori(altezza, peso, etc). In estate, ilpresidente dell’Autorità garanteStefano Rodotà in un articolo haricordato i rischi potenziali deri-vanti dalla schedatura dei datigenetici: negli Stani Uniti le don-ne rinunciano ai test predittivi ditumore alla mammella per timo-re che le assicurazioni sappianodella predisposizione ad amma-larsi e annullino le polizze salute. Tornando al codice, sempreall’articolo 90, i donatori dimidollo osseo hanno diritto-dove-re di mantenere l’anonimato neiconfronti di terzi.
3.1 - Diritti dell’assistito e doveridel medicoTrattare i dati della gente non èmai così indispensabile. Omeglio, il trattamento è un’ecce-zione alle normali regole quoti-diane che prevedono l’uso dellamassima discrezione da parte dichi detiene dati personali. Si potrebbe interpretare così ilprincipio generale (internaziona-le) di necessità del trattamentodei dati (sensibili e non; articoli18-22) che esclude il suddettotrattamento quando le finalitàperseguite possano essere rea-lizzate con dati anonimi o coper-ture che rendano l’interessatoidentificabile soltanto in caso dinecessità. Inoltre l’oggetto deltrattamento “non deve eccederele finalità” e i dati vanno conser-vati in forma che consenta diidentificare l’intervento per untempo non eccedente l’espleta-mento degli scopi della raccolta.All’articolo 12, il Garante pro-muove dei codici di buona con-dotta per chi nei vari ambiti,sanità inclusa, tratti i dati perso-nali. L’assistito in particolare hadiritto a sapere se la tal banca,come il tal medico, possiedanoo meno i suoi dati e, in caso posi-
tivo, a sapere chi ha consegnatoi suoi dati perché, come vengonousati, come sono protetti, chi èdeputato alla protezione, chi puòvenire in possesso di tali infor-mazioni. Può ottenere aggiorna-menti e rettifiche, ma anche lacancellazione. Può comunque opporsi:• per motivi legittimi, al tratta-mento dei propri dati anche sefosse pertinente lo scopo dellaraccolta (cioè utile pure a lui);• sempre, al trattamento deglistessi dati se compiuto al fine diinviargli materiale commercialepubblicitario o per effettuare ri-cerche di mercato.Per far cessare il trattamento cisi deve rivolgere per iscritto oinviando una raccomandata oun’e-mail al titolare o al respon-sabile; in caso di rilascio dellecartelle cliniche si può trattarecon l’incaricato. Chi sono queste tre figure?Il titolare del trattamento (artico-lo 28) è l’intestatario della strut-tura; il medico di famiglia o ilpediatra titolare dello studio;l’ente ospedaliero stesso se que-sto ha personalità giuridica; l’am-ministrazione dell’Asl.Il responsabile (articolo 29)
Il generalista resta obbligato
ad archiviare in tutta sicurezza
i dati degli assistiti, altrimenti
incorrerà in sanzioni penali
Come tutelarela riservatezza
Le guide di corriere medicoprivacy e studi medici
20
nello studio convenzionato èancora il medico di famiglia; nel-l’associazione, mentre i titolarisono in genere tutti medici asso-ciati, i responsabili dovrebberoessere tutti i colleghi del titolareche vengono in contatto con idati dell’assistito (in realtà il codi-ce si ferma a dire che dovrebbeessere responsabile qualunqueindividuo capace di far funzionareil sistema informatizzato). L’incaricato (articolo 30) puòessere un semplice addetto confunzioni di segreteria aventeaccesso all’archivio in determina-te situazioni, che lavora sotto ladiretta autorità del titolare o delresponsabile del trattamento.Il titolare dello studio deve agevo-lare l’accesso ai dati personalidell’interessato e semplificare lemodalità e i tempi di riscontro.Può comunicare i dati anche ver-balmente o mostrarli all’utente invideo, stamparli, trasmetterli e,se il caso, consegnarne copia. Se i dati fanno parte di elenchileggendo i quali l’assistito verreb-be a sapere segreti di altri assi-stiti, il medico non deve conse-gnare la documentazione com-pleta a meno che sia impossibilecomprendere i contenuti di essa.Per coprire eventuali costi dellepratiche richiestegli può chiedereall’assistito un rimborso speseentro 15 giorni.Quando il medico non è piùcurante (cessazione del tratta-mento), i dati del paziente posso-
no essere ceduti al titolare chesubentra nell’ambito di un tratta-mento compatibile con il prece-dente, e cioé il nuovo medicocurante. In pratica all’adempi-mento dovrebbe provvederel’Azienda sanitaria locale. I dati sensibili possono altresìessere conservati dal curante asoli fini personali, ad esempioper tutelarsi entro un certoperiodo in caso di denuncia perpatologia che l’assistito dichia-rasse insorta o peggiorata inseguito a errore od omissionedel medico. Possono infine essere distrutti. Non devono essere diffusi, mapossono essere forniti ad altrititolari di trattamento autorizzatiper scopi storici, statistici escientifici.
3.2 - Le misure dell’ex decreto 318Il decreto 318 del 1999 oraabrogato, oltre all’incombenzadel documento programmaticosulla sicurezza (Dpss) da spedireogni anno al Garante, ha intro-dotto una disciplina “ferrea” perla conservazione dei dati neglistudi medici. Gli adempimenti sidifferenziano a seconda se lo stu-dio è gestito su base cartacea oè informatizzato. Negli studi dove le schede degliassistiti si raccolgono su carta(articolo 35) va approntata unatipologia di custodia paradossal-mente più complicata (armadiodelle schede-assistito chiuso a
Le guide di corriere medicoprivacy e studi medici
21
chiave; chiavi consegnate agliincaricati solo in certi frangenti;armadio o schedario dedicatoalla custodia di ricette per gli stu-pefacenti). E la custodia – è intui-bile – diventa complicatissima incaso di gestione di gruppo. Per gli studi informatizzati (arti-colo 36) il codice oggi parla di“adozione di procedure di gestio-ne delle credenziali di autentica-zione”. Prefigurando l’ampio uso dellarete nelle medicine associate, siparla poi di utilizzo di sistemi diautorizzazione del medico al trat-tamento: in un’associazione tuttii medici sono responsabili deidati degli assistiti con cui (anchesporadicamente) entrano in con-tatto, e ricevono dal collega, tito-lare di ogni singolo elenco, unidentificativo e una password. I mansionari degli incaricati van-no aggiornati periodicamente, egli strumenti elettronici vannopotenziati per difendersi da intru-sioni illecite. E ancora: devono essere adotta-te procedure per la custodia dicopie di sicurezza, va tenuto undocumento programmatico sem-pre sulla sicurezza, e si devonoadottare codici cifrati per il trat-tamento di dati che potrebberorivelare patologie o disfunzionisessuali di questo o quell’assisti-to. Per più dettagliate delucidazionirimandiamo all’allegato B aldecreto (capitolo IV).
3.3 - Alcune misure particolariCi sono poi situazioni che fannoparte del rapporto tra medico difamiglia e ospedaliero.Di seguito riportiamo tre casi.• Cartelle cliniche (articolo 92).Il signor Rossi va in un poliambu-latorio per un esame per il qualeva aperta una cartella clinica. Diquella cartella tornerà in posses-so o personalmente o attraversoil suo medico di fiducia (all’artico-lo 83 si parla in realtà di medicoda lui designato) per quanto loriguarda. Se altri volessero acce-dere alla cartella del signorRossi (o averne copia) la rispostadel medico o dell’incaricato del-l’amministrazione dovrà essereferma e negativa, a meno chenon vi sia un’autorizzazione delgiudice in seguito a procedimen-to atta a far valere un diritto diterzi; diritto di rango pari alla pri-vacy dell’interessato (personale orelativo a libertà fondamentale).• Madri e figli (articolo 93). Inun reparto di ostetricia dal gen-naio 2004 si dovranno seguireregole ancora più strette.Intanto, i dati della madre vannoseparati da quelli di eventualinascituri, il che implica due car-telle distinte e custodite in com-parti diversi. Ancora: il certificato di assisten-za al parto va tenuto distinto dal-l’attestazione di nascita da rila-sciare per i registri anagrafici.Se una madre non riconosce ilfiglio i suoi dati possono essere
CO
ME
TUTE
LAR
ELA
RIS
ER
VATE
ZZA
– 3°
capi
tolo
:
Le guide di corriere medicoprivacy e studi medici
23
CO
ME
TUTE
LAR
ELA
RIS
ER
VATE
ZZA
– 3°
capi
tolo
:
Le guide di corriere medicoprivacy e studi medici
22
rilasciati a chi ne ha interessedopo cento anni, o in alternativasenza rendere identificabile ladonna.• Trasferimento dati all’estero(articoli 42-45). Poniamo che data la rarità, spe-cificità o gravità della sua malat-tia un cittadino italiano decida dicurarsi all’estero. La legge nonpone alcuna difficoltà al trasferi-mento da strutture italiane adaltre straniere con il consensodel paziente. E del resto, dal2005 ci si dovrebbe poter cura-re in ogni angolo dell’Unioneeuropea con gli stessi diritti.Secondo il codice, in caso di epi-demie (si pensi alla Sars) unospedale può trasferire tutti idati personali e sensibili di unricoverato in un paese dell’U-nione europea (senza bisogno delsuo consenso) per informare leautorità sanitarie competenti, asalvaguardia della vita o dell’inco-lumità fisica di terzi o della collet-tività. In tutti gli altri casi, prima di tra-sferire le informazioni, a menoche non siano ricavabili da docu-menti amministrativi accessibili atutti, è necessario che il titolaredel trattamento chieda il consen-so al paziente. Se la commissione dell’Unioneeuropea lo dovesse autorizzare,il trasferimento dati sarebbe pos-sibile anche verso paesi che nonfacciano parte della comunitàeuropea.
3.4 - I rischi per i mediciinadempientiL’inadempimento agli obblighiimposti dal testo unico a chi trat-ta i dati sensibili dei pazienticomporta sia sanzioni ammini-strative sia sanzioni penali.Prevede anche la possibilità dipendenze civili.
• Le sanzioni amministrative sa-ranno probabilmente le più ricor-renti, poiché riguardano violazio-ni per il medico il quale dimenti-casse (da settembre 2004) dichiedere il consenso. Che cosa succede se il medicoimmagina di aver raccolto unconsenso mentre il paziente gliha risposto no? In realtà l’ipotesinon è campata in aria: un
TIPOLOGIA ARTICOLO PENA PECUNIARIA PENA ACCESSORIA
Omessa o inidonea informativa 161 euro 3.000-18.000 triplicabile in base al reddito del destinatario
Omessa informativa in caso di trattamenti che se male effettuati mettono a rischio 162 euro 5.000-30.000 triplicabile in base libertà fondamentali al reddito del destinatario
Cessione di dati ad esercente non interessato 162 euro 500-3.000 _alla salute del paziente
Comunicazione dei dati da persona non titolata 162 euro 500-3.000 _a conoscerli
Omessa o incompleta notificazione 163 euro 10.000-60.000 pubblicazione ingiunzionedi pagamento sui quotidiani
Omessa informazione del Garante od omessa 164 euro 4.000-24.000 _esibizione di documenti richiesti dal Garante
SANZIONI AMMINISTRATIVE
paziente può negare di esserestato informato dal medico sul-l’esistenza di un trattamento chelo riguarda. Argomento tanto piùfacile da far valere in quanto ilconsenso al trattamento datinegli studi è rilevato verbalmen-te. In tal caso (omessa informa-tiva) il medico rischia di doversborsare fino a 18 mila euro (30mila per trattamenti di dati sen-sibili che mettano a rischio lelibertà fondamentali), e lasomma può crescere in propor-zione alla ricchezza. Secondo caso: se il medico (dal1° gennaio 2004) chiamando unpaziente per nome ne rende rico-noscibile la patologia o il sempli-ce stato di salute a rischio puòconfigurarsi a suo carico una
cessione di dati ad esercentenon interessato a conoscerli:rischia, ancora una volta, fino a30 mila euro di sanzione.Terzo caso: se un paziente vienea sapere di cose che riguardanola sua salute da persona nontitolata né indicata da lui (o dal-l’ospedale), il titolare dello studioo il medico che in quel caso lo hasostituito, se citati in giudizio dal-l’interessato, rischiano fino a 3mila euro di ammenda.
• E veniamo alle sanzioni penali.Si entra decisamente in campopenalistico se, invece, il medicosi dimentica i dati del pazientesotto gli occhi di tutti, ad esem-pio lasciando le schede clinichedegli assistiti sulla scrivania.
Le guide di corriere medicoprivacy e studi medici
25
CO
ME
TUTE
LAR
ELA
RIS
ER
VATE
ZZA
– 3°
capi
tolo
:
Le guide di corriere medicoprivacy e studi medici
24
Certo, sarà difficile che questidati finiscano al giudice a menoche non si dimostri la loro diffu-sione. Ciò accade:• quando l’autorità di pubblicasicurezza – intervenuta in segui-to a perquisizione o perlustrazio-ne post-effrazione di terzi – o lostesso paziente denuncino ilmedico per l’iter scorretto;• quando si verifica un dannoperché qualche “intruso” utilizza idati sensibili di uno o più pazientiper propri fini. Nel primo caso, il medico cheomette le misure di sicurezzarischierebbe l’ammenda fino a50 mila euro o due anni di reclu-sione, ma… niente paura.Ci sono da due a sei mesi peradeguarsi al momento delladenuncia, con notifica entro 60giorni all’Authority dell’adempi-mento in corso; a seguito dell’ac-certamento positivo del Garante,si estinguerà il reato pagando unquarto della pena sopra citata. Nel secondo caso, c’è un dannodi mezzo, che implica un proce-dimento civile con possibile sen-tenza che obbliga il medico a unrisarcimento ai sensi dell’articolo2050 del codice civile. Certo, chi – medico o paziente –avesse utilizzato e diffuso i datisu una malattia o un’attitudinesessuale altrui per creare dannio trarne vantaggi a sé o ad altririschia di più: fino a tre anni peril dolo specifico (l’intenzione di farmale diffondendo il dato), più il
risarcimento dei danni. Infine, unavviso per chi, ravvisando motividi gravità tali da dover renderepubblica una patologia, chiede alGarante l’autorizzazione a divul-gare dei dati sensibili e, nel silen-zio dell’interlocutore (quindi sen-za aver ottenuto l’autorizzazione),tratta ugualmente quei dati,rischia fino a due anni di reclu-sione. In tutti questi casi, inoltre,la sentenza è pubblicata. Nella tabella sopra sono riporta-te, articolo per articolo, le san-
TIPOLOGIA ARTICOLO PENA DETENTIVA PENE DIVERSE-ACCESSORIE
Trattamento di dati personali senza tutela e/o 167 reclusione 6-18 mesi eventuale risarcimento dannisenza previa richiesta di consenso al fine ulteriore pena se c’è pubblicazione della sentenza di recare profitti a sè o a terzi o di recare danni dannoad altri
Diffusione a non aventi titolo di dati personali 167 reclusione 6-24 mesi eventuale risarcimento dannisenza previa richiesta di consenso per recare ulteriore pena se c’è pubblicazione della sentenzaprofitti a sè o terzi o recare danni ad altri danno
Trattamento di dati sensibili senza titolo 167 reclusione 12-36 mesi eventuale risarcimento dannio richiesta di consenso al fine di recare profitti ulteriore pena se c’è pubblicazione della sentenzao recare danni ad altri danno
False dichiarazioni o false notificazioni 168 reclusione 6-36 mesi eventuale risarcimento dannial Garante ulteriore pena se c’è pubblicazione della sentenza
danno
Omissione misure di sicurezza 169 reclusione 6-24 mesi in alternativa ammenda se recidivo, da euro 10.000 a 50.000riducibile (vedi testo) eventuale risarcimento danni
pubblicazione della sentenza
Trattamento in presenza di rigetto 170 reclusione 3-24 mesi eventuale risarcimento dannidell’autorizzazione o di pendenza pubblicazione della sentenza
zioni penali e amministrative incui il medico può incappare.E non va dimenticato che ci sonoanche le sanzioni disciplinari(norme del codice deontologico apagina 4) che comportano ildeferimento all’ordine in caso diviolazione, il codice penale, cheprevede:• all’articolo 326 (rivelazione disegreto d’ufficio) la reclusione(fino a tre anni, o fino ad un annose solo colposa) per chi pubblicoufficiale o incaricato di pubblico
servizio rivelasse notizie d’ufficioda tenere segrete o ne agevo-lasse la conoscenza violando idoveri inerenti al servizio o abu-sando delle proprie qualità;• all’articolo 622 (rivelazione disegreto professionale, punibile aquerela dell’offeso) la reclusionefino a un anno per chiunque,avendo notizia di un segreto perragione del proprio stato, ufficioo professione, lo rivela senza giu-sta causa o lo impiega a proprioo ad altrui profitto.
LE SANZIONI PER ILLECITI PENALI
Le guide di corriere medicoprivacy e studi medici
27
CO
ME
PR
EPA
RA
RSI
AL
FUTU
RO
– 4°
capi
tolo
:
Le guide di corriere medicoprivacy e studi medici
26
4.1 - L’evoluzione degli studi mediciFlashback al maggio 2000. Iltrattamento dei dati sensibili ne-gli studi dei medici finisce in cro-naca nera. Alcune cooperative dimedici di medicina generale sonoindagate da una Procura delNord Italia. Si ipotizza che le lororicerche epidemiologiche sianostate svolte senza adeguate ga-ranzie circa la sicurezza dei datidelle schede cliniche degli assi-stiti di ciascun medico-socio;schede oggetto delle statistiche. Nell’assolvere i medici di famigliaal processo di primo grado, il giu-dice ha tenuto conto che medici-ne di gruppo e in rete sempre piùhanno bisogno del computer perfar dialogare i propri associati,insomma: la tecnologia non cor-re di pari passo con le normesulla privacy. E intanto spuntanoaltri potenziali terreni di conflittotra norme incentivanti la raccoltadi dati sensibili e privacy, come itrial clinici sul territorio e la far-macovigilanza, che il codice hainserito quali finalità di rilevanteinteresse pubblico giustificanti laraccolta dati a fini statistici (artt.97-100 e 104-110). Al capo IIIsi parla di trattamento di dati a
scopi scientifici; tale trattamentoè tra quelli che hanno la partico-larità di potersi estendere neltempo illimitatamente (artt. 98-99), anche quando i titolari deidiritti di riservatezza non ci sonopiù. Dalla lettura (articolo 100) siarguisce che però i dati sensibili,se ricondotti agli interessati, nonpossono essere diffusi, e che glistessi interessati possono oppor-si qualora derivasse oggettiva-mente un danno dalla loro diffu-sione.
4.2 - Trattamento dati per scopiscientifici: trial e farmacovigilanzaIl trattamento dei dati sensibili afini scientifici entra in gioco se ilmedico partecipa a progetti difarmacovigilanza o a trial cliniciprevisti dal decreto 10 maggio2001. In questi campi tra la teo-ria delle leggi e la pratica la di-stanza è considerevole. Partia-mo dalla legge.Per l’articolo 110 del codice (suraccolta dati sensibili a fini di ri-cerca medica, biomedica ed epi-demiologica), non occorre il con-senso del cittadino al trattamen-to dei suoi dati «quando la ricer-ca è prevista da un’espressa
Il documento programmatico
sulla sicurezza, un obbligo che
diventa una tutela se si opera
offrendo servizi informatizzati
disposizione di legge che preve-de specificamente il trattamen-to, ovvero rientra in un program-ma di ricerca biomedica o sani-taria previsto ai sensi dell’artico-lo 12 bis del dlgs 502/92 (esuccessive modifiche)» e per ilquale sono decorsi 45 giorni dal-la comunicazione del trattamen-to al Garante da parte del titola-re, cioè di chi gestisce in modoautonomo la ricerca (l’industriafarmaceutica o un istituto scien-tifico). Il codice aggiunge: «Il con-senso non è inoltre necessarioquando a causa di particolari ra-gioni non è possibile informaregli interessati e il programma diricerca è oggetto di motivato pa-rere favorevole del competentecomitato etico a livello territoria-le ed è autorizzato dal Garante(al titolare, ndr)».
Sperimentazioni cliniche – Per itrial clinici le normative sonomutuate dalle good clinical prac-tices internazionali, che a lorovolta mutuano dalla Carta di Hel-sinki del 1964 regole stringenti:in base a queste ultime il con-senso al trattamento dei datipersonali è già inserito nel mo-dello del consenso informato.Dunque, i comitati etici di Asl eospedali che approvano i proto-colli delle aziende, nel fissare leregole per acquisire tale consen-so (alla fine firmato dal paziente),di norma stabiliscono gli obblighipure sul trattamento dei dati
sensibili. Basta un’unica firmanello studio del medico, e il trialva. Ma il medico deve dire al pa-ziente che fine fanno i suoi dati.Chi ha addestrato i primi medicia gestire trial sul territorio (la no-stra fonte qui è la Società nazio-nale di aggiornamento interdisci-plinare) sottolinea che qui entra-no in gioco tre tipi di documen-tazione da conservare separata-mente: le cartelle cliniche di uso“ordinario”; le cartelle case re-port form dove sono riportate lesole iniziali degli arruolati ed i da-ti anamnestici con gli esiti degliesami di routine; la documenta-zione masterfile dove sono cu-stoditi tutti i referti cartacei e do-ve si spiega che quelle iniziali ap-partengono al signor Tal dei tali.Per quest’ultima è necessariacustodia particolare, mentre iprimi due tipi di dati si possonoconservare su file. In ogni casosi tratta di tre accessi separati,di cui il medico di famiglia riferiràal paziente. Quest’ultimo secon-do il Garante (si veda anche lapronuncia dell’ 8 marzo 2000)va edotto in modo chiaro su fina-lità e durata del trattamento esul fatto che le informazioni con-tenute nella cartella clinica sa-ranno utilizzate ed eventualmen-te comunicate a una o più azien-de farmaceutiche indicate nomi-nativamente (articoli 97-98). Vaanche dato l'indirizzo della perso-na o del servizio cui il pazientepotrà rivolgersi per esercitare i
Prepararsial futuro
Le guide di corriere medicoprivacy e studi medici
28
diritti di cancellazione, rettifica oaggiornamento dei suoi dati. Ilpaziente deve sapere, inoltre, sei dati comunicati lo rendono iden-tificabile. Il monitor dell’industria,in genere, ha titolo per accedereai documenti cartacei per verifi-che eventuali (audit).
Farmacovigilanza - Anche sulfronte farmacovigilanza, come sirileva dalle esperienze della So-cietà italiana di medicina genera-le, le good clinical practices han-no dato luogo a un sistema dicodifica internazionale dei datidai pazienti. Un medico che rile-vasse una reazione avversa in unsuo assistito, ne comunica all’Aslsolo iniziali, sesso ed età senzacitare la data di nascita. L’Asl poigira i dati al ministero della salu-te lasciando anonimo pure il no-me del medico perché non si ri-salga al paziente; quel nome alfunzionario serve solo in caso dirichiesta da parte delle istituzionidi dati aggiuntivi sul caso o nellascheda segnalatrice.
4.3 - Trentun marzo, vola il DpssSiano essi immagazzinati a scopiscientifici o di diagnosi e cura,giacciano in una pila di fogli nel-l’armadio o al computer, i dati deipazienti non riposano comunquetranquilli, e il Garante lo sa. Perquesto fin dal 2000, anno di ap-plicazione del dpr 318/99, hachiesto a tutti i medici convenzio-nati – computerizzati e non – di
redigere il documento program-matico sulla sicurezza (Dpss): untesto lungo (se informatizzatocomprendente molti file) che citale nomine di responsabili e inca-ricati di trattamento, le misure incaso di distruzione di dati, ac-cesso non autorizzato, tratta-mento non consentito, manuten-zione e inclusivo di allegati e rela-zioni di esperti. Tale testo va pre-disposto entro il 31 marzo diogni anno. L’incombenza spetta anche aimedici senza personal computerpoiché accomuna tutti coloroche gestiscono dati sensibili.In particolare, si fa dettagliataper i medici che abbiano un col-laboratore di quando in quandoincaricato di maneggiare le sche-de dei pazienti. La lista di questicollaboratori va presentata al Ga-rante e aggiornata a ogni novità.Vi vanno delineate le responsabi-lità di ciascun incaricato, va spe-cificato come avviene l’accessoagli armadi-archivi, quali sono idispositivi di controllo: chi entranell’archivio dove i dati vengonoconservati dev’essere autorizza-to prima e registrato poi!L’allegato B al Codice (disciplina-re tecnico in materia di misure disicurezza) in realtà specifica conmaggiore accuratezza le misurecitate dagli articoli 34 e 35 sullamessa in sicurezza dei dati e sirivolge prevalentemente al medi-co del futuro, che ha il computere tratta tali dati on-line.
Le guide di corriere medicoprivacy e studi medici
29
Molti degli accorgimenti qui indi-cati sono già noti ai medici escritti nei documenti program-matici sulla sicurezza. Siti specializzati (www.privacy.itoppure www.cos.it) mettono adisposizione dei fac-simile per fa-cilitare il medico nella compilazio-ne.
4.4 - Disciplinari tecnici disicurezzaGrazie all’allegato B adesso esi-ste in pratica un vademecum percompilare il Dpss. Il codice oraprescrive che il medico di fami-glia e il pediatra di libera scelta
spiegheranno entro il 31 marzodi ogni anno: • che tipo di dati vengono tratta-ti nei loro studi; • chi li tratta, con quali compiti ein quale qualità (titolare, respon-sabile, incaricato); • quali rischi incombono sui datie gli accorgimenti presi per im-pedirne il danneggiamento;• quale tipo di formazione vienefatta agli incaricati;• quali criteri vanno adottati se siaffidano i dati all’esterno (ancheall’azienda sanitaria locale?);• come viene separata la gestio-ne dei dati sensibili da quella de-
Ogni settimana
Ogni tre mesi
Ogni sei mesi
Ogni anno
Secondo avvenimenti
Attivare la procedura di salvataggio dei dati sensibili epersonali dei pazienti
Modificare la password
Attivare gli strumenti di protezione dei dati degli assistitiAggiornare i programmi antivirus
Verificare le funzioni attribuite agli incaricatiCompilare ed inviare al Garante il documento programmati-co sulla sicurezza
Disattivare la password non utilizzata da sei mesi Aggiornare il documento programmatico sulla sicurezza
ADEMPIMENTI
E SCADENZE SUB ALLEGATO B
CO
ME
PR
EPA
RA
RSI
AL
FUTU
RO
– 4°
capi
tolo
:
Le guide di corriere medicoprivacy e studi medici
31
CO
ME
PR
EPA
RA
RSI
AL
FUTU
RO
– 4°
capi
tolo
:
Le guide di corriere medicoprivacy e studi medici
30
gli altri dati personali. Nel disciplinare si trovano regolesemplici («lo strumento elettroni-co non va lasciato accessibile du-rante le sessioni di trattamento»)e altre più complesse: come siconservano i floppy disk con i filedelle cartelle dei pazienti, comesi separano i dati acquisiti nelladiagnosi e cura da quelli acquisi-ti a fini scientifici, e da quelli rac-colti per ricerche genetiche, dal-le ricette per i tossicodipendentie da quelli dei malati Hiv. Agli installatori vanno chieste mi-nuziose descrizioni scritte dell’in-tervento effettivo, da allegare.Il disciplinare quindi spiega com-piti e responsabilità dei collabo-ratori. L’incaricato del trattamento deidati sensibili con strumenti elet-tronici (medico-socio, infermiere,collaboratore di studio) va dotatodi una personale credenziale diautenticazione che può esprimer-si nelle tre seguenti modalità al-ternative:1 – Codice personale e non cedi-
bile per l’identificazione del-l’incaricato + password riser-vata di otto caratteri da mo-dificare ogni tre mesi, nota alui solo, non agevolmente ri-conducibile a lui;
2 – Un dispositivo di autentica-zione in possesso e usoesclusivo dell’incaricato + co-dice personale e non cedibile
per l’identificazione e/o pas-sword riservata di otto ca-ratteri da modificare ogni tremesi;
3 – Impronta digitale od altra ca-ratteristica biometrica del-l’incaricato + codice perso-nale e non cedibile per l’iden-tificazione e/o password ri-servata di otto caratteri damodificare ogni tre mesi.
La credenziale va tenuta segretacon appositi sistemi da citare neldocumento. Va disattivata senon è usata da sei mesi o se l’in-caricato cambia posto di lavoro.Il titolare dà disposizione scrittadi come, in sua assenza, possa-no essere resi disponibili i datitrattati a chi, titolato, li richieda.Se gli incaricati a trattare i dati losono in relazione a mansioni dif-ferenti, occorre articolare un si-stema di autorizzazioni stabilen-do prima dell’inizio di ogni tratta-mento chiare regole scritte da in-serire nel documento program-matico. Le condizioni dei profili autorizza-tivi attribuiti vanno verificate ognianno. Altre scadenze: i dati degliassistiti sono protetti dagli hac-kers attivando idonei strumentielettronici da aggiornare almenoogni sei mesi. Con la stessa ca-denza vanno aggiornati i pro-grammi antivirus.I dati vanno salvati con procedu-ra settimanale.
Il sottoscritto ........................................... nato a .....................................................
il ...................................e residente ............................................................a...............................................................................................................................
assistito dal Dott………………………………………….. e dallo stesso informatosui diritti e sui limiti di cui alla Legge n. 675/96 concernente “la tutela delle persone edi altri soggetti rispetto al trattamento dei dati personali” autorizza ilDott…………………………………………………. ed in sua assenza i medicisostituti associati, nonché il personale collaboratore dei suddetti sanitari a raccogliere,registrare ed utilizzare i dati personali ai fini di diagnosi e cura, a fini sanitari, a finiamministrativi e fiscali.
Inoltre il sottoscritto acconsente a che sia data comunicazione relativa al proprio stato disalute alle persone qui indicate:1)…………………………………………............................................................2)…………………………………………............................................................
Il sottoscritto infine acconsente a che il ritiro della propria documentazione sanitaria (ivicomprese ricette mediche, richieste specialistiche, referti di indagini, cartelle cliniche)venga effettuato dalle seguenti persone: 1)…………………………………………............................................................2)…………………………………………............................................................
E’ a conoscenza del fatto che i dati raccolti e detenuti in base ad obblighi di legge nonnecessitano di consenso al trattamento.
Firma dell’interessato o dell’esercitante la patria potestà ...........................................
UN’IPOTESI DI MODELLO
DI CONSENSO
Tra i possibili fac-simili studiati con il Garante per la raccolta del consensoal trattamento dei dati nello studio del generalista proponiamo questopubblicato a settembre 2002 sul sito del Bollettino dell’Ordine dei medicidi Modena, da sempre tra i più attenti alla tematica.
Font
e: B
olle
ttino
Ord
ine
dei m
edic
i di M
oden
a se
ttem
bre
2002
Le guide di corriere medicoprivacy e studi medici
32
Le guide di corriere medicoprivacy e studi medici
33
Art. 35 – Trattamenti senza l’ausilio di strumenti elettronici pag. 20
Art. 36 – Adeguamento pag. 21
Adempimenti (Titolo V)
Art. 39 – Obblighi di comunicazione al Garante (notificazione) pag. 13
Trasferimento di dati all’estero (Titolo VII)
Art. 42 – Trasferimenti di dati all’interno dell’Unione Europea pag. 22
Art. 43 – Trasferimenti consentiti in paesi terzi pag. 22
Art. 44 – Altri trasferimenti consentiti pag. 22
Art. 45 – Trasferimenti vietati pag. 22
TRATTAMENTI DI DATI PERSONALI IN AMBITO SANITARIO(PARTE II – DISPOSIZIONI RELATIVE A SPECIFICI SETTORI - TITOLO IV - CAPI II-VI)
Modalità semplificate di informativa e consenso (Capo II)
Art. 78 – Informativa del medico di medicina generale o del pediatra pagg. 15-16
Art. 79 – Informativa da parte di organismi sanitari pag. 16
Art. 80 – Informativa da parte di altri soggetti pubblici pag. 16
Art. 82 – Emergenze e tutela della salute e dell’incolumità fisica pag. 17
Art. 83 – Altre misure per il rispetto dei diritti degli interessati pagg. 14-15-21
Art. 84 - Comunicazione di dati all’interessato pag. 14
Finalità di rilevante interesse pubblico (Capo III)
Art. 85 – Compiti del Servizio sanitario nazionale pag. 13
Art. 86 – Altre finalità di rilevante interesse pubblico pag. 13
Prescrizioni mediche (Capo IV)
Art. 87 – Medicinali a carico del Servizio sanitario nazionale pagg. 17-18
Art. 88 – Medicinali non a carico del Servizio sanitario nazionale pag. 18
Art. 89 – Casi particolari pag. 18
PARTE I – DISPOSIZIONI GENERALI (TITOLI I-VII)
Art. 4 - Trattamento dei dati pag. 12
Regole per tutti i trattamenti (Titolo III – Capo I)
Art. 9 – Modalità di esercizio dei diritti dell’interessato pag. 9
Art. 10 - Riscontro all’interessato pag. 9
Art. 11 – Modalità del trattamento e requisiti dei dati pag. 9
Art. 12 - Codici di deontologia e buona condotta pag. 19
Art. 13 – Informativa pag. 15
Regole ulteriori per i soggetti pubblici (Titolo III – Capo II)
Art. 18 – Principi applicabili a tutti i trattamenti effettuati dai soggetti pubblici pag. 19
Art. 19 – Principi per il trattamento di dati diversi dai sensibili o giudiziari pag. 19
Art. 20 – Principi applicabili al trattamento di dati sensibili pag. 19
Art. 21 – Principi applicabili al trattamento di dati giudiziari pag. 19
Art. 22 – Principi applicabili al trattamento di dati sensibili e giudiziari pag. 19
Art. 24 - Dati che possono essere trattati senza consenso pag. 12
Soggetti che effettuano il trattamento (Titolo IV- Capo I)
Art. 28 – Titolare del trattamento pag. 19
Art. 29 – Responsabile del trattamento pag. 19
Art. 30 – Incaricato del trattamento pag. 20
Misure minime di sicurezza (Titolo IV – Capo II)
Art. 34 – Trattamenti con strumenti elettronici pag. 28
GLI ARTICOLI DEL CODICE CITATI SU QUESTO VOLUME
I n d i c e r a g i o n a t o
Le guide di corriere medicoprivacy e studi medici
34
Dati genetici (Capo V)
Art. 90 – Trattamento dei dati genetici e donatori di midollo osseo pag. 18
Disposizioni varie (Capo VI)
Art. 92 – Cartelle cliniche pag. 21
Art. 93 – Certificato di assistenza al parto pag. 21
Trattamento di dati a scopi scientifici (Parte II – Titolo VII)
Art. 97 – Ambito applicativo pag. 27
Art. 98 – Finalità di rilevante interesse pubblico pag. 27
Art. 99 – Compatibilità tra scopi e durata del trattamento pag. 27
Art. 110 - Ricerca medica, biomedica ed epidemiologica pag. 26
PARTE III – TUTELA DELL’INTERESSATO E SANZIONI
Sanzioni (Parte III – Titolo III)
Art. 161 – Omessa o inidonea informativa all’interessato pag. 23
Art. 162 – Altre fattispecie pag. 23
Art. 163 – Omessa o incompleta notificazione pag. 23
Art. 164 – Omessa informazione o esibizione al Garante pag. 23
Art. 167 – Trattamento illecito di dati pag. 25
Art. 168 – Falsità nelle dichiarazioni e notificazioni al Garante pag. 25
Art. 169 – Misure di sicurezza pag. 25
Art. 170 – Altre fattispecie pag. 25
Norme finali (Parte III - Titolo IV – Capo IV)
Art. 186 – Entrata in vigore pag. 6
I n d i c e r a g i o n a t o
