IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del prof. Stefano Rodota', presidente, del prof. Giuseppe Santaniello, vicepresidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale; Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali; Visto, in particolare, l'art. 4, comma 1, lett. d), del citato Codice, il quale individua i dati sensibili; Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili solo previa autorizzazione di questa Autorita' e, ove necessario, con il consenso scritto degli interessati, nell'osservanza dei presupposti e dei limiti stabiliti dal Codice, nonche' dalla legge e dai regolamenti; Visto l'art. 76 del Codice, secondo cui gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di un'attivita' di rilevante interesse pubblico ai sensi dell'articolo 85 del medesimo Codice, possono trattare i dati personali idonei a rivelare lo stato di salute anche senza il consenso dell'interessato, previa autorizzazione del Garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalita' di tutela della salute o dell'incolumita' fisica di un terzo o della collettivita'; Considerato che il trattamento dei dati in questione puo' essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice); Considerato che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure uniformi a garanzia degli interessati, rendendo altresi' superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari del trattamento; Ritenuto opportuno, dopo l'entrata in vigore del Codice, rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza il 30 giugno 2004, armonizzando le prescrizioni gia' impartite alla luce dell'esperienza maturata; Ritenuto opportuno che anche tali nuove autorizzazioni siano provvisorie e a tempo determinato ai sensi dell'art. 41, comma 5, del Codice, e, in particolare, efficaci per il periodo di dodici mesi, in relazione alla fase di prima applicazione delle nuove disposizioni del Codice; Considerata la necessita' di garantire il rispetto di alcuni principi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti potrebbero comportare per i diritti e le liberta' fondamentali, nonche' per la dignita' delle persone, e, in particolare, per il diritto alla protezione dei dati personali sancito all'art. 1 del Codice, principi valutati anche sulla base delle raccomandazioni adottate in materia di dati sanitari dal Consiglio d'Europa ed in particolare dalla Raccomandazione N.R. (97) 5, in base alla quale i dati sanitari devono essere trattati, di regola, solo nell'ambito dell'assistenza sanitaria o sulla base di regole di segretezza e di efficacia pari a quelle previste in tale ambito; Considerato che un elevato numero di trattamenti idonei a rivelare lo stato di salute e la vita sessuale e' effettuato per finalita' di prevenzione o di cura, per la gestione di servizi socio-sanitari, per ricerche scientifiche o per la fornitura all'interessato di prestazioni, beni o servizi; Visto l'art. 167 del Codice; Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati; Visti gli articoli 31 e seguenti del Codice e il disciplinare tecnico di cui all'Allegato B)al Codice in materia di protezione dei dati personali recanti norme e regole sulle misure di sicurezza; Visto l'art. 41 del Codice; Visti gli atti d'ufficio; Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof Stefano Rodota';
Autorizza
a) gli esercenti le professioni sanitarie a trattare i dati idonei a rivelare lo stato di salute, qualora i dati e le operazioni siano indispensabili per tutelare l'incolumita' fisica o la salute di un terzo o della collettivita', e il consenso non sia prestato o non possa essere prestato per effettiva irreperibilita'; b) gli organismi e le case di cura private, nonche' ogni altro soggetto privato, a trattare con il consenso i dati idonei a rivelare lo stato di salute e la vita sessuale; c) gli organismi sanitari pubblici, istituiti anche presso universita', ivi compresi i soggetti pubblici allorche' agiscano nella qualita' di autorita' sanitarie, a trattare i dati idonei a rivelare lo stato di salute, qualora ricorrano contemporaneamente le seguenti condizioni:
1) il trattamento sia finalizzato alla tutela dell'incolumita' fisica e della salute di un terzo o della collettivita';
2) manchi il consenso (articolo 76, comma 1, lett. b), del Codice), in quanto non sia prestato o non possa essere prestato per effet- tiva irreperibilita';
3) non si tratti di attivita' amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione ai sensi dell'art. 85, commi 1 e 2, del Codice;
d) anche soggetti diversi da quelli di cui alle lettere a), b) e c) a trattare i dati idonei a rivelare lo stato di salute e la vita sessuale, qualora il trattamento sia necessario per la salvaguardia della vita o dell'incolumita' fisica di un terzo. Se la medesima finalita' riguarda l'interessato e quest'ultimo non puo' prestare il proprio consenso per impossibilita' fisica, per incapacita' di agire o per incapacita' d'intendere o di volere, il consenso e' manifestato da chi esercita legalmente la potesta', ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l'interessato.
Per l'informativa e, ove previsto, il consenso si osservano anche le disposizioni di cui agli articoli 13, 23, 26 e da 75 a 82 del Codice.
1) Ambito di applicazione e finalita' del trattamento.
1.1. L'autorizzazione e' rilasciata:
a) ai medici-chirurghi, ai farmacisti, agli odontoiatri, agli psicologi e agli altri esercenti le professioni sanitarie iscritti in albi o in elenchi; b) al personale sanitario infermieristico, tecnico e della riabilitazione che esercita l'attivita' in regime di libera professione; c) alle istituzioni e agli organismi sanitari privati, anche quando non operino in rapporto con il servizio sanitario nazionale.
In tali casi, l'autorizzazione e' rilasciata anche per consentire ai destinatari di adempiere o di esigere l'adempimento di specifici obblighi o di eseguire specifici compiti previsti da leggi, dalla normativa comunitaria o da regolamenti, in particolare in materia di igiene e di sanita' pubblica, di prevenzione delle malattie professionali e degli infortuni, di diagnosi e cura, ivi compresi i trapianti di organi e tessuti, di riabilitazione degli stati di invalidita' e di inabilita' fisica e psichica, di profilassi delle malattie infettive e diffusive, di tutela della salute mentale, di assistenza farmaceutica e di assistenza sanitaria alle attivita' sportive o di accertamento, in conformita' alla legge, degli illeciti previsti dall'ordinamento sportivo. Il trattamento puo' riguardare anche la compilazione di cartelle cliniche, di certificati e di altri documenti di tipo sanitario, ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini appena indicati. Qualora il perseguimento di tali fini richieda l'espletamento di compiti di organizzazione o di gestione amministrativa, i destinatari della presente autorizzazione devono esigere che i responsabili e gli incaricati del trattamento preposti a tali compiti osservino le stesse regole di segretezza alle quali sono sottoposti i medesimi destinatari della presente autorizzazione, nel rispetto di quanto previsto anche dall'art. 83, comma 1, del Codice.
1.2. L'autorizzazione e' rilasciata, altresi', ai seguenti soggetti:
a) alle persone fisiche o giuridiche, agli enti, alle associazioni e agli altri organismi privati, per scopi di ricerca scientifica, anche statistica, finalizzata alla tutela della salute dell'interessato, di terzi o della collettivita' in campo medico, biomedico o epidemiologico, allorche' si debba intraprendere uno studio delle relazioni tra i fattori di rischio e la salute umana, o indagini su interventi sanitari di tipo diagnostico, terapeutico o preventivo, ovvero sull'utilizzazione di strutture socio-sanitarie, e la disponibilita' di dati solo anonimi su campioni della popolazione non permetta alla ricerca di raggiungere i suoi scopi. In tali casi occorre acquisire il consenso (in conformita' a quanto previsto dagli articoli 106, 107 e 110 del Codice), e il trattamento successivo alla raccolta non deve permettere di identificare gli interessati anche indirettamente, salvo che l'abbinamento al materiale di ricerca dei dati identificativi dell'interessato sia temporaneo ed essenziale per il risultato della ricerca, e sia motivato, altresi', per iscritto. I risultati della ricerca non possono essere diffusi se non in forma anonima. Resta fermo quanto previsto dall'art. 98 del Codice; b) alle organizzazioni di volontariato o assistenziali, limitatamente ai dati e alle operazioni indispensabili per perseguire scopi determinati e legittimi previsti, in particolare, nelle rispettive norme statutarie; c) alle comunita' di recupero e di accoglienza, alle case di cura e di riposo, limitatamente ai dati e alle operazioni indispensabili per perseguire scopi determinati e legittimi previsti, in particolare, nelle rispettive norme statutarie; d) agli enti, alle associazioni e alle organizzazioni religiose riconosciute, relativamente ai dati e alle operazioni indispensabili per perseguire scopi determinati e legittimi nei limiti di quanto stabilito dall'art. 26, comma 4, lett. a), del Codice, fermo restando quanto previsto per le confessioni religiose dagli articoli 26, comma 3, lett. a), e 181, comma 6, del Codice e dell'autorizzazione n. 3/2004; e) alle persone fisiche e giuridiche, alle imprese, agli enti, alle associazioni e ad altri organismi, limitatamente ai dati, ove necessario attinenti anche alla vita sessuale, e alle operazioni indispensabili per adempiere agli obblighi, anche precontrattuali, derivanti da un rapporto di fornitura all'interessato di beni, di prestazioni o di servizi. Se il rapporto intercorre con istituti di credito, imprese assicurative o riguarda valori mobiliari, devono considerarsi indispensabili i soli dati ed operazioni necessari per fornire specifici prodotti o servizi richiesti dall'interessato. Il rapporto puo' riguardare anche la fornitura di strumenti di ausilio per la vista, per l'udito o per la deambulazione; f) alle persone fisiche e giuridiche, agli enti, alle associazioni e agli altri organismi che gestiscono impianti o strutture sportive, limitatamente ai dati e alle operazioni indispensabili per accertare l'idoneita' fisica alla partecipazione ad attivita' sportive o agonistiche; g) alle persone fisiche e giuridiche e ad altri organismi, limitatamente ai dati dei beneficiari e dei donatori e alle operazioni indispensabili per effettuare trapianti di organi e tessuti, nonche' donazioni di sangue.
1.3. La presente autorizzazione e' rilasciata, altresi', quando il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale sia necessario per:
a) lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonche' in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che il diritto sia di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalita' o in altro diritto o liberta' fondamentale e inviolabile, e i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario per il loro perseguimento; b) adempiere o esigere l'adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi per la gestione del rapporto di lavoro, nonche' della normativa in materia di previdenza e assistenza o in materia di igiene e sicurezza del lavoro o della popolazione, nei limiti previsti dalla autorizzazione generale del Garante n. 1/2004 e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all'articolo 111 del Codice.
1.4. Fino alla data in cui sara' efficace l'apposita autorizzazione per il trattamento dei dati genetici prevista dall'art. 90 del Codice, restano autorizzati i trattamenti di dati genetici nei soli limiti e alle condizioni individuate al punto 2, lett. b), dell'autorizzazione n. 2/2002.
2) Categorie di dati oggetto di trattamento.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalita' perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalita' che permettano di identificare l'interessato solo in caso di necessita', in conformita' all'art. 3 del Codice. Il trattamento puo' avere per oggetto i dati strettamente pertinenti ai sopra indicati obblighi, compiti o finalita' che non possano essere adempiuti o realizzati, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa, e puo' comprendere le informazioni relative a stati di salute pregressi. Devono essere considerate sottoposte all'ambito di applicazione della presente autorizzazione anche le informazioni relative ai nascituri, che devono essere trattate alla stregua dei dati personali in conformita' a quanto previsto dalla citata raccomandazione N. R (97) 5 del Consiglio d'Europa.
3) Modalita' di trattamento.
Fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, nonche' dagli articoli 31 e seguenti del Codice e dall'Allegato B) al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonche' con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalita'.
I dati sono raccolti, di regola, presso l'interessato.
La comunicazione di dati all'interessato deve avvenire di regola direttamente a quest'ultimo o a un suo delegato (fermo restando quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia. Per le informazioni relative ai nascituri, il consenso e' prestato dalla gestante. Dopo il raggiungimento della maggiore eta' l'informativa e' fornita all'interessato anche ai fini della acquisizione di una nuova manifestazione del consenso quando questo e' necessario (art. 82, comma 4, del Codice).
4) Conservazione dei dati.
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e) del Codice, i dati possono essere conservati per un periodo non superiore a quello necessario per adempiere agli obblighi o ai compiti sopra indicati, ovvero per perseguire le finalita' ivi menzionate. A tal fine, anche mediante controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e indispensabilita' dei dati rispetto al rapporto, alla prestazione o all'incarico in corso, da instaurare o cessati, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione e' prestata per l'indispensabilita' dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti.
5) Comunicazione e diffusione dei dati.
I dati idonei a rivelare lo stato di salute, esclusi i dati genetici, possono essere comunicati, nei limiti strettamente pertinenti agli obblighi, ai compiti e alle finalita' di cui al punto 1), a soggetti pubblici e privati, ivi compresi i fondi e le casse di assistenza sanitaria integrativa, le aziende che svolgono attivita' strettamente correlate all'esercizio di professioni sanitarie o alla fornitura all'interessato di beni, di prestazioni o di servizi, gli istituti di credito e le imprese assicurative, le associazioni od organizzazioni di volontariato e i familiari dell'interessato. Ai sensi degli artt. 22, comma 8, e 26, comma 5, del Codice, i dati idonei a rivelare lo stato di salute non possono essere diffusi. I dati idonei a rivelare la vita sessuale non possono essere diffusi, salvo il caso in cui la diffusione riguardi dati resi manifestamente pubblici dall'interessato e per i quali l'interessato stesso non abbia manifestato successivamente la sua opposizione per motivi legittimi.
6) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorita', qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette. Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo. Il Garante non prendera' in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformita' alle prescrizioni del presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione, relative, ad esempio, al caso in cui la raccolta del consenso comporti un impiego di mezzi manifestamente sproporzionato in ragione, in particolare, del numero di persone interessate.
7) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti piu' restrittivi in materia di trattamento di dati personali e, in particolare:
a) dall'art. 5, comma 2, della legge 5 giugno 1990, n. 135, come modificato dall'art. 178 del Codice, secondo cui la rilevazione statistica della infezione da HIV deve essere effettuata con modalita' che non consentano l'identificazione della persona; b) dall'art. 11 della legge 22 maggio 1978, n. 194, il quale dispone che l'ente ospedaliero, la casa di cura o il poliambulatorio nei quali e' effettuato un intervento di interruzione di gravidanza devono inviare al medico provinciale competente per territorio una dichiarazione che non faccia menzione dell'identita' della donna; c) dall'art. 734-bis del codice penale, il quale vieta la divulgazione non consensuale delle generalita' o dell'immagine della persona offesa da atti di violenza sessuale.
Restano altresi' fermi gli obblighi di legge che vietano la rivelazione senza giusta causa e l'impiego a proprio o altrui profitto delle notizie coperte dal segreto professionale, nonche' gli obblighi deontologici previsti, in particolare, dal Codice di deontologia medica adottato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri. Resta ferma, infine, la possibilita' di diffondere dati anonimi anche aggregati e di includerli, in particolare, nelle pubblicazioni a contenuto scientifico o finalizzate all'educazione, alla prevenzione o all'informazione di carattere sanitario.
8) Efficacia temporale e disciplina transitoria.
La presente autorizzazione ha efficacia a decorrere dal 1 luglio 2004 fino al 30 giugno 2005. Qualora alla data della pubblicazione della presente autorizzazione il trattamento non sia gia' conforme alle prescrizioni non contenute nella precedente autorizzazione n. 2/2002, il titolare deve adeguarsi ad esse entro il 30 settembre 2004. La presente autorizzazione sara' pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 30 giugno 2004 Il presidente: RODOTA'
Il relatore: RODOTA'
Il segretario generale: BUTTARELLI |