Il principale documento europeo in vigore è noto anche come "GDPR" (acronimo inglese di "General Data Protection Regulation"). Si tratta del Regolamento UE 2016/679 del Parlamento europeo relativo alla protezione delle persone fisiche, con riguardo al trattamento dei dati personali, recepito dall’Italia con il D.lgs 101/2018. Che va ad aggiornare il nostro “Codice in materia di protezione dei dati personali” approvato con D.lgs. 30 giugno 2003, n. 196. Eh sì, perché qui si sta parlando solamente di PERSONE FISICHE e di come i dati, le situazioni ed i comportamenti che le riguardano debbano rispondere alla normativa sulla privacy.
Vediamoli in ambito sanitario.
- In ambito sanitario i dati personali (tra cui quelli sensibili legati alla salute) comprendono tutte le informazioni sulle condizioni psico–fisiche della persona, i dati genetici, le fotografie/video/registrazioni presi durante un intervento chirurgico o una seduta medica.
In tutti questi casi, il rischio di violare la privacy è alto, con conseguente responsabilità dell’operatore sanitario. - Accanto ai dati sensibili, di cui capiamo tutti il valore in termini di privacy, ci sono situazioni e comportamenti da tenere per garantire il privato della persona: come la riservatezza durante i colloqui, la distanza di cortesia, il riserbo nel dare notizie ai familiari in un luogo aperto al pubblico come il Pronto Soccorso e i Reparti, evitare di chiamare le persone in sala d’attesa per nome ma, bensì, con un codice o numero ecc.
E come vengono trattati questi dati?
Dopo aver raccolto i dati, con il consenso dell’interessato, l’operatore dovrà procedere alla: registrazione su cartelle cliniche o data base (fascicolo sanitario), conservazione in luoghi con accesso controllato, ceduti ed utilizzati solo da parte di chi viene individuato per il trattamento, comunicazione (es. di un referto) solo ai soggetti previsti per legge. Ricordiamo che il consenso deve essere espresso, anche in forma verbale, mai dato per scontato o tacito.
La contropartita del diritto alla privacy, lo sappiamo, è il diritto d’accesso.
Infatti ogni persona fisica ha il diritto di accesso ai propri dati e quindi a ricevere una copia dei dati personali oggetto di trattamento es. referto medico. Ed è del tutto ragionevole. A patto che il soggetto legittimato sia in grado di intendere e di volere, oppure sia maggiorenne. Nel caso di minorenni, interdetti o inabilitati, legittimati sono rispettivamente i genitori, il tutore o il curatore.
E gli altri?
I soggetti che possono accedere liberamente ai dati sanitari del paziente/assistito, sono: i professionisti sanitari (ai sensi della Legge 24/2017 rientrano i farmacisti, i medici, odontoiatri, veterinari, psicologi, ostetrici, professionisti della riabilitazione, optometristi e infermieri) e gli enti sanitari pubblici. Per altre figure ed altri enti, è necessario il consenso dell’interessato.
Quale normativa applicare dunque riguardo all’accesso alla cartella clinica o al dossier sanitario elettronico ? Perchè il fascicolo sanitario è un’altra cosa, a cui potremmo dedicare un approfondimento.
La normativa da applicare in caso d’accesso è quella generale riguardante il diritto di accesso agli atti amministrativi, disciplinata dagli artt. 22 e seguenti, l. n. 241/1990, mentre e il regime del trattamento dei dati personali in ambito sanitario è quella disciplinata dal “Codice in materia di protezione dei dati personali” di cui al d. lgs. n. 196/2003.
Ciò in quanto la giurisprudenza afferma la natura di atto pubblico della cartella clinica, come strumento giuridico atto a trattare le informazioni per la cura del paziente ed a consentire il passaggio di informazioni tra i diversi operatori sanitari. Per la stessa ragione, il medico incaricato della compilazione è considerato un pubblico ufficiale ex art. 357 c.p., responsabile anche della compilazione, della conservazione e della buona tenuta dei dati.
Questa breve disamina potrà essere implementata con un articolo a parte sulle responsabilità derivanti dalla violazione della privacy da parte degli operatori.