Pagina pubblicata tra il 1995 e il 2013
Le informazioni potrebbero non essere più valide
Documenti e testi normativi non sono aggiornati

 

 Tutela dei dati personali - Legge 675/96

Disposizioni per garantire la riservatezza dei dati personali in ambito sanitario
Prima analisi del decreto legislativo 282/99
di Luca-M. de Grazia e Silvia Ottaviano - 07.10.99

Da tempo si attendeva, in materia di dati inerenti la salute, questo decreto legislativo che, in attuazione della legge 6 ottobre 1998 n. 344, avrebbe dovuto prevedere, entro il 31 luglio 1999, alcune norme integrative riguardanti i dati sensibili, anche in attuazione delle raccomandazioni adottate in materia dal Consiglio d'Europa.
Il Decreto è quindi alla fine arrivato il 30 luglio 1999, n. 282, ad un passo dallo scadere del termine ed ha apportato alcune modifiche alla legge 675/96, soprattutto in tema di semplificazione del procedimento di richiesta dell'autorizzazione al Garante dei dati personali per il trattamento dei dati sulla salute.
Inoltre il suddetto decreto inserisce una procedura particolare per gli organismi sanitari pubblici e gli organismi in regime di convenzioni o accreditamento con il Servizio sanitario nazionale.

Per inquadrare in termini generali il problema va ricordato che questi dati (cioè quelli concernenti la salute) sono definiti dalla legge 675/96 come "sensibili", in quanto formano una categoria particolarmente delicata di informazioni che riguardano la sfera personale del soggetto.
I dati sensibili sono ad esempio quelli che danno informazioni circa le opinioni politiche, le origini etniche, le convinzioni religiose, la vita sessuale di un individuo e anche il suo stato di salute.
Ovviamente, data la particolarità delle informazioni, il regime previsto per il loro trattamento e la loro diffusione è diverso e più ferreo rispetto ai cd. dati "non sensibili", ed ulteriormente diverso è poi a seconda dei soggetti che rivestono la qualifica di titolari del trattamento, pubblici e privati.

Tornando ora al decreto in questione esso va sostanzialmente a modificare l'art. 23 della legge 675/96, che si riferisce proprio ai dati riguardanti la salute, in tema di informativa e consenso; infatti dopo il comma 1 dell'articolo, che si riferisce alla possibilità per gli esercenti le professioni sanitarie e per gli organismi sanitari pubblici di trattare i dati anche senza la prescritta autorizzazione del Garante per i dati personali, per finalità di tutela dell'incolumità fisica e della salute dell'interessato, è stato inserito un ulteriore comma 1 bis:"..sono individuate modalità semplificate per le informative di cui all'art. 10 e per la prestazione del consenso nei confronti di organismi sanitari pubblici, di organismi sanitari e di esercenti le professioni sanitarie convenzionati o accreditati dal Servizio sanitario nazionale, nonché per il trattamento dei dati da parte dei medesimi soggetti.".

Come si evince chiaramente dal testo dell'articolo 2, la vera novità di fondo del decreto è proprio la semplificazione di tutto l'iter di richiesta e di trattamento dei dati inerenti la salute, quando ad effettuarli sono organismi sanitari all'uopo preposti.
Il legislatore ha evidentemente risolto il problema di contemperare il diritto alla riservatezza del soggetto per quanto riguarda i suoi dati sensibili e l'esigenza di celerità della conoscenza degli stessi da parte di organismi a ciò preposti dalla legge per finalità anche di pubblico interesse, nel netto favore per questi ultimi.

Non sembra più configurabile così il cosiddetto "diritto all'oblio" per l'interessato, contenuto all'inizio essenziale della legge sulla privacy, perché quando si fa in qualche modo questione di interessi che vanno al di là della mera individualità del soggetto, le garanzie che normalmente sono apprestate dall'ordinamento vengono a diminuire.
È però anche vero che l'individuo non viene completamente lasciato senza tutela in quanto sono comunque previste a suo carico delle garanzie, solo che l'esigenza di rendere più fluido e celere il procedimento di raccolta dei dati sanitari è ritenuto preminente.

Subito dopo, alle lettere a), b), c), d) e) sono indicati i criteri semplificativi del procedimento che ruotano tutti intorno alla figura del medico di medicina generale dell'interessato:

"a) previsione di informative effettuate da un unico soggetto, in particolare da parte del medico di medicina generale scelto dall'interessato, per conto di più titolari di trattamento;

b) validità, nei confronti di più titolari di trattamento, del consenso prestato ai sensi dell'art. 11, comma 3, per conto di più titolari di trattamento, anche con riguardo alla richiesta di prestazioni specialistiche, alla prescrizione di farmaci, alla raccolta di dati da parte del medico di medicina generale detenuti da altri titolari, e alla pluralità di prestazioni mediche effettuate da un medesimo titolare di trattamento;

c) identificazione di casi di urgenza nei quali, anche per effetto delle situazioni indicate nel comma 1-ter, l'informativa e il consenso possono intervenire successivamente alla richiesta della prestazione;

d) previsione di modalità di applicazione del comma 2 del presente articolo ai professionisti sanitari, diversi dai medici, che intrattengono rapporti diretti con i pazienti;

e) previsione di misure volte ad assicurare che nell'organizzazione dei servizi e delle prestazioni sia garantito il rispetto dei diritti di cui all'art. 1".

Lettera a)
Particolari problemi interpretativi non sembra porli la lettera a), in quanto si fa menzione delle informative che sono effettuate per il tramite del medico di medicina generale scelto dall'interessato; anche qui è quindi ribadita la necessità, peraltro inserita anche nel comma 2 dell'articolo in esame, che vi sia il filtro del medico generale per tutti i contatti tra interessato e responsabile del trattamento dei dati.

Rimane il problema del coordinamento di fatto tra medico "generale" e specialista; in effetti la normativa richiamata si applica soltanto nei casi in cui il paziente si rechi prima dal medico generico e dopo dallo specialista; nel caso in cui si rechi direttamente dallo specialista la 675/96 si applicherebbe nel "vecchio" stile ossia le semplificazioni apportate dal decreto non dovrebbero essere applicabili.
Ciò vuol dire, ad esempio che in caso di più titolari di trattamento sarà sempre dovuta la prestazione del consenso dell'interessato volta per volta ed in questo caso lo specialista non potrà, ad esempio svolgere quella funzione di "mediatore" al pari del medico generale.
Ora, a modesto parere di chi scrive, questa che forse deve essere interpretata come una mera dimenticanza del legislatore, rischia di vanificare la portata semplificativa del decreto, in quanto appare fortemente probabile che casi di questo genere saranno all'ordine del giorno.

Perché allora, viene spontaneo chiedersi, non si è pensato di estendere la portata del decreto a tutti gli esercenti le professioni sanitarie, invece di limitarsi a prevedere una disciplina particolare solo per una categoria di medici?
È vero sì che il risalto attribuito al rapporto di fiducia tra il medico ed il paziente appare coerente con gli orientamenti espressi anche dal codice deontologico medico del giugno 1995, ma non si vede il motivo per cui la categoria degli specialisti ne debba rimanere fuori.

Lettera b)
Forti problemi interpretativi li pone invece la lettera b), in quanto sembra che qui la chiarezza non abbia assistito il legislatore.
Quale il concetto che si voleva esplicitare ?
Il testo è quanto mai nebuloso, e consente diverse interpretazioni a seconda dell'ottica in cui ci si pone; se infatti si parte dal presupposto che l'intento del legislatore sia stato quello di semplificare al massimo le procedure atte ad ottenere il consenso dell'interessato al trattamento dei suoi dati sanitari, allora tutto l'articolo dovrebbe essere interpretato nel senso che è sufficiente che il soggetto manifesti il suo consenso al medico generale perché questo si intenda validamente prestato in generale nei confronti di tutti quei soggetti1, ai quali il decreto si riferisce, senza la necessità di reiterazioni successive.

Ma in questo modo, non si rischia però di svilire troppo le garanzie che dovrebbero essere prestate dalla legge 675/96 all'interessato, che, una volta prestato il suo consenso non può più sapere quanti soggetti, pubblici e privati, trattino i suoi dati?
In questo caso assurgerebbe sicuramente ad un valore ancora maggiore la c.d. "informativa", che sostanzialmente è il documento contenente gli scopi per cui i dati sono forniti; per poter correttamente applicare la norma in esame, appare abbastanza evidente come l'informativa fornita dal medico di base debba essere molto analitica e completa, proprio per non incorrere nelle sanzioni della legge e per non svuotare completamente il contenuto della norma.
E non si rischia allo stesso modo di dare troppo potere alla figura del medico generale, legato sì da un rapporto di fiducia al paziente, ma reso quasi come l'unico "arbitro" nel dispensare i suoi dati?
Se invece non è questa l'interpretazione esatta, si deve ritenere corretta la procedura che impone per ogni titolare di trattamento di richiedere tramite il medico di medicina generale, il consenso di volta in volta specifico per il trattamento dei dati? E se è così, dove sta allora la semplificazione affermata nell'art. 2 del decreto?

Lettere c), d) ed e)
La lettera c) prende in considerazione i casi di urgenza in cui per ovvie ragioni il consenso può anche essere manifestato successivamente; la lettera d) estende la normativa in esame anche ai professionisti diversi dai medici che intrattengano rapporti con i pazienti e la lettera e) richiama l'attenzione sulle finalità di tutta la disciplina, tesa ad assicurare una più celere tutela della salute dell'interessato, laddove procedure troppo lunghe e complicate risulterebbero solo perdite di tempo prezioso.

Continuando l'esame del decreto, gli articoli 1-ter e 1-quater si riferiscono rispettivamente ai limiti che gli organismi pubblici devono comunque osservare nel rendere pubblici - quindi conoscibili da chiunque, senza alcun tipo d limitazione - i dati sulla salute dei cittadini: sono infatti consentite le sole operazioni strettamente pertinenti e necessarie in relazione alle finalità perseguite nei singoli casi; naturalmente anche in questo caso rimane il problema della definizione "dinamica" del limite.
Individuare quali siano le operazioni strettamente pertinenti e necessarie in mancanza di norme esplicite rimane una fatica invero assai improba, anche perché - come ho scritto in un altro articolo (I procedimenti para giurisdizionali innanzi alle Authority - ISSN: 1127-8579) - non è ancora stata correttamente individuata la funzione e la portata "giurisprudenziale" delle pronunzie del Garante.

L'articolo 1-quater si riferisce invece alla possibilità da parte dei soggetti che esercitano legalmente la tutela sulle persone incapaci di agire, o incapaci di intendere e di volere, di manifestare al loro posto il consenso al trattamento dei dati ai responsabili:
"1 ter: il decreto di cui al comma 1 disciplina anche quanto previsto dall'art. 22, comma 3 bis, della legge".
"1 quater: in caso di incapacità di agire, ovvero di impossibilità fisica o di incapacità di intendere o di volere, il consenso al trattamento dei dati idonei a rivelare lo stato di salute è validamente manifestato nei confronti di esercenti le professioni sanitarie e di organismi sanitari, rispettivamente, da chi esercita legalmente la potestà ovvero da un familiare, da un prossimo congiunto, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimori".

L'art. 4 del decreto inserisce invece una normativa nuova questa volta in tema di prescrizioni mediche; con esso si affida ad un decreto del Ministro della Sanità, da adottarsi entro sei mesi, il compito di individuare i medicinali, che non prevedono un contributo statale, per i quali non sono richieste le indicazioni riguardo le generalità dell'interessato.
Resta così da vedere, quando il decreto sarà emanato, quale criterio verrà seguito.
Per i medicinali che prevedono un contributo anche parziale a carico del Servizio sanitario nazionale, invece, si stabilisce la redazione di un apposito modello, che permetterà di risalire all'interessato solo in caso di necessità connesse al controllo della correttezza della prescrizione, ovvero a fini di verifiche amministrative o per scopi epidemiologici e di ricerca.

L'art. 5 del decreto in tema di ricerca medica ed epidemiologica, consente il trattamento dei dati idonei a rilevare lo stato di salute anche senza il consenso dell'interessato, ma solo quando la ricerca sia prevista con una espressa previsione di legge o rientri nel programma di ricerca biomedica o sanitaria di cui all'art. 12-bis del 30 dicembre 1992, n. 502 "Riordino della disciplina in materia sanitaria, a norma dell'articolo 1 della legge 23 ottobre 1992, n. 421".
La norma è ovviamente in linea con l'esigenza di fondo che traspare da tutta la normativa in materia di privacy, ossia, il soggetto è tutelato fino al momento in cui non sorgano interessi superindividuali necessariamente preminenti.

L'art. 6, infine, inserisce la sperimentazione delle carte sanitarie elettroniche per le quali sono previste informative ai sensi dell'art. 10 legge 675/96 e nelle quali l'interessato può rifiutarsi di inserire i dati idonei a rilevare il suo stato di salute e che eccedano i dati relativi alla gestione amministrativa o a situazioni di interventi di urgenza:
2 - Gli interessati possono opporsi all'inserimento nelle carte di cui al comma 1 dei dati idonei a rivelare lo stato di salute che li riguardano e che eccedano i dati relativi alla gestione amministrativa e alle situazioni di interventi di urgenza, quali definiti a livello internazionale.
3 - Il decreto del Ministro della sanità di cui all'articolo 2, comma 1, del decreto legge 28 dicembre 1998, n. 4502, convertito con modificazioni, dalla legge 26 febbraio 1999, n. 39, determina anche, tra le altre garanzie previste dall'articolo 6, comma 4, del decreto legislativo 29 aprile 1998, n. 124, le categorie di incaricati delle aziende sanitarie locali e di operatori sanitari che possono accedere alle diverse categorie di dati inseriti nelle carte, nonché le categorie professionali tenute ad inserire i dati e il periodo massimo entro i quali i dati devono essere aggiornati."

Non rimane quindi che aspettare e vedere, in questo caso, come alla fine andrà ad operare questa disposizione che prevede una sperimentazione di queste "carte sanitarie"; certo è che già adesso, fermandosi anche solo ad una prima lettura, alcuni dubbi si pongano in merito.
E' appena il caso di notare come la normativa sulle c.d. "carte sanitarie" vada poi integrata con quella relativa al c.d. "documento elettronico" di cui al DPR 513/97 ed alle regole tecniche, approvate con DPCM dell'8.2.1999; il quesito che occorre porsi in prima battuta è: come sarà possibile effettuare dei controlli "effettivi" sui dati inseriti, vista la potenziale enorme quantità di dati stessi e la "non fisicità" di tali dati?

Per tornare all'articolo in esame, oltre al fatto di essere particolarmente "complicata" come norma, dati i sovrabbondanti riferimenti a leggi, decreti e modifiche che sono inseriti e che portano l'interprete a cimentarsi in un complicato gioco di scatole cinesi alla scoperta dei testi fondamentali da considerare, alcune indicazioni risultano completamente oscure.
Come intendere, infatti, il riferimento alla normativa internazionale? Prima di tutto, infatti, non soltanto non si esplicita quale tipo di normativa si intenda, direttive3, raccomandazioni o quant'altro ma non si danno nemmeno riferimenti al povero interprete che voglia conoscere la materia; anche il c.d. "Codice deontologico medico" non è certamente di sempre facile reperibilità per il "cittadino comune", anche se ultimamente è stato reso disponibile in rete .

Come possono allora gli interessati opporsi all'inserimento dei loro dati sanitari nelle carte se non sanno quale è il loro parametro di riferimento?
Anche qui, allora si deve attendere fiduciosi in un chiarimento del legislatore, ovvero della magistratura ordinaria.

-------------------------------------------------------------------------------------

1) Ipotesi probabilmente preferibile alla luce di una interpretazione letterale della norma

2) Art. 2, comma 1 , del decreto - legge28 dicembre 1998, n. 450: Disposizioni per assicurare interventi urgenti di attuazione del Piano sanitario nazionale 1998-2000. "Il Ministro della sanità, ferme restando le competenze delle regioni di cui all'articolo 6, comma 2, lettera b), del decreto legislativo 29 aprile 1998, n. 124, è autorizzato ad individuare, con proprio decreto, d'intesa con la Conferenza permanente per i rapporti fra lo Stato, le regioni e le province autonome di Trento e di Bolzano con le modalità e le procedure di cui all'articolo 2, comma 10, della legge 15 maggio 1997, n. 127, come modificata dalla legge 16 giugno 1998, n. 191, in ordine alle caratteristiche della carta di identità e di altri documenti di riconoscimento muniti di supporto magnetico o informatico, le specifiche tecniche, le progettazioni e le procedure finalizzate alla realizzazione della tessera sanitaria di cui all'articolo 59, comma 50, lettera i), della legge 27 dicembre 1997, n. 449. Per la progettazione e l'adozione, in via sperimentale, della tessera sanitaria è autorizzata la spesa di lire 30.000 milioni, di lire 81.000 milioni e di lire 50.000 milioni, rispettivamente, per gli anni 1998, 1999 e 2000. 4".

3) E' appena il caso di notare che, lessicamente, si dovrebbe intendere il riferimento citato soltanto ai c.d. "regolamenti comunitari" in quanto soltanto tale "normativa" si applica direttamente ai rapporti interpersonali; infatti, come sappiamo, le direttive si applicano soltanto ai rapporti tra Stati, e non direttamente ai rapporti tra i cittadini degli stessi Stati.