Ambito sanitario: raccolta dei principali provvedimenti del Garante Privacy

Sommario: 1. Dati relativi alla salute: definizione e casistica – 2. I principali provvedimenti emessi, in ambito sanitario, dal Garante Privacy italiano

1. Dati relativi alla salute: definizione e casistica

I dati sanitari sono, innanzitutto, qualificati all’art. 4 n. 15) del Regolamento UE n. 2016/679 (GDPR) (“i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”), la cui definizione, poi ripresa nell’art. 9 paragrafo 1) del GDPR, è stata ampiamente approfondita nel relativo Considerando n. 35)[1] (“Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi ricomprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”).

I dati relativi alla salute[2] possono, dunque, essere ricavati da fonti tra loro differenti, tra le quali[3]:

• Informazioni raccolte da un fornitore di assistenza sanitaria in una cartella clinica (es. anamnesi e risultati di esami e di trattamenti);

• Informazioni che diventano dati relativi alla salute sulla base di riferimenti incrociati ad altri dati tali da rivelare lo stato di salute o i rischi per la salute (es. presunzione che una determinata persona sia esposta a un rischio più elevato di attacchi cardiaci basata su misurazioni ripetute della pressione arteriosa lungo un certo arco di tempo);

• Informazioni ricavate da un test di autovalutazione, ove il soggetto interessato risponde alle domande relative alla propria salute (es. descrizione di una sintomatologia);

• Informazioni che diventano dati relativi alla salute a seguito del loro utilizzo in un contesto specifico (es. informazioni relative a un viaggio recente ovvero alla permanenza in una regione interessata dal virus “Covid-19” elaborate da un professionista sanitario per effettuare una diagnosi).

2. I principali provvedimenti emessi, in ambito sanitario, dal Garante Privacy italiano

Dato che, ai sensi dell’art. 22 comma 4) del D.Lgs. n. 101/2018, i provvedimenti ratione materiae (nonché le autorizzazioni generali, e le linee guida), adottati dall’Authority nazionale, continuano ad applicarsi laddove compatibili con il GDPR e con il novellato D.Lgs. n. 196/2003 (Codice Privacy), pare opportuno illustrare, di seguito, quelli di maggior rilievo emessi in ambito sanitario:

Provvedimento intitolato “Codice di condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica” del 14.1.2021 (doc. web n. 9535354).

Con tale Provvedimento, l’Authority ha approvato, ai sensi degli artt. 40, 57 e 58 del GDPR, il Codice di Condotta, sottoscritto dalla Regione Veneto su proposta dell’Azienda Sanitaria ULSS 9 Scagliera, ai fini dell’utilizzo dei dati sulla salute (acquisiti, all’origine, per l’erogazione dell’attività di diagnosi, cura e prevenzione) per l’esecuzione di finalità didattiche e di pubblicazione scientifica (es. redazione di relazioni per la partecipazione a convegni, seminari e/o redazione di pubblicazioni scientifiche; formazione, approfondimento, discussione e dibattito scientifico relativo ad un caso clinico anche nel solo ambito aziendale), previa adozione di specifiche misure di anonimizzazione o di pseudonimizzazione (in tal caso, previa acquisizione di uno specifico consenso dell’interessato).

Provvedimento intitolato “Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” del 7.3.2019 (doc. web n. 9091942).

In ossequio al Considerando n. 132) del GDPR, l’Authority ha deciso di fornire, all’interno del Provvedimento in analisi, una serie di (utili) orientamenti volti a supportare i soggetti operanti nell’ambito sanitario, stante la delicatezza e la complessità delle relative attività di trattamento.

A tal fine, ha individuato, innanzitutto, una serie di deroghe, contenute nell’art. 9 del GDPR, al trattamento, in ambito sanitario, dei dati relativi alla salute, di seguito descritte:

• Motivi di interesse pubblico rilevante (sulla base del diritto dell’UE o dei relativi Stati membri) ex art. 9 paragrafo 2) lettera g) del GDPR, poi individuati, in modo specifico, nell’art. 2 sexies del Codice Privacy;

• Motivi di interesse pubblico nella sanità pubblica (es. protezione da gravi minacce per la salute a carattere transfrontaliero) ex art. 9 paragrafo 2) lettera i) del GDPR;

• Finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (sulla base del diritto dell’UE o dei relativi Stati membri ovvero da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell’UE o dei relativi Stati membri o da un’altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’UE o dei relativi Stati membri, indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata) ex art. 9 paragrafo 2) lettera h) e paragrafo 3) del GDPR ed ex art. 75 del Codice Privacy: in merito, è stato, altresì, precisato che i trattamenti soggetti alla base giuridica in questione sono soltanto quelli “necessari” al perseguimento della finalità “di cura”, ossia quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute.

Oltre a ciò, è stato precisato che richiedono, in via generale, il preventivo consenso del soggetto interessato quelle attività di trattamento che, a titolo soltanto esemplificativo, rientrano nelle seguenti (macro) categorie:

• Trattamenti connessi all’utilizzo di un applicazione software mobile “medica”, utilizzata per perseguire finalità differenti dalla telemedicina ovvero laddove, indipendentemente dalla finalità dell’applicazione in questione, ai dati del soggetto interessato possano avere accesso soggetti differenti dai professionisti sanitari ovvero altri soggetti tenuti al segreto professionale[4];

• Trattamenti preordinati alla fidelizzazione della clientela, al fine di fruire di servizi o prestazioni accessorie, attinenti al settore sanitario (e/o farmaceutico), aggiuntive rispetto alle attività di assistenza sanitaria o farmaceutica tradizionalmente svolta;

• Trattamenti effettuati, in ambito sanitario, da persone giuridiche per finalità promozionali o commerciali (es. promozioni su programmi di screening, contratto di fornitura di servizi amministrativi, come quelli alberghieri di degenza);

• Trattamento effettuati da professionisti sanitari per finalità commerciali o elettorali.

Infine, il Garante Privacy ha osservato che, con riferimento alle attività poste in essere da Titolari del trattamento operanti in ambito sanitario che effettuano una pluralità di operazioni connotate da una particolare difficoltà (es. aziende sanitarie), è opportuno che questi soggetti forniscano all’interessato un informativa in modo progressivo: in altri termini, è opportuno fornire alla generalità dei pazienti un informativa avente ad oggetto quei trattamenti che rientrano nell’ordinaria attività di erogazione di una prestazione sanitaria, a cui si aggiunge quella concernente le particolari attività di trattamento da porre in essere in un secondo momento (es. dossier sanitario elettronico, fornitura di presidi sanitari, ricerca scientifica), da consegnare soltanto agli specifici (ed effettivi) soggetti interessati a tali servizi, onde così accrescere il grado di consapevolezza in capo agli interessati in relazione alle operazioni di trattamento maggiormente significative.

Da ultimo, l’Authority ha concluso ricordando che, con riguardo alla documentazione sanitaria, l’ordinamento giuridico prevede numerosi e differenziati riferimenti temporali di conservazione: es. almeno 5 anni, per la documentazione inerente gli accertamenti effettuati nel corso di una visita volta al rilascio del certificato di idoneità all’attività sportiva agonistica; tempo illimitato, per la conservazione della cartella clinica (e relativi referti); almeno 10 anni, per la documentazione iconografica radiologica.

Linee guida in materia di Dossier Sanitario – Allegato A) al Provvedimento del 4.6.2015 (doc. web n. 4084632).

Attraverso le Linee guida qui in commento, il Garante Privacy ha voluto – in un ottica di continuità (e di integrazione) rispetto al precedente documento emesso, in materia, il 16.7.2009 – offrire un quadro di riferimento unitario in relazione al tema del Dossier Sanitario Elettronico (DSE)[5]: esso è stato definito come un insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti uno specifico soggetto interessato, messi in condivisione logica dai professionisti sanitari che lo assistono, al fine di documentare la storia clinica e di offrirgli un miglior processo di cura; tale strumento è costituito presso un organismo sanitario in qualità di (unico) Titolare del trattamento (es. ospedale, clinica, anche privata)[6].

In merito, l’Authority ha indicato una serie di prescrizioni, di seguito illustrate:

• Nell’informativa è necessario: i) evidenziare l’intenzione del Titolare del trattamento di costituire un insieme di informazioni personali riguardanti l’interessato il più possibile completo che documenti parte della storia sanitaria dello stesso, al fine di migliorare il suo processo di cura attraverso un accesso integrato di tali informazioni da parte del personale sanitario coinvolto; ii) porre in risalto che l’eventuale mancato consenso al trattamento dei dati personali mediante il DSE non incide sulla possibilità di accedere alle cure mediche richieste; iii) rendere nota la circostanza che il DSE può, ove necessario, essere consultato anche qualora ciò venga ritenuto indispensabile per la salvaguardia della salute di un terzo o della collettività; iv) indicare, ove necessario, l’eventualità che il DSE possa essere consultato anche da parte di quei professionisti che agiscono in libera professione intramuraria (o intramoenia) ovvero nell’erogazione di prestazioni al di fuori del normale orario di lavoro, mediante l’utilizzo di strutture ambulatoriali e diagnostiche della relativa struttura sanitaria, anche a fronte del pagamento da parte del paziente di una tariffa;

• Il trattamento dei dati personali, effettuato mediante il DSE, deve essere posto in essere esclusivamente da parte di soggetti operanti in ambito sanitario (dunque, con esclusione, ad esempio, di periti, di compagnie di assicurazione, di datori di lavoro); tuttavia, il personale amministrativo, operante all’interno della struttura sanitaria in cui viene utilizzato il DSE, può consultare, in qualità di soggetto cd. autorizzato al trattamento, solo quelle informazioni necessarie per assolvere alle funzioni amministrative cui è preposto e strettamente connesse all’erogazione della prestazione sanitaria (cd. profondità dell’accesso);

• Il soggetto interessato può esercitare, in particolar modo, i seguenti diritti: i) oscuramento dell’evento clinico (peraltro, passibile di revoca), da eseguirsi con una modalità tale da garantire che, almeno in prima battuta, tutti o alcuni soggetti abilitati all’accesso al DSE non possano venire automaticamente (anche temporaneamente) a conoscenza del fatto che sia stata effettuata tale scelta (cd. oscuramento dell’oscuramento); ii) visione degli accessi al DSE, ivi inclusa l’indicazione della struttura/reparto che ha effettuato l’accesso, e la data ed ora dello stesso;

• Una volta resa, l’informativa deve essere, poi, facilmente consultabile dal relativo soggetto interessato, mediante la pubblicazione della stessa sul sito internet del Titolare del trattamento ovvero l’affissione nei locali della struttura che ha adottato il DSE;

• Dato che il trattamento dei dati sanitari, effettuato tramite il DSE, costituisce un trattamento ulteriore rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico, la sua adozione è di natura facoltativa e, dunque, necessita del preventivo consenso dell’interessato[7]: a tal riguardo, giova, tuttavia, porre in evidenza il fatto che il Garante Privacy ha affermato, all’interno del citato Provvedimento del 7.3.2019, che, alla luce del nuovo quadro giuridico, lo stesso individuerà, nell’ambito delle misure di garanzia da adottarsi sulla base dell’art. 2 septies del Codice Privacy, quei trattamenti che, ai sensi dell’art. 9 paragrafo 2) lettera h) del GDPR, possono essere effettuati senza il consenso del soggetto interessato;

• L’inserimento delle informazioni relative ad eventi sanitari pregressi all’istituzione del DSE deve fondarsi sul consenso specifico dell’interessato;

• Il Titolare del trattamento deve acquisire una specifica manifestazione di volontà dell’interessato qualora nel DSE siano inserite anche informazioni relative a prestazioni sanitarie offerte a soggetti nei cui confronti l’ordinamento vigente ha posto specifiche disposizioni a tutela della loro riservatezza e dignità personale (ossia, i dati soggetti a maggior tutela dell’anonimato: es. dati relativi ad atti di violenza sessuale o di pedofilia, all’infezione da HIV o all’uso di sostanze stupefacenti);

• Trattandosi di documentazione medica, il riscontro ad un eventuale istanza di integrazione, aggiornamento o rettifica dei dati può essere fornito annotando le modifiche richieste senza, tuttavia, alterare necessariamente la documentazione di riferimento;

• La finalità perseguita attraverso il DSE è quella di prevenzione, diagnosi, cura e riabilitazione dell’interessato;

• L’accesso al DSE deve essere limitato al tempo in cui si articola il processo di cura;

• Registrazione automatica, in appositi file log, degli accessi e delle operazioni compiute: nello specifico, i file log devono registrare per ogni operazione di accesso al DSE almeno le seguenti informazioni: codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso; data ed ora di esecuzione; codice della postazione di lavoro utilizzata; identificativo del paziente; tipologia di operazione compiuta (in ragione della particolare delicatezza del trattamento dei dati personali effettuato mediante il DSE è necessario che siano tracciate anche le operazioni di semplice consultazione). In aggiunta, è stato, al riguardo, precisato che i log delle operazioni devono essere conservati per un periodo di tempo non inferiore a 24 mesi, decorrenti dalla data di registrazione dell’operazione.

Provvedimento intitolato “Informazioni sulle convinzioni religiose dei pazienti: i casi in cui possono essere raccolte durante il ricovero” del 12.11.2014 (doc. web n. 3624070).

All’interno del Provvedimento in parola, il Garante è intervenuto per chiarire, da un lato, che la struttura sanitaria può lecitamente trattare le informazioni idonee a rivelare le convinzioni religiose dell’interessato laddove quest’ultimo richieda di usufruire dell’assistenza religiosa e spirituale durante il ricovero ovvero nei casi in cui ciò si riveli indispensabile durante l’esecuzione dei servizi necroscopici, e, per altro verso, che la finalità di assicurare un regime alimentare aderente alla volontà espressa dall’interessato nonché quella di rispettare le sue scelte terapeutiche (es. rifiuto al trattamento trasfusionale) possono essere perseguite senza che vengano raccolte le eventuali motivazioni religiose alla base della scelta del soggetto interessato.

Provvedimento avente ad oggetto i “Sistemi di videosorveglianza per il controllo della procedura di raccolta del campione urinario a fini certificatori o di cura della salute” del 15.5.2013 (doc. web n. 2475383).

Con la pronunzia in esame, l’Authority è intervenuta al fine di definire un quadro unitario di cautele e di accorgimenti che gli organismi sanitari sono tenuti ad applicare laddove intendano utilizzare un sistema di videosorveglianza all’interno dei propri servizi igienici per il controllo della procedura di raccolta del campione urinario effettuato ai fini certificatori (di idoneità in ambito di diritto del lavoro) o di cura della salute.

Nello specifico, tali soggetti devono prevedere che: i) all’interessato sia data preventivamente la facoltà di scegliere se avvalersi dell’osservazione diretta di un operatore sanitario ovvero della rilevazione delle immagini attraverso un sistema di video sorveglianza; ii) sia garantito che le immagini rilevate attraverso l’impianto in questione non siano registrabili; iii) il servizio igienico, attrezzato con il sistema di videosorveglianza ove avviene la raccolta del campione urinario, sia dedicato, in via esclusiva, a tali controlli (e, qualora non sia possibile garantire tale esclusività, siano introdotte idonee cautele ed accorgimenti affinché sia preclusa la possibilità di funzionamento del predetto sistema di videosorveglianza qualora il servizio igienico sia utilizzato da soggetti differenti da quelli che devono essere sottoposti ai menzionati controlli); iv) l’abilitazione a visionare le immagini rilevate attraverso il sistema di videosorveglianza sia fornita solo al personale sanitario preposto al controllo della procedura di raccolta del campione urinario (e tale persona deve preferibilmente appartenere allo stesso sesso della persona sottoposta al controllo); v) sia precluso, comunque, al predetto personale, anche attraverso idonee e puntuali istruzioni, la registrazione delle immagini che appaiono sullo schermo durante la procedura di raccolta del campione, anche tramite l’utilizzo di dispositivi elettronici di ripresa (ivi incluso, il telefono cellulare).

Provvedimento generale rivolto alle aziende sanitarie sulle modalità di consegna dei presidi sanitari al domicilio dell’interessato del 21.11.2013 (doc. web n.: 2803050).

Il Garante Privacy nazionale ha definito un quadro unitario di misure e di accorgimenti aventi ad oggetto lo svolgimento delle operazioni di consegna domiciliare di un presidio sanitario ad opera di un azienda sanitaria, anche per il tramite di una società esterna (da nominare, di conseguenza, Responsabile del trattamento ex art. 28 del GDPR).

Nello specifico, sono state illustrate le seguenti prescrizioni: a) la consegna deve avvenire: i) nel luogo individuato dall’interessato rispettando gli orari scelti da quest’ultimo tra quelli indicati dal Titolare o Responsabile del trattamento; ii) preferibilmente nelle mani del soggetto interessato (il presidio non può, dunque, essere lasciato incustodito nelle vicinanze del luogo indicato dall’interessato); b) il presidio, laddove le dimensioni e la natura lo consentono, deve essere, in ogni caso, imballato in un contenitore non trasparente, il quale non deve indicare, nella sua parte esterna, il contenuto dello stesso; c) il presidio può essere consegnato a soggetti terzi (es. vicino di casa, parente, portiere) soltanto su espressa indicazione del soggetto interessato; d) nel caso in cui l’interessato o un terzo da questi delegato non sia presente al momento della consegna, il personale a ciò deputato deve lasciare esclusivamente un avviso che non contenga l’indicazione della tipologia del presidio; e) il personale deputato alla consegna non deve, infine, indossare divise recanti scritte da cui si possa evincere la specifica tipologia del presidio in consegna, né utilizzare automezzi recanti tali scritte.

Linee guida “in materia di trattamento di dati personali per finalità di pubblicazione e diffusione nei siti web esclusivamente dedicati alla salute” del 25.1.2012 (doc. web n. 1870212).

Le presenti Linee guida riguardano i gestori dei siti web dedicati esclusivamente alla salute (es. forum, blog, sezioni di portali che contengono informazioni sanitarie, social network che si occupano di tematiche sulla salute attraverso specifici profili, aperti da soggetti privati con finalità di sensibilizzazione e di confronto in tale ambito) – fatta, tuttavia, eccezione per i servizi di assistenza sanitaria online e di telemedicina, qualificati come una prestazione medica in senso stretto – ove si svolge un’attività di carattere meramente divulgativo e conoscitivo sia con riferimento alle informazioni e ai commenti che si scambiano gli utenti sia con riguardo ai consigli ed alle “consulenze” mediche che vengono dagli stessi richieste.

A tal riguardo, il Garante ha individuato le seguenti misure aggiuntive, da applicare ad opera del gestore di tale sito internet, a prescindere che sia prevista o meno la registrazione da parte dell’utente.

A tal fine, è stato precisato quanto segue: i) inserimento dell’“avvertenza del rischio”, tesa a richiamare l’attenzione dell’utente sul rischio di una sua possibile identificazione, grazie all’inserimento dei propri dati personali cd. particolari (eventualmente in combinazione con i dati personali cd. identificativi), oltre che volta ad indicare a quest’ultimo le seguenti misure necessarie a tutelarne la riservatezza sia nella eventuale fase di registrazione della registrazione sia nella fase dell’inserimento dei contenuti nello spazio web dedicato: a) rispetto ai dati di registrazione, al gestore è stato raccomandato di: i) specificare che, qualora l’utente desideri mantenere l’anonimato, è possibile non inserire il proprio nome e cognome tra i dati di registrazione, grazie all’utilizzo di un nickname; ii) specificare che i dati di contatto (es. posta elettronica), da fornire eventualmente all’atto della registrazione, non vengono automaticamente pubblicati sul sito, unitamente ai commenti dell’utente; b) rispetto ai contenuti immessi dall’utente, al gestore del sito è stato evidenziato di effettuare i seguenti incombenti: a) avvertire l’utente di valutare, con la necessaria attenzione, l’opportunità di inserire, all’interno dei propri commenti, dati personali idonei a rivelare, anche in modo indiretto, la sua identità; b) avvertire l’utente di valutare l’opportunità di pubblicare o meno foto o video che consentano di identificare o rendere identificabili le persone ed i luoghi; c) avvertire l’utente di prestare particolare attenzione alla possibilità di inserire, nei propri interventi, dati che possano rivelare, anche indirettamente, l’identità di terzi quali, ad esempio, altre persone accomunate all’autore del post dalla medesima patologia, esperienza umana o percorso medico; d) specificare l’ambito di conoscibilità dei dati propri o altrui immessi dall’utente, precisando, in particolare, se tali dati siano consultabili soltanto dagli iscritti al sito ovvero da qualsiasi utente che acceda al sito stesso (es. reperibilità dei dati mediante la funzionalità di ricerca interna al sito); e) precisare se i dati sono indicizzabili e reperibili o meno anche dai motori di ricerca generalisti.

Provvedimento del 12.1.2011 (doc. web n. 1872923).

All’interno della presente pronunzia, il Garante Privacy ha provveduto a tracciare la distinzione tra l’accesso ai dati personali concernenti una persona deceduta (ora disciplinato all’art. 2 terdecies del Codice Privacy) e la differente ipotesi disciplinata al successivo art. 92 del Codice Privacy consistente nella richiesta di presa visione (o di rilascio di una copia) della cartella clinica di una persona deceduta, rilevando, a tal fine, che nel primo caso, il soggetto interessato ha diritto di accedere ai dati personali riguardanti il defunto, senza dover fornire alcuna giustificazione circa la necessità di ottenere tale informazioni, come invece previsto nell’ipotesi di cui al citato art. 92.

Linee guida “in tema di trattamento di dati per lo svolgimento di indagini di customer satisfaction in ambito sanitario” del 5.5.2011 (doc. web n. 1812910).

All’interno del documento de quo, il Garante Privacy ha individuato un quadro unitario di misure e di accorgimenti necessari ed opportuni affinché l’attività di customer satisfaction, intesa come indicatore del grado di soddisfazione dell’utente rispetto alla prestazione offerta dall’organismo sanitario nei differenti ambiti di intervento (es. prenotazione, ricovero, visite), venga svolta nel rispetto della normativa sulla protezione dei dati personali.

Nello specifico, viene evidenziato quanto segue: i) nella fase iniziale di predisposizione dell’indagine di gradimento in cui vengono definiti l’ambito e l’obiettivo della rilevazione, l’organismo sanitario, nel rispetto del principio di necessità, deve preliminarmente valutare, in concreto, se gli scopi del sondaggio di customer satisfaction che intende realizzare mediante la somministrazione del questionario possono essere perseguiti riducendo, al minimo, l’utilizzazione di dati personali dell’utenza, in modo da escluderne il trattamento quando detti scopi possono essere realizzati mediante, rispettivamente, dati anonimi ovvero opportune modalità che permettano di identificare l’interessato solo in caso di necessità; ii) in via generale, la rilevazione della qualità dei servizi sanitari non prevede la raccolta dei profili sanitari relativi alle prestazioni di cura erogate e/o fruite dagli utenti, ma riguarda esclusivamente i fattori qualitativi dei servizi sanitari prestati e, in particolare, gli aspetti relativi ai tempi del servizio, alla semplicità delle procedure, alle informazioni ricevute in ordine al trattamento sanitario erogato, all’orientamento ed all’accoglienza, al comfort della struttura sanitaria, nonché alle relazioni sociali ed umane; tuttavia, può accadere – in ragione della modalità di somministrazione del questionario ovvero della tipologia delle informazioni richieste (es. denominazione del reparto che ha erogato il servizio, tipologia del servizio fruito, specialità medica a cui afferisce il servizio ottenuto o, infine, l’eventuale fornitura di particolari ausili) – che vengano raccolti dati sanitari, a condizione che essi siano necessari a perseguire lo scopo sotteso al loro trattamento; iii) nell’ambito del SSN, gli organismi sanitari pubblici possono effettuare l’indagine di rilevamento della qualità sanitaria – anche attraverso organismi sanitari privati convenzionati – senza richiedere il consenso dell’utenza, in quanto essa è riconducibile alle finalità istituzionali di rilevante interesse pubblico; di contro, gli organismi sanitari privati devono, invece, previamente acquisire il consenso dell’utente; iv) il trattamento di dati personali, nell’ambito di indagini di gradimento, deve essere finalizzato esclusivamente al monitoraggio ed alla valutazione della qualità percepita dei servizi sanitari: di conseguenza, è vietato utilizzare tali dati per perseguire la finalità di profilazione degli utenti, al fine dell’invio di materiale promozionale relativo a prodotti o servizi correlati a quelli erogati; v) con riferimento alla possibilità di adottare una modalità di somministrazione del questionario che preveda di svolgere l’indagine mediante interviste telefoniche o di ricontattare, per via telefonica, l’interessato al fine di sollecitare la compilazione e riconsegna del questionario devono essere adottati particolari accorgimenti per ridurre il rischio che, in occasione di tali contatti, soggetti differenti dall’interessato vengano a conoscenza, in modo indebito, delle sue vicende sanitarie: a tal fine, può essere utile domandare al soggetto interessato di indicare il recapito telefonico e la fascia oraria di disponibilità; vi) è necessario cancellare o anonimizzare i dati personali e sanitari eventualmente acquisiti dopo la raccolta, e comunque non oltre la contestuale registrazione dei dati contenuti nel questionario.

Vademecum “Dalla parte del paziente. Privacy: le domande più frequenti” del 19.5.2011.

Questa guida raccoglie le risposte alle domande più frequenti che sono state poste, in passato, all’attenzione del Garante Privacy da parte di pazienti e del personale sanitario, offrendo, al contempo, anche un quadro delle principali indicazioni fornite nel corso del tempo.

A tal proposito, degno di rilievo – a parere di chi scrive – è l’osservazione circa la necessità di “non pubblicare dati personali, ad esempio nomi o fotografie, di pazienti sulle proprie pagine di social network. Anche se spesso si pensa di condividerle solo con amici, magari colleghi sanitari, si rischia invece di diffonderle a un numero imprecisato di utenti della rete, violando così la privacy delle persone coinvolte”.

Linee guida in tema di Fascicolo Sanitario Elettronico (FSE) e di Dossier Sanitario del 16.7.2009 (doc. web n. 1634116).

Nel 2009, l’Autorità di controllo ha emanato le presenti Linee guida in tema di Fascicolo Sanitario Elettronico (FSE) e di Dossier Sanitario, successivamente integrate, nel 2015, dalle Linee guida riguardanti unicamente il Dossier Sanitario Elettronico (DSE).

All’interno del provvedimento qui in commento (da leggersi assieme alle relative F.A.Q.), (parzialmente) compatibile al GDPR ai sensi dell’art. 22 comma 4) del D.Lgs. n. 101/2018, il Garante ha provveduto, per la prima volta, a disciplinare – per quanto qui rileva – il FSE, definito (informalmente) come quel “fascicolo formato con riferimento ai dati sanitari originati da diversi titolari del trattamento operanti più frequentemente, ma non esclusivamente, in un medesimo ambito territoriale (es. azienda sanitaria, laboratorio clinico privato operanti nella medesima regione o area vasta)”, la cui formale definizione è, oggi, contenuta all’interno dell’art. 12 comma 1) del D.L. n. 179/2012, convertito con modificazioni dalla Legge n. 221 del 17.12.2012 (“insieme di dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi riguardanti l’assistito”), poi disciplinato dal D.P.C.M. n. 178/2015.

A tal proposito, sono state indicate una serie di specifiche prescrizioni per il FSE[8]:

• L’oscuramento dell’evento clinico, peraltro revocabile, deve avvenire con una modalità tale da garantire che, almeno in prima battuta, tutti o alcuni soggetti abilitati all’accesso del FSE non possano venire automaticamente (anche temporaneamente) a conoscenza del fatto che il relativo soggetto interessato abbia effettuato tale scelta (cd. oscuramento dell’oscuramento);

• Il trattamento dei dati personali effettuato mediante il FSE deve essere posto in essere esclusivamente da parte di soggetti operanti in ambito sanitario (pertanto, con esclusione, a titolo esemplificativo, di periti, di compagnie di assicurazione, di datori di lavoro); tuttavia, il personale amministrativo, operativo all’interno della struttura sanitaria in cui viene utilizzato il FSE, può consultare, in qualità di soggetto cd. autorizzato al trattamento, solo quelle informazioni necessarie per assolvere alle funzioni amministrative cui è preposto e strettamente connesse all’erogazione della prestazione sanitaria;

• All’atto della designazione dei soggetti cd. autorizzati al trattamento, il Titolare deve indicare, con chiarezza, l’ambito delle operazioni consentite;

• Il Titolare del trattamento, nel costituire il FSE e nell’individuare la tipologia di informazioni che possono esservi anche successivamente riportate, deve rispettare le disposizioni normative a tutela dell’anonimato della persona tra cui quelle a tutela delle vittime di atti di violenza sessuale o di pedofilia di chi fa uso di sostanze stupefacenti, di sostanze psicotrope e di alcool, delle donne che si sottopongono a un intervento di interruzione volontaria della gravidanza o che decidono di partorire in anonimato;

• Il Titolare può prevedere che l’interessato possa inserire o ottenere l’inserimento di talune informazioni sanitarie (es. autovalutazioni, referti emessi da strutture sanitarie di un altro Stato) o amministrativo sanitarie (es. appuntamenti medici, periodicità dei controlli prescritti) ritenute più opportune;

• L’accesso al FSE deve essere circoscritto al periodo di tempo indispensabile per espletare le operazioni di cura o amministrative per le quali è abilitato il soggetto che accede;

• Trattandosi di documentazione medica, il riscontro ad un eventuale istanza di integrazione, aggiornamento o rettifica dei dati può essere fornito annotando le modifiche richieste senza, tuttavia, alterare necessariamente la documentazione di riferimento;

• All’interno dell’informativa, è necessario indicare, inter alia, all’interessato l’opportunità offerta da tale strumento ma, al tempo stesso, l’ampia sfera conoscitiva del suo contenuto;

• Le finalità perseguite tramite il FSE sono tre: i) di cura (ossia: prevenzione, diagnosi, cura e riabilitazione); ii) ricerca (studio e ricerca scientifica in campo medico, biomedico ed epidemiologico); di governo (programmazione sanitaria, verifica della qualità delle cure, e valutazione dell’assistenza sanitaria);

• Deve essere garantita, in particolar modo, la tracciabilità degli accessi e delle operazioni effettuate, nonché un sistema di cd. audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.

Da ultimo, occorre osservare che, così come già evidenziato dal Garante all’interno del proprio comunicato stampa del 11.1.2021, l’art. 11 del D.L. n. 34 del 19.5.2020, convertito con modificazioni dalla Legge n. 77 del 17.7.2020, ha previsto che il FSE venga automaticamente alimentato, in modo che il soggetto interessato possa consultare le informazioni socio-sanitarie che lo riguardano anche se generate da una struttura sanitaria situata al di fuori della regione di appartenenza, grazie alla interoperabilità assicurata dal Sistema Tessera Sanitaria; tuttavia, solo con il consenso del soggetto interessato, il personale sanitario che lo ha in cura può accedere al suo FSE (cd. consenso alla consultazione).

Deliberazione sulle “Prescrizioni concernenti la raccolta d’informazioni sullo stato di sieropositività dei pazienti da parte degli esercenti le professioni sanitarie” del 12.11.2009 (doc. web n. 1673588).

All’interno della presente Deliberazione, il Garante Privacy italiano ha voluto ricordare che la raccolta di informazioni relative all’eventuale stato di sieropositività di un paziente che si rivolge, per la prima volta, ad uno studio medico appare in contrasto con i (fondamentali) principi di pertinenza e non eccedenza, giacché tale attività non può, nemmeno, ricondursi alla necessità di attivare specifiche misure di protezione per il personale sanitario, dato che la normativa di settore (cfr. Legge n. 135 del 5.6.1990) prevede che, stante l’impossibilità di avere certezza sullo stato di sieropositività di un paziente, le misure di protezione devono essere adottate, a prescindere, nei confronti di ogni singolo soggetto assistito.

A conclusione, l’Authority ha aggiunto che gli esercenti le professioni sanitarie possono raccogliere l’informazione relativa all’eventuale presenza di un infezione da HIV solo qualora tale dato anamnestico sia ritenuto dagli stessi necessario in funzione del tipo di intervento sanitario o di piano terapeutico da eseguire sul soggetto interessato.

Linee guida “in tema di referti online” del 19.11.2009 (doc. web n. 1679033).

All’interno delle presenti Linee guida, il Garante Privacy si è occupato della tematica relativa al “referto online”, consistente, in buona sostanza, nella possibilità fornita, ad opera di una struttura sanitaria (pubblica o privata), ad un paziente di accedere, con modalità informatica, al proprio “referto”, inteso come la relazione scritta rilasciata dal medico sul suo stato clinico dopo un esame: nello specifico, la modalità di conoscibilità di un referto viene generalmente realizzata attraverso due modalità: i) ricezione del referto presso la casella di posta elettronica dell’interessato; ii) collegamento al sito internet della struttura sanitaria ove è stato eseguito l’esame clinico al fine di effettuare il download del referto medesimo, previa consegna di apposite credenziali di autenticazione.

Tanto premesso, dato che la refertazione online non sostituisce, ad oggi, le normali (e tradizionali) procedure di consegna di un referto (ma, al più, ha la funzione di anticipare il documento, fornendone un anteprima), al soggetto interessato deve essere consentito di scegliere, in piena libertà, se accedere o meno a tale servizio, garantendogli, di conseguenza, la possibilità di continuare (o ricominciare) a ritirare i referti cartacei presso la struttura sanitaria erogatrice della prestazione: in ragione di ciò, tale trattamento necessita del preventivo consenso del paziente, così come il servizio aggiuntivo consistente nell’archiviazione, presso la struttura sanitaria, di tutti i referti effettuati presso i laboratori della stessa.

In conclusione, l’Authority ha indicato alcune misure di sicurezza tecniche sia per la consultazione online del referto sia per la spedizione dello stesso tramite posta elettronica: in merito al primo aspetto, degno di rilievo è l’indicazione circa una disponibilità limitata nel tempo del referto, preferibilmente non superiore a n. 45 giorni; con riguardo, infine, alla spedizione via email del documento in questione, viene raccomandato che esso venga inserito all’interno di un apposito allegato (e, dunque, non come testo compreso nella body part del messaggio), protetto da un apposita password ovvero da una chiave crittografica resa nota all’interessato tramite canali di comunicazione differenti da quelli utilizzati per la spedizione del referto.

Linee guida per i “trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali” del 24.7.2008 (doc. web n. 1533155).

Con tale documento, l’Authority ha deciso di affrontare il tema della sperimentazione clinica volta a scoprire o verificare gli effetti dei medicinali sperimentali, ivi inclusa qualsiasi reazione avversa, onde così accertarne la sicurezza e l’efficacia. Dopo aver illustrato, in modo esaustivo, il consueto iter di svolgimento di una sperimentazione clinica, il Garante ha precisato, inter alia, quanto segue: i) il codice di identificazione assegnato, ad opera del centro di sperimentazione, al soggetto partecipante a tale attività rappresenta soltanto una specifica cautela a tutela della riservatezza di quest’ultimo, non impedendo, di conseguenza, la sua (indiretta) identificabilità, peraltro eventualmente necessaria per perseguire una serie di finalità, in primis quella di modificare o di interrompere la terapia farmacologica somministrata in caso di eventi o reazioni avverse; ii) il rapporto che intercorre tra il promotore di una sperimentazione clinica ed il centro di elaborazione è qualificabile, in linea generale, come un relazione tra Titolari (autonomi) del trattamento o, al più, come tra co-Titolari del trattamento; di contro, il rapporto tra il primo ed eventuali soggetti esterni a cui vengono affidate alcune attività (es. laboratori di analisi) deve qualificarsi, sempre in linea di principio (e puramente teorica), come un rapporto tra un Titolare ed un Responsabile del trattamento; iii) da ultimo, il perseguimento di tale finalità di trattamento necessita del preventivo consenso dell’interessato.

Provvedimento relativo al “Trattamento di dati sensibili per l’accesso di medici in zone a traffico limitato” del 14.6.2007 (doc. web n. 1424100).

Mediante il Provvedimento di specie, il Garante ha precisato che non risulta rispettosa dei principi a fondamento della normativa sulla protezione dei dati personali (in primis, quello di pertinenza, necessità e proporzionalità) la richiesta, formulata da alcune amministrazioni comunali ai medici privi di un permesso per l’accesso in una ZTL, di comunicare i dati personali relativi alle persone visitate a domicilio in tali aree, ovvero la correlata richiesta di presentare la medesima documentazione in sede di ricorso al Prefetto o al Giudice di Pace competente.

Provvedimento generale intitolato “Informativa: indicazioni per medici di base e pediatri” del 19.7.2006 (doc. web n. 1318699).

In tale occasione, il Garante Privacy italiano ha individuato alcuni elementi essenziali (da integrare in caso di effettuazione di ulteriori e particolari trattamenti: es. attività di sperimentazione clinica; attività di tele assistenza o di tele medicina) che devono essere inseriti all’interno dell’informativa che il medico di medicina generale ovvero il pediatra di libera scelta devono rilasciare (una tantum, mediante l’affissione in un luogo facilmente accessibile ovvero attraverso la riproduzione in carte tascabili con eventuali allegati pieghevoli) al proprio paziente ai fini dello svolgimento delle attività amministrazione e di prevenzione, diagnosi, cura e riabilitazione a tutela della salute o dell’incolumità fisica di un individuo: nello specifico, uno degli elementi essenziali è costituito dalla precisazione che le informazioni sullo stato di salute possono essere rese note ai famigliari o conoscenti dell’interessato soltanto se quest’ultimo ha manifestato un apposito consenso.

Provvedimento generale intitolato “Strutture sanitarie: rispetto della dignità” del 9.11.2005 (doc. web n. 1191411).

All’interno del Provvedimento generale in analisi[9], l’Authority ha deciso di illustrare, in modo dettagliato, le misure di sicurezza organizzative (di carattere supplementare) volte a far sì che le strutture sanitarie garantiscano – nell’erogare prestazioni e servizi per finalità di prevenzione, diagnosi, cura e riabilitazione – il rispetto della dignità dell’interessato, oltre che del segreto professionale.

Le seguenti misure organizzative devono essere adottate da qualsivoglia organismo sanitario pubblico (es. azienda sanitaria locale; azienda ospedaliera) o privato (es. casa di cura) nonché da parte di quelle strutture aventi competenza in materia di prevenzione e sicurezza del lavoro (es. osservatorio epidemiologico regionale):

• Dignità dell’interessato: i) la tutela della dignità personale deve essere garantita nei confronti di tutti i soggetti cui viene erogata una prestazione sanitaria, con particolar riguardo alle fasce deboli (e. disabili fisici o psichici; minori; anziani) e ai soggetti che versano in condizioni di disagio o di bisogno; ii) particolar riguardo deve essere prestato nel rispettare la dignità di pazienti sottoposti a trattamenti medici invasivi o nei cui confronti è comunque doverosa ex lege una particolare attenzione (es. soggetto siero positivo o offeso da un atto di violenza sessuale); iii) nel reparto di rianimazione ove è possibile visitare il degente, devono essere adottati accorgimenti, anche provvisori (es. paravento), che delimitino la visibilità dell’interessato durante l’orario di visita al solo relativo familiare o conoscente; iv) la struttura che intende avvalersi della possibilità che alcune attività vengano effettuate alla presenza di studenti autorizzati deve specificatamente indicarlo all’interno dell’informativa che, appunto, in occasione dell’esecuzione di alcune prestazioni sanitarie possono essere perseguite anche finalità didattiche, oltre che la struttura medesima deve limitare l’eventuale disagio del paziente, a tal uopo riducendo il numero degli studenti presenti e rispettando eventuali e legittime volontà contrarie;

• Riservatezza nei colloqui e nelle prestazioni sanitarie: i) adozione di idonee cautele in relazione allo svolgimento di colloqui, specie con il personale sanitario (es. in occasione di prescrizioni o di certificazioni mediche), al fine di evitare che, in tali occasioni, le informazioni sullo stato di salute dell’interessato possano essere conosciute da terzi soggetti non legittimati; ii) le medesime cautele di cui al precedente punto i) devono essere adottate nei casi di raccolta della documentazione di anamnesi, laddove avvenga in situazioni di promiscuità derivanti dai locali o dalle modalità utilizzate;

• Notizie sulle prestazioni di pronto soccorso: la struttura sanitaria può dare notizia, anche per via telefonica, circa una prestazione di pronto soccorso ovvero può darne conferma, a seguito di una richiesta anche per via telefonica: tuttavia, la notizia o la conferma devono essere fornite correttamente ai soli terzi legittimati (es. familiari, parenti o conviventi), e tali informazioni devono riguardare soltanto la circostanza che è in atto o si è svolta una prestazione di pronto soccorso, e non devono, quindi, contenere informazioni più dettagliate sullo stato di salute (peraltro, l’interessato, se cosciente e capace, deve essere previamente informato dall’organismo sanitario (es. in fase di accettazione), e posto in condizione di fornire indicazioni circa i soggetti che possono essere informati della prestazione di pronto soccorso);

• Dislocazione dei pazienti nei reparti: l’interessato, cosciente e capace, deve essere informato e posto in condizione (es. all’atto del ricovero) di fornire indicazioni circa i soggetti che possono venire a conoscenza del ricovero e del reparto di degenza, con esclusione, come accade nell’ipotesi della prestazione di pronto soccorso, delle informazioni sullo stato di salute, a meno che l’interessato medesimo o un altro soggetto legittimato (es. in caso di impossibilità fisica, incapacità di agire o di intendere o di volere) abbia fornito un apposito consenso;

• Distanza di cortesia: le strutture sanitarie devono predisporre apposite distanze di cortesia in tutti i casi in cui si effettua un trattamento di dati sanitari (es. operazione di sportello, acquisizione di informazioni sullo stato di salute), nel rispetto dei canoni di confidenzialità e di riservatezza;

• Ordine di precedenza e di chiamata: i) all’interno dei locali di una struttura sanitaria, l’erogazione di una prestazione sanitaria o l’espletamento dei relativi adempimenti amministrativi che richiede un periodo di attesa (es. in caso di analisi cliniche) deve fondarsi su una soluzione che preveda un ordine di precedenza e di chiamata dei soggetti interessati che prescinda dalla loro individuazione nominativa (es. grazie ad un codice (alfa) numerico), fornito al momento della prenotazione o dell’accettazione), ad eccezione del colloquio tra l’interessato ed il personale medico (o amministrativo), e fatta salva l’ipotesi di urgenza o di necessità ove l’eventuale chiamata non nominativa possa pregiudicare la prestazione medica da eseguire; ii) non risulta giustificata l’affissione di liste di pazienti nei locali destinati all’attesa o comunque aperti al pubblico, con o senza la descrizione del tipo di patologia sofferta o di intervento effettuato o ancora da erogare; iii) parimenti, non bisogna rendere facilmente visibili a terzi soggetti non legittimati i documenti riepilogativi delle condizioni cliniche di un soggetto interessato (es. cartella infermieristica posta in prossimità del letto di degenza);

• Correlazione tra paziente e reparto o struttura: adozione di specifiche procedure volte a prevenire che soggetti estranei possano evincere, in modo esplicito, l’esistenza di uno stato di salute di un paziente, attraverso la semplice correlazione tra la sua identità e l’indicazione della struttura o del reparto presso cui si è recato o è stato ricoverato;

• Regole di condotta per i soggetti autorizzati al trattamento: è necessario che i soggetti autorizzati al trattamento dei dati sanitari, tuttavia non tenuti ex lege al segreto professionale (es. personale tecnico ed ausiliario), siano sottoposti a regole di condotta analoghe (cfr. art. 10 del Codice di Deontologia Medica);

• Comunicazione dei dati al soggetto interessato: i) gli esercenti le professioni sanitarie e gli organismi sanitari sono tenuti a comunicare all’interessato informazioni sul suo stato di salute solo per il tramite di un medico (anche individuato dal Titolare del trattamento) o di un altro esercente le professioni sanitarie che, nello svolgimento dei propri compiti, intrattenga rapporti diretti con il paziente (es. infermiere); ii) altresì, la consegna a terzi soggetto di documenti contenenti dati idonei a rivelare lo stato di salute del soggetto interessato deve avvenire previa esibizione di una delega scritta e mediante la consegna in una busta chiusa.

Provvedimento generale sui diritti di “pari rango” del 9.7.2003 (doc. web n. 29832).

All’interno di questo Provvedimento generale, l’Authority sulla protezione dei dati personali ha affrontato la questione relativa alla richiesta, ad opera di soggetti cd. terzi (da intendersi quei soggetti differenti dal delegato dell’interessato ovvero, in caso di decesso di quest’ultimo, da chi ha un interesse proprio o agisce a tutela dell’interessato medesimo o per ragioni familiari meritevoli di protezione), di accesso (di presa visione, e di estrazione di una copia) ad atti e documenti contenenti dati personali idonei a rivelare lo stato di salute (e/o la vita o orientamento sessuale), informazioni soggette, per natura, ad una speciale protezione.

In merito, è stato precisato che tali informazioni sensibili possono essere trattate per: i) esercitare il diritto di accesso ai documenti amministrativi, previsto dalla Legge n. 241/1990; ii) far valere o difendere un diritto in giudizio, a condizione, tuttavia, che il diritto in questione sia di “pari rango” a quello dell’interessato, il cui parametro di raffronto non consiste nel diritto di difesa (costituzionalmente garantito)  ma nello specifico diritto che il terzo soggetto intende far valere sulla base del materiale documentale che chiede di conoscere, il quale è considerato, appunto, di “pari rango” solo se fa parte dei diritti della personalità o è compreso tra altri diritti o libertà fondamentali ed inviolabili[10].

Da ultimo, in relazione a quest’ultimo aspetto, occorre, tuttavia, evidenziare che l’art. 60 del vigente Codice Privacy è stato oggetto di una profonda revisione ad opera del D.Lgs. n. 101/2018, ove è stata eliminata, inter alia, la caratteristica di “inviolabilità” del diritto o libertà da qualificarsi come di “pari rango”[11].

La descritta disposizione normativa deve, infine, essere letta in combinato disposto con l’art. 92 comma 2) del Codice Privacy[12], il quale, seppur lievemente revisionato dal D.Lgs. n. 101/2018, dispone, quanto segue, in relazione alla cartella clinica[13]: “Eventuali richieste di presa visione o di rilascio di copia della cartella clinica e dell’acclusa scheda di dimissione ospedaliera da parte di soggetti diversi dall’interessato possono essere accolte, in tutto o in parte, solo se la richiesta è giustificata dalla documentata necessità: a) di esercitare o difendere un diritto in sede giudiziaria ai sensi dell’articolo 9, paragrafo 2), lettera f), del Regolamento, di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale; b) di tutelare, in conformità alla disciplina sull’accesso ai documenti amministrativi, una situazione giuridicamente rilevante di rango pari a quella dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale”.

[1] Espone una definizione decisamente ampia, grazie all’indicazione di una serie di ipotesi esemplificative.

[2] Come indicato nel Considerando n. 53) del GDPR, i dati relativi alla salute meritano una protezione più elevata, in quanto l’uso di tali dati sensibili può avere ripercussioni negative per i soggetti interessati.

[3] Cfr. Linee Guida n. 3/2020 dell’EDPB.

[4] Cfr. F.A.Q. della CNIL del 17.7.2018.

[5] Cfr., in merito, ex multis: Provvedimento del 23.10.2014 (doc. web n. 3570631), e del 22.10.2015 (doc. web n. 4449114).

[6] Il DSE differisce dalla compilazione e tenuta della cartella clinica, da intendersi come lo strumento informativo individuale finalizzato a rilevare tutte le informazioni anagrafiche e cliniche significative relative ad un paziente e ad un singolo episodio di ricovero.

[7] Il consenso è espressione del principio di autodeterminazione del soggetto interessato: cfr. al riguardo, Documento di Lavoro n. 131/2007 del WP 29.

[8] In merito, preme segnalare la sussistenza, altresì, del “patient summary” (o profilo sanitario sintetico), il quale è il documento socio sanitario informatico redatto ed aggiornato dal MMG/PLS, che riassume la storia clinica dell’interessato, al fine di facilitare la continuità di cura mediante il rapido inquadramento del paziente al momento di un contatto con il servizio sanitario nazionale.

[9] Fondato sugli artt. 83 e 84 del previgente Codice Privacy, i quali, benché abrogati dal D.Lgs. n. 101/2018, sono stati dichiarati comunque compatibili al GDPR ai sensi dell’art. 22 comma 11 del D.Lgs. n. 101/2018 sino all’avvenuta adozione delle misure di garanzia ex art. 2 septies del vigente Codice Privacy (cfr. Relazione 2018 del Garante Privacy, pag. 75).

[10] A tal riguardo, il Garante Privacy ha aggiunto quanto segue: “La valutazione sull’istanza di accesso o di comunicazione non deve essere circoscritta al raffronto fra i diritti coinvolti, ma deve basarsi anche sull’ulteriore verifica volta ad appurare – anche ai fini dell’accoglimento solo parziale dell’istanza – se i dati o tutti i dati personali idonei a rivelare lo stato di salute o la vita sessuale oggetto di richiesta siano effettivamente “necessari” al fine di far valere o difendere gli equivalenti diritti in sede contenziosa”.

Oltre a ciò, l’Authority ha precisato che: “Ciò comporta ad esempio che nella prevalenza dei casi riguardanti meri diritti di credito non sia possibile accogliere l’istanza di accesso o di comunicazione, e che si possa invece valutare, con cautela, caso per caso, l’effettiva necessità di consentire l’accesso ad una cartella clinica – prima della sua probabile acquisizione su iniziativa del giudice – in caso di controversia risarcitoria per danni ascritti all’attività professionale medica documentata nella cartella”.

[11] Grazie a tale modifica è stata potenziata la portata dell’art. 4 della Legge n. 24 del 8.3.2017 (cd. Legge Gelli-Bianco).

[12] Da leggere eventualmente assieme al successivo art. 93 comma 2) (“Il certificato di assistenza al parto o la cartella clinica, ove comprensivi dei dati personali che rendono identificabile la madre che abbia dichiarato di non voler essere nominata avvalendosi della facoltà di cui all’articolo 30, comma 1, del decreto del Presidente della Repubblica 3 novembre 2000, n. 396, possono essere rilasciati in copia integrale a chi vi abbia interesse, in conformità alla legge, decorsi cento anni dalla formazione del documento) e comma 3) (“Durante il periodo di cui al comma 2 la richiesta di accesso al certificato o alla cartella può essere accolta relativamente ai dati relativi alla madre che abbia dichiarato di non voler essere nominata, osservando le opportune cautele per evitare che quest’ultima sia identificabile”).

[13] Cfr. Linee guida del Ministero della salute del 17.6.1992: “La cartella clinica costituisce lo strumento informativo individuale finalizzato a rilevare tutte le informazioni anagrafiche e cliniche significative relative ad un paziente e ad un singolo episodio di ricovero. Ciascuna cartella clinica ospedaliera deve rappresentare l’intero episodio di ricovero del paziente nell’istituto di cura: essa, conseguentemente, coincide con la storia della degenza del paziente all’interno dell’ospedale. La cartella clinica ospedaliera ha così inizio al momento dell’accettazione del paziente in ospedale, ha termine al momento della dimissione del paziente dall’ospedale e segue il paziente nel suo percorso all’interno della struttura ospedaliera”.