In ragione della crescente diffusione e utilizzo delle nuove tecnologie in ambito sanitario, il Garante della Privacy è chiamato sempre più spesso a pronunciarsi in materia di tutela dei dati personali

Nel corso della relazione annuale del Garante per la Privacy, il Presidente dell’Autorità, Francesco Pizzetti ha, tra l’altro, ricordato come, specie in ragione della crescente diffusione e utilizzo delle nuove tecnologie anche in ambito sanitario, il Garante, nel corso dell’anno scorso, sia stato ripetutamente chiamato a pronunciarsi in materia di tutela dei dati personali e della riservatezza in tale ambito. In tale prospettiva, nel corso del 2010, il Garante ha dettato importanti indicazioni per gli operatori delle quali, peraltro, appare importante tener conto anche nello sviluppo e nell’implementazione di nuovi sistemi hardware e software destinati a essere utilizzati, in via esclusiva o prevalente, in ambito sanitario. In un parere del 17 novembre 2010, reso alla Commissione per l’accesso ai documenti amministrativi presso la Presidenza del Consiglio dei ministri, per esempio, il Garante ha ritenuto che un genitore non può accedere presso l’ASL alla documentazione sanitaria della figlia minorenne che, all’insaputa del padre, si sia rivolta a un consultorio per farsi prescrivere farmaci contraccettivi. Secondo l’Ufficio del Garante, infatti, andrebbe riconosciuta alla minore una sfera di riservatezza che garantisca effettivamente la sua autodeterminazione, e le permetta l’utilizzo delle strutture autorizzate, che possono assicurare le necessarie garanzie nell’erogazione delle prestazioni. Si tratta di un profilo del quale occorre tener conto nello sviluppo ed implementazione di ogni piattaforma che consenta l’accesso a tale genere di informazioni giacché solo il minore autore della richiesta di consulenza al consultorio potrà essere abilitato alle informazioni ed ai dati connessi alla propria richiesta.
Il Presidente dell’Autorità, nella propria relazione, ha, inoltre, ricordato che per quanto riguarda il servizio di consegna a domicilio, offerto da un supermercato agli acquirenti invalidi o disabili, il suo ufficio ha stabilito che non può essere chiesta, a tal fine, copia del verbale di invalidità, essendo sufficiente che la persona, al momento della prima richiesta del servizio, esibisca un qualsiasi documento che attesti il suo stato. Il trattamento dei dati posto in essere dal supermercato è, quindi, risultato sproporzionato rispetto alle finalità perseguite ed al punto vendita oggetto della segnalazione l’Autorità ha anche prescritto di distruggere le copie dei verbali medici già acquisite. Oggetto di un altro provvedimento (questa volta relativo al trattamento di dati sanitari da parte dei soggetti pubblici) sono state le modalità con cui fornire agli interessati l’informativa in relazione a un progetto di sorveglianza epidemiologica dei tumori nella popolazione militare impegnata in Bosnia- Herzegovina e nel Kosovo.
Il progetto, stando a quanto ricordato dal Prof. Pizzetti nella propria relazione, prevede in particolare che il Ministero della difesa fornisca all’Istituto superiore di sanità i dati personali dei militari (da incrociare con quelli di altre banche dati), per valutare se la permanenza nei Balcani, ove è stato fatto uso di munizioni ad uranio impoverito, abbia avuto conseguenze sulla salute dei soldati.
“Per l’ingente numero delle persone coinvolte è stata prevista – scrivono gli uffici del Garante nella Relazione –, in luogo dell’informativa resa a ciascun interessato, la pubblicazione della medesima sui siti del Ministero della difesa, delle singole forze armate e delle associazioni del personale in quiescenza, oltre che su due quotidiani di larga diffusione nazionale. L’Autorità, per assicurarne la massima conoscibilità, ha prescritto la pubblicazione dell’informativa anche sul sito dell’Istituto superiore di sanità e la sua agevole visibilità sino alla conclusione del progetto”.

Linee guida per il Fascicolo Sanitario Elettronico
Con più specifico riferimento al trinomio privacy, nuove tecnologie e sanità, il Garante ha ricordato la posizione espressa sullo schema di regolamento in materia di fascicolo sanitario elettronico e di dossier sanitario elettronico sottopostogli da una Regione italiana. Al riguardo, l’Ufficio ha sottolineato che, in base alle “Linee-guida in tema di Fascicolo Sanitario Elettronico (FSE) e di Dossier Sanitario” (Provv. 16 luglio 2009), i trattamenti di dati personali effettuati attraverso il FSE devono essere resi noti al Garante mediante un’apposita comunicazione da effettuarsi secondo il modello adottato dall’Autorità, da parte delle strutture coordinatrici delle iniziative di FSE e, in via residuale, in caso di assenza di tale struttura, dai singoli titolari del trattamento coinvolti.
Questa comunicazione non deve essere effettuata nel caso di dossier sanitari e dall’invio di tali comunicazioni non può desumersi alcuna approvazione implicita da parte dell’Autorità delle iniziative comunicate (Nota 26 luglio 2010).
Significativo quanto riferito dal Garante a proposito delle comunicazioni trasmesse all’Ufficio: 44 comunicazioni di cui solo sei effettivamente necessarie perché relative al fascicolo sanitario elettroniche. C’è evidentemente margine perché gli operatori esaminino con maggiore attenzione la disciplina della materia e le prescrizioni del Garante risparmiando così tempo e risorse.
Nel corso del 2010, un altro fronte che ha particolarmente impegnato l’ufficio del garante a proposito del rapporto tra disciplina sulla privacy e trattamento dei dati sanitari è stato quello relativo alla consultazione online dei referti medici.
In particolare, nel corso del 2010, il Ministero della salute ha chiesto al Garante il previsto parere su uno schema di decreto di attuazione delle disposizioni che hanno definito nuovi compiti e funzioni assistenziali per le farmacie pubbliche e private convenzionate con il servizio sanitario nazionale, tra cui la prenotazione di prestazioni ambulatoriali presso le strutture accreditate, i relativi pagamenti, ed il ritiro dei referti. Secondo il Garante, lo schema di decreto ha sostanzialmente recepito le indicazioni rese dall’Autorità per garantire un più elevato standard di tutela del diritto alla protezione dei dati personali.
Tuttavia, è stata evidenziata l’esigenza che al momento del ritiro del referto da parte degli assistiti presso le farmacie, l’operatore acceda al referto stesso solo per consegnarlo all’interessato, e che sia impedita la creazione di banche dati di referti digitali presso la farmacia. Nell’ambito dello stesso parere è stata altresì rappresentata l’esigenza di individuare adeguati tempi di conservazione dei referti e che gli operatori della farmacia, individuati quali incaricati del trattamento dei dati nell’ambito del sistema CUP (centro unificato di prenotazione), non tenuti per legge al segreto professionale, siano sottoposti a regole di condotta analoghe al segreto professionale, come già previsto in ambito sanitario. Si tratta, anche in questo caso, di preziose indicazioni da tener presenti nello sviluppo dei sistemi e delle piattaforme destinate a garantire la gestione e l’erogazione di tali servizi da parte della rete delle farmacie italiane.