Domanda: Sono un medico convenzionato per la continuità assistenziale (ex guardia medica). Ai sensi dell'accordo collettivo vigente di cui al d.P.R. 484/1996, sono obbligato a registrare sul registro visite il nome cognome età e indirizzo del chiamante, le eventuali generalità del richiedente, la visita (nel caso sia persona diversa), la sintomatologia prospettata, e la tipologia dell'intervento richiesto ed effettuato.
E' evidente che sono costretto, in forza di un regolamento (dpr 484/1996), a manipolare dati personali e dati sensibili. Vorrei sapere se ho l'obbligo di chiedere il consenso scritto dell'interessato?

Risposta: Sí, agli operatori della sanità si applica il Codice della privacy, D.lgs.196/2003, artt. 75 e seguenti: per il trattamento di dati sanitari occorre fornire l'informativa, ai sensi dell'art. 13, anche con le modalità semplificate previste dagli artt. 77 e seguenti, e richiedere il consenso dell'interessato. Detto consenso può essere manifestato anche oralmente ma, in quest'ultimo caso, va documentato tramite annotazione da parte dell'esercente l'attività sanitaria.

Domanda: Quali sono gli adempimenti cui sono tenuti gli organismi sanitari pubblici?
In particolare, se è pur vero che in generale i soggetti pubblici non necessitano del consenso, è anche vero che c'è una apposita disciplina circa i dati inerenti la salute, anche per gli organismi sanitari pubblici. Anche questi, dunque, necessitano, in tal caso, dell'autorizzazione del Garante e del consenso dell'interessato?

Risposta: Agli organismi sanitari pubblici si applicano le prescrizioni dell'articolo 76 del Codice, che escludono l'obbligo di richiesta di autorizzazione al Garante, con il consenso dell'interessato, nel caso di trattamento di dati idonei a rivelare lo stato di salute, limitatamente ai dati e alle operazioni indispensabili per il perseguimento di finalità di tutela della incolumità fisica e della salute dell'interessato.

Domanda: Uno studio dentistico che raccoglie dati personali anagrafici generali ai fini gestionali ed anamnestici di natura medica per la tutela della salute del paziente stesso, ed inserisce tutti questi dati in una banca dati elettronica programma gestionale dello studio il cui uso è esclusivamente riservato all'operatore ed al personale all'interno dello studio medico stesso, deve richiedere a) il consenso del singolo paziente al trattamento dei dati e b) l'autorizzazione del Garante per poter tenere la banca dati stessa?

Risposta: Affinché il trattamento di tali dati sensibili possa essere considerato lecito, è necessario che lo studio renda l'informativa ai sensi dell'art.13 del D.lgs.196/2003 e richieda ai pazienti il consenso. Non sarà, invece, necessario richiedere l'autorizzazione al Garante, in quanto esiste una autorizzazione generale, rinnovata annualmente.

D 2) In caso positivo, il consenso deve essere richiesto anche ai pazienti memorizzati precedentemente all'entrata in vigore della legge?

R Sì, essendo state abrogate dal 30/6/2003 le disposizioni transitorie che consentivano il trattamento senza consenso di dati raccolti prima dell'entrata in vigore del testo originario della legge 675/1996.

Domanda Sono il responsabile dei sistemi informativi di un'azienda ospedaliera, ed ho impostato i primi adempimenti della privacy c.s.:

Secondo noi, la raccolta dei dati personali al momento del ricovero, o al momento delle altre prestazioni sanitarie (pronto soccorso, ambulatoriali), costituiscono obbligo in forza di leggi specifiche; mentre per la libera professione, fornitori, dipendenti e conduttori di immobili, si tratta di informazioni precontrattuali: contratti di acquisto, assunzione, locazione e quindi non richiedono il consenso.
1) E' corretta la nostra interpretazione?

Risposta Si.

D 2) L'accesso ai dati personali e quindi il loro trattamento è consentito solo ai responsabili ed ai designati per iscritto da questi, con la conseguenza di un'infinità di incarichi a tutti i dipendenti (primari, medici, infermieri, addetti, tutti gli impiegati)?
E' corretto, o è un'interpretazione eccessiva?

R. L'interpretazione è corretta: tutti i coloro che trattano i dati devono essere incaricati per iscritto.

D. Attualmente, il Direttore sanitario non ha ancora provveduto agli incarichi ai medici ed al personale sanitario, ma l'intenzione è quella di dare un incarico ad ogni primario, con la delega ad incaricare il personale da lui dipendente a micro incarichi operativi.
3) E' possibile operare un incarico con delega a sotto-incarichi?

R. No, non è possibile poiché, in base alla legge, gli incaricati al trattamento dei dati possono essere nominati solo dal titolare o dal responsabile del trattamento. E' chiaro però che ciò è possibile se ogni primario viene nominato anche Responsabile del Trattamento per i dati attinenti al proprio reparto.

Domanda: Per finalità di ricerca medica, utilizziamo frequentemente cartelle sanitarie nelle quali sono contenuti, quali unici riferimenti al paziente, campi relativi alle prime lettere del cognome, nome, data di nascita e sesso.
Con dati organizzati in questa maniera, le cartelle possono essere considerate anonime?

Risposta: Assolutamente no, in quanto per dati anonimi si intendono quelle informazioni che in origine, o a seguito di trattamento, non possono essere associate in alcun modo ad un interessato identificato o identificabile (art. 4, comma 1, lett. n del Codice della privacy).

Domanda: Ci sono criteri, scritti da qualche parte, che indichino quale dataset minimo di dati possa essere considerato anonimo?

Risposta: Al momento, la legge fornisce soltanto la definizione "legale" di dato anonimo, prevedendo che tale sia il dato che, in origine o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile (art. 4, comma 1, lett. n del D:lgs.196/2003).
Un tipico esempio di dati anonimi sono le statistiche: il conoscere le abitudini di un gruppo di persone attraverso percentuali, non ci permette di risalire all'identità dei singoli soggetti.

Domanda: Elaboriamo un programma software per ottici-optometristi. Il programma permette di archiviare le informazioni riguardanti la situazione oculare dei clienti, le correzioni e le lenti applicate. Non abbiamo ben capito se gli ottici debbano richiedere il consenso dei propri clienti per continuare a raccogliere dati.

Risposta: Il caso da Voi segnalato necessita di uno specifico approfondimento, anche in relazione a tutti gli adempimenti pratici connessi all'adeguamento del software da Voi realizzato per gli ottici optometristi.
Infatti, il programma da Voi predisposto tratta dati considerati in maniera particolare dalla legge, i "dati sanitari" (artt. 75 e seguenti del Codice della privacy).
Esistono, dunque, esigenze di informativa e consenso da parte degli interessati.

Domanda: Nell'ambito di attività sanitaria svolta in regime libero-professionale, come ci si deve comportare per permettere al personale dipendente di aggiornare le cartelle cliniche detenute in archivio magnetico? Detto personale può essere considerato "incaricato del trattamento dei dati"? Deve essere fatto Ordine di Servizio scritto? L'eventuale ordine di servizio deve essere solo custodito presso lo studio medico oppure deve essere data comunicazione a qualche organismo o autorità?

Risposta: Affinché i dipendenti possano trattare i dati sensibili contenuti nelle cartelle cliniche, è indispensabile nominarli incaricati del trattamento, conferendo le necessarie istruzioni.
Tali nomine, in base al disposto dell'art. 30 del D.lgs.196/2003, devono essere effettuate per iscritto e sarà sufficiente conservarle presso lo studio, poiché non è previsto l'obbligo di notificare il trattamento al Garante.

Domanda: E' possibile fornire informazioni sanitarie sul paziente ai suoi parenti?

Risposta: L'art. 30 del codice deontologico dei medici prevede che ció sia possibile solo se il paziente acconsente; è, quindi, necessario informare il paziente e richiedere il suo consenso a che i suoi parenti o alcuni di essi siano messi al corrente del suo stato di salute.
Anche per il Codice della privacy (art. 84) tali informazioni possono essere rese note ad un prossimo congiunto, ad un familiare, ad un convivente, col consenso dell'interessato.