Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Informativa per i pazienti di uno studio radiologico: serve una chiara indicazione dei soggetti ai quali i dati possono essere comunicati e per qu...

[doc. web n. 1893708]

Informativa per i pazienti di uno studio radiologico: serve una chiara indicazione dei soggetti ai quali i dati possono essere comunicati e per quali finalità - 15 marzo 2012

Registro dei provvedimenti
n. 104 del 15 marzo 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTA la documentazione in atti;

VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO

Il Codacons ha segnalato all'Autorità una presunta violazione della disciplina in materia di protezione dei dati personali in merito al modello di informativa e di consenso utilizzato nei rapporti con i propri pazienti dallo Studio Radiologico Essepi s.a.s. di Savona.

In particolare, è stato segnalato che nell'informativa utilizzata dalla predetta Società è prevista la comunicazione dei dati raccolti a "società di assicurazione, fondi assistenziali o previdenziali privati o pubblici; banche ed istituti di credito; professionisti e consulenti; società operanti nei settori dei trasporti, spedizioni e comunicazioni; SOGEI spa".

La predetta Società, nella risposta alla richiesta di informazioni dell'Ufficio in merito al contenuto dell'informativa fornita ai pazienti, ha riconosciuto che le espressioni utilizzate nel modello di informativa in uso con i pazienti potessero essere da questi "equivocate", e ha affermato di aver modificato le espressioni contenute nel suddetto modello specificando che la comunicazione a "società di assicurazione, fondi assistenziali o previdenziali pubblici o privati" avviene "in caso di convenzionamento diretto".

Con specifico riferimento alle modifiche che la Società affermava di aver apportato al modello di informativa, l'Ufficio ha richiesto ulteriori informazioni in merito alla necessità che nell'informativa siano specificate per ogni ambito di comunicazione le finalità per il perseguimento delle quali si effettua l'operazione, i presupposti legittimanti la stessa (ad es. disposizione normativa, consenso dell'interessato), nonché la tipologia di dati personali oggetto della comunicazione (ad es. dati anagrafici, dati relativi alla prestazione eseguita, referti).

In risposta all'ultima richiesta di informazioni dell'Ufficio, lo Studio Radiologico Essepi s.a.s. ha inviato il modello di informativa e consenso "attualmente utilizzato" dalla Società, che risulta essere invariato rispetto a quello oggetto della segnalazione del Codacons, ovvero privo anche delle modifiche che lo stesso Studio nella prima risposta alla richiesta di informazioni dell'Ufficio aveva dichiarato di aver apportato. In tale risposta il suddetto Studio rileva solo l'opportunità di eliminare dal modello di informativa in uso la dicitura relativa "all'autorizzazione" per le "comunicazioni inerenti la consegna di referti e/o esami e notizie di divulgazione scientifica e promozione delle attività dell'istituto" "attraverso SMS", in quanto non più "realizzabile" dalla stessa Società.

Nel modello di informativa attualmente utilizzato dalla Società è, quindi, ancora prevista la comunicazione dei dati raccolti a "società di assicurazione, fondi assistenziali o previdenziali privati o pubblici; banche ed istituti di credito; professionisti e consulenti; società operanti nei settori dei trasporti, spedizioni e comunicazioni; SOGEI spa".

Nel modello di informativa fornito dalla predetta Società è inoltre precisato che "il conferimento dei dati è obbligatorio per tutto quanto è inerente agli obblighi legali e contrattuali e pertanto l'eventuale rifiuto a fornirli ovvero l'eventuale rifiuto al trattamento potrà determinare l'impossibilità (…) a dar corso ai servizi da voi richiesti". In calce al modello di informativa fornito dalla Società è prevista un'unica manifestazione del consenso dell'interessato "al trattamento ed alla comunicazione dei propri dati per le finalità e nei limiti dell'informativa".

1. La titolarità del trattamento dell'organismo sanitario privato
Lo Studio Radiologico Essepi s.a.s., offre servizi di diagnostica per immagini sia privatamente che in regime di accreditamento con il Servizio sanitario nazionale. Nell'ambito di tali attività tratta dati personali anche idonei a rivelare lo stato di salute dei pazienti in qualità di titolare del trattamento (cfr. modello di informativa e consenso in atti).

Dalla documentazione in atti emerge che lo Studio Radiologico Essepi s.a.s. ha utilizzato il modello di informativa e di consenso oggetto della segnalazione nei confronti di tutti i pazienti che accedono ai servizi sanitari sopra richiamati.

Il suddetto modello presenta, tuttavia, talune criticità di seguito delineate e non risulta, pertanto, conforme alla normativa in materia di protezione dei dati personali.

2. Informativa
L'organismo sanitario privato deve fornire ai propri pazienti -prima della raccolta dei loro dati personali- un'informativa in cui siano indicate in modo analitico le finalità perseguite, distinguendo tra quelle di cura della salute e amministrative a queste strettamente correlate, dalle altre finalità eventualmente perseguite (ad es. ricerca scientifica o offerta di ulteriori servizi sanitari) (art. 13, comma 1, lett. a) del Codice).

Nell'informativa devono essere, inoltre, specificati i dati personali il cui conferimento risulti obbligatorio e quali, invece, facoltativo in relazione alle diverse finalità perseguite, avendo cura di precisare anche le conseguenze per l'interessato di un suo eventuale rifiuto (art. 13, comma 1, lett. b) e c) del Codice).

L'informativa deve, poi, contenere una chiara indicazione dei soggetti o delle categorie di soggetti ai quali i dati possono essere comunicati, specificando la finalità in tal modo perseguita e la tipologia dei dati personali oggetto della comunicazione (art. 13, comma 1, lett. d) del Codice).

Appare opportuno evidenziare, infatti, che, salvi i casi di emergenza sanitaria, il mancato conferimento dei dati richiesti per le finalità di cura della salute (ivi comprese quelle amministrative a queste strettamente correlate), rende impossibile all'interessato l'accesso alla prestazione sanitaria, mentre il mancato consenso al trattamento dei dati per altre finalità eventualmente perseguite (es. ricerca scientifica, offerta di ulteriori servizi sanitari, comunicazione dello stato di salute dell'interessato a familiari o invio di referti al medico curante) non impedisce l'accesso alla prestazione sanitaria.

Si richiama, in particolare, quanto già indicato dal Garante con specifico riferimento alla comunicazione di dati sanitari (es. referti) a soggetti terzi, quali il medico curante o un familiare dell'interessato indicati da quest'ultimo. In tali casi, l'organismo sanitario deve specificare la facoltatività di tale comunicazione nell'informativa e deve acquisire uno specifico consenso dell'interessato al riguardo (cfr. "Linee guida in tema di referti on-line" adottate dal Garante il 19 novembre 2009 e le "Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario" dell'Autorità del 16 luglio 2009). Al riguardo, specifiche prescrizioni in ambito sanitario sono state inoltre individuate dal Garante nell'Autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale (Provv. n. 2/2011 del 24 giugno 2011 consultabile sul sito www.garanteprivacy.it-doc. web n.  1822577- pubblicato sulla Gazzetta Ufficiale n. 162 del 14 luglio 2011).

In tale quadro, si rileva che la mancanza degli elementi sopra richiamati rende inidonea l'informativa contenuta nel modello utilizzato dallo Studio Radiologico Essepi s.a.s. in occasione dei rapporti correnti con i pazienti.

3. Consenso
Con specifico riferimento al trattamento dei dati effettuato per le finalità di cura della salute dell'interessato e per quelle amministrative a queste strettamente correlate, gli organismi sanitari privati devono sempre acquisire il preventivo consenso dell'interessato (artt. 23 e 76 del Codice e Autorizzazione n. 2/2011 del 24 giugno 2011 citata). Tale consenso può essere manifestato con un'unica dichiarazione, anche oralmente e deve essere documentato, anziché con atto scritto dell'interessato, con annotazione dell'esercente la professione sanitaria (art. 81 del Codice).

In correlazione con l'informativa ricevuta, l'interessato deve poter esprimere il proprio consenso in forma specifica con riferimento alle finalità perseguite e alle diverse operazioni di trattamento che il titolare intende effettuare.

Come anticipato nel precedente punto 2 del presente provvedimento, infatti, l'organismo sanitario, prima della raccolta dei dati per l'esecuzione della prestazione sanitaria richiesta, deve specificare i casi in cui il conferimento dei dati sia obbligatorio o facoltativo, fornendo, di conseguenza, la possibilità all'interessato di manifestare il consenso per il trattamento dei dati ai soli fini di cura della salute (comprese le attività amministrative a queste strettamente correlate), ovvero anche un autonomo consenso, del tutto distinto dal primo, per ulteriori finalità cui facoltativamente intende aderire (es. partecipare a iniziative di ricerca scientifica, ottenere ulteriori servizi sanitari, acconsentire alla comunicazione del proprio stato di salute a familiari/conoscenti oppure all'invio di referti al medico curante).

Ciò premesso, il consenso generale acquisito in un unico atto con il modello utilizzato dallo Studio Radiologico Essepi s.a.s. in occasione dei correnti rapporti con i pazienti, non può, quindi, considerarsi validamente prestato in quanto esso non risulta espresso specificamente in riferimento ad un trattamento chiaramente individuato e, inoltre, è correlato ad un'informativa non idonea (artt. 13, 23 e 76 e ss. del Codice).

4. Prescrizioni
Il trattamento dei dati personali dei pazienti raccolti dallo Studio Radiologico Essepi s.a.s. sulla base di una informativa inidonea e di un consenso non validamente prestato è illecito e, pertanto, i dati stessi non possono essere utilizzati (art. 11, comma 2, del Codice).

Il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha in tal caso il compito di vietare, anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali.

In tale quadro, sulla base delle motivazioni in precedenza illustrate, si ritiene, quindi, necessario vietare allo Studio Radiologico Essepi s.a.s. di effettuare ulteriori trattamenti di dati personali dei pazienti raccolti sulla base del modello di informativa e di consenso in atti; si ritiene inoltre necessario prescrivere contestualmente che i medesimi dati personali possano essere trattati solo per l'esecuzione delle prestazioni sanitarie richieste dagli interessati e per adempiere a obblighi previsti da leggi, regolamenti o normativa comunitaria.

Il Garante, inoltre, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, ha il compito di prescrivere al titolare le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti.

Pertanto, si ritiene necessario prescrivere allo Studio Radiologico Essepi s.a.s. di modificare il modello di informativa e di consenso utilizzato nei rapporti con i pazienti, al fine di rendere il trattamento conforme alle disposizioni vigenti, indicando:

1. nell'informativa, oltre agli altri elementi previsti dall'art. 13 del Codice:

• i trattamenti di dati personali indispensabili all'erogazione della prestazione medica richiesta (ivi comprese le attività amministrative correlate), evidenziando al riguardo che il mancato consenso dell'interessato impedirebbe di usufruire della prestazione stessa. Qualora sia prevista anche la comunicazione dei dati per il perseguimento della predetta finalità, devono essere indicati i soggetti o le categorie di soggetti destinatari e la tipologia dei dati oggetto della comunicazione;

• la natura facoltativa del conferimento dei dati personali per l'eventuale perseguimento di ulteriori finalità (es. ricerca scientifica; offerta di ulteriori servizi) rispetto alle quali il mancato consenso dell'interessato non impedisce di usufruire della prestazione sanitaria. Anche in questo caso, qualora sia prevista una comunicazione dei dati, devono essere indicati i soggetti o le categorie di soggetti destinatari e la tipologia dei dati oggetto della comunicazione;

• la facoltà per l'interessato che le informazioni sul suo stato di salute siano comunicate a soggetti terzi (es. familiari o conoscenti) ovvero che i referti siano inviati al medico curante.

2. nella richiesta di consenso la possibilità di esprimere una manifestazione di volontà specifica e correlata all'informativa in relazione:

• al trattamento e alla eventuale comunicazione dei dati personali indispensabili al perseguimento delle finalità di cura della salute dell'interessato e di quelle amministrative a queste strettamente correlate;

• al trattamento e alla eventuale comunicazione dei dati per il perseguimento di specifiche e facoltative ulteriori finalità rispetto a quelle di cura della salute;

• alla facoltà che le informazioni sul suo stato di salute siano comunicate a soggetti terzi (es. familiari o conoscenti indicati dall'interessato medesimo) ovvero che i referti siano inviati al medico curante.

Si ritiene, altresì, necessario prescrivere allo Studio Radiologico Essepi s.a.s. di dare riscontro a questa Autorità delle modifiche apportate al modello di informativa e di consenso per il trattamento dei dati dei pazienti, in conformità alle prescrizioni sopra richiamate, entro e non oltre il termine di sessanta giorni dalla data di ricezione del presente provvedimento.

L'Autorità si riserva infine di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni delle disposizioni di cui agli artt. 13, commi 1 e 23, del Codice e la conseguente applicazione delle sanzioni di cui agli artt. 161 e 162, comma 2-bis del Codice.

Si evidenzia che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento è punito con la reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2-ter, del Codice, in caso di inosservanza, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.

PER QUESTI MOTIVI IL GARANTE

a) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, accertata l'illiceità del trattamento dei dati personali dei pazienti raccolti dallo Studio Radiologico Essepi s.a.s. mediante l'utilizzo del modello di informativa e di consenso in atti, prescrive allo Studio Radiologico Essepi s.a.s., che i dati personali già raccolti alla data della ricezione del presente provvedimento sulla base del predetto modello di informativa e di consenso, possano essere ulteriormente trattati solo per l'esecuzione della prestazione sanitaria richiesta dall'interessato e per adempiere a obblighi previsti da leggi, regolamenti o normativa comunitaria;

b) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, vieta allo Studio Radiologico Essepi s.a.s. di effettuare ulteriori trattamenti dei predetti dati personali raccolti sulla base del modello di informativa e di consenso in atti;

c) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive allo Studio Radiologico Essepi s.a.s., di modificare il modello di informativa e di consenso utilizzato nel seguente modo:

1. nell'informativa, oltre agli altri elementi previsti dall'art. 13 del Codice, occorre indicare:

• i trattamenti di dati personali indispensabili all'erogazione della prestazione medica richiesta (ivi comprese le attività amministrative correlate), evidenziando al riguardo che il mancato consenso dell'interessato impedisce di usufruire della prestazione stessa. Qualora sia prevista anche la comunicazione dei dati per il perseguimento della predetta finalità, devono essere indicati i soggetti o le categorie di soggetti destinatari e la tipologia dei dati oggetto della comunicazione;

• la natura facoltativa del conferimento dei dati personali per l'eventuale perseguimento di ulteriori finalità (es. ricerca scientifica; offerta di altri servizi), evidenziando al riguardo che il mancato consenso dell'interessato non impedisce di usufruire della prestazione sanitaria. Anche in questo caso, qualora sia prevista una comunicazione dei dati, devono essere indicati i soggetti o le categorie di soggetti destinatari e la tipologia dei dati oggetto della comunicazione;

• la facoltà per l'interessato di scegliere che le informazioni sul suo stato di salute siano comunicate a soggetti terzi (es. familiari o conoscenti) ovvero che i referti siano inviati al medico curante.

2. nella richiesta di consenso la possibilità di esprimere una manifestazione di volontà -specifica e correlata all'informativa- in relazione:

• al trattamento e alla eventuale comunicazione dei dati personali indispensabili al perseguimento delle finalità di cura della salute dell'interessato e di quelle amministrative a queste strettamente correlate;

• al trattamento e alla eventuale comunicazione dei dati per l'eventuale perseguimento di specifiche e facoltative ulteriori finalità, distinte da quelle di cura della salute;

• alla facoltà che le informazioni sul suo stato di salute siano comunicate a soggetti terzi (es. familiari o conoscenti indicati dall'interessato medesimo) ovvero che i referti siano inviati al medico curante.

d) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive allo Studio Radiologico Essepi s.a.s. di dare riscontro a questa Autorità delle modifiche apportate al modello di informativa e di consenso per il trattamento dei dati dei pazienti in conformità alle prescrizioni contenute nella precedente lettera c) entro e non oltre il termine di sessanta giorni dalla data di ricezione del presente provvedimento.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 15 marzo 2012

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
De Paoli