Oggetto: risposta a quesiti sui trattamenti in ambito sanitario da notificare al Garante.
La notificazione al Garante deve essere effettuata, come noto, solo se il trattamento dei dati personali è indicato specificamente nel Codice entrato in vigore lo scorso 1° gennaio (art. 37 d.lg. n. 196/2003).
La notificazione può essere poi esclusa per effetto di un provvedimento di questa Autorità che è stato già adottato lo scorso 31 marzo (Provv. n. 1/2004, pubblicato sulla Gazzetta ufficiale 6 aprile 2004, n. 81 e sul sito web www.garanteprivacy.it).
In risposta ai quesiti formulati il 19 u.s. si ritiene ora opportuno evidenziare altri trattamenti che non devono essere notificati in base ad una corretta interpretazione delle disposizioni vigenti.
1. Dati genetici e biometrici
(art. 37, comma 1, lett. a) e b)).
L’esonero disposto dal Garante a proposito del trattamento di dati genetici e biometrici (punto 1, lett. a) del Provv. n. 1/2004) opera sia per i professionisti che trattano tali dati individualmente, con la collaborazione di addetti incaricati del trattamento -ad esempio, per adempimenti amministrativi-, sia per quelli che condividono il trattamento con altri professionisti, specie all’interno di uno stesso studio medico, operando quali contitolari di un medesimo trattamento effettuato in forma associata.
Il trattamento dei dati genetici non va notificato se il professionista, nell’ambito di ordinari rapporti con l’interessato, viene semplicemente a conoscenza e tratta in modo saltuario informazioni di tipo genetico relative ad esempio all’anamnesi dei pazienti, all’esame di screening o test genetici, ad indagini prenatali e ad annotazioni di dati relativi ad attività di prevenzione, diagnosi e cura di determinate patologie genetiche.
La notifica va infatti effettuata solo se il trattamento dei dati genetici è effettuato sistematicamente ed assume, quindi, il carattere di costante e prevalente attività svolta rispetto alla molteplicità di trattamenti connessi all’attività professionale esercitata (come avviene per un genetista).
In ogni caso, l’esonero non opera, poi, per i trattamenti di dati genetici o biometrici effettuati da strutture sanitarie, pubbliche o private (quali ospedali, case di cura o di riposo, centri di riabilitazione, ambulatori polispecialistici, laboratori di analisi cliniche e diagnostica per immagini, studi fisioterapici, aziende sanitarie, istituti clinici privati, associazioni sportive), essendo stato disposto solo in favore di persone fisiche esercenti le professioni sanitarie, anziché per i trattamenti dei dati genetici o biometrici in quanto tali.
Tra i dati biometrici non sono qui ricomprese le informazioni relative a peso, altezza o pressione arteriosa di un individuo. La ratio della norma del Codice sulla notificazione è infatti quella di porre attenzione non ad ogni dato personale relativo agli aspetti fisici di un interessato, ma solo a determinate caratteristiche fisiche o fisiologiche specifiche di ciascuna persona e che ne consentono un’identificazione certa (derivanti ad esempio dalla rilevazione dell’impronta digitale, della retina o dell’iride).
L’esonero disposto con il Provv. n. 1/2004 riguarda infine i trattamenti finalizzati a tutelare la salute o l’incolumità fisica dell’interessato o di un terzo; non attiene invece ad ulteriori finalità, come quella del controllo della rilevazione delle presenze del personale da parte di datori di lavoro pubblici o privati.
2. Procreazione assistita, trapianti, indagini epidemiologiche,
rilevazione di malattie mentali, infettive, diffusive, e sieropositività
(art. 37, comma 1, lett. b)).
Le considerazioni appena espresse sul fatto che l’esonero in tema di dati genetici e biometrici opera anche quando gli esercenti le professioni sanitarie effettuano il trattamento in forma associata (e non anche per le strutture sanitarie), valgono anche per l’ulteriore esonero disposto per i trattamenti qui indicati (punto 2, lett. a), del Provv. n. 1/2004).
Nell’esonero disposto rientrano, tra l’altro, i trattamenti effettuati da un medico specialista, quale ad esempio un ginecologo, nell’ambito dell’attività di consulenza o assistenza in materia di procreazione medicalmente assistita, come pure quelli effettuati da un esercente la professione sanitaria in relazione al sistema di sorveglianza epidemiologica nazionale dei casi di Aids conclamato. Tutto ciò, sempre a condizione che i trattamenti siano effettuati non sistematicamente.
Per quanto riguarda poi le malattie mentali, infettive e diffusive, il trattamento da notificare è solo quello effettuato "a fini di … rilevazione …" di tali patologie. Questa circostanza ricorre nel caso di insiemi organizzati di informazioni su tali aspetti -di cui sono spesso gestori strutture, anziché persone fisiche- e non anche in caso di episodi occasionali di diagnosi e cura che riguardano un singolo professionista (oppure nei casi in cui, presso un comune, occorre adottare in conformità alla legge un provvedimento che dispone un trattamento sanitario obbligatorio).
3. Prestazione di servizi sanitari per via telematica
(art. 37, comma 1, lett. b)).
La prestazione di servizi sanitari per via telematica va notificata solo se i medesimi servizi:
sono relativi ad una banca di dati;
oppure, sono relativi alla fornitura di beni.
Non devono essere quindi notificati:
a) i diversi trattamenti di dati sanitari nell’ambito della c.d. teleassistenza, nei quali i dati sulla salute o sulla vita sessuale sono trattati per vari servizi di assistenza o consultazione sanitaria per via telefonica (come ad esempio quelli che permettono di consultare telefonicamente uno o più esercenti professioni sanitarie);
b) i trattamenti di dati organizzati in banche di dati trattati manualmente (archivi cartacei);
c) i trattamenti di dati organizzati in banche dati informatizzate anche con più accessi nello stesso studio, ma non collegate ad una rete telematica (es., lan o computer non connesso ad altri elaboratori).
In secondo luogo, gli esercenti le professioni sanitarie possono avvalersi di diverse applicazioni telematiche e di telemedicina senza dover per ciò stesso notificare. Ad esempio, essi non devono notificare se, unicamente:
utilizzano semplicemente uno o più computer nel proprio
ufficio;
si avvalgono della posta elettronica per dialogare con assistiti e pazienti,
inviando o ricevendo e-mail anche nei rapporti con terzi;
effettuano prenotazioni nell’interesse degli assistiti, sempre per posta
elettronica o in rete;
trasmettono per via informatica o telematica un file contenente dati sulla salute
o sulla vita sessuale;
condividono eventualmente con altri professionisti nello stesso studio medico,
in rete unicamente locale, una serie di dati relativi a pazienti curati in comune
o per i quali si procede comunque ad uno scambio di valutazioni;
annotano sul proprio computer, o li conservano senza creare un’apposita
banca dati (ad esempio, nell’elenco delle e-mail trasmesse), dati relativi
a servizi prestati per via telematica, ma senza utilizzare una banca dati per
prestare il servizio.
Sono oggetto di notificazione, poi, i servizi che, oltre ad essere relativi a banche di dati, sono prestati per via telematica. Ciò comporta, ad esempio, che non devono essere notificati i trattamenti nei quali il medico utilizza una banca dati anche per via telematica, ma non presta –altresì- il servizio per via telematica, avendo un rapporto diretto con il paziente presso il proprio studio.
Come si può notare, diversi trattamenti non devono essere quindi notificati anche all’interno delle varie ipotesi di c.d. medicina in rete (art. 40, commi 8 e 9, dell’accordo collettivo nazionale per i medici di medicina generale posto in esecuzione dal d.P.R. 28 luglio 2000, n. 270).
In quest’ultimo ambito sono invece da notificare:
i trattamenti nei quali ricorre la doppia condizione della prestazione
del servizio sanitario per via telematica e dell’utilizzazione di una
banca dati (o della fornitura di un bene), come ad esempio nel caso di insiemi
di schede sanitarie organizzate in una banca dati accessibile a diversi soggetti,
e consultata in rete telematica al momento della prestazione del servizio, oppure
di cartelle cliniche rese accessibili on-line a strutture sanitarie e all’interessato
ovunque questi si trovi nel mondo;
i trattamenti effettuati non in forma associata nei termini indicati, ma da
un soggetto associativo distinto dai professionisti che pure vi aderiscono.
In questo caso, come in quello relativo ad eventuali sistemi informativi gestiti
da aa.ss.ll. o da enti territoriali cui i professionisti abbiano accesso, la
notificazione va effettuata dal soggetto associativo o dall’ente i quali
assumono la qualità di titolare del trattamento, effettuando le scelte
di fondo che competono a tale figura.
4. Monitoraggio della spesa sanitaria; igiene e sicurezza del
lavoro
(punto 2), lett. b) del Provv. n. 1/2004).
Valgono anche in questo caso, riguardo all’esonero disposto sul punto con il Provv. n. 1/2004, le considerazioni espresse nel punto 1 della presente nota a proposito dell’esercizio dell’attività in forma associata e della diversa collocazione delle strutture sanitarie.
Non riguardando il monitoraggio della spesa sanitaria, non devono essere infine notificati i trattamenti di dati idonei a rivelare lo stato di salute effettuati da strutture private accreditate o convenzionate con il Servizio sanitario nazionale al solo fine di ottenere il rimborso delle prestazioni sanitarie specialistiche erogate.
L’Autorità resta a disposizione per ogni ulteriore chiarimento.
Roma, 26 aprile 2004
IL SEGRETARIO GENERALE
Giovanni Buttarelli