ORDINE PROVINCIALE DEI MEDICI CHIRURGHI
E DEGLI ODONTOIATRI DI LECCO
LA TUTELA DEI DATI PERSONALI
E SENSIBILI IN AMBITO SANITARIO
Aspetti deontologici e legali
Sala conferenze
BANCA POPOLARE DI SONDRIO
Succursale di Lecco - via G.Previati
sabato 21 novembre 2009 - ore 8,30
ORDINE PROVINCIALE DEI MEDICI CHIRURGHI
E DEGLI ODONTOIATRI DI LECCO
Il Medico
tra
Segreto professionale
e Privacy
a cura di
MARCO PERELLI ERCOLINI
Un mio collegiale saluto
a tutti i Colleghi presenti
mpe 2009
IL SEGRETO PROFESSIONALE,
ASSOLUTO E INDEROGABILE NELLA SUA SACRALITA’ GIA’ NEL
GIURAMENTO DI IPPOCRATE (460-355 a.C.)
E NELLA PREGHIERA DI MOSE’ MAIMONIDE (1135-1204) ,
RAPPRESENTA
ANCHE NEGLI ORIENTAMENTI MODERNI
UN FONDAMENTALE OBBLIGO
SIA DEONTOLOGICO CHE GIURIDICO (la violazione del segreto professionale
è penalmente sanzionata dall’articolo 622 del c.p.)
mpe 2009
IL GIURAMENTO DI IPPOCRATE
… DI TUTTO CIO’ CHE VEDRO’ O INTENDERO’
NELLA VITA COMUNE, DURANTE L’ESERCIZIO
DELLA MIA PROFESSIONE O ANCHE AL DI FUORI DI ESSO,
TACERO’ QUANTO NON E’ NECESSARIO SIA RESO NOTO,
CONSIDERANDO IN SIMILI CASI LA DISCREZIONE COME
UN DOVERE …
mpe 2009
CODICE
DI DENTOLOGIA MEDICA
articoli 10 - 11 e 12
L’INFORMAZIONE AI CONGIUNTI E’ AMMESSA SOLO
 QUANDO IL PAZIENTE LO CONSENTE
SI PUO’ VENIR MENO AL SEGRETO PROFESSIONALE
 QUANDO E’ IN GRAVE PERICOLO LA SALUTE O
LA VITA DI TERZI
 QUANDO V’E’ UNA IMPOSIZIONE DI LEGGE
mpe 2009
CODICE
DI DEONTOLOGIA MEDICA
articolo 34
L’ informazione a terzi è ammessa solo con il
consenso esplicitamente espresso dal paziente.
Il medico potrà valutare, segnatamente in rapporto colla reattività
del paziente, la opportunità di non rivelare al malato o di attenuare
una prognosi grave e infausta nel qual caso essa potrà essere
comunicata ai congiunti -unicamente- colla autorizzazione
dell’ interessato.
In caso di ricovero il medico deve chiedere preventivamente al
paziente a quali persone può dare informazioni.
mpe 2009
CODICE
DI DEONTOLOGIA MEDICA
TRA GLI OBBLIGHI PROPRI DEL MEDICO:
 il medico deve serbare il segreto su tutto ciò che gli è
confidato o che può conoscere in ragione della sua
professione nonché sulle prestazioni effettuate
 il medico deve tutelare la riservatezza della documentazione
in suo possesso riguardante i pazienti
 nella compilazione di ogni atto deve garantire trasmissione
la la tutela della segretezza
 anche nella collaborazione alla costituzione di banche di dati
deve assicurarsi della tutela della riservatezza
mpe 2009
CODICE
DI DEONTOLOGIA MEDICA
IN PARTICOLARE VA RICORDATO:
 la morte del paziente nonesime il medico dall’obbligo
del segreto
 il medico non deve rendere al Giudice testimonianza
su fatti e circostanze inerenti il segreto
professionale
 la cancellazione dall’albo non esime moralmente il
medico dagli obblighi del segreto professionale
mpe 2009
C.P. art.622
VIOLAZIONE DEL SEGRETO PROFESSIONALE
- Rivelazione di segreto professionale –
Chiunque, avendo notizia, per ragione del proprio stato
o ufficio, o della propria professione o arte, di un segreto,
lo rivela, senza giusta causa, ovvero lo impiega a proprio
o altrui profitto, è punito, se dal fatto può derivare nocumento,
con la reclusione fino a un anno o con la multa da 30 euro
a 516 euro.
mpe 2005
C.P. art.326
VIOLAZIONE DEL SEGRETO D’UFFICIO
- Rivelazione ed utilizzazione di segreti d’ufficio Il pubblico ufficiale o la persona incaricata di un pubblico servizio
che, violando i doveri inerenti alle funzioni o al servizio, o comunque
abusando della sua qualità, rivela notizie di ufficio, le quali debbono
rimanere segrete, o ne agevola in qualsiasi modo la conoscenza, è
punito con la reclusione da sei mesi a tre anni.
Se l’agevolazione è soltanto colposa, si applica la reclusione fino a
un anno.
Il pubblico ufficiale o la persona incaricata di un pubblico servizio,
che, per procurare a sè o ad altri un indebito profitto patrimoniale,
si avvale illegittimamente di notizie di ufficio, le quali debbano
rimanere segrete, è punito con la reclusione da due a cinque anni.
Se il fatto è commesso al fine di procurare a sé o ad altri un
ingiusto profitto non patrimoniale o di cagionare ad altri un danno
ingiusto, si applica la pena della reclusione fino a due anni.
mpe 2005
DEONTOLOGIA
E
LEGGE
A TUTELA DELLA PRIVACY
DEI PAZIENTI
mpe 2009
LA LEGGE SULLA PRIVACY E’
UNA LEGGE A CASCATA
- ha il pregio di individuare i veri responsabili Il titolare che è il vero responsabile, cioè
colui che risponde per la mancata adozione
delle misure di sicurezza, la scarica al
responsabile che a sua volta la scarica agli
incaricati
mpe 2009
DECRETO LEGISLATIVO 196 articolo 4
f) “titolare” la persona fisica, la persona giuridica,
la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo cui competono, anche
unitamente ad altro titolare, le decisioni in ordine
alle finalità, alle modalità del trattamento dei dati
personali e agli strumenti utilizzati ivi compreso
il profilo della sicurezza
g) “responsabile” la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal
titolare di dati personali
h) “incaricati” le persona fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile
mpe 2005
Chiunque tratti i dati deve
• essere trasparente con gli interessati
-rispetto della trasparenza-
• adeguare i propri comportamenti al
principio della correttezza
-rispetto della correttezza• fare in maniera sicura
-rispetto della sicurezzampe 2005
Perché il medico acquisisca
la titolarità del trattamento
i singoli pazienti debbono dare
l’autorizzazione
alla raccolta e al trattamenti
dei propri dati sensibili.
Attenzione a non confondere il consenso informato
all’atto medico con quello al trattamento dei dati
sensibili per la protezione della riservatezza
mpe 2005
CONSENSO
TITOLO V - TRATTAMENTO DI DATI PERSONALI IN AMBITO SANITARIO
CAPO I - PRINCIPI GENERALI
Art. 75. Ambito applicativo
1. Il presente titolo disciplina il trattamento dei dati personali in ambito
sanitario.
Art. 76. Esercenti professioni sanitarie e organismi sanitari pubblici
1. Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici,
anche nell'ambito di un'attività di rilevante interesse pubblico ai sensi
dell'articolo 85, trattano i dati personali idonei a rivelare lo stato di salute:
a) con il consenso dell'interessato e anche senza l'autorizzazione del
Garante, se il trattamento riguarda dati e operazioni indispensabili per
perseguire una finalità di tutela della salute o dell'incolumità fisica
dell'interessato;
b) anche senza il consenso dell'interessato e previa autorizzazione del
Garante, se la finalità di cui alla lettera a) riguarda un terzo o la collettività.
mpe 2004
fac simile
come parte
integrante
della
Cartella Clinica
Ospedaliera
mpe 1997
IN ASSENZA DI CONSENSO
Accesso ai dati sanitari da parte di Medici
• nei casi eccezionali di emergenza sanitaria
• nei casi di rischio grave per la salute del
paziente
• nei casi di impossibilità
prestare il consenso
del
paziente
a
mpe 2005
Attenzione
!
In caso di custodia e conservazione di
dati sensibili vanno adottate misure per
la tutela della segretezza
mpe 2009
TUTELA DELLA SEGRETEZZA
Le schede cliniche debbono essere custodite
in uno schedario
dotato di serratura se ai locali accedono persone diverse dal
medico titolare (anche solo l’addetto alle pulizie o i parenti del
medico).
La chiave deve essere custodita dal medico.
Qualora il medico si avvalga della collaborazione di personale di
segreteria o di sostituti, questi debbono essere autorizzati per
iscritto, specificando per quali competenze sono autorizzati a
consultare le cartelle. L’autorizzazione deve essere conservata e
deve essere disponibile in studio per eventuali controlli.
L’autorizzazione
non
deve
essere
timbrata
alla
posta
o
autenticata dal notaio e neppure spedita al garante.
L’autorizzazione deve essere rinnovata tutte le volte che viene
cambiato il personale.
mpe 2005
TUTELA DELLA SEGRETEZZA
Il medico che usa cartelle cliniche informatizzate su computer
collegati ad una rete locale deve prevedere un salvataggio
periodico
dei
dati,
deve
installare
un
software
antivirus
aggiornato almeno ogni tre mesi, deve prevedere una parola
chiave diversa per ogni persona autorizzata a collegarsi alla rete
(colleghi, segretarie, infermieri, ecc.).
mpe 2005
TUTELA DELLA SEGRETEZZA
Entro il 31 marzo di ogni anno va redatto il
documento programmatico per la protezione dei dati
sensibili.
Il documento deve prendere in rassegna lo stato
delle misure di sicurezza adottate.
In particolare:
• debbono essere elencati i dati personali gestiti
• l’organizzazione del personale che si occupa dei dati con
descrizione dei compiti e delle responsabilità dei vari addetti
• l’analisi dei rischi che possono mettere in pericolo l’integrità e
la riservatezza delle informazioni
mpe 2005
INFORMATIZZAZIONE
L’informatizzazione della Cartella o della Scheda
clinica non è una innovazione banale e priva
di rischi.
Infatti deve essere garantita:
• la identificazione del compilatore
• la sicurezza contro le manomissioni
• la tutela alle intromissioni
• la tutela alla segretezza
mpe 2005
mpe 2008
MISURE MINIME DI SICUREZZA
- 1 Art. 34. Trattamenti con strumenti elettronici
1. Il trattamento di dati personali effettuato con strumenti
elettronici è consentito solo se sono adottate, nei modi previsti
dal disciplinare tecnico contenuto nell'allegato B), le seguenti
misure minime:
a)
autenticazione informatica
b)
adozione di procedure di gestione delle credenziali di
autenticazione;
c)
utilizzazione di un sistema di autorizzazione
d)
aggiornamento periodico dell'individuazione dell'ambito
del trattamento consentito ai singoli incaricati e addetti
alla gestione o alla manutenzione degli strumenti
elettronici
mpe 2005
MISURE MINIME DI SICUREZZA
- 2 e)
protezione degli strumenti elettronici e dei dati rispetto a
trattamenti illeciti di dati, ad accessi non consentiti e a
determinati programmi informatici
f)
adozione di procedure per la custodia di copie di sicurezza,
il ripristino della disponibilità dei dati e dei sistemi
g)
tenuta di un aggiornato documento programmatico sulla
sicurezza
h) adozione di tecniche di cifratura o di codici identificativi
per determinati trattamenti di dati idonei a rivelare lo stato di
salute o la vita sessuale effettuati da organismi sanitari
mpe 2005
Chi potrebbe
avere interesse
ai dati sanitari ?
ACCESSO
Coniuge o partner
Familiari
Datore di lavoro
Colleghi di lavoro
Concorrenti
Organi di stampa
Società di assicurazione
Società farmaceutiche
Società di vendita
Criminali
Troyan e spyware
DANNEGGIAMENTO
Virus
Hackers
Lamers
mpe 2005
DIRITTO DI ACCESSO ALLA CARTELLA CLINICA
La cartella clinica può essere rilasciata:
• al diretto interessato
• al tutore o a chi esercita la patria potestà in caso di minore o
incapace
• a persona fornita di delega
• all’Autorità giudiziaria
• agli enti previdenziali (INAIL, INPS, ecc.)
• al S.S.N.
• agli eredi legittimi con riserva per determinate notizie
• per raccolte epidemiologiche scientifico-statistico purché sia
mantenuto l’anonimato
La cartella clinica non può essere rilasciata:
• a terzi se non muniti di delega (compresi il coniuge o i parenti stretti)
• al altri medici senza la autorizzazione del paziente
• ai patronati
• ai Ministeri e all’Autorità di PS solo le notizie a seguito di precisi
quesiti di ordine sanitario
mpe 2005
-1-
Prescrizioni del Garante
[art. 154, 1 c) del Codice] - 9 novembre 2005
Le misure organizzative in esame devono essere adottate
per espresso obbligo di legge da tutti gli organismi sanitari,
sia pubblici (es. aziende sanitarie territoriali, aziende
ospedaliere), sia privati (es. case di cura).
Sono tenuti alla loro adozione anche i servizi e le strutture
di soggetti pubblici operanti in ambito sanitario o aventi
competenza in materia di prevenzione e sicurezza del
lavoro (es. osservatori epidemiologici regionali, servizi di
prevenzione e sicurezza sul lavoro).
I medici di medicina generale e i pediatri di libera scelta,
nonché, deve ritenersi, anche i medici specialisti operanti in
studi medici privati, non sono invece destinatari dell'obbligo
di adottare dette misure, che riguardano l'organizzazione di
strutture.
mpe 2005
-2-
Prescrizioni del Garante
[art. 154, 1 c) del Codice] - 9 novembre 2005
 Riservatezza nei colloqui
 Distanze di cortesia
 Notizie al pronto soccorso
 Notizie sui reparti
 Liste di pazienti
 Chiamate in sale d'attesa
 Informazioni sullo stato di salute
 Ritiro delle analisi
mpe 2005
Newsletter - 25 novembre 2008
Cartelle cliniche dei defunti accessibili ai familiari
I dati contenuti all'interno delle cartelle cliniche dei defunti e di eventuali verbali dell' autopsia devono
essere accessibili ai familiari.
Lo ha stabilito il Garante accogliendo il ricorso di un uomo che, a seguito dell'improvvisa scomparsa
della sorella, aveva più volte richiesto all'azienda ospedaliera presso la quale era deceduta, la
comunicazione dei dati personali contenuti in una cartella clinica e nel verbale dell'autopsia. L'ospedale
aveva inizialmente chiesto all'interessato, richiamando il Codice in materia di protezione dei dati
personali, di chiarire le ragioni che giustificavano la visione della cartella clinica della sorella. L'uomo
aveva risposto di ritenere la propria richiesta motivata, oltre che da questioni di affetto familiare, da
esigenze di tutela della propria salute: la conoscenza di un'eventuale origine ereditaria o genetica del
male che aveva colpito la sorella avrebbe potuto consentirgli eventuali rimedi preventivi. Anche davanti
a tali motivazioni l'ospedale continuava, tuttavia, ad opporsi alle richieste dell'uomo.
Nella propria decisione del Garante ribadisce che il Codice tutela l'interesse dei familiari ad accedere
alle documentazioni contenenti i dati personali di persone decedute. Il provvedimento chiarisce anche
che la norma, sulla base della quale l'ospedale fondava il proprio diniego alle richieste dell'uomo,
disciplina la richiesta di accesso ai dati personali di un defunto da parte di una persona diversa
dall'interessato (o comunque non legittimata all'accesso in quanto familiare). Il Garante ha perciò
ordinato all'azienda ospedaliera di fornire riscontro alle richieste dell'interessato entro un termine
stabilito.
mpe 2009
Newsletter – 30 ottobre 2009
Cartella clinica anche al convivente
Il convivente ha diritto alla copia della cartelle clinica
L’accesso previsto dalla legge sulla privacy non è limitato ai parenti o al coniuge.
Né il dissenso dei parenti blocca il diritto del convivente alla cartella clinica.
Infatti l’articolo 9 comma 3 del Dlgs 196/2004 riconosce il diritto ad accedere ai dati personali delle
persona defunte a chi ha un interesse proprio o agisce a tutela dell’interessato o per ragioni familiari
meritevoli di protezione.
Garante privacy provvedimento del 17 settembre 2009 in newsletter n. 330 del 30 ottobre 2009
mpe 2009
Però come si può conciliare il diritto alla privacy
col diritto al nome (art. 6 codice civile - ogni
persona ha diritto al nome che le è per legge
attribuito, espressione dell’ identità personale,
elemento saliente della rappresentatività sociale
di ogni persona).
Il diritto al nome ricade dell’ambito dei
diritti assoluti di personalità, di matrice
costituzionale (art. 22 Cost.)
mpe 2005
ORDINE PROVINCIALE DEI MEDICI CHIRURGHI
E DEGLI ODONTOIATRI DI LECCO
Il Medico
tra
Segreto professionale
e Privacy