[doc. web n. 1056168]

Dati sensibili - Acquisizione del consenso da parte di medici e farmacisti - 13 febbraio 1998

Di seguito alla prima, generale, nota del 30 giugno 1997, il Garante esamina nuovamente, in termini generali, alcune problematiche relative alla sanità, soffermandosi, in particolare, sulle modalità di acquisizione del consenso da parte di medici e farmacisti, sull´obbligo di informativa, sull´autorizzazione al trattamento dei dati sensibili, nonché alla delicata tematica dei dati contenuti nelle certificazioni mediche sulla quale, peraltro, è intervenuta successivamente la delega legislativa prevista dalla legge di conversione del c.d. decreto "Di Bella" .

Roma, 13 febbraio 1998

Federazione Nazionale degli Ordini dei Medici Chirurghi e degli Odontoiatri

Federazione Italiana Medici di Medicina Generale

Federazione Italiana Medici di Medicina Generale

Federazione Regionale della Regione Emilia Romagna

Sindacato Nazionale Autonomo Medici Italiani

Ordine Provinciale dei Medici Chirurghi e degli Odontoiatri di Venezia

Federazione degli Ordini dei Farmacisti Italiani

Federazione nazionale unitaria dei titolari di farmacia italiani

OGGETTO: Quesiti attinenti all´attività dei medici e dei farmacisti

Il Garante ha ricevuto numerosi quesiti da parte di medici, di farmacisti e di loro organizzazioni rappresentative, relativamente al trattamento dei dati sanitari.
Al riguardo, si deve premettere che la legge n. 675 del 1996 considera i dati personali idonei a rivelare lo stato di salute come "sensibili" , prevedendo per il loro trattamento particolari garanzie.

CONSENSO E INFORMATIVA

In linea generale, gli esercenti le professioni sanitarie che intendono trattare i dati sullo stato di salute devono informare preventivamente gli interessati circa l´utilizzazione che desiderano farne, specificando gli elementi indicati nell´art.10 della legge n. 675;
inoltre, sulla base dell´informativa, devono richiedere ai pazienti il consenso per iscritto (artt. 22 e 23), con le sole eccezioni che verranno specificate di seguito.

È importante sottolineare che il consenso deve essere richiesto anche nei casi previsti dall´art. 12 della citata legge. Questa disposizione infatti disciplina alcune ipotesi equipollenti al consenso valide esclusivamente per i trattamenti dei dati cosiddetti comuni, e non può quindi essere applicata ai dati sensibili.

Le norme appena richiamate valgono anche per i medici di medicina generale, ai quali non può applicarsi la disciplina sul trattamento dei dati personali prevista per i soggetti pubblici (in particolare gli artt. 22, comma 3; e 41, comma 5, che possono essere utilizzati, al contrario, dalle Aziende Sanitarie Locali, ed il cui contenuto verrà meglio chiarito in seguito). Relativamente alle modalità con cui è possibile adempiere a tali obblighi, si fa presente che il soggetto tenuto a dare l´informativa e a raccogliere il consenso è il titolare del trattamento dei dati. È tuttavia legittimo dare l´informativa e richiedere il consenso anche in relazione a trattamenti di dati effettuati da soggetti terzi ben individuati.

La legge 675 esclude che le pubbliche amministrazioni debbano richiedere il consenso degli interessati, ma non impedisce alle stesse, ed in particolare alle aziende sanitarie locali, di collaborare con i medici di base, ad esempio attivando un sistema, d´intesa con ciascuno di essi o mediante un´apposita normativa, volto a permettere agli interessati di ricevere l´informativa e di formulare il consenso all´atto della scelta del medico di fiducia, eventualmente anche in relazione ai relativi sostituti (artt. 26 e 55 del d.P.R. 22 luglio 1996, n. 484). In tali ipotesi, le aziende potrebbero poi inviare ai medici la relativa documentazione, analogamente a quanto si verifica per i modelli di scelta e revoca del medico.

Qualora una o più aziende decidano di adottare una simile prassi, le aziende dovranno informare gli interessati, con sufficiente dettaglio, di tutti i trattamenti che saranno effettuati, ponendo attenzione anche alla natura obbligatoria o facoltativa dei singoli trattamenti, dando così agli assistiti la possibilità di esprimere un consenso differenziato in relazione a ciascuno di essi stessi.

Naturalmente, ogni decisione organizzativa in proposito non compete al Garante, e deve essere presa di comune accordo dai soggetti coinvolti.

Va tuttavia ricordato che il consenso deve essere espresso in forma specifica (artt. 11 e 22), e non può considerarsi implicito nella scelta del medico di fiducia, e che gli esercenti le professioni sanitarie che effettuano trattamenti per i quali le aziende sanitarie non abbiano informato e chiesto il consenso degli assistiti, nei termini ipotizzati, devono provvedere a tali adempimenti direttamente. Analogo obbligo compete agli altri esercenti le professioni sanitarie che non siano medici di fiducia.

Problemi analoghi a quelli appena segnalati possono sorgere in relazione al trattamento delle ricette mediche che recano il nome dell´assistito, e che sono necessarie per l´acquisto dei farmaci, con conseguente conservazione dell´originale presso i farmacisti ed invio di una copia alle aziende sanitarie locali, per ottenerne il corrispettivo (accordo tra Farmacie e Servizio sanitario nazionale reso esecutivo con il d.P.R. n. 94 del 1989).

Le considerazioni sopra formulate, al fine di semplificare le modalità di prestazione del consenso, possono valere anche per tali trattamenti. Si potrebbe quindi ipotizzare la menzione delle operazioni di trattamento di dati relative alle ricette nell´informativa e nella richiesta del consenso sottoposte all´assistito prima dell´inizio dei trattamenti da parte degli esercenti le professioni sanitarie, includendo anche un riferimento puntuale al farmacista.

In alternativa, si potrebbe prevedere l´inserimento dell´informativa e delle formule per la richiesta del consenso nei moduli utilizzati per le ricette. In tale ultimo caso, esse potrebbero essere sottoscritte dall´interessato prima della consegna al farmacista.

In considerazione della particolare delicatezza delle questioni in esame, e del numero delle persone coinvolte, il Garante resta disponibile per valutare con i soggetti interessati le forme più opportune al fine di garantire la riservatezza degli assistiti, e di semplificare, al tempo stesso, l´attività dei soggetti che partecipano a vario titolo alle procedure di cura e di tutela della salute degli assistiti.

AUTORIZZAZIONE

In linea generale, la legge n. 675/96 prevede che per trattare i dati idonei a rivelare lo stato di salute occorre dotarsi, di un´autorizzazione del Garante, oltre che del consenso scritto degli interessati (art. 22).

Tuttavia, per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici è stata prevista una disciplina di favore. Questi ultimi, infatti, possono trattare i dati sulla salute anche senza l´autorizzazione del Garante, qualora perseguano finalità di tutela dell´incolumità fisica o della salute dell´interessato, e si limitino ad utilizzare i dati e ad effettuare le operazioni dirette a tale fine. I medesimi soggetti possono peraltro prescindere dal consenso dell´interessato -ma non dall´autorizzazione del Garante- qualora le medesime finalità riguardano un terzo o la collettività (art. 23, comma 1).

Questa Autorità ha emanato un´autorizzazione generale per il trattamento dei dati idonei a rivelare lo stato di salute (autorizzazione n. 2 del 27 novembre 1997, pubblicata sulla Gazzetta ufficiale del 29 novembre 1997).

Essa avrà efficacia fino al 30 settembre 1998, nelle more dell´emanazione dei decreti legislativi che dovranno regolare tutta la materia alla luce di quanto previsto dalla raccomandazione N.R. (97) 5, adottata dal Consiglio d´Europa.

Con tale provvedimento, gli esercenti le professioni sanitarie sono stati autorizzati a trattare i dati idonei a rivelare lo stato di salute, nelle ipotesi in cui i dati e le operazioni siano indispensabili per tutelare l´incolumità fisica e la salute di un terzo o della collettività, quando l´interessato non ha prestato il proprio consenso scritto o non può prestarlo per irreperibilità, per impossibilità fisica o per incapacità di intendere e di volere.

Gli esercenti le professioni sanitarie che effettuano trattamenti ricompresi nel provvedimento indicato non sono quindi tenuti a presentare una richiesta di autorizzazione al Garante.

L´autorizzazione generale ha tra i propri destinatari anche gli organismi sanitari pubblici, i quali, in alternativa alle regole introdotte con la medesima autorizzazione, hanno inoltre facoltà di trattare i dati sulla salute anche in base ad una puntuale disposizione di legge che specifichi i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite (art. 22, comma 3). A tale proposito, si deve infine ricordare che, fino al 7 maggio del 1998, i soggetti pubblici, esclusi gli enti pubblici economici, possono trattare i dati idonei a rivelare lo stato di salute e gli altri dati sensibili anche in assenza delle disposizioni di legge indicate, purché effettuino una comunicazione preventiva al Garante (art. 41, comma 5).

DATI CONTENUTI NELLE CERTIFICAZIONI MEDICHE

Alcuni quesiti pervenuti al Garante riguardano i dati contenuti nelle certificazioni mediche, nonché la loro circolazione.

Il d.P.R. 22 luglio 1996, n. 484 (art. 37), prevede che le richieste di indagine o di visita specialistica debbano essere corredate dalla diagnosi o dal sospetto diagnostico. Tale indicazione può essere utile ai medici che visitano successivamente il paziente, per avere un quadro più completo sul suo stato di salute, e per confrontare le risultanze delle analisi già effettuate con quelle successive.

Da alcune segnalazioni pervenute risulta che le richieste di indagine o di visita, corredate di tutte le indicazioni in esse contenute, vengono trasmesse anche ad uffici amministrativi e a personale non medico, nel corso di procedimenti volti a registrare le diverse operazioni, specie in vista della contabilizzazione e del rimborso delle spese effettuate.

I dati relativi alle diagnosi ed al sospetto diagnostico rientrano certamente fra quelli per i quali la legislazione sui dati personali richiede l´adozione di particolari garanzie a tutela dell´interessato.

In considerazione di ciò, si ritiene necessario che, per alcuni adempimenti di carattere amministrativo, vengano predisposti moduli differenti, o tali da consentire una compilazione differenziata. Infatti, determinate fasi procedurali possono essere espletate utilmente prescindendo dall´indicazione di alcuni dati relativi alle patologie riscontrate nell´assistito.

È quindi opportuno che le amministrazioni interessate individuino per quali trattamenti sia indispensabile l´indicazione delle patologie riscontrate negli assistiti e degli altri dati relativi alla loro salute. Le amministrazioni potrebbero predisporre, quindi, alcuni formulari che potrebbero rendere superfluo il trattamento di alcuni dati quando ciò non è strettamente necessario per il perseguimento delle finalità di ogni singola fase procedurale.

In ogni caso, i funzionari amministrativi e gli altri soggetti che per ragioni d´ufficio debbano trattare i dati in discorso sono tenuti ad eseguire sugli stessi esclusivamente le operazioni indispensabili per le finalità perseguite, nel rispetto della riservatezza degli interessati.

Nelle more della predisposizione dei moduli prima suggeriti, i medici potrebbero ottemperare alla presente segnalazione omettendo l´indicazione della patologia specifica nella copia dei certificati destinati al trattamento da parte del personale non medico.

Va considerata conforme alla legge n. 675/96 la prassi segnalata da un´organizzazione di operatori sanitari, in base alla quale alcuni medici appongono a margine della ricetta la formula: "omessa diagnosi su esplicita richiesta del paziente" , seguita dalla firma del paziente stesso.

IL PRESIDENTE