Garante per la privacy:-. Ie linee guida -.

sui fascicolo sanitario

L'Autorita ha pubblicato sulla«Gazzetta Ufficiale» n. 7112009

Ie indicazioni per garantirela riservatezza nell'utilizzodel documento e/ettronico

Dagli anibiti di applicazioneal trasferimento di dati all'estero

Le tutele sui fascicolo sanitarioLinee guida in tema di fascicolo sanitario elettronico e di dossier sanitario - 5 marzo 2009

(Gu n. 71 del 26 marza 2009)

IL GARANTE PER LA PROTEZIONEDEI DATI PERSONALI

Nella riunione odierna, inpresenza del pr-of. France-sco Pizzetti, preSidente, del dott. Giuseppe Chiaravallo-ti, vice-presidente, del dott. Mauro Paissan e del dott.Giuseppe Fortunato, componenti, e del dott. DanieleDe Paoli, segretario generale reggente;

Considerato che l'Autorit:a ha svolto alcuni approfon-dimenti istruttori su numerose iniziative - diversamentedenominate - promosse da organismi sanitari pubblici eprivati inerenti ai trattamenti di dati personali effettuatiattraverso il Fascicolo sanitario elettronico (Fse);

Rilevata I'esigenza di individuare misure e accorgi-menti necessari e opportuni da porre a garanzia deicittadini interessati, in relazione ai trattamenti di datiche Ii riguardano;

Visto il provvedimento adottato dall'Autorit:a il 22gennaio 2009 recante Linee guida in tema di Fascicolosanitarioelettronico che e state sottoposto alia preli-minare consultazione del gruppo di lavoro, costituitopresso iI ministero del Lavoro, delia salute e dellepolitiche sociali, per I'istituzione di un sistema naziona-Ie di Fascicolo sanitario elettronico;

Viste Ie osservazioni formulate su tale provvedimen-to dal suddettotavolo di lavoro con nota del 18febbraio 2009 (prot. 0000603-P-18);

Rilevata I'opportunit:a che la prescri:z:ione di talimisu-re e accorgimenti, allo state individuati dal Garantenell'unito documento, sia preceduta da una consultazio-ne pubblica dei soggetti e delle categorie interessate, inparticolare degli organismi e professionisti sanitari pub-blici e privati, dei medici di medicina generale e deipediatri di libera scelta, degli organismi rappresentatividi operatori sanitari e delle associazioni di pazientiinteressati, anche al fine di acquisire eventuali riscontrie osservazioni;

Visto .il Cod ice in materia di protezione dei datipersonali (Digs 30 giugno 2003, n. 196);

Viste Ie osservazioni dell'Ufficio formulate dal segre-tariogenerale reggente ai sensi dell' art. 15 del regola-mento del Garante n. 1/2000;

Relatore il dott. Giuseppe Chiaravalloti;

a) di adottare I'unito documento che forma parteintegrante delia presente deliberazione (<<Lineeguida intema di Fascicolo sanitario elettronico e di dossiersanitario» );

b) di avviare una consultazione pubblica sui docu-mento di cui alia lettera a).

L'obiettivo delia consultazione e acquisire osserva-zioni e commenti, in particolare da parte di organismi eprofessionisti sanitari pubblici e privati, dei medici di

medicina generale e dei pediatri di libera scelta, diorganismi rappresentativi di operatori sanitari e diassociazioni di pazienti interessati.

Osservazioni e commenti potranno pervenire entroil 31 maggio 2009 all'indirizzo dell'Autorit:a di Piazza diMonteci~orio n. 121, 00186 Roma, ovvero all'indirizzodi posta elettronica:

fse@garanteprivacy.itLa presente deliberazione verra pubblicata sui sito

web del Garante www.garanteprivacy.it e verra inviatoun avviso all'Ufficio pubblicazione leggi e decreti delministero delia Giustizia, affinche sia riportato sullaGazzetta Ufficiale delia Repubblica italiana.

IL GARANTE PER LA PROTEZIONEDEI DATI PERSONALI

Linee guida intema di fascicolo sanitarioelettronico e di dossier sanitario

.I. La Sanita elettronica: profili generaii..Nel quadro del processo di ammodernamento delia

San ita pubblica e privata sono in atto numerose iniziati-ve volte a migliorare I'efficienza del servizio sanitarioattraverso un ulteriore sviluppo delle reti e .una piuampia gestione informatica e telematica di atti, docu-menti e procedure.

In tale contesto si collocano alcune iniziative voltead archiviare, mediante nuove tecniche, la svariatadocumentazione di cui gli organismi sanitari si avvalgo-no a diverse titolo nei processi di cura dei pazienticome, a esempio, Ie piu recenti esperienze di informa-tizzazione delia cartella c1inica, documento sanitarioche pure e regolato da specifiche disposizioni normati-ve. II trattamento dei dati utilizzati nell'ambito di taliiniziative e regolato gia dal· Cod ice sulla protezione dei

dati personali (dr., in particolare, artt. 75 e ss. e art. 20del Codice).

Accanto a tali iniziative pili generali emerge di recen-te un'attivita pili specifica che rientra anch'essa nelcomplesso delle azioni per modernizzare la realta sani-taria, ma ha caratteristiche peculiari che ne rendonoopportuna una considerazione in forma specifica.

La novita che si intende esaminare in questa sede inchiave autonoma riguarda la condivisione informatica,da parte di distinti organismi 0 professionisti, dr dati edocumenti sanitari che vengono formati, integrati eaggiornati nel tempo da pili soggetti, al fine di documenctare in modo unitario e in termini il pili possibilecompleti un'intera gamma di diversi eventisanitaririguardanti un medesimo individuo e, in prospettiva,I'intera sua storia c1inica.

Questi dati e documenti possono presentare carat-teristiche 0 sfumature diverse e sono da tempo ogget-to di 'specifica attenzione nell'ambito delia problemati-ca del cosiddetto Fascicolo sanitario elettronico (diseguito Fse) e del c.d. dossier sanitario (di seguitodossier). Nelle presenti Linee guida per tali strumentisi ha riguardo all'insie~ dei diversi eventi c1inicioccor-si a un individuo, messo in condivisione logica daiprofessionisti 0 organismi sanftari che assistono I'inte-ressato, al fine di offrirgli un migliore processo di cura.

La peculiarita delia condivisione da parte di distintisoggetti delle delicate informazioni sanitarie che docu-mentano un insiemedi eventidi rilevanza medica oc-corsi a unostesso individuo giustifica la formulazionedi particolad considerazioni rispetto alia gestione carta-cea di analoghi documenti e alia pili generale tematicadell'informatizzazione sanitaria.

Nelle more di un possibile intervento normativoche regoli alcuni aspetti di fondo, il Garante ritienepertanto opportuno individuare un primo quadro dicautele, al fine di delineare per tempo specifiche garan-zie e responsabilita, nonche alcuni diritti.

2. Ambito di applicazione delle linee guidaII Fsee i dossier non risultano essere definiti a livello

nazionale da norme di carattere primario 0 seconda-rio. Cia comporta la necessita di utilizzare una defini-zione convenzionale del fenomeno che trae spuntoanche da quanto emerso in sede europea nel Gruppoche riunisce Ie autorita garanti di protezione dei dati(cd. Gruppo Art. 29) (I). '"

Le considerazioni sYiluppate nelle presenti linee gui-da sono applicabili al Fse e al ,dossier intesi, come

~detto, quali insieme di dati sanitari relativi di regolaa~ medesimo soggetto e riportati in pili documentielettronici tra loro collegati, condivisibili da soggettisanitari diversi, pubblici e privati.

II Fse e il dossier contengono diverse informazioniinerenti allo stato di salute di un individuo relative aeventi c1inicipresenti e trascorsi (es.: referti, documen-tazione relativa a ricoveri, accessi al pronto soccorso),volte a documentarne la storia c1inica. I dati personalisono collegati tra loro con modalita informatiche divario tipo che ne rendono, comunque, possibile un'age-vole consultazione unitaria da parte dei diversi profes-sionisti o'organismi sanitari che prendono nel tempo incura I'interessato.

Alia luce di quanto emerso alivello nazionale e, inparticolare, dalle osservazioni del grl;lppo di lavorocostituito presso il'ministero del Lavoro, delia salute edelle politiche sociali, per I'istituzione di un sistemanazionale di Fascicolo sanitario elettronico, nelle pre-senti Linee guida il suddetto insieme di dati sanitaririsulta diversamente denominato in funzione del suoambito di operativita. In particolare, si paria di dossiersanitario qualora tale strumento sia costituito pressoun organismo sanitario in qualita di unico titolare deltrattamento (es., ospedale 0 c1inicaprivata) al cui inter-no operino pili professionisti. Si intende invece per Fseil fascicolo formato con riferimento a dati sanitarioriginati da diversi titolari del trattamento operanti pilifrequentemente, ma non esclusivamente, in un medesi-mo ambito territoriale (es., azienda sanitaria, laborato-rio c1inico privato operanti nella medesima Regione 0Area vasta). I dossier sanitari possono anche costitui-re, a esempio, I'insieme di informazioni sanitarie dete-nute dai singoli titolari coinvolti in una iniziativa di Fseregionale.

II Fsedovrebbe essere costituito preferehdo di rego-la soluzioni che non prevedano una duplicazione in unanuova banca dati delle informazioni sanitarie formatedai professionisti 0, organismisanitari che hanno presoin cura I'interessato,

In secondo luogo, provenendo i dati sanitari e idocumenti riuniti nel Fse da pili soggetti, dovrebberoessere adottate idonee cautele per ricostruire, anchein termini di responsabilita, chi ha raccolto e generato idati e Ii ha resi disponibili nell'ambitodel Fse.

Nel caso di Fse, venendo poi in cOhsiderazionedocumenti sanitari del tutto distinti tra loro, dovrebbeessere assicurato che ciascun soggetto che Ii ha prodot-ti autonomamente ne rimanga di regola I'unico titolare,anche se Ie informazioni sono - come detto - disponibi-Ii agli altri soggetti abilitati all'accesso (a esempio -come spesso accade - attraverso la condivisione, daparte di tuttii soggetti che prendono incura I'interessa-to, dell'elenco degli eventi sanitari occorsi, elenco strut-turato anche sotto forma di indici 0 di puntatori logicidei singoli episodi c1inici).

In assenza di una previsione legislativa che prevedaI'istituzione di tali strumenti per il perseguimento difinalita amministrative proprie delle Regioni 0 di organicentrali dello Stato, Ie finalita che possono essereperseguite attraverso la costituzione del Fse 0 deldossier possono essere ricondotte esclusivamente afinalita di cura dell'interessato, ovvero ad assicurare unmigliore processo di cura dello stesso attraverso laricostruzione di un insieme - di regola su base logica - ilpili possibile completo delia cronistoria degli eventi dirilievo c1inico occorsi a un interessato relativi a distintiinterventi medici.

A garanzia dell'interessato, Ie finalita perseguite do-vrebbero es~ere ricondotte quindi solo alia prevenzio-ne, diagnosi, cura e riabilitazione dell'interessato mede-simo, con esclusione di ogni altra finalita (in particola-re, per Ie attivita di programmazione, gestione, control-10 e valutazione dell'assistenza sani«iria, che possonoessere, peraltro, espletate in vari casi anche senza ladisponibilita di dati personali), ferme restand,o eventua-Ii esigenze in ambito penale. '

Qualora attraverso il Fse 0 il dossier si intendanoperseguire anche talune finalita amministrative stretta-mente connesse all'erogazione delia prestazione sanita-ria richiesta dall'interessato (es. prenotazione e paga-mento di una prestazione), tali strumenti dovrebberoessere strutturati in modo tale che i dati amministrativi

, siano separati dalle informazioni sanitarie (2), preveden-do profili diversi di abilitazione degli aventi accesso aglistessiin funzione delia differente tipologia di operazio-ni a essi consentite.

Eventuali, future utilizzazioni anche parziali del Fse 0del dossier per ulteriori fini di ricerca scientifica, epide-miologica 0 statistica dovrebbero avvenire in conformi-ci alia normativCl di settore ed essere oggetto. di pre-ventiva e specifica attenzione, anche nei casi in cui -come accade per taluni progetti di Fse esaminati - laten uta dell'elenco degli eventi sanitari riguardante undeterminato interessato sia demandata a un'infrastrut-tura regionale.

3. Diritto alia costituzione di un fascicolo sani-tario elettronico 0 di un dossier sanitario

In base aile disposizioni contenute nel Cod ice del-I'amministrazione digitale, devono essef'e assicurati ladisponibilita, la gestione, I'accesso, la trasmissione, laconservazione e la fruibilicidell'informazione in modali-ci digitale utilizzando Ie tecnologie dell'informazione edelia comunicazione nel rispetto delia disciplina rilevan-te in materia di trattamento de.i dati personali e, inparticolare, delle disposizioni del Codice dell'ammini-strazione digitale (Digs 7 marzo 2005, n. 82).

A cio deve aggiungersi che allo stato dellenotizie almomento acquisite dall'Autorita, non consta I'esisten-za di una norma che obblighi gli organismi sanitari acostituire un Fse 0 un dossier, la cui introduzione deveritenersi, pertanto, facoltativa.

Le finalita perseguite attraverso il Fse 0 il dossier,come sopra ricordato, sono generalmente riconducibi-Ii alia documentazione di una "memoria storica" deglieventi di rilievo.sanitario relativi a un medesimo indivi-duo consultabile dal medico curante.

II trattamento dei dati personali effectuato medianteiI Fse 0 il dossier, perseguendo Ie menzionate finalita diprevenzione, diagnosi, cura e riabilitazione, deve unifor-marsi al principio di autodeterminazione (artt. 75 e ss.del Codice). AlI'interessato dovrebbe essere consenti-to di scegliere, in piena liberti., se far costituire 0 menoun Fse/dossier con Ie informazioni sanitarie che 10riguardano, garantendogli anche la possibilita che i datisanitari restino disponibili solo al professionista 0 orga-nismo sanitario che Ii ha redatti, senza la 101"0 necessa-ria inclusione in tali strumenti.

II diritto alia costituzi6ne 0 meno del Fse/dossier sidqvrebbe quindi tradurre nella garanzia di decidereliberamente, sulla base del consenso, se acconsentire 0meno alia costituzione di un documento che, come si edetto, raccoglie un'ampia storia sanitaria.

Affinche tale scelta sia effettivamente Iibera,l'interes-sato che non desideri che sia costituito un Fse/dossierdovrebbe poter accedere comunque aile prestazionidel Servizio sanitario nazionale e non avere conseguen-ze negative sulla possibilita di usufruire di prestazionimediche.

IIconsenso, anche se manifestato unitamente a quel-10 previsto per il trattamento dei dati.a fini di cura (efr.art. 81 del Codice), deve essere autonomo e specifico.

In ragione delle finalita perseguite attraverso iI Fseldossier, dovrebbe essere iIIustrata all'interessato I'utili-ta di costituire e disporre di un quadroil piupossibilecomplete delle informazioni sanitarie che 10 riguarda-no, in modo da poter offrire un migliore supportoall'organismo sanitario, al medico e all'interessato stes-so. Una conoscenza approfondita dei dati c1inici, relati-vi anche al passato, puo infatti contribuire a una piuefficace ric;ognizione degli elementi utili aile valutazionidel caso.

Tuttavia, dovrebbero essere previsti momenti distin-ti in cui I'interessato possa esprimere la propria volon-ta, attraverso un consenso di carattere generale per lacostituzione delFse e di consensi specifici ai fini deliasua consultazione 0 meno da parte dei singoli titolaridel trattamento :(es. medico di medicina generale, pe-diatra di libera scelta, farmacista, medico ospedaliero) ..

Ferma restando I'indubbia utilita di un Fse/dossiercompleto, ddvrebbe essere garantitala possibilita di'non far confluire in esso alcunelinformazioni sanitarierelative a singoli eventi c1inici (a es., con riferimento auna specifica visita specialistica 0 allaprescrizione di unfarmaco). Cio, analogamente a quanto avviene nel rap-porto paziente-medico curante, nel quale il primo puoaddivenire a. una determinazione consapevole di noninformare il secondo di certi eventi.

L"'oscuramento" dell'evento c1inico (revocabile neltempo) dovrebbe peraltro avvenire con modal ita talida garantire che, almeno in prima battuta, tutti (0alcuni) soggetti abilitati all'accesso non possano venireautomaticamente (anche temporaneamente) a cono-scenza del fatto che I'interessato ha effettuato talescelta ("oscuramento dell'oscuramento").

In tale quadro, alcuni progetti di Fse esaminati garan-tiscono I'esercizio delia "facolta di oscuramento" me-diante una "busta elettronica sigillata" non visibile,apribile di volta in volta solo con la collaborazionedell'interessato,ovvero utilizzando codici casuali relati-vi asingoli eventi che non consentono di collegare tra101"0 alcune informazioni contrassegnate.

II titolare del trattamento che intenda istituire iIFse/dossier anche con informazioni sanitarie relative aeventi c1inici pre¢edenti alia sua costituzione (es. refer-ti relativi a prestazioni mediche pregresse) dovrebbeessere autorizzato preventivamentedall'interessato, la-sciando libero quest'ultimo di esercitare la facolta di"oscuramento".

In caso di incapacita di agire deve essere acquisito iIconsenso di chi esercita la potesta. Raggiunta la maggio-re eta, deve essere acquisito nuovamente ilconsensoinformato dell'interessato divenuto maggiorenne (artt.13 e 82, comma 4, del Cod ice).

In casci di revoca (liberamente manifestabile) delcons en so, iI Fse/dossier non dovrebbe essere ulterior-mente implementato. I documenti sanitari presentidovrebbero restare disponibili per I'organismo che Iiha redatti (es. informazioni relative a un ricovereutilizzabili dalla struttura di degenza) e per eventualiconservazioni per obbligo di legge, ma non dovrebberoessere piu coridivisi da parte degli altri organismi 0

professionisti che curino I'interes'sato (art. 22, comma5, del Codice).

II trattamento di dati genetici eventualmente effet-tuato in relaziene al Fse/dossier deve avvenire nelrispetto dell'apposita autorizzazione generale al tratta-mento dei dati genetici rilasciata dal Garante.

4. I soggetti che trattano i datiII trattamento di dati personali effettuato attraverso

il.Fse/dossier, perseguendo esclusivamente fini di pre-venzione, diagnosi ecura dell'interessato, dovrebbeessere posto in essere esclusivamente da parte di.$oggetti operanti in ambito sanitario, con esclusione diperiti, compagnie di assicurazione, datori di lavoro,associazioni odorganizzazioni scientifiche, organismiamministrativi anche operanti in ambito sanitario, non-che del personale medico nell'esercizio di attivita medi-co-legale (es. visite per I'accertamento dell'idoneitalavorativa 0 alia guida).

La titolarita del trattamento dei dati personali effet-tuato tramite il Fse/dossier dovrebbe essere di regola

. riconosciuta alia struttura od organismo sanitario inte-so nel suo complesso e presso cui so no state redatteIe informazioni sanitarie (es. azienda sanitaria 0 ospeda-Ie) (art. 4, comma I, lett. f del Codice).

I titolari hanno la facolta di designare g1i eventualisoggetti responsabili del trattamento, mentredevonopreporre in ogni caso Ie persone fisiche eventual menteincaricate, Ie quali possono venire lecitamente a cono-scenza dei dati personali trattati attraverso tali stru-menti attenendosi aile funzioni. svolte e sulla base diidonee istruzioni scritte (artt. 4, comma I, lett. g e h,2ge 30 del Cod ice). .

Le persone fisiche legittimate a consultare iI Fse/dos-sier dovrebbero essere adeguatamente e90tte delleparticolari modalita di creazione e utilizzazione di talistrumenti.

Nell'individuaregli incaricati il titolare 0 il responsa-bile dovrebbero indicare con chiarezza I'ambito delleoperazioni consentite (operando, in particolare, Ie op-portune distinzioni tra iI personale con compiti ammini-strativi e quello con funzioni sanitarie), avendo cura dispecificare se gli stessi abbiane solo la. possibilita diconsultare iI Fascicolo/dossier 0 anche di integrarlo 0modificarlo (efr. punto 5 del presente provvedimento).

5. Dati che possono essere trattati e accessoal fascicolo sanitario elettronico e al dossiersanitario

IItitolare deve valutare attentamente quali dati perti-nenti, non ecced~nti e indispensabili inserire nel Fse/dossier in relazione aile necessita di prevenzione, dia-gnosi, cura e riabilitazione (artt. I I, comma I, lett. d, e22, comma 5, del Codice).

Dovrebbero essere pertanto preferite soluzioni checonsentano un'organizzazione modulare di tali stru-menti in modi:> da Iimitare I'accesso dei diversi soggettiabilitati aile sole informazioni (e, quindi, al modulo didati) indispensabili. .

In alcunj progetti di Fse esaminati tale organizzazio-ne modulare permette, a esempio, di selezionare Ieinformazioni sanitarie accessibili ai diversi titolari abilita-ti in funzione del loro settore di specializzazione (es.

rete oncologica composta da unitaoperative specializ-zate nella lotta ai tumori),garantendo cosl I'accessoaile sole informazioni correlate con la patologia in cura.

Analogamente, alcune categorie di soggetti quali ifarmacisti, che svolgono la propria attivita in uno specifi-co segmentodel percorso di cura, possono accedere aisoli dati (0 moduli di dati) indispensabili all'erogazione difarmaci (es. accesso limitato all'elenco dei farmaci giaprescritti, al fine di valutare eventuali inc:ompatibilita traiI far-maco vendibile senza obbligo di prescrizione medi-ca -S9P ~ e altrifarmaci precedentemente assunti).

In alcuni progetti di dossier sanitario e affidato alia .-direzibne sanitaria il compito di valutare I'indispensabili-ta delleinformazioni mediche generate dai diversi re-parti/strutture ai fini delia loro consultabilita, nonchequelle di decidere se autorizzare 0 meno I'accesso aile'informazioni relativeagli eventi c1inici anche pregressida parte del reparto/struttura che ha in cura I'interessa-to sulla base del tipo di intervento medico e delleargol11entazioni poste alia base delia richiesta.

I titolari del trattamento, nel costituire iI Fse/dossiere inqividuare la tipologia di informazioni che possonoesservi anche successivamente riportate, dovrebberorispettareIe disposizioni normative atutela deJl'anoni-mato/della persona tra cui quelle a tutela delle vitti medi atti di violenza sessuale 0 di pedofilia (I. 15 febbraio1996, n. 66; I. 3 agosto 1998, n. 269 e 16 febbraio'2006,n. 38), delle persone sieropositive (I. 5 giugno1990,n. 135),di chi fa uso di sostanze stupefacenti, disostanze psicotrope e dialcol (Dpr 9 ottobre 1990, n.309), delle donne che si sottopongono a un interventodi interruzione volontaria delia gravidanza 0 che deci-donedi partorire in anonimato (I. 22 maggie 1978, n.194; Dm 16 luglio 2001, n. 349), nonche con riferimen-to aiservizi offerti dai consultori familiari (I. 29 luglio1975, n. 405).

Nella maggior parte dei progetti di Fse/dossier esa-minati iI rispetto delle garanzie di anonimato e riserva-tezzapreviste dalle sopra richiamate disposizioni dilegge e stato a esempio assicurato prevedendo che Ieinformazioni relative ai suddetti eventi c1inici non sianodocumentabili all'interno di tali strumenti.

Inalcuni progetti esaminati all'interno del Fse/dos-siere stata poi individuata una sintesi di rilevanti datic1inid.sul paziente, ovvero un insieme di informazionila cui conoscenza puo rivelarsi indispensabile per salva-guardare la vita dell'interessato (es.malattie croniche,reazioni allergiche, uso di dispositivi 0 farmaci salvavita,inforrhazioni relative all'impiego di protesi 0 a trapian-ti). Tali informazioni - raccolte di regola in un modulodistinto - sono conoscibili da parte di tutti i soggettiche prendono in cura I'interessato; circostanza di cuil'interessato dovrebbe essere edotto nell'informativadi cui all'art. 13 del Codice.

A garanzia del diritto a'wautodeterminazione dovreb-bero essere poi individuate modalita tali da·favorire unaccesso modulare al Fse/dossier con riferimento ai datipersonali e ai soggetti abilitati a consultarli.

L'identificazione dei soggetti abilitati a consultare ilFse/dossfer dovrebbe essere effettuata con chiarezza.In relazione aile finalita perseguite con la costituzionedel Fascicolo/dossier, I'accesso dovrebbe essere con-sentito solamente per fini di prevenzione, diagnosi e

cura dell'interessato e unicamente da parte di soggettioperanti in ambito sanitario, con conseguente esclusio-ne di periti, compagnie di assicurazione, datori di lavo-,ro, associazioni od organizzazioni scientifiche, organi-smi amministrativi anche operanti in ambito sanitario,nonche del personale medico che agisca nell'eserciziodi attiviti. medico-Iegali.

IIpersonale amministrativo operante all'interno del-Ia struttura sanitaria in cui venga utilizzato il Fse/dos-sier dovrebbe consuJtare solo Ie informazioni necessa-rie per assolvere aile funzioni amministrative cui epreposto e strettamente correlate all'erogazione deliaprestazione sanitaria (a es., il personale addetto aliaprenotazione di esami diagnosticio visite specialistichedovrebbe consultare unicamente i soli dati indispensabi-Iiper la prenotazione stessa).

L'abilitazione all'accesso deve essere consentita al-I'interessato nel rispetto delle cautele previste dall'art.84 del Codice, secondo cui gli esercenti Ie professionisanitarie e gli organismi sanitari possono comunicareall'interessato informazioni inerenti al suo state disalute (es. referti, esiti di consulti medici) per il trami-te di un medico - individuato dallo stesso interessatoo dal titolare - 0 di un esercentele professioni sanita-rie, che nello svolgimento dei propri compiti intrattie-ne rapporti diretti con iI paziente (3). Tale garanziadovrebbe essere osservata anche quando I'accesso alFascicolo avviene mediante I'utilizzo di una smartcard.

L'accesso al Fse/dossier dovrebbe essere consentitoal soggetto che ha redatto il documento con riferimen-to allo stesso e agli altri soggetti che abbiano in curaI'interessato, sempre che quest'ultimo ne abbia conseh-tito I'accesso nei termini sopra indicati. Inalcuniproget-.ti di Fse esaminati, I'accesso da parte di alcune catego-rie di soggetti (es. medici specialisti) e a esempioautorizzato di volta in volta dallo stesso interessatoattraverso la consegnadi una smart card.

II professionista od orgariismo sanitario che ha incura I'interessato dovrebbe poter accedere a tali stru- 'menti consultando i documenti sanitari dallo stessoredatti e quelli relativi ad altri eventi c1inicieventual-mente .formati da ulteriori reparti 0 strutture delmedesimo titolare • nel caso di dossier - 0 da altriorganismi 0 professionisti sanitari nel caso di Fse (es.ricovero pregresso, analisi c1inicheantecedenti).

In ogni caso, I'accesso al Fse/dossier dovrebbe esse-re circoscritto al periodo di tempo indispensabile perespletare Ie operazioni di cura per Ie quali e abilitato ilsoggetto che accede. Ci6 comporta che i soggettiabilitati all'accesso dovrebbero poter consultare esclu-sivamente i fascicoli/dossier riferiti ai soggetti che assi-stono per il periodo di tempo in cui si articola ilpercorso di cura per il quale I'interessato si e rivolto aessi.

L'elencazione delia tipologia di informazioni da ricon"durre ai cosiddetti dati di emergenza dovrebbe essereeffettuata in modo esaustivo dal titolare del trattamen-to, il quale procede anche ad aggiornare tale el~nco.

Resta ovviamente ferma la normativa in materia didirittidi accesso ai documenti amministrativi (I. 7 ago-sto 1990,n. 241 e successive modificazionie integrazio-ni).

6.lnformativaPer consentire all'interessato di esprimere scelte

consapevoli, il titolare del trattamento deve fornirepreviamente un'idonea informativa (artt. 13, 79 e 80del Cod ice).

L'informativa, da formulare con linguaggio chiaro,dovrebbe indicare tutti gli elementi richiesti dall'art. 13del Cod ice. In particolare, dovrebbe essere evidenziataI'intenzione' di costituire un Fascicolo/dossier iI pillpossibilecompleto che documenti la storia sanitariadell'interessato per migliorare il suo processo di curae, quindi, per fini di prevenzione, diagnosi, cura eriabilitazione (cfr. art. 76, comma I, lett. a del Codice),spiegando in modosemplice Ie opportuniti. che offro-no tali strumenti, ma, al tempo stesso, I'ampia sferaconoscitiva che essi possono avere.

A garanzia del diritto alia costituzione 0 meno delFse/dossier, I'interessato dovrebbe essere - come det-to - informato che ilmancato consenso totale 0 parzia-le non incide sulla possibiliti. di accedere aile curemediche richieste.

L'informativa,anche con formule sintetiche, ma age-volmente comprensibili, dovrebbe indicare in modochiaro - nel caso di dossier - i soggetti (a es. medici cheoperano in un reparto in cui e ricoverato I'interessatoo che operano in strutture di pronto soccorso) e - rielcaso di Fse - Ie categorie di soggetti diversi dal titolare(es., medico di medicina generale, farmacista) che, nelprendere in cura I'interessato, possono accedere a talistrumenti, nonche la connessa possibiliti.di acconsenti-re che solo alcuni di questi soggetti possano consultar-10.

Nelcaso di Fse, I'informativae la connessa manifesta-zione del consenso potrebbero essere formulate distin-tamente per ciascuho dei titolari 0, pill opportunamen-te,in modo cumulativo, avendo comunque cura diindicare con chiarezza I'ambito entro iI quale i singolisoggettitrattano i dati rispetto al Fse.

L'interessato dovrebbe essere informato anche del-Ia circostanza che il Fascicolo/dossier potrebbe essereconsultato, anche senza il suo consenso, ma nel rispet-to dell'autorizzazione generale del Garante, qualora siaindispensabile per la salvaguardia delia salute di unterzo 0 delia collettiviti. (art. 76 del Codice).

L'informativa dovrebbe anche mettere in luce lacircostanza che ilconsenso alia consultazione del Fasci-colo/dossier da parte diun determinato soggetto (aes., del medico di medicina generale 0 del medico direparto in cui e avvenuto iI ricovero) potrebbe essere 0

riferito anche al suo sostituto.L'informativadovrebbe rendere note all'interessato

anche Ie modaliti. attraverso Ie quali rivolgersi al titola-re per esercitare i diritti di cui agli artt. 7 e ss. delCod ice (cfr. successive punto 10), come pure perrevocare iI consenso all'implementazione del suo Fse/dossier 0 per esercitare la facolti. di oscurare alcunieventi c1inicL(cfr. punto n. 3).

AI fine di assicurare una piena comprensione deglielementi indicati nell'informativa, il titolare dovrebbeformare adeguatamente iI personale coinvolto sugliaspetti rilevanti delia disciplinasulla protezione dei datipersonali, anche ai fini di un pill efficacerapporto congli interessati.

8. Notificazione al garanteII Fse, costituendo un insieme logico di informazioni

e documenti sanitari volto a documentare la storiac1inica di un individuo condiviso da piu titolari del trattacmento, dovrebbe essere improntato a crit'eri di massi-ma trasparenza nella sua strutturazione e nel suo funzio-namento. A garanzia di tale evidenza i trattamenti di datipersonali effettuati attraverso il Fse dovrebbero essereresi noti al Garante mediante 10strumento delia notifica-zione da parte degli organismi pubblici e privati coinvoltie non anche a cura di singoli medici di base 0 professio-nisti che consultano un Fse (art. 37 del Codice).

IICod ice ha,infatti, demandato all'Autorita il compi-to di individuare ulterioritrattamenti - inaggiunta aquelli elencati nell'art. 37 - da notificare potendo reca-re pregiudizio ai diritti e aile Iibem dell'interessato inragione delle relative modal ita ·0 delia natura dei datipersonali (art. 37, comma 2, del Codice). La particola-re delicatezza delle informazioni trattate attraverso il

Fse, nonche la possibilita di utilizzaiione delle stesse daparte di diversi titolari induce a considerare allo statenecessaria una ndtificazione preventiva al Garante ditali trattamenti. L'Autorita si riserva pertanto di dispor-re all'esito delia consultazione pubblica che Ie attivita digestione del Fse siano oggetto di notificazione in tuttoo in parte.

9. Diffusione e trasferimento all'estero deidati

I dati sanitari documentati nel Fse/dossier non devo-no essere in alcun modo diffusi. La circolazione indiscri-minatadelle informazioni idonee a rivelare 10 state disalute e infatti vietataespressamente dal Codice (artt.22, comma 8 e23, comma 5, del Codice). La violazionedi tale divieto configura un trattamento iIIecito di datipersonali sanzionato penalmente (art. 167 del Codice).

Anche il trasferimento all'estero dei dati sanitaridocumentati nel Fse/dossier per finalita di prevenzione,diagnosi e cura dell'interessato PUQawenire esclusiva-mente con il suo consenso, salvo il caso in cui sianecessario per la salvaguardia delia vita 0 delia incolumi-ta di un terzo (art. 43 del Codice). Non a caso,nell'ambito dei progetti esaminati, la necessita di comu-nicare all'estero informazioni sanitarie dell'interessatocontenute in tali strumenti si verifica prevalentementeper consentire all'interessato di usufruire di cure medi-che all'estero 0 per consultare un esperto straniero.

10.Diritti dell'interessatoRispetto ai dati personali trattati mediante il Fse/dos-

sier dovrebbe essere garantita la possibilita di esercita-re in ogni momento i diritti di cui all'art. 7 del Codice.Tali diritti, tra i quali quello di accedere ai dati e diottenerne la comunicazione in forma intelligibile, owe-ro I'integrazione, I'aggiornamento 0 la rettifica, andreb-bero esercitati direttamente nei confronti di ciascunorganismo 0 professionista sanitario.

AlI'interessatodovrebbe essere fornito senza ritar-do un riscontro compiuto e analitico in merito aile sueeventuali istanze (artt. 7, 8, 9, 10 e 146 del Codice). Inparticolare, dovrebbe essere fornito riscontro aile ri-chieste di accesso ai dati personali estrapolando Ieinformazioni oggetto dell'accesso e comunicandole al-I'interessato con modalita tali da renderne agevole lacomprensione, se del casotrasponendole su supportocartaceo 0 informatico; a tali istanze puo essere 0ppocsto un rifiuto nei soli casi previsti dal Codice (art. 8).T rattandosi di documentazione medica, in analogia aquanto disposto dall'Autorita in tema di ricerche inambito medico, biomedico ed epidemiologico (4), ilriscontro a istanze di integrazione, aggiornamento erettificazione dei dati potrebbe essere fornito annotan-do Ie modifiche richieste senza alterare necessariamen-te la documentazione di riferiment6. •

(I) Documento di lavdro sui trattamento dei dati personali relativi alia salute contenuti nelle cartelle cliniche elettroniche (Cce) adottato it 15febbraio 2007 consultabite suI sitohttp://ec.europa.eu. .(2) Cfr. art 22, comma 6, del Codice; regola 24 del Disciplinare tecnico in materia di misure minime disicurezza di cui all'allegato 8)01 Codice.(3) Cfr. Prowedimento del 9 novembre 2005 «Strutture ~anitarie: rispetto delia dignitcl» [doc. webn. 1191411](4) Proweaimento generale del 24 luglio 2008 ((Unee guida per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche dimedicinoli» pubblicato in Gu 14 agosto 2008, n. 190 [doc. web n. 1533155J .