Dalle cartelle cliniche cartacee, alle cartelle elettroniche locali fino al fascicolo sanitario elettronico

Riguardo alla tutela della privacy nella sanità, particolare attenzione ha meritato in questi anni la cartella clinica, disciplinata dal Codice in materia di protezione dei dati personali all’art 92 D.lgs. n. 196/03279_{. Nata come un} insieme di appunti per ricordare e trasmettere messaggi ad altri sanitari, oggi la cartella clinica riveste un notevole ruolo documentativo280_.

La cartella clinica è un insieme di documenti nei quali viene registrato dai medici e dagli infermieri un complesso di informazioni (anagrafiche,

278_{http://sanita.istitutoprivacy.it/.} 279_{Art. 92. Cartelle cliniche}

1. Nei casi in cui organismi sanitari pubblici e privati redigono e conservano una cartella clinica in conformità alla disciplina applicabile, sono adottati opportuni accorgimenti per assicurare la comprensibilità dei dati e per distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati, ivi comprese informazioni relative a nascituri.

2. Eventuali richieste di presa visione o di rilascio di copia della cartella e dell'acclusa scheda di dimissione ospedaliera da parte di soggetti diversi dall'interessato possono essere accolte, in tutto o in parte, solo se la richiesta è giustificata dalla documentata necessità:

a) di far valere o difendere un diritto in sede giudiziaria ai sensi dell'articolo 26, comma 4, lettera c), di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;

b) di tutelare, in conformità alla disciplina sull'accesso ai documenti amministrativi, una situazione giuridicamente rilevante di rango pari a quella dell'interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile

280 _{Dal punto di vista giuridico la qualificazione della c.c. varia a seconda che l’estensore sia} un’istituzione pubblica o privata convenzionata oppure una struttura privata non convenzionata.

Nei primi due casi la cartella clinica viene considerata un atto pubblico (fa quindi piena prova sino a querela di falso) ed il medico che la redige è un pubblico ufficiale (eventuale applicabilità degli articoli del codice penale in tema di falsità in atti pubblici…ecc.). Vedi Corte di Cassazione, Sez. V penale - 24 maggio 2010, n. 19557, consultabile su http://www.gadit.it/aggiornamento.asp?id=2690&idAgg=2; Corte di Cassazione, Sez feriale penale, sent n. 42166/2008, consultabile su

http://www.altalex.com/index.php?idnot=43919&idstr=20. Ancora “Le attestazioni contenute in una cartella clinica sono riferibili ad una certificazione amministrativa per quanto attiene alle attività espletate nel corso di una terapia o di un intervento, mentre le valutazioni, le diagnosi o comunque le manifestazioni di scienza o di opinione in essa contenute non hanno alcun valore probatorio privilegiato rispetto ad altri elementi di prova”, Cass. Civ. - Sez. III – 12/5/2003, n. 7201.

sanitarie, diagnosi e anamnesi ecc), riguardanti un determinato paziente - nonché a volte anche altri soggetti per la menzione di patologie riferite ad individui diversi dal principale interessato - al fine di poter predisporre gli opportuni interventi medici e poterne usufruire anche per indagini di natura scientifica, statistica, medico-legale e per l’insegnamento.

Ai sensi dell’art 26 del Nuovo Codice di Deontologia Medica281_{, la} cartella clinica delle strutture pubbliche e private deve essere redatta chiaramente, con puntualità e diligenza, nel rispetto delle regole della buona pratica clinica e contenere, le attività diagnostico-terapeutiche praticate, oltre ad ogni dato obiettivo relativo alla condizione patologica e al suo decorso.

La cartella clinica deve registrare i modi e i tempi delle informazioni nonché i termini del consenso del paziente - o di chi ne esercita la tutela - alle proposte diagnostiche e terapeutiche; deve inoltre registrare il consenso al trattamento dei dati sensibili da parte dell’interessato, con particolare riguardo ai casi di arruolamento in un protocollo sperimentale.

La conservazione della cartella clinica deve essere illimitata nel tempo così come i relativi referti (circolare ministeriale del 19/12/1986, n. 61)282_, mentre il termine è 5 anni nel caso di preparati citologici ed istologici (D.P.C.M. 10/02/1984)283 _{e di 20 anni per le radiografie.}

Una delle problematiche di maggior interesse, relativa alla tutela dei dati idonei a rivelare lo stato di salute o la vita sessuale, riguarda l’accesso ai dati da parte di un terzo ed in particolare, appunto, l’accesso alle cartelle cliniche.

La previgente normativa e ora l’attuale D.lgs. n. 196/03, agli artt. 26, comma 4 lett. c, 60, 71 e 92, comma 2, utilizzano come parametro, ai fini del vaglio di ammissibilità della richiesta di accesso, il concetto del diritto cd. “del pari rango”284_{: cioè l’accesso è ammesso se “la situazione} giuridicamente rilevante che si intende tutelare con la richiesta di accesso

281_{www.medicitalia.it/public/.../file/CodiceDeontologiaMedica.pdf.}

282 _{Cfr. http://www.guidelegali.it/guida.aspx?id_articolo=2148&idsc=7&titolo=La+cartella+clinica;} vedi anche L. BOLOGNINI, D. FULCO, P. PAGANINI (a cura di), Next Privacy, RCS Etas,Milano, 2010, pag 204.

283_{Consultabile su http://www.edilportale.com/normativa/decreto-pres.-cons.-min./1984/indirizzo-}

e-coordinamento-dell-attivit%E0-amministrativa-delle-regioni-in-materia-di-requisiti-minimi_cc3ad47c- 5e89-4954-82d86f323c92f7d3.html.

(…) è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile”.285

Come si è osservato, lo sviluppo delle tecnologie nell’organizzazione sanitaria pone costantemente di fronte all’esigenza di bilanciare le potenzialità insite nello strumento tecnologico - quali la possibilità non solo di avvicinare i cittadini al servizio sanitario, ma anche di innalzare la qualità dei servizi stessi - con la necessità di tutelare il rispetto della privacy, in un settore come quello della sanità dove si usano i dati più intimi delle persone.

Dalla classica cartella fisica, di cui si è parlato, si sta velocemente passando, infatti, alla cd. cartella clinica elettronica locale. La cartella clinica elettronica locale (Elettronic Patient Record) fornisce in formato elettronico le informazioni contenute precedentemente nella cartella clinica cartacea, informazioni disponibili a tutto il personale sanitario e ad altre istituzioni entrambi previamente autorizzati, tutte le volte in cui tali informazioni siano necessarie.

La possibilità di comprendere molti tipi di informazioni e la particolarità del supporto che le contiene mettono in evidenza all’attenzione il bisogno di garantirne la sicurezza.

Come già rilevato, quindi, pur garantendo la facilità di accesso per il paziente e i suoi delegati, la sicurezza rappresenta un ulteriore aspetto di

285_{In merito è intervenuto espressamente il Garante il 9 luglio 2003 con un provvedimento generale} (consultabile su www.garanteprivacy.it[doc.web n. 29832])sui diritti di “pari rango” a seguito di numeri quesiti, per verificare entro quali limiti persone diverse dagli interessati possano accedere ai dati sanitari ed in particolare alle cartelle cliniche. Si vedano anche i provvedimenti: 17 settembre 2009 [doc. web.

1656642], relativo alla cartella clinica del defunto e diritti del convivente, e 25 settembre 2008 [doc. web.

1555676], relativo alla cartelle cliniche dei defunti e all’accesso dei familiari.

La giurisprudenza amministrativa si è orientata nel senso di ritenere che la disposizione, applicata alla materia dell’accesso ai documenti amministrativi, rimette all’amministrazione ed al giudice la ponderazione comparativa tra il diritto alla riservatezza dei dati riguardanti la salute o la sfera sessuale e l’interesse sotteso alla domanda di accesso. E il bilanciamento degli opposti interessi, in tal caso, non va effettuato in astratto, bensì in concreto in modo tale da evitare il rischio di soluzioni generalizzanti fondate su di una mera comparazione gerarchica dei diritti in conflitto che, prescinde da specifiche circostanze di fatto relative alle singole fattispecie concrete. Cfr, fra le tante Cons di Stato sez VI n, 2542/2002, http://www.giustizia-amministrativa.it/webcds/ElencoSentenze.asp; Cons di Stato, sez V n. 6681/06,

http://www.giustizia-amministrativa.it/webcds/ElencoSentenze.asp; Cons. di Stato sez IV n 2639 /2010,

http://www.giustiziaamministrativa.it/DocumentiGA/Consiglio%20di%20Stato/Sezione%204/2008/20 0806217/Provvedimenti/201002639_11.XML cfr. anche http://www.commissioneaccesso.it/

giurisprudenza2010.aspx.

La valutazione sulla domanda di accesso o comunicazione deve tenere presente anche i principi di necessità, pertinenza e non eccedenza dai dati.

crescente rilevanza nelle reti telematiche, soprattutto in ambito medico. Questa si presenta sotto diversi punti di vista, come ad esempio:

- rispetto della riservatezza dei dati contro la possibilità di lettura ed uso non autorizzati;

- controllo delle autorizzazioni e dei mandati per l’introduzione o la modifica dei dati;

- protezione dei dati da perdite o modifiche accidentali (back – up)286_.

L’Autorità garante ha, inoltre, più volte ricordato che il trattamento dei dati personali nei sistemi di CCE locali deve rispettare pienamente le norme che disciplinano la protezione di tali dati, sia livello nazionale che sovranazionale.

Le cartelle elettroniche locali, infatti, costituiscono in ogni caso un documento sanitario regolato da specifiche disposizioni normative. Il trattamento dei dati utilizzati nell'ambito di tali iniziative è così regolato dal Codice in materia di protezione dei dati personali (cfr., in particolare, artt. 75 e ss. e art. 20 del Codice)

Tuttavia, il sistema di gestione della cartella clinica elettronica locale (inteso in senso stretto come programma che permette di registrare e gestire l’insieme di dati su un paziente) si colloca oggi in un contesto di evoluzione più vasto. La diffusione delle reti telematiche e degli standard di comunicazione sanitaria permette, infatti, di importare documentazione generata da autori diversi in località differenti.

Si assiste, perciò, allo sviluppo anche di fenomeni peculiari che necessitano per questo di una distinta disciplina. Fra questi rientra il cd "Fascicolo sanitario elettronico" (Eletronic Health Record o cartella clinica elettronica - Fse), un documento elettronico contenente i dati sanitari di ogni paziente - patologie, interventi chirurgici, esami clinici, farmaci ecc.

Il fascicolo sanitario elettronico rappresenta l’integrazione delle cartelle cliniche locali, generalmente attraverso uno strumento accessibile tramite web, e raccoglie la storia clinica di un paziente dalla nascita alla morte.

Il Fse è consultabile dal paziente e aggiornabile on line da medici, farmacisti, enti ospedalieri ecc. Al momento, in Italia è in via di

286_{A. Rossi Mori, F. Consorti, Dalla cartella clinica elettronica locale al fascicolo sanitario personale,} consultabile su http://www.e-osiris.it/data/docs/it260_cartella%20clinica%20elettronica13.doc.

sperimentazione in alcune Regioni e dal 2004 è allo studio del Tavolo di lavoro permanente della Sanità Elettronica, ma presto potrebbe diventare il modo normale di raccolta delle informazioni in ambito sanitario.

Anche negli altri Paesi tecnologicamente avanzati è previsto di poter garantire ad ogni cittadino un fascicolo sanitario personale287_{, in tempi} relativamente brevi.

Oltre agli indubbi e sicuramente importanti vantaggi in termini di qualità, velocità ed efficienza dell’assistenza sanitaria, uno dei primi problemi imposto da questa nuova comunicazione, strutturata tramite un intermediario automatizzato, è l'interoperabilità tra applicazioni eterogenee.

Tutte le applicazioni coinvolte, infatti, devono essere in grado di dialogare tra loro e di gestire l'informazione in modo appropriato, per questo la standardizzazione nell’informatica sanitaria è oggetto di diverse iniziative sia livello europeo288_{che internazionale.}

Inoltre, “la peculiarità della condivisione da parte di distinti soggetti delle informazioni sanitarie che documentano un insieme di eventi di rilevanza medica, occorsi a uno stesso individuo, giustifica la formulazione di particolari considerazioni rispetto alla gestione cartacea di analoghi documenti e alla più generale tematica dell'informatizzazione sanitaria”289_.

I maggiori rischi e le diverse modalità di lesione del diritto alla riservatezza, potenzialmente insiti nell’uso di questo documento elettronico, la necessità, quindi, di strumenti di tutela specifici rispetto a quelli elaborati per la cartella clinica cartacea nonché l’assenza di una disciplina normativa interna in merito hanno portato il Garante alla predisposizione di un quadro di regole e principi, attraverso le “Linee guida in tema di fascicolo sanitario elettronico e di dossier sanitario”290_.

287_{L'analisi di queste strategie è in corso come attività dell'Istituto Tecnologie Biomediche del CNR} nell'ambito del progetto OSIRIS. Materiale preparatorio è disponibile nei siti www.e-osiris.it e

www.prorec.it.

288_{Cfr la Raccomandazione della Commissione 2008/594/CE http://eurlex.europa.eu/LexUriServ/}

LexUriServ.do?uri=OJ:L:2008:190:0037:0043: IT:PDF ed il “Documento di lavoro sul trattamento dei dati personali relativi alla salute contenuti nelle cartelle cliniche elettroniche” del 15 febbraio 2007 del Gruppo di lavoro europeo, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/ wp131_it.pdf, http://www.sanita.forumpa.it/ documenti/0/200/290/297/lesperienza42.html.

289_{“Linee guida in tema di fascicolo sanitario elettronico”, Pubblicato in G.U. n. 71 del 26 marzo 2009} e consultabile all’indirizzo http://www.garanteprivacy.it/garante/doc.jsp?ID=1598313, sono state adottate in via definitiva, a seguito di consultazione pubblica, con deliberazione del 16 luglio 2009, G.U. n. 178 del 3 agosto 2009, consultabile su http://www.garanteprivacy.it/garante/doc.jsp?ID=1634116.

La particolare delicatezza dell’argomento, però, ha spinto il Garante, prima dell’adozione definitiva, ad aprire una consultazione pubblica, chiusa il 31 maggio, al fine di raccogliere le osservazioni ed i commenti, “in particolare da parte di organismi e professionisti sanitari pubblici e privati, dei medici di medicina generale e dei pediatri di libera scelta, di organismi rappresentativi di operatori sanitari e di associazioni di pazienti interessati.”291_.

Come precisato dalle linee guida, “si parla di dossier sanitario qualora tale strumento sia costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es. ospedale o clinica privata) al cui interno operino più professionisti292_{. Si intende, invece, per Fse il fascicolo formato con} riferimento a dati sanitari originati da diversi titolari del trattamento operanti più frequentemente, ma non esclusivamente, in un medesimo ambito territoriale (es., azienda sanitaria, laboratorio clinico privato operanti nella medesima regione o area vasta). I dossier sanitari possono anche costituire, ad esempio, l'insieme di informazioni sanitarie detenute dai singoli titolari coinvolti in una iniziativa di Fse regionale”.

Gli argomenti fondamentali trattati poi dalle suddette linee guida riguardano la gestione, condivisione e protezione dei dati sanitari, in particolare:

a) finalità del Fse e del dossier sanitario. Questi devono essere utilizzati e, quindi, costituiti solo per di finalità di prevenzione, diagnosi, cura e riabilitazione, “con esclusione di ogni altra finalità (in particolare, per le attività di programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, che possono essere, peraltro, espletate in vari casi anche senza la disponibilità di dati personali), ferme restando eventuali esigenze in ambito penale.”

b) Costituzione di Fse o di un dossier sanitario. Le linee guida indicano la facoltatività nell’adozione di tali strumenti, sia dal punto

291_{Cfr http://www.garanteprivacy.it/garante/doc.jsp?ID=1598846.}

292_{Vedi la nota 2 delle Linee guida: “In tal senso, il dossier sanitario si distingue dalla cartella clinica,} dalle schede individuali del medico di medicina generale/pediatra di libera scelta e da quelle eventualmente tenute da medici specialisti con riferimento ai pazienti in cura presso gli stessi, in quanto poste in essere da un singolo professionista in qualità di unico titolare del trattamento. Qualora tali schede siano integrate con quelle di altri professionisti si potrebbe configurare un Fse, laddove i professionisti agiscano in qualità di autonomi titolari, ovvero un dossier sanitario, laddove i singoli professionisti, agiscano all'interno della medesima struttura sanitaria unica titolare del trattamento.”.

di vista del titolare del trattamento, che può, ma ad oggi non deve adottarli, sia da quello del paziente293_.

c) Accesso. L’accesso ai dati contenuti nel Fse deve essere predisposto attraverso modalità adeguate ed è consultabile dall’interessato, dal personale sanitario e per finalità esclusivamente mediche. Non vi possono accedere, invece, periti, compagnie di assicurazione e datori di lavoro.

d) Consenso informato e specifico. Il paziente deve poter scegliere in piena autonomia e consapevolezza se costituire o meno il Fse e se far inserire solo alcuni dati sanitari e non altri. Deve poi essere prevista la possibilità di “oscurare” la visibilità di alcuni dati clinici294_.

Tale consenso è distinto rispetto a quello prestato in materia di cura della salute ed è revocabile295_{. Il soggetto che non acconsenta} alla costituzione deve poter usufruire ugualmente delle prestazioni del servizio sanitario nazionale.

e) Informativa comprensibile e dettagliata. Tale disposizione è volta a garantire che il consenso dell’interessato sia realmente autonomo e libero.

f) Limiti alla diffusione e al trasferimento all'estero dei dati. “I dati sanitari documentati nel Fse/dossier non devono essere in alcun modo diffusi. La circolazione indiscriminata delle informazioni idonee a rivelare lo stato di salute, infatti, è vietata espressamente dal Codice (artt. 22, comma 8 e 23, comma 5, del Codice). La violazione

293_{“Il trattamento dei dati personali effettuato mediante il Fse o il dossier, perseguendo le menzionate} finalità di prevenzione, diagnosi, cura e riabilitazione, deve uniformarsi al principio di autodeterminazione (artt. 75 e ss. del Codice). All'interessato deve essere consentito di scegliere, in piena libertà, se far costituire o meno un Fse/dossier con le informazioni sanitarie che lo riguardano, garantendogli anche la possibilità che i dati sanitari restino disponibili solo al professionista o organismo sanitario che li ha redatti, senza la loro necessaria inclusione in tali strumenti.” Linee Guida,

http://www.garanteprivacy.it/garante/doc.jsp?ID=1634116#b.

294_{“L'oscuramento’ dell'evento clinico (revocabile nel tempo) deve peraltro avvenire con modalità tali} da garantire che, almeno in prima battuta, tutti (o alcuni) soggetti abilitati all'accesso non possano venire automaticamente (anche temporaneamente) a conoscenza del fatto che l'interessato ha effettuato tale scelta ("oscuramento dell'oscuramento")”. Idem, cit.

295 _{“In caso di revoca (liberamente manifestabile) del consenso, il Fse/dossier non deve essere} ulteriormente implementato. I documenti sanitari presenti devono restare disponibili per l'organismo che li ha redatti (es. informazioni relative a un ricovero utilizzabili dalla struttura di degenza) e per eventuali conservazioni per obbligo di legge, ma non devono essere più condivisi da parte degli altri organismi o professionisti che curino l'interessato (art. 22, comma 5, del Codice).”, Idem cit.

di tale divieto configura un trattamento illecito di dati personali sanzionato penalmente (art. 167 del Codice).”296

g) Misure di sicurezza. La delicatezza dei dati trattati in ambito sanitario richiede l’adozione di adeguate misure di sicurezza volta a ridurre al minimo i rischi di accesso abusivo, furto e smarrimento. A livello comunitario297_{, inoltre, con una Raccomandazione}298 _la Commissione europea ha invitato gli Stati membri a “garantire l’efficace e totale rispetto del diritto fondamentale alla protezione dei dati personali nei sistemi interoperabili di sanità elettronica, in particolare nei sistemi di cartelle cliniche elettroniche, in conformità delle disposizioni comunitarie sulla protezione dei dati personali con particolare riferimento alle direttive 95/46/CE e 2002/58/CE”.

La Commissione ha ritenuto, poi, che il trattamento dei dati contenuti nella cartelle cliniche elettroniche debba esser soggetto alla disciplina particolare, relativa al trattamento delle informazioni di natura delicata.

Al riguardo, si ricorda che l’articolo 8 della Direttiva n. 95/46/CE vieta, in linea di principio, il trattamento dei dati relativi alla salute di natura delicata, prevedendo, tuttavia, alcune deroghe a questo divieto, in particolare se il trattamento è richiesto per determinati motivi di ordine medico o sanitario.

Inoltre, secondo quanto previsto dalla stessa Commissione, “gli Stati membri devono seguire gli orientamenti sui sistemi di cartelle cliniche elettroniche forniti dal gruppo di lavoro costituito in base all’articolo 29 della direttiva 95/46/CE”299_{, nella definizione di un quadro giuridico} “completo per i sistemi interoperabili di cartelle cliniche elettroniche, che deve riconoscere e tenere conto della natura delicata dei dati personali relativi alla salute e prevedere le garanzie specifiche e appropriate per

296 _{“Anche il trasferimento all'estero dei dati sanitari documentati nel Fse/dossier per finalità di} prevenzione, diagnosi e cura dell'interessato può avvenire esclusivamente con il suo consenso, salvo il caso in cui sia necessario per la salvaguardia della vita o della incolumità di un terzo (art. 43 del Codice). Non a caso, nell'ambito dei progetti esaminati, la necessità di comunicare all'estero informazioni sanitarie dell'interessato contenute in tali strumenti si verifica prevalentemente per consentire all'interessato di usufruire di cure mediche all'estero o per consultare un esperto straniero.”Idem, cit

297 _{Si veda anche il “Documento di lavoro sul trattamento dei dati personali relativi alla salute} contenuti nelle cartelle cliniche elettroniche” del Gruppo di lavoro europeo del 15 febbraio 2007, cit.. La Commissione ed il Gruppo di lavoro europeo usano il termine Cartelle Cliniche Elettroniche indicate, dal Garante italiano, invece, come Fascicolo Sanitario Elettronico, nelle linee guida citate.

298_{Raccomandazione 2008/594/CE citata.} 299_Cit.

tutelare il diritto fondamentale alla protezione dei dati personali dell’individuo interessato”.

Al riguardo, la Raccomandazione ha previsto che tale quadro giuridico sia finalizzato a: 1) analizzare i diversi impatti delle varie modalità di conservazione dei dati personali, riguardanti la salute, sulla tutela degli stessi e definire le strutture organizzative dei sistemi di cartelle cliniche