“ Le novità
in materia di protezione dei dati
personali
con particolare riferimento alla
Sanità “
Intervento effettuato
dall’On. Prof. Gaetano Rasi
Garante per la protezione dei
dati personali
al Convegno “Sanità e
Sicurezza”
organizzato da ItaSForum
Centro
Congressi Cariplo
Milano, 18 marzo 2004
Gaetano Rasi
Garante per la
protezione dei dati personali
Le novità
in materia di protezione dei dati personali
con particolare riferimento alla Sanità
Sommario
Sintesi
1.
Premessa
2.
Il
quadro di riferimento alla Sanità nel Codice in materia di protezione dei dati
personali (d.lg. 30 giugno 2003, n.
196)
3.
Le
premesse al trattamento
3.1
–
L’informativa: “da chi” e modalità
3.2
- Il
consenso: semplificazioni e modalità di acquisizione
3.3
– Le
misure di carattere organizzativo: una grande innovazione per le garanzie dei cittadini
3.4
– Le
modalità di comunicazione dei dati sanitari all’interessato
4.
Il
nuovo assetto normativo alla luce del decreto-legge n. 10/2004
5.
Le
ricette mediche
5.1
– Le
modifiche del nuovo Codice
5.2
- Le
problematiche per il monitoraggio centralizzato della spesa sanitaria (art. 50,
Legge 269/03)
SINTESI
Dal 1° gennaio 2004 è entrato in vigore il nuovo
Codice in materia di protezione dei dati personali. Il nuovo Codice riunisce la
normativa in precedenza contenuta nella Legge n. 675 del 1996 e successive
modificazioni e integrazioni.
Le principali novità introdotte dalla nuova
normativa sono le seguenti:
il consenso
al trattamento dei dati da parte del cittadino può essere manifestato, anziché
con un atto scritto dell'interessato, anche oralmente. In tal caso il medico
dovrà provvedere ad annotare il consenso. Per i trattamenti iniziati prima del
1° gennaio 2004 (cioè per i pazienti già in cura), la raccolta del consenso può
avvenire anche in occasione del primo contatto utile con l'interessato, ma al
più tardi entro il 30 settembre 2004. Purtroppo con un recentissimo emendamento
tale moratoria sarà abrogata. Il consenso reso al medico di famiglia, al pediatra
di libera scelta o all'organismo sanitario vale anche, oltre che per i
sostituti, per altri professionisti individuabili in base alla prestazione (ad
esempio, il farmacista). Si possono organizzare in modo analogo anche gli organismi societari, per la pluralità di
trattamenti a fini di salute erogati da più strutture ospedaliere o
territoriali, come pure per distinti reparti e unità dello stesso organismo
sanitario.
Il consenso deve essere preceduto da una informazione
semplificata al cittadino che deve essere fornita preferibilmente per iscritto,
anche attraverso carte tascabili con eventuali allegati pieghevoli, includendo
gli elementi informativi previsti dall'art. 13 del nuovo Codice. L'informativa
semplificata va invece integrata anche
oralmente in relazione a particolari caratteristiche del trattamento, ad
esempio in caso di sperimentazioni cliniche.
E' necessario adottare soluzioni volte a rispettare la riservatezza e la dignità degli utenti, in relazione a
prestazioni sanitarie o adempimenti amministrativi preceduti da un periodo di
attesa all'interno delle strutture sanitarie. In pratica la chiamata degli
interessati deve prescindere dalla loro individuazione nominativa. E' tenuto ad
osservare l'obbligo di riservatezza anche il personale che non è sottoposto al
segreto professionale.
Le nuove ricette di
prescrizione di farmaci a carico del SSN entreranno in vigore il 1° gennaio
2005, mentre già dal 1° gennaio 2004 le prescrizioni di farmaci ripetibili
(art. 83.2.a) non a carico del SSN, non devono riportare le generalità
dell'assistito, a meno che il medico non ritenga che ciò sia indispensabile per
particolari condizioni del paziente o per speciali modalità di preparazione o
di utilizzazione del farmaco. Valuteremo, ovviamente, la diversa soluzione
prospettata in un emendamento che – approvato al Senato – darebbe rilievo alla
richiesta dell’interessato.
Sono
state rafforzate le misure minime di
sicurezza per conservare i dati, siano essi in formato digitale o
cartaceo. Alle precauzioni già previste dalla normativa precedente (password,
codici identificativi, antivirus, ecc.), se ne aggiungono altre che devono
essere adottate entro il 30 giugno 2004 (password di non meno di otto
caratteri, autenticazione informatica, sistemi di cifratura, procedure per il
ripristino dei dati, documento programmatico, ecc.)
1. PREMESSA
Credo
che una prima riflessione debba riguardare l’aspetto costitutivo dell’Autorità per la protezione
dei dati personali la quale non è soltanto una Istituzione indipendente – con
tutto quello che comporta il concetto di indipendenza dal potere esecutivo, da
quello legislativo e da quello giudiziario – ma è anche un ordinamento
giuridico.
Per
ordinamento giuridico si intende un sistema di norme che determinano autonomia
operativa e capacità di autoregolamentarsi.
E’
nota la teoria di Santi Romano, un grande giurista del secolo scorso, circa
l’esistenza di una pluralità di
ordinamenti giuridici particolari, i quali esistono e sono autonomi pur
nell’ambito di un ordinamento giuridico generale.
Ciascun
ordinamento giuridico particolare in una qualche misura è sovrano al suo
interno, ma condivide i principi fondanti dell’ordinamento giuridico generale
il quale, ovviamente, ha una sovranità completa, sovraordinata, ma non invasiva
della sovranità degli ordinamenti particolari di cui rispetta l’indipendenza di
autoregolamentazione e di giudizio anzi, la tutela e garantisce.
Secondo
un giurista italiano, il Modugno, l’espressione “diritto della privacy” – il quale spesso è considerato sinonimo di
diritto alla riservatezza – è imperfetto e non traduce il concetto per cui la
tutela della riservatezza è strumentale rispetto al fine ultimo che è quello
della tutela della dignità della
persona umana.
Del
pari, la tutela della identità è un aspetto certamente fondante, ma fa sempre
parte della tutela della dignità della persona.
Si
può dire, insomma, che la tutela dei dati personali costituisca “una
costellazione di diritti avente una connessione di finalità.
Nel
nuovo Codice, all’art. 2, viene ripresa la dizione dell’art. 1 della Legge 675
sotto il titolo “Finalità”.
Vi
si dice che “il presente Testo Unico, di
seguito denominato Codice, garantisce che il trattamento dei dati personali si
svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della
dignità dell’interessato, con particolare riferimento alla riservatezza,
all’identità personale ed al diritto alla protezione dei dati personali”.
Appare
chiaro, dunque, quanto affermato in precedenza; che i tre elementi della riservatezza,
dell’identità e della protezione sono le caratteristiche essenziali dalle
quali derivano le modalità in cui si debba esplicare ogni trattamento dei dati
personali al fine di non intaccare i diritti e le libertà personali che sono
valori fondanti di natura costituzionale.
La
materia riguardante la protezione dei dati personali entra nel Diritto
Costituzionale italiano come trasposizione dal Diritto europeo, a seguito del
recepimento di due Direttive: la n. 46 del 1995, specifica sulla protezione dei
dati, e la n. 58 del 2002 sulla riservatezza nelle comunicazioni
elettroniche. A queste due fondamentali
Direttive si è aggiunta – in tema di sicurezza delle reti e dell’informazione –
la Risoluzione del Consiglio dell’Unione Europea del 18 febbraio 2003.
Il
legislatore italiano, nell’adeguarsi al quadro normativo dell’Unione Europea
nonché ai principi della Carta del cittadino europeo (che assumeranno una
connotazione più solenne nella nuova Costituzione europea) ha dato cittadinanza
nell’ordinamento al diritto per chiunque alla protezione dei dati personali che
lo riguardano ed ha introdotto il “principio
di necessità” per il quale i dati personali o identificativi possono essere
utilizzati solo se indispensabili per il raggiungimento delle finalità desiderate.
Ho
ritenuto di partire dalle premesse suddette in quanto la materia trattata in
questo incontro è intrisa proprio dai principi esposti all’art. 2 del Codice in
materia di protezione dei dati personali, entrato in vigore il 1° gennaio 2004
(DL.vo 196).
Senza
aver questa consapevolezza sarebbe difficile comprendere la normativa
riguardante il Titolo V della parte II del nuovo Codice relativa ai Trattamenti dei dati personali in ambito
sanitario.
2.
IL QUADRO DI RIFERIMENTO
nel Codice in materia di protezione dei dati personali
(d.lg. 30 giugno 2003, n. 196)
L’art.
75 specifica proprio fin dal titolo che si tratta di "trattamento dei dati personali in ambito sanitario".
E’
importante sottolineare questo aspetto perché il precedente D.L.vo 282 faceva riferimento
al solo trattamento dei dati sulla salute. E’ evidente che i dati in ambito
sanitario trattano anche i dati sulla salute, ma deve anche essere chiaro che i
dati sulla salute possono essere trattati pure al di fuori dell’ambito
sanitario, ossia al di fuori dell’esercizio della professione sanitaria (medici generici, specialisti) e delle
strutture sanitarie (infermieri, laboratori di analisi ed altro) per ragioni di
studio, di ricerca, di statistica, ecc., ossia per ragioni diverse dalla cura,
prevenzione o riabilitazione del paziente.
Quindi,
il nuovo Codice in questo Titolo V si limita ai dati personali sulla salute trattati
specificatamente in ambito sanitario e non - ripeto – in maniera generale ai dati sulla
salute che possono essere trattati in ambienti differenti come un “comune”
Ministero.
Quali
sono i dati idonei a rilevare lo stato della salute trattati in ambito
sanitario?
Ovviamente
sono quelli che riguardano – al di là di quelli relativi all’identità del
paziente – la sintomatologia, le anamnesi, le diagnosi, le prescrizioni
farmacologiche e tutte le analisi cliniche.
Il
trattamento di tali dati richiede il “consenso informato” da parte del
paziente.
L’art.
76, prevede appunto che gli esercenti le professioni sanitarie e gli organismi
sanitari pubblici possano trattare dati riguardanti la salute, sulla base delle
seguenti modalità:
·
con il consenso dell’interessato e senza l’autorizzazione del Garante se il
trattamento riguarda dati e operazioni indispensabili per perseguire una finalità
di tutela della salute o dell’incolumità dell’interessato;
·
anche senza il
consenso dell’interessato, ma
previa autorizzazione del Garante, se la finalità di tutela della salute o
dell’incolumità fisica riguardano un terzo oppure la collettività.
Come
ho già rilevato, nel nuovo Codice vengono identificate modalità semplificate
per l’informativa fornita dagli
organismi sanitari pubblici, da quelli privati, dagli esercenti le professioni
sanitarie nonché da altri soggetti pubblici quali quelli che operano ai fini
amministrativi, oppure che prestano servizi ausiliari sanitari, nonché da parte
di chi opera nei campi della prevenzione e della sicurezza del lavoro.
Il
principio riaffermato è sempre quello che il consenso dell’interessato sia
validamente dato a seguito di una adeguata informativa.
Il
medico di medicina generale o il
pediatra di libera scelta, nel raccogliere il consenso, debbono
informare l’interessato in forma chiara
e tale da rendere comprensibili le finalità
e le modalità del trattamento cui sono destinati i dati (art. 13, comma 1,
lettera a).
Mi
permetto di richiamare l’attenzione sul fatto che qui si tratta di “trattamento di dati” e non “di trattamento del paziente”.
Non
si tratta di una precisazione pleonastica.
Circa le modalità del
trattamento dei dati si fa riferimento alla elaborazione e alla loro
conservazione in schede cartacee oppure in memorie elettroniche; per finalità si intende l’uso ai fini delle
diagnosi e delle cure e non a fini statistici o di ricerca o, per esempio, di
informativa alle case farmaceutiche.
Inoltre,
l’informativa deve far riferimento alla sua natura obbligatoria o facoltativa
del conferimento dei dati in relazione alle finalità per le quali il paziente
si rivolge al sanitario (art. 13, comma 1, lettera b).
Pure,
l’informativa deve far riferimento alle conseguenze – sempre ai fini della
salute del paziente - di un eventuale
rifiuto del paziente nel rispondere (art. 13, comma 1, lettera c).
E
ancora, l’informativa deve rendere edotto
l’interessato dei soggetti o delle categorie di soggetti ai quali i dati
personali possono essere comunicati o di cui possono venire a conoscenza in
qualità di responsabili.
3. LE PREMESSE AL TRATTAMENTO
3.1 L’informativa:
“da chi” e modalità
L’informativa
semplificata, trattata nell’art. 77 del
nuovo Codice, prevede che - una volta
fornita dal medico di medicina generale o dal pediatra di libera scelta, oppure
anche dagli organismi sanitari e dalle aziende sanitarie in un primo contatto –
i pazienti non abbisognino di ulteriore informativa ai fini del consenso una
volta – ripeto - che questo è stato dato
in modo idoneo e documentato, all’inizio della filiera
a)
da parte di chi
sostituisce temporaneamente il medico o il pediatra;
b)
da parte di chi
fornisce una prestazione specialistica su richiesta del medico o del pediatra;
c)
nell’ambito di
attività professionale prestata in forma associata;
d)
da parte di chi fornisce i farmaci prescritti.
Altro
aspetto dell’informativa ai fini del consenso è quello che si riferisce al complessivo
trattamento dei dati personali per l’attività di prevenzione, diagnosi, cura e
riabilitazione (art. 78, comma 2).
Quando
l’informativa viene resa per comunicare che l’utilizzo dei dati si riferisce a
scopi scientifici, di ricerca, di sperimentazione clinica, oppure nell’ambito
di teleassistenza o telemedicina, si deve evidenziare che l’eventuale
trattamento dei dati può presentare rischi specifici per i diritti e le libertà
fondamentali, nonché per la dignità dell’interessato (art. 78, comma 5).
In
sintesi e semplificando, possiamo dire che il medico di famiglia o il pediatra
possono informare l’interessato con un atto
unico in merito a vari, se non tutti i
trattamenti dei suoi dati che, nel corso di molteplici rapporti fra loro
collegati, verranno effettuati a tutela della sua salute, dai liberi
professionisti con cui il paziente o il medico stesso entra più direttamente in
contatto.
E’
proprio questa la semplificazione centrale che il nuovo Codice introduce
rispetto a precedenti prescrizioni.
Altre
fasce analoghe di consenso circolare sono previste per strutture sanitarie. In
più, il consenso non è più necessario per compiti amministrativi di “back office” non direttamente correlati
alla prestazione di cura.
Per
quanto riguarda le modalità con cui
possono essere fornite le informative il 3° comma dell’art. 78 prevede
che esse siano preferibilmente fornite in forma scritta, anche attraverso
carte tascabili con eventuali pieghevoli, eventualmente integrate verbalmente.
Le
stesse modalità semplificate appena descritte possono essere utilizzate dagli organismi sanitari pubblici e privati
(come si è detto, indipendentemente dal fatto di essere convenzionati o
accreditati con il SSN), "in
riferimento ad una pluralità di prestazioni erogate anche da distinti reparti
ed unità dello stesso organismo o di più strutture ospedaliere o territoriali
specificamente indicati" (art. 79, comma 1).
Anche
in questo caso, quindi, le semplificazioni riguardano la possibilità di fornire
l'informativa per più trattamenti e per più soggetti, i quali, in alcuni casi,
possono essere anche autonomi titolari di trattamento.
Nel
caso in cui si utilizzino tali forme semplificate, l'organismo (o la struttura)
che ha reso l'informativa deve annotare di averla fornita (e di aver ricevuto
il consenso); tale annotazione va fatta "con
modalità uniformi"e tali da permettere una verifica da parte di altri
reparti ed unità che anche in tempi diversi dovessero trattare dati relativi al
medesimo interessato.
Ad esempio, un'ipotesi tipica è quella
che si potrebbe verificare, nel caso in cui una persona, recatasi presso il
pronto soccorso di un ospedale, venga poi inviata presso il reparto di
radiologia del medesimo nosocomio e, accertata una determinata patologia, sia
successivamente trasferita presso un'altra struttura ospedaliera che dispone
degli strumenti o dei reparti idonei per intervenire. In tale caso, secondo il
modello introdotto dal Codice, all'interessato dovrebbe essere fornita
un'informativa (già presso la struttura di pronto soccorso) sulle prestazioni
che potrebbero essergli fornite all'interno delle varie articolazioni del primo
ospedale e di quello presso il
quale potrebbe poi essere trasferito. La struttura che ha fornito l'informativa
ed ottenuto il consenso dovrà annotare (ad es. nella rete informatica interna)
l'avvenuto adempimento per il primo ospedale e comunicare la medesima
informazione al secondo (ad es. menzionandolo sulla scheda di trasferimento)
che provvederà a registrarlo. Ad un eventuale successivo ricovero presso una
delle due strutture dovrà risultare evidente che l'interessato è stato già
informato ed ha fornito il proprio consenso al trattamento, per cui non si
renderà necessario rinnovare l'adempimento.
Le
medesime modalità semplificate sono poi utilizzabili dalle aziende sanitarie (locali e ospedaliere), le quali, sulla
base di adeguate misure organizzative, possono fornire agli interessati
un'unica informativa in riferimento all'insieme dei trattamenti di dati
effettuati nel complesso delle strutture ad esse facenti capo (art. 79, commi 3
e 4).
Tale
informativa deve essere integrata da "appositi
ed idonei" cartelli ed avvisi
affissi ed agevolmente visibili al pubblico, nonché diffusa anche nell'ambito
di pubblicazioni istituzionali e
mediante reti di comunicazione elettronica, soprattutto quando essa riguarda
attività amministrative di rilevante interesse pubblico che non richiedano
il consenso degli interessati.
3.2.
Il consenso: semplificazioni e modalità di acquisizione
Per
quanto riguarda la modalità di documentazione del consenso al trattamento dei dati idonei a rivelare lo stato di
salute, infatti, l'art. 81 del Codice prevede che esso possa essere manifestato
anche oralmente; in tale caso il consenso deve essere documentato, in luogo dell’atto
scritto dall'interessato, con un'annotazione da parte dell'esercente la
professione sanitaria o dell'organismo sanitario pubblico che faccia
riferimento al trattamento di dati effettuato da uno o più soggetti ed
all'informativa resa all'interessato.
La
previsione di un consenso "documentato
per iscritto” da colui che lo dà, in
luogo del "consenso per
iscritto",documentato da colui che lo riceve, previsto per tutti gli altri dati di carattere sensibile, era già
rinvenibile, come si è accennato, nel d.lgs. n. 282 che, inserendo il comma 1-bis all'art. 23 della legge n, 675,
aveva demandato al regolamento ministeriale il compito di stabilire le
specifiche modalità attraverso le quali
rendere questa diversa forma di manifestazione di volontà dell'interessato.
3.3
Le misure di carattere organizzativo: una grande
innovazione per le garanzie dei cittadini
Oltre
alle importanti novità sopra delineate riguardanti le modalità semplificate per
l’informativa ed il consenso, alla data del 1 gennaio 2004 gli aspetti di
maggior evidenza che vengono a modificare il rapporto tra medico e paziente
sono le misure di carattere organizzativo previste dall'art. 83.
All'interno
di presidi sanitari o comunque in relazione a prestazioni sanitarie,
l'interessato, in attesa della prestazione stessa, non dovrà essere individuato
nominativamente bensì attraverso sistemi (es. numerazioni progressive) che
assicurino il rispetto dei diritti, della libertà dell'individuo e della
dignità dello stesso.
In
situazioni di contiguità si dovranno prevedere apposite distanze di cortesia o
comunque soluzioni atte a prevenire l'eventuale indebita conoscenza da parte di
terzi di informazioni riguardanti lo stato di salute.
Si
dovrà porre attenzione al fine di consentire al solo "terzo
legittimato" l'informazione anche solo telefonica relativa al soggetto,
eventualmente ricoverato. Uguale attenzione dovrà essere posta onde evitare che
estranei possano porre i pazienti in relazione con specifici reparti di
ricovero e cura.
La
mancata adozione di questi accorgimenti – che dovrebbero costituire naturale
patrimonio professionale di ogni singolo medico e odontoiatra, e che
comunque deve essere considerato segno
di civiltà e di cosciente evoluzione sociale - non comporta sanzioni specifiche
se non una eventuale censura del Garante (art.154) o evidentemente, come è
regola, in caso di danni, la generale responsabilità di tipo civilistico.
Le
modalità semplificate per il rilascio dell'informativa e per la raccolta del
consenso dei propri assistiti potranno essere utilizzate, dal medico di
medicina generale e dal pediatra di libera scelta, entro il 30 settembre 2004,
salvo quanto in discussione alla Camera.
Il
Garante, in collaborazione con le organizzazioni rappresentative delle
categorie dei medici, prevederà soluzioni condivise che salvaguardino da un
lato l'esigenza di assicurare una tutela in materia di riservatezza ai
cittadini e dall'altro quella di evitare al medico, nel quotidiano, impatti di
tipo meramente burocratico e non funzionali allo svolgimento della professione.
In
particolare, riguardo al caso del paziente che non abbia contattato il medico alla data del 30 settembre 2004 il
Garante, anche sulla base dei suggerimenti prospettati pure dalle categorie
rappresentative dei medici e odontoiatri, ha chiarito che ciò non comporterà
per il medico stesso alcuna posizione di irregolarità. L’ipotesi che stiamo valutando è che i dati
già presenti in studio, nelle cartelle cliniche di pazienti non contattati
saranno considerati "in stato di blocco" ovvero congelati sino al
momento del contatto tra medico e paziente e del relativo rilascio di
informativa e consenso. Non dovrà, quindi esserci nessuna ricerca da parte del
medico né alcuna distruzione di dati del paziente nel caso lo stesso non
incontri il medico entro il 30 settembre 2004.
3.4
Le modalità di comunicazione dei dati sanitari
all’interessato
L'art.
84 ha riprodotto quanto a suo tempo previsto dall'art. 23, comma 2, della legge
n. 675, in base al quale i dati inerenti lo stato di salute possono essere resi
noti all'interessato, o ai soggetti idonei a rappresentarli in caso di loro
incapacità, da parte di esercenti le
professioni sanitarie e di organismi sanitari, solo per il tramite di un medico designato dall'interessato o dal
titolare.
L'inserimento
di tale passaggio obbligatorio risponde ad una duplice esigenza: da un lato,
infatti, l"'interpretazione" da parte del medico di formulazioni
spesso poco intelligibili può essere la condizione indispensabile per una
migliore comprensione da parte dell'interessato delle informazioni che lo
riguardano e quindi per il successivo esercizio dei propri diritti. A questa
prima necessità, propria del sistema posto a tutela della riservatezza, si
collega anche la circostanza che l'informazione fornita da soggetti legati al
segreto professionale appare maggiormente idonea a ridurre i rischi di indebita
conoscenza di dati personali sensibili.
Dall'altro
lato, tale disposizione mira a limitare i possibili effetti dannosi sulla
persona che dovesse ricevere informazioni negative sulla propria salute; la
norma stabilisce una procedura di attenzione che dovrebbe essere già
patrimonio del rapporto fra le strutture sanitarie e i cittadini. La ratio della norma è quella di evitare
che l'interessato venga a conoscenza di notizie sul suo stato di salute da
soggetti professionalmente non preposti a tale compito. Proprio per tale
ragione, la norma originaria è stata ora integrata, stabilendo che essa non si
applica relativamente a quei dati personali che siano già noti all'interessato
in quanto da questi forniti in precedenza.
L'art.
84 prevede infine che questa attività di intermediazione possa essere svolta
anche da quegli esercenti le professioni sanitarie, diversi dai medici che,
nell'esercizio dei propri compiti, intrattengono rapporti diretti con i
pazienti e sono incaricati di trattare dati personali idonei a rivelare lo
stato di salute; in tal caso, però, tali soggetti devono essere autorizzati per
iscritto dal titolare o dal responsabile del trattamento e l'atto di incarico
deve individuare appropriate modalità e cautele rapportate al contesto nel
quale tale trattamento è effettuato.
Per
quanto riguarda le modalità pratiche di tale intermediazione, il Garante, in
uno dei suoi primi interventi, ha precisato che le certificazioni rilasciate
dai laboratori di analisi o dagli altri organismi sanitari (come pure le
cartelle cliniche) possono essere ritirate anche da persone diverse dagli
interessati, sulla base di una delega scritta e con l'inclusione di tali
documenti in una busta chiusa. Nella medesima pronuncia l'Autorità ha inoltre
precisato che la funzione intermediatoria può essere svolta con diverse
modalità, quali:
a)
la consegna dei dati
da parte di un medico designato dall’interessato, direttamente o per il tramite
di quest'ultimo;
b) una spiegazione orale da parte di un medico
designato dal titolare del trattamento, ovvero un giudizio scritto completato,
all'occorrenza, dalla disponibilità del medico medesimo a fornire ulteriori
indicazioni a richiesta dell'interessato.
Il
mancato rispetto della disposizione in commento è punita, ai sensi dell'art.
162, comma 2, del Codice, con la sanzione amministrativa del pagamento di una
somma da cinquecento a tremila euro.
4. IL
NUOVO ASSETTO NORMATIVO ALLA LUCE DEL DECRETO-LEGGE N. 10/2004
Con
il disegno di legge approvato dal Senato della Repubblica il 26 febbraio 2004
(v. stampato Senato n.2701) recante “Conversione
in legge,con modificazioni,del decreto-legge 21 gennaio 2004, n.10, recante
interventi urgenti per fronteggiare emergenze sanitarie e per finanziare la
ricerca nei settori della genetica molecolare e dell’alta innovazione” e
trasmesso alla Camera dei Deputati dal Presidente del Senato della Repubblica
il 27 febbraio 2004, è stato introdotto l’art. 3-sexies.
Tale
articolo emendativo dispone che al decreto legislativo 30 giugno 2003, n.196 (il Codice), sono apportate le
seguenti modificazioni:
a)
all’articolo 37, dopo il
comma 1,è inserito il seguente:
«1-bis.La notificazione relativa
al trattamento dei dati di cui al comma 1 non è dovuta se relativa
all’attività dei medici di famiglia e dei pediatri di libera scelta, in quanto
tale funzione è tipica del loro rapporto professionale con il Servizio
sanitario nazionale »;
b)
all’articolo 83,dopo il
comma 2 è aggiunto il seguente:
«2-bis.Le misure di cui al comma 2 (rispetto dei diritti degli interessati)
non si applicano ai soggetti di cui all’articolo 78 (medici di medicina generale e pediatri), che ottemperano alle
disposizioni di cui al comma 1 secondo modalità adeguate a garantire un
rapporto personale e fiduciario con gli assistiti,nel rispetto del codice di
deontologia sottoscritto ai sensi dell’articolo 12 »;
c)
all’articolo 89, dopo il
comma 2 è aggiunto il seguente:
«2-bis.Per i soggetti di cui all’articolo
78 (medici di medicina generale e
pediatri), l’attuazione delle disposizioni di cui all’articolo 87, comma 3
(tagliando da apporre sulle ricette di
medicinali), e 88, comma 1 (non
indicazione delle generalità dell’interessato nelle prescrizioni cartacee di
medicinali soggette a prescrizione ripetibile non a carico del SSN),
è subordinata ad un ’esplicita richiesta dell’interessato ». Il che,
ovviamente, richiede che il medico sia dotato di due ricettari da usarsi
ciascuno secondo il caso
d)
all’articolo 181, la
lettera e) del comma 1 è
abrogata. Verrebbero così abrogate le
modalita' semplificate per l'informativa e la manifestazione del consenso che,
ove necessario, possono essere utilizzate dal medico di medicina generale,
dal pediatra di libera scelta e
dagli organismi sanitari anche in
occasione del primo ulteriore
contatto con l'interessato,
entro il 30 settembre 2004. Si tratta dell’eliminazione di una moratoria che
avrebbe favorito i medici che ora dovranno invece provvedere immediatamente
agli adempimenti riguardanti la raccolta del consenso e alla relativa
informativa anche nei confronti dei pazienti con i quali non hanno frequenti
contatti.
5. LE
RICETTE MEDICHE
5.1
Le modifiche del nuovo Codice
In
materia di prescrizioni mediche, è necessario evidenziare che l’art. 87 del
d.lg. n. 196/2003- entrato in vigore lo scorso 1° gennaio- ha previsto che le
ricette relative a prescrizioni di medicinali a carico, anche parziale, del
S.s.n. continuino ad essere redatte secondo il modello già in uso, il quale
però dovrà essere conformato in modo da permettere di risalire all'identità
dell'interessato solo in caso di necessità connesse al controllo della
correttezza della prescrizione, ovvero a fini di verifiche amministrative o per
scopi epidemiologici e di ricerca. In particolare, tale modello dovrà essere
integrato da un tagliando predisposto su carta o con tecnica di tipo copiativo
e unito ai bordi delle zone per l’indicazione delle generalità e dell’indirizzo
dell’assistito, in modo da consentirne la visione solo per effetto di una
momentanea separazione del tagliando medesimo.
Il
tagliando potrà essere momentaneamente separato dal modello di ricetta, e
successivamente riunito allo stesso, quando:
a)
il farmacista lo
ritiene indispensabile, mediante sottoscrizione apposta sul tagliando, per una
effettiva necessità connessa al controllo della correttezza della prescrizione,
anche per quanto riguarda la corretta fornitura del farmaco;
b)
per fini di verifica
amministrativa sulla correttezza della prescrizione, presso i competenti organi
o da parte di soggetti legittimati a svolgere indagini epidemiologiche o di
ricerca in conformità alla legge, quando è indispensabile per il perseguimento
delle rispettive finalità.
Con
decreto del Ministro della salute, sentito il Garante, può essere individuata
una ulteriore soluzione tecnica diversa da quella sopra indicata, basata
sull’uso di una fascetta adesiva o su altra tecnica equipollente relativa anche
a modelli non cartacei.
Per
quanto riguarda le prescrizioni mediche, si rende necessario analizzare quindi
il rapporto intercorrente tra le norme sopra analizzate alla luce della
sopravvenienza del Codice in materia di protezione dei dati personali rispetto
al d.l. n. 269/2003.
Al
riguardo, si evidenzia che alla luce di quanto disposto dall’ultimo comma
dell’art. 184 del d.lg. n. 196/2003 si potrebbe sostenere, a contrario, che non rimangano in vigore le disposizioni di legge e
di regolamento che stabiliscano disposizioni meno restrittive rispetto a quelle
previste dal Codice in materia di trattamento di particolari dati personali.
In
ogni caso si sottolinea che l’art. 50 del d.l. n. 269/2003 già al momento della
sua emanazione si poneva in contrasto con il principio di stretta
indispensabilità dei dati rispetto alle finalità perseguite affermato dagli
artt. 3 e 4 del d.lg. n. 135/1999 ed ora riprodotto nell’art. 22 del Codice.
5.2 Le
problematiche per il monitoraggio centralizzato della spesa sanitaria (art. 50,
Legge 269/03).
Il
d.l. 30 settembre 2003, n. 269, convertito in legge il 24 novembre 2003,
prevede all’art. 50 (Disposizioni in
materia di monitoraggio della spesa nel settore sanitario e di appropriatezza
delle prescrizioni sanitarie) l’introduzione di un modello di ricetta
medica a lettura ottica e la costituzione di una banca dati centralizzata
(contenente il codice fiscale degli assistiti) in cui dovranno andare a
confluire tutti i dati riguardanti le prescrizioni di farmaci e di prestazioni
specialistiche.
Sul
delicato tema l’Autorità ha fornito il proprio punto di vista evidenziando i
rischi che tale trattamento di dati può recare al diritto alla protezione delle
informazioni personali dei cittadini.
Più
precisamente, è stato rilevato che tali finalità, sicuramente apprezzabili per
l’obiettivo di un più razionale monitoraggio della spesa pubblica, sono
tuttavia perseguite attraverso una strumentazione che rischia di violare il
diritto dei cittadini alla protezione dei dati personali per quanto riguarda le
informazioni riguardanti la salute e che, come tali, devono essere protette da particolari garanzie.
Occorre
infatti rilevare che la legislazione vigente già prevede procedure per il
monitoraggio della spesa sanitaria che non richiedono banche dati
centralizzate. Tali procedure possono certamente essere rese più efficienti
(permettendo, ad esempio, un rapido accertamento dei requisiti che danno
diritto all’esenzione), ma non possono tradursi in una compressione del diritto
alla protezione dei dati personali.
Si
osserva pertanto che se si intende mettere a punto un sistema di controllo
conforme a quanto disposto dalla normativa sulla protezione dei dati personali,
l’unica soluzione corretta è quella di escludere il trattamento di qualsiasi
dato identificativo degli assistiti, costituendo eventualmente un archivio di
soli dati anonimi.
Al
riguardo, la Camera dei deputati, nella seduta del 19 novembre u.s., ha
impegnato il Governo ad adottare adeguate iniziative normative al fine di
escludere il trattamento dei dati degli assistiti per le finalità sopra
descritte.
La
garanzia prevista dal legislatore, laddove stabilisce che “al Ministero
dell’economia e delle finanze non è consentito trattare i dati acquisiti
nell’archivio relativo ai codici fiscali degli assistiti”, appare, infatti,
insufficiente dal momento che la semplice esistenza di tale archivio conserva
nel sistema la possibilità di risalire (ad opera di soggetti diversi) dal
codice fiscale - e quindi dall’identità dell’assistito - all’intera sua storia
sanitaria, documentata da ricette mediche e prescrizioni specialistiche.
L’Autorità ha sottolineato che, qualora non si adottasse la soluzione dei dati
anonimi, si correrebbe concretamente il rischio di introdurre nel sistema
giuridico una disciplina che discriminerebbe i cittadini in base alla
possibilità, per quanti possono pagare direttamente i farmaci e le prestazioni
specialistiche, di non vedere inseriti i loro dati personali nella banca dati.
Non
può nascondersi, infine, il problema che la nuova “carta sanitaria”,
aggiungendosi a quelle già annunciate o in fase di sperimentazione,
contribuirebbe alla proliferazione di carte elettroniche della quale il Garante
ha più volte sottolineato i rischi.
Tutto
ciò, naturalmente, non esclude che le strutture del Ministero dell’economia e
delle finanze possano essere utilizzate per fornire alle aa.ss.ll., elementi
idonei per controllare la falsa dichiarazione su ticket o redditi: il controllo
sulla spesa sanitaria è compatibile con la privacy e doverosa. Ci aspettiamo
quindi che i vari decreti attuativi della finanziaria siano orientati ai
principi appena richiamati.