Dati genetici e biometrici:
Sono esonerati dalla notificazione sia i professionisti che trattano dati genetici e biometrici individualmente, sia i medici che in forma associata condividono il trattamento con altri professionisti, specie all’interno di uno stesso studio medico
Il trattamento dei dati genetici non va notificato quando il professionista, nell’ambito di ordinari rapporti con il paziente, viene a volte a conoscenza di informazioni di tipo genetico (esame di screening o test genetici, indagini prenatali, diagnosi e cura di determinate patologie genetiche).
La notifica deve essere effettuata solo se il trattamento dei dati genetici è sistematico ed assume il carattere di costante e prevalente attività del medico (ad es. un genetista).
L’esonero non opera invece per i trattamenti di dati genetici e biometrici effettuati da strutture sanitarie pubbliche o private (ospedali, case di cura e di riposo aziende sanitarie laboratori di analisi cliniche, associazioni sportive). L’esonero è stato infatti disposto solo in favore di persone fisiche esercenti le professioni sanitarie e non per i trattamenti in quanto tali.

Procreazione assistita, trapianti, indagini epidemiologiche, rilevazione di malattie mentali, infettive, diffusive e sieropositività
Le considerazioni sull’esonero espresse in tema di dati genetici e biometrici per i professionisti che effettuano il trattamento individualmente o in forma associata valgono anche per i trattamenti relativi a procreazione assistita, trapianti, indagini epidemiologiche, rilevazione di malattie mentali, infettive, diffusive e sieropositività.
Nell’esonero rientrano anche i trattamenti effettuati da un medico specialista nell’ambito di un’attività di consulenza o di procreazione assistita, sempre che non siano effettuati in modo sistematico.
Per quanto riguarda malattie infettive il trattamento da notificare è solo quello che deve essere effettuato “a fini di …rilevazione ...” di tali patologie e in linea generale riguarda gestori di strutture anziché singoli professionisti che occasionalmente vengono a conoscenza di tali.

Prestazioni di servizi sanitari on line
Le prestazioni di servizi sanitari on line vanno notificate solo se i servizi sono:
a) relativi ad una banca dati o siano prestati per via telematica
b) relativi alla fornitura di beni.
Non vanno quindi notificati:
a) i trattamenti di dati sanitari nell’ambito della teleassistenza (consultazione di specialisti per via telefonica)
b) i trattamenti di dati organizzati in banche dati trattati manualmente (archivi cartacei)
c) i trattamenti di dati organizzate in banche dati informatizzate ma non collegate ad una rete telematica
Non devono, infine, notificare i medici che usano unicamente un computer nel proprio ufficio; usano la posta elettronica per dialogare con i pazienti, effettuano prenotazioni per gli assistiti, ecc.
Anche sulla base di altri esempi sono stati considerati quindi esonerati dalla notificazione diversi trattamenti effettuati nell’ambito della cd. medicina in rete. Per altri casi di accesso a banche dati da parte di medici è stato precisato che la notificazione compete invece alla a.s.l. o all’ente locale.

Monitoraggio della spesa sanitaria; igiene e sicurezza del lavoro
Poiché non rientrano nel monitoraggio della spesa sanitaria non vanno notificati i trattamenti di dati sanitari effettuati da strutture convenzionate con il Servizio sanitario nazionale, solo per ottenere il rimborso delle prestazioni specialistiche erogate.
(Comunicato stampa del 27 aprile 2004)

La notificazione al Garante deve essere effettuata, come noto, solo se il trattamento dei dati personali è indicato specificamente nel Codice entrato in vigore lo scorso 1° gennaio (art. 37 d.lg. n. 196/2003).
La notificazione può essere poi esclusa per effetto di un provvedimento di questa Autorità che è stato già adottato lo scorso 31 marzo (Provv. n. 1/2004, pubblicato sulla Gazzetta ufficiale 6 aprile 2004, n. 81 e sul sito web www.garanteprivacy.it).
In risposta ai quesiti formulati il 19 u.s. si ritiene ora opportuno evidenziare altri trattamenti che non devono essere notificati in base ad una corretta interpretazione delle disposizioni vigenti.

L’esonero disposto dal Garante a proposito del trattamento di dati genetici e biometrici (punto 1, lett. a) del Provv. n. 1/2004) opera sia per i professionisti che trattano tali dati individualmente, con la collaborazione di addetti incaricati del trattamento -ad esempio, per adempimenti amministrativi-, sia per quelli che condividono il trattamento con altri professionisti, specie all’interno di uno stesso studio medico, operando quali contitolari di un medesimo trattamento effettuato in forma associata.
Il trattamento dei dati genetici non va notificato se il professionista, nell’ambito di ordinari rapporti con l’interessato, viene semplicemente a conoscenza e tratta in modo saltuario informazioni di tipo genetico relative ad esempio all’anamnesi dei pazienti, all’esame di screening o test genetici, ad indagini prenatali e ad annotazioni di dati relativi ad attività di prevenzione, diagnosi e cura di determinate patologie genetiche.
La notifica va infatti effettuata solo se il trattamento dei dati genetici è effettuato sistematicamente ed assume, quindi, il carattere di costante e prevalente attività svolta rispetto alla molteplicità di trattamenti connessi all’attività professionale esercitata (come avviene per un genetista).
In ogni caso, l’esonero non opera, poi, per i trattamenti di dati genetici o biometrici effettuati da strutture sanitarie, pubbliche o private (quali ospedali, case di cura o di riposo, centri di riabilitazione, ambulatori polispecialistici, laboratori di analisi cliniche e diagnostica per immagini, studi fisioterapici, aziende sanitarie, istituti clinici privati, associazioni sportive), essendo stato disposto solo in favore di persone fisiche esercenti le professioni sanitarie, anziché per i trattamenti dei dati genetici o biometrici in quanto tali.
Tra i dati biometrici non sono qui ricomprese le informazioni relative a peso, altezza o pressione arteriosa di un individuo. La ratio della norma del Codice sulla notificazione è infatti quella di porre attenzione non ad ogni dato personale relativo agli aspetti fisici di un interessato, ma solo a determinate caratteristiche fisiche o fisiologiche specifiche di ciascuna persona e che ne consentono un’identificazione certa (derivanti ad esempio dalla rilevazione dell’impronta digitale, della retina o dell’iride).
L’esonero disposto con il Provv. n. 1/2004 riguarda infine i trattamenti finalizzati a tutelare la salute o l’incolumità fisica dell’interessato o di un terzo; non attiene invece ad ulteriori finalità, come quella del controllo della rilevazione delle presenze del personale da parte di datori di lavoro pubblici o privati.

Le considerazioni appena espresse sul fatto che l’esonero in tema di dati genetici e biometrici opera anche quando gli esercenti le professioni sanitarie effettuano il trattamento in forma associata (e non anche per le strutture sanitarie), valgono anche per l’ulteriore esonero disposto per i trattamenti qui indicati (punto 2, lett. a), del Provv. n. 1/2004).
Nell’esonero disposto rientrano, tra l’altro, i trattamenti effettuati da un medico specialista, quale ad esempio un ginecologo, nell’ambito dell’attività di consulenza o assistenza in materia di procreazione medicalmente assistita, come pure quelli effettuati da un esercente la professione sanitaria in relazione al sistema di sorveglianza epidemiologica nazionale dei casi di Aids conclamato. Tutto ciò, sempre a condizione che i trattamenti siano effettuati non sistematicamente.
Per quanto riguarda poi le malattie mentali, infettive e diffusive, il trattamento da notificare è solo quello effettuato "a fini di … rilevazione …" di tali patologie. Questa circostanza ricorre nel caso di insiemi organizzati di informazioni su tali aspetti -di cui sono spesso gestori strutture, anziché persone fisiche- e non anche in caso di episodi occasionali di diagnosi e cura che riguardano un singolo professionista (oppure nei casi in cui, presso un comune, occorre adottare in conformità alla legge un provvedimento che dispone un trattamento sanitario obbligatorio).

La prestazione di servizi sanitari per via telematica va notificata solo se i medesimi servizi:

• sono relativi ad una banca di dati;


• oppure, sono relativi alla fornitura di beni.

b) i trattamenti di dati organizzati in banche di dati trattati manualmente (archivi cartacei);

c) i trattamenti di dati organizzati in banche dati informatizzate anche con più accessi nello stesso studio, ma non collegate ad una rete telematica (es., lan o computer non connesso ad altri elaboratori).
In secondo luogo, gli esercenti le professioni sanitarie possono avvalersi di diverse applicazioni telematiche e di telemedicina senza dover per ciò stesso notificare. Ad esempio, essi non devono notificare se, unicamente:

• utilizzano semplicemente uno o più computer nel proprio ufficio;


• si avvalgono della posta elettronica per dialogare con assistiti e pazienti, inviando o ricevendo e-mail anche nei rapporti con terzi;


• effettuano prenotazioni nell’interesse degli assistiti, sempre per posta elettronica o in rete;


• trasmettono per via informatica o telematica un file contenente dati sulla salute o sulla vita sessuale;


• condividono eventualmente con altri professionisti nello stesso studio medico, in rete unicamente locale, una serie di dati relativi a pazienti curati in comune o per i quali si procede comunque ad uno scambio di valutazioni;


• annotano sul proprio computer, o li conservano senza creare un’apposita banca dati (ad esempio, nell’elenco delle e-mail trasmesse), dati relativi a servizi prestati per via telematica, ma senza utilizzare una banca dati per prestare il servizio.

Sono oggetto di notificazione, poi, i servizi che, oltre ad essere relativi a banche di dati, sono prestati per via telematica. Ciò comporta, ad esempio, che non devono essere notificati i trattamenti nei quali il medico utilizza una banca dati anche per via telematica, ma non presta –altresì- il servizio per via telematica, avendo un rapporto diretto con il paziente presso il proprio studio.
Come si può notare, diversi trattamenti non devono essere quindi notificati anche all’interno delle varie ipotesi di c.d. medicina in rete (art. 40, commi 8 e 9, dell’accordo collettivo nazionale per i medici di medicina generale posto in esecuzione dal D.P.R. 28 luglio 2000, n. 270).
In quest’ultimo ambito sono invece da notificare:

• i trattamenti nei quali ricorre la doppia condizione della prestazione del servizio sanitario per via telematica e dell’utilizzazione di una banca dati (o della fornitura di un bene), come ad esempio nel caso di insiemi di schede sanitarie organizzate in una banca dati accessibile a diversi soggetti, e consultata in rete telematica al momento della prestazione del servizio, oppure di cartelle cliniche rese accessibili on-line a strutture sanitarie e all’interessato ovunque questi si trovi nel mondo;


• i trattamenti effettuati non in forma associata nei termini indicati, ma da un soggetto associativo distinto dai professionisti che pure vi aderiscono. In questo caso, come in quello relativo ad eventuali sistemi informativi gestiti da aa.ss.ll. o da enti territoriali cui i professionisti abbiano accesso, la notificazione va effettuata dal soggetto associativo o dall’ente i quali assumono la qualità di titolare del trattamento, effettuando le scelte di fondo che competono a tale figura.

Valgono anche in questo caso, riguardo all’esonero disposto sul punto con il Provv. n. 1/2004, le considerazioni espresse nel punto 1 della presente nota a proposito dell’esercizio dell’attività in forma associata e della diversa collocazione delle strutture sanitarie.
Non riguardando il monitoraggio della spesa sanitaria, non devono essere infine notificati i trattamenti di dati idonei a rivelare lo stato di salute effettuati da strutture private accreditate o convenzionate con il Servizio sanitario nazionale al solo fine di ottenere il rimborso delle prestazioni sanitarie specialistiche erogate.
L’Autorità resta a disposizione per ogni ulteriore chiarimento.

Roma, 26 aprile 2004

IL SEGRETARIO GENERALE
Giovanni Buttarelli