NewsLetter
Per ricevere gratuitamente la NewsLetter di Infogiur inserite il vostro indirizzo
e-mail:
 

informativa privacy

 


 

Notificazione al Garante: ancora incerta la situazione per i medici di medicina generale relativamente alla medicina in rete (e gli altri trattamenti di dati dei pazienti con strumenti informatici e telematici).

Aggiornamenti:

Modificato il codice privacy: semplificazioni per i medici di medicina generale 20/05/04

Medicina in rete: niente  notificazione privacy 27/04/04

21/04/04

A pochi giorni dalla scadenza del termine (30 aprile 2004), non è ancora chiaro se i medici di medicina generale che trattano dati dei pazienti con strumenti informatici e telematici debbano effettuare o meno la notificazione al Garante dei trattamenti previsti dall’art. 37 del Codice della Privacy.

Quadro normativo
L’art. 37 del Codice Privacy (Dlgs 196/03 codice in materia di protezione dei dati personali) prevede che il titolare (nel nostro caso il medico) notifica al Garante il trattamento di dati personali cui intende procedere, solo se il trattamento riguarda: … b) dati idonei a rivelare lo stato di salute … trattati ai fini di … prestazione di servizi sanitari per via telematica relativi a banche di dati… .
L’art. 181, comma 1, lett. c), stabilisce che le notificazioni previste dall’articolo 37 sono effettuate entro il 30 aprile 2004.

Interpretazione
Come in molte altre disposizioni del nuovo Codice, il dato normativo è assolutamente enigmatico, in particolare con riferimento all’espressione “prestazione di servizi sanitari per via telematica relativi a banche di dati”.

Cerchiamo di analizzare le espressioni usate dal Codice.
Dati idonei a rivelare lo stato di salute: i medici ovviamente trattano proprio questi dati in modo sistematico.
Prestazione di servizi sanitari: i medici forniscono proprio servizi sanitari
Per via telematica: non sempre i medici forniscono i propri servizi per via telematica. Comunque approfondiamo questo punto. Fornire servizi per via telematica significa utilizzare tale strumento per la comunicazione fra medico e paziente. Quindi si forniscono servizi per via telematica quando il medico offre la possibilità di essere contattato e di rispondere attraverso servizi di posta elettronica o moduli web (o simili).
Relativi a banche di dati: la banca di dati è qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti, quindi, in parole povere, si ha una banca di dati tutte le volte che registriamo su un computer una pluralità di dati. Di conseguenza, tutte le volte che un medico utilizza un personal computer per la registrazione dei dati dei pazienti effettua un “trattamento di dati idonei a rivelare lo stato di salute … relativo a banche di dati” (vedi nota).

Per capire se si rientra nell’obbligo di notificazione occorre, quindi, meglio analizzare cosa si può intendere per prestazione di servizi sanitari per via telematica.
Le interpretazioni possono essere due:
1. utilizzo della via telematica per offrire i servizi ai pazienti;
2. utilizzo della via telematica come strumento interno di organizzazione nella gestione dei dati.

Nell’ipotesi di cui al punto uno (servizi telematici ai pazienti) direi che si rientra in pieno nella definizione di trattamento di dati personali … idonei a rivelare lo stato di salute … trattati ai fini di … prestazione di servizi sanitari per via telematica relative a banche di dati. In questo caso, quindi, allo stato attuale, la notifica va effettuata (benché tale obbligo sia criticabile nel merito, in quanto è un inutile onere burocratico che nulla aggiunge alla protezione dei dati dei pazienti).
Nell’ipotesi di cui al punto due (servizi telematici interni), invece, lo strumento informatico e telematico viene utilizzato non per offrire direttamente un servizio al paziente, ma per gestire i dati dello stesso da parte del professionista, che poi eroga il servizio in modo tradizionale. E’ il caso della medicina in rete, in cui più medici fanno confluire i dati dei pazienti, per via telematica, in un unico server. In questo caso il medico registra i dati, che poi vengono inviati al server (e recuperati dallo stesso) per via telematica. I rapporti con il paziente, invece, sono gestiti in modo tradizionale, attraverso il contatto personale e diretto in studio: non c’è la prestazione di servizi diretti al paziente per via telematica.
Dunque, nell’ipotesi numero due non si può dire che vi sia un trattamento di dati personali … idonei a rivelare lo stato di salute … trattati ai fini di … prestazione di servizi sanitari per via telematica relative a banche di dati, semplicemente poiché non si presta un servizio sanitario per via telematica.
Quindi la notificazione in quest’ultimo caso non andrebbe fatta.

Questa è l’interpretazione più logica e ragionevole. Tuttavia non è possibile garantire che sia la stessa del Garante, il quale, per bocca del Segretario Generale, sulla questione è intervenuto come sotto riportato.

Le risposte informali del Segretario Generale del Garante
Su espressa domanda di chiarimenti, il Segretario Generale del Garante, Dott. Buttarelli, ha risposto, all’incontro svoltosi il 2 aprile scorso a Roma, testuali parole:
Le procedure di prestazione di servizi sanitari per via telematica relative a banche di dati, l’art. 37 lettera b.
Ora, qui il legislatore ha voluto portare alla trasparenza le situazioni in cui c’è un’attività di trattamento di dati personali sulla salute e la vita sessuale, le situazioni più rischiose nell’ambito di operazioni effettuate per via telematica, ma cercando di non aggrappare in questa rete anche singole situazioni in cui ci sia un caso episodico di teleassistenza o di telemedicina, o magari di quesiti effettuati al proprio medico attraverso una e-mail. A diversa conclusione deve giungersi per il caso in cui questa attività di utilizzazione dei servizi sanitari avvenga, però, in qualche modo utilizzando un database organizzato dove si attinge ai dati magari per rispondere, o per verificare o per integrare questi dati, ad un database strutturato, perché allora il fatto che questi dati circolino in rete deve essere oggetto di attenzione. Anche qui però vorrei portare all’attenzione la parte di esonero che è stata introdotta nel provvedimento del Garante, dove a certe condizioni è possibile anche una condivisione all’interno dello stesso studio di una banca di dati, che ricordiamo, con la nuova disciplina non è più un archivio strutturato basato su una pluralità di criteri di ricerca, ma può essere anche un solo elenco alfabetico e, quindi, a certe condizioni, anche per i fini di procreazione assistita, di trapianto di organi e di indagine epidemiologica, sono stati introdotti alcuni esoneri, con certe attività di cautela”.

Il dott. Buttarelli pare porre l’accento sulla utilizzazione di una banca di dati raggiungibile telematicamente, piuttosto che sull’erogazione del servizio per via telematica, lasciando quindi la questione ancora aperta.

Le esclusioni dall’obbligo di notificazione previste dalla deliberazione n. 1 del 31 marzo 2004

Per chiarire definitivamente la situazione, non possono venire in soccorso le esclusioni previste recentemente dal Garante.

Sappiamo che il Garante è intervenuto, con la deliberazione n. 1 del 31 marzo scorso, per definire alcuni casi in cui viene espressamente escluso l’obbligo di notificazione.

Le esclusioni riguardano:

i dati genetici e biometrici; i dati trattati ai fini di procreazione assistita, di trapianto di organi e tessuti, di indagine epidemiologica, rilevazione di malattie mentali, infettive, diffusive o di sieropositività,
trattati da esercenti le professioni sanitarie, anche unitamente ad altri esercenti titolari dei medesimi trattamenti,
in modo non sistematico,
rispetto a dati non organizzati in una banca di dati accessibile a terzi per via telematica,
limitatamente ai dati e alle operazioni, compresa la comunicazione, indispensabili per perseguire finalità di tutela della salute o dell’incolumità fisica dell’interessato o di un terzo.

In questa sede non provvediamo ad approfondire i casi di esclusione previsti, se non con riferimento all’argomento qui trattato, e cioè l’utilizzo di strumenti informatici e telematici da parte del medico di medicina generale nell’ambito della propria attività professionale.

Da una prima osservazione dei casi di esclusione dall’obbligo di notificazione si nota che essi riguardano categorie di dati sensibili ben precise, e non tutti i dati idonei a rivelare lo stato di salute.
Quindi, interpretando la norma alla lettera, bisognerebbe dire che l’esclusione prevista non opera con riferimento ai trattamenti relativi a dati idonei a rivelare lo stato di salute … trattati ai fini di … prestazione di servizi sanitari per via telematica relative a banche di dati.

Infatti, si ripete, la delibera del Garante riguarda solo dati genetici e biometrici e dati trattati ai fini di procreazione assistita, di trapianto di organi e tessuti, di indagine epidemiologica, rilevazione di malattie mentali, infettive, diffusive o di sieropositività (che comunque non devono essere trattati, per rientrare nell’esclusione, in modo sistematico attraverso banche di dati accessibili a terzi).

Anche estendendo (con interpretazione estensiva o analogica) la disposizione del Garante a tutti i dati idonei a rivelare lo stato di salute (e quindi non solo a quelli genetici, etc.), avremmo comunque che essa non potrebbe operare con riferimento ai trattamenti effettuati dai medici di medicina generale, poiché si avrebbe in ogni caso un trattamento sistematico di tali dati, e quindi comunque escluso dall’esenzione prevista.

Si potrebbe anche ritenere che si rientri nell’esenzione purché la sistematicità del trattamento non si accompagni all’utilizzo di banche dati accessibili a terzi. Ma allora l’interpretazione estensiva o analogica si allontanerebbe ancor più pericolosamente dal dato testuale della disposizione del Garante, a tutto rischio dei medici stessi.


Conclusioni
La situazione in merito alla notificazione da parte dei medici di medicina generale che effettuano trattamenti di dati con strumenti informatici e telematici è, quindi, di totale incertezza.

La stessa FIMMG nel proprio sito riporta
06/04/2004: Privacy: ancora non del tutto chiara la delibera del Garante
In merito alle perplessità che abbiamo manifestato al garante privacy sulle semplificazioni alla notifica dati, siamo stati contattati dal Segretario Generale Dr. Buttarelli il quale ci ha comunicato verbalmente che per dati biometrici devono intendersi l'impronta digitale e similari (iride ecc.) e non quindi altezza, peso, pressione arteriosa ecc. e per tanto tale problema sembra risolto anche se restiamo in attesa di una sua circolare esplicativa (non sussiste pertanto l'obbligo di ottemperare da parte del medico di medicina generale alla notificazione al Garante ai sensi dell'articolo 37 del DLgs. 196/2003).
Resta ancora qualche dubbio sul riferimento a "banche dati" accessibili da terzi per via telematica. Da tali fattispecie andrebbero esplicitamente esclusi i server di rete delle medicine di gruppo (operanti in rete locale) e delle medicine in rete (operanti in rete geografica). Per questo ed altri aspetti siamo rimasti d'accordo che ci vedremo molto presto in sede tecnico-politica”.
(Si veda anche il comunicato della FIMMG del  20/4/04)

A parere di chi scrive, i medici di medicina generale che effettuano trattamento di dati sanitari dei propri pazienti con registrazione degli stessi in cartelle cliniche attraverso strumenti informatici e telematici, ed in particolare con memorizzazione e sincronizzazione delle stesse cartelle cliniche su server raggiungibili telematicamente dai soli medici, senza offrire direttamente servizi sanitari per via telematica ai pazienti, non dovrebbero effettuare la notificazione.

Tuttavia non è chiaro se il Garante sia sulla stessa linea interpretativa, in quanto non si è espresso ancora in modo né univoco né ufficiale.

Stanno già intervenendo nella questione le rappresentanze di categoria dei medici di medicina generale, ma non è possibile sapere se si arriverà ad un chiarimento definitivo prima della scadenza del 30 aprile 2004.

Quindi, nella situazione di totale incertezza che circonda la materia della privacy in Italia, ai medici di medicina generale che stiano già effettuando tali tipi di trattamento, in attesa di auspicati chiarimenti da parte del Garante, e qualora questi non arrivino entro il 30 aprile, restano le seguenti alternative:

A. nel dubbio, effettuare comunque la notificazione (con gli oneri conseguenti);
oppure
B. nel dubbio, non effettuare la notificazione (rischiando le relative rilevanti sanzioni in caso di interpretazione della norma sfavorevole ai medici);
oppure
C. nel dubbio, cessare il trattamento dei dati con strumenti telematici (cancellando gli stessi dal server raggiungibile per via telematica).

per i casi di servizi sanitari offerti in modo sistematico direttamente ai pazienti, mediante utilizzo di banche dati, per via telematica, invece, la notificazione, allo stato attuale, va effettuata.

Riportiamo infine l’art. 163 del Codice della Privacy:
Chiunque, essendovi tenuto, non provvede tempestivamente alla notificazione ai sensi degli articoli 37 e 38, ovvero indica in essa notizie incomplete, è punito con la sanzione amministrativa del pagamento di una somma da diecimila euro a sessantamila euro e con la sanzione amministrativa accessoria della pubblicazione dell’ordinanza – ingiunzione, per intero o per estratto, in uno o più giornali indicati nel provvedimento che la applica.

(Avv. Carlo Rossi)

Nota: Anche qualora il personal computer fosse utilizzato esclusivamente per la gestione di comunicazioni per posta elettronica con i pazienti, si dovrebbe ritenere che si venga a creare una banca di dati. Infatti i dati delle e-mail, se rimangono memorizzati nel computer, vengono a creare un “complesso organizzato di dati personali”. Non si creerebbe una banca di dati unicamente se le e-mail venissero cancellate di volta in volta.

 

Infogiur - studio di consulenza e-business