Strutture sanitarie private: informativa chiara e consenso specifico per trattare i dati dei pazienti - 9 febbraio 2012

Transcript

1 [doc. web n ] Strutture sanitarie private: informativa chiara e consenso specifico per trattare i dati dei pazienti - 9 febbraio 2012 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI Registro dei provvedimenti n. 55 del 9 febbraio 2012 NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale; VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito «Codice»); VISTA la documentazione in atti; VISTE le osservazioni dell'ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000; Relatore il prof. Francesco Pizzetti; PREMESSO E' stata segnalata all'autorità una presunta violazione della disciplina in materia di protezione dei dati personali nell'ambito dell'iniziativa "Non solo Mimose", promossa dalla società Bios Marx s.r.l., volta ad offrire alle donne, nei giorni tra il 7 e il 9 marzo 2011, alcuni esami medici gratuiti. In tale occasione è stata fornita alle donne che hanno aderito all'iniziativa un'informativa nella quale è prevista la comunicazione dei dati raccolti a "partners commerciali, ( ) altre società che forniscono servizi specifici; intermediari bancari e società emittenti/gestori carte di credito; terzi che per conto della Bios Marx s.r.l. forniscono servizi informatici; società del gruppo di appartenenza". A seguito della segnalazione pervenuta, l'ufficio ha richiesto informazioni alla società Bios Marx s.r.l. in relazione al contenuto dell'informativa fornita in occasione della suddetta iniziativa, con particolare riferimento alle finalità per le quali è prevista la comunicazione di dati personali degli interessati ai soggetti sopra indicati. Dalla documentazione fornita dalla società Bios Marx s.r.l. a seguito della richiesta di informazioni dell'ufficio è stato riscontrato che il modello di informativa utilizzato nella predetta iniziativa effettivamente riporta la dicitura sopra richiamata, ovvero prevede alla lettera "d) ambito di comunicazione e di diffusione dei dati" che i dati raccolti "potranno essere comunicati alle seguenti categorie di soggetti: partners commerciali ( ) altre società che forniscono servizi specifici; intermediari bancari e società emittenti/gestori carte di credito; terzi che per conto della Bios Marx s.r.l. forniscono servizi informatici; società del gruppo di appartenenza". Detto modello di informativa non contiene, peraltro, alcuna indicazione in merito alle finalità perseguite attraverso tali comunicazioni, nonché alla tipologia di dati personali comunicati. La società Bios Marx s.r.l., nella richiamata risposta alla richiesta di informazioni dell'ufficio, ha precisato che in tale occasione è stato "erroneamente" fornito alle donne che hanno aderito all'iniziativa

2 "Non solo Mimose" il modello di informativa in atti- normalmente distribuito ai pazienti/clienti della Bios Marx s.r.l., per i quali sono previsti trattamenti di dati personali diversi. In particolare, la società ha precisato che la comunicazione ad "intermediari bancari e società emittenti/gestori carte di credito" avviene solo nel caso in cui tali soggetti debbano "procedere alla riscossione di quanto dovuto" e non anche con riferimento all'iniziativa "Non solo Mimose" che "era del tutto gratuita". Dal modello di informativa e di consenso fornito dalla società Bios Marx s.r.l. è emerso che "la raccolta e il trattamento dei Suoi dati sarà curata da Bios Marx s.r.l., al fine di permettere l'erogazione della prestazione richiesta" e che "nel caso in cui ( ) (il paziente) presti apposito consenso, i dati forniti potranno essere trattati, direttamente o anche da soggetti terzi, oltre che per ottemperare agli obblighi previsti dalla legge, da un regolamento o dalla normativa comunitaria ed in particolare per dare integrale esecuzione a tutti gli obblighi contrattuali". In calce al suddetto modello di informativa è prevista un'unica manifestazione del consenso dell'interessato "al trattamento di tutti i miei dati personali". 1. La titolarità del trattamento dell'organismo sanitario privato La società Bios Marx s.r.l., appartenente al gruppo Bios International, offre servizi di diagnostica di laboratorio e specialistica sia privatamente che in regime di accreditamento con il Servizio sanitario nazionale. Nell'ambito di tali attività tratta dati personali anche idonei a rivelare lo stato di salute dei pazienti in qualità di titolare del trattamento (cfr. modello di informativa e consenso in atti). Dalla documentazione in atti emerge che la società Bios Marx s.r.l. ha utilizzato il modello di informativa e di consenso oggetto della segnalazione non solo nei confronti delle pazienti che hanno aderito all'iniziativa "Non solo Mimose", ma anche di tutti i pazienti che accedono ai servizi sanitari offerti sopra richiamati. Il suddetto modello presenta, tuttavia, delle criticità e non risulta, pertanto, conforme alla normativa in materia di protezione dei dati personali. 2. Informativa L'organismo sanitario privato deve fornire ai propri pazienti -prima della raccolta dei loro dati personaliun'informativa in cui siano indicate in modo analitico le finalità perseguite, distinguendo tra quelle di cura della salute e amministrative a queste strettamente correlate, dalle altre finalità eventualmente perseguite (ad es. ricerca scientifica o offerta di ulteriori servizi sanitari) (art. 13, comma 1, lett. a) del Codice). Nell'informativa devono essere, inoltre, specificati i dati personali il cui conferimento risulti obbligatorio e quali, invece, facoltativo in relazione alle diverse finalità perseguite, avendo cura di precisare anche le conseguenze per l'interessato di un suo eventuale rifiuto (art. 13, comma 1, lett. b) e c) del Codice). L'informativa deve, poi, contenere una chiara indicazione dei soggetti o delle categorie di soggetti ai quali i dati possono essere comunicati, nonché specificare la finalità in tal modo perseguita e la tipologia dei dati personali oggetto della comunicazione (art. 13, comma 1, lett. d) del Codice). Appare opportuno evidenziare, infatti, che, salvi i casi di emergenza sanitaria, il mancato conferimento dei dati richiesti per le finalità di cura della salute (ivi comprese quelle amministrative a queste strettamente correlate), rende impossibile all'interessato l'accesso alla prestazione sanitaria, mentre il mancato consenso al trattamento dei dati per altre finalità eventualmente perseguite (es. ricerca scientifica, offerta di ulteriori servizi sanitari, comunicazione dello stato di salute dell'interessato a familiari o invio di referti al medico curante) non impedisce l'accesso alla prestazione sanitaria. Si richiama, in particolare, quanto già indicato dal Garante con specifico riferimento alla comunicazione di dati sanitari (es. referti) a soggetti terzi, quali il medico curante o un familiare dell'interessato indicati da quest'ultimo. In tali casi, l'organismo sanitario deve specificare la facoltatività di tale comunicazione nell'informativa e deve acquisire uno specifico consenso dell'interessato al riguardo (cfr. "Linee guida in tema di referti on-line" adottate dal Garante il 19 novembre 2009 e le "Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario" dell'autorità del 16 luglio 2009). Al riguardo, specifiche prescrizioni in ambito sanitario sono state inoltre individuate dal Garante nell'autorizzazione al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale (Provv. n. 2/2011 del 24 giugno

3 2011 consultabile sul sito web n pubblicato sulla Gazzetta Ufficiale n. 162 del 14 luglio 2011). In tale quadro, si rileva che la mancanza degli elementi sopra richiamati rende inidonea l'informativa contenuta nel modello utilizzato dalla Bios Marx s.r.l., sia nell'ambito dell'iniziativa "Non solo Mimose", che in occasione dei rapporti correnti con i pazienti. 3. Consenso Con specifico riferimento al trattamento dei dati effettuato per le finalità di cura della salute dell'interessato e per quelle amministrative a queste strettamente correlate, gli organismi sanitari privati devono sempre acquisire il preventivo consenso dell'interessato (artt. 23 e 76 del Codice e Autorizzazione n. 2/2011 del 24 giugno 2011 citata). Tale consenso può essere manifestato con un'unica dichiarazione, anche oralmente e deve essere documentato, anziché con atto scritto dell'interessato, con annotazione dell'esercente la professione sanitaria (art. 81 del Codice). In correlazione con l'informativa ricevuta, l'interessato deve poter esprimere il proprio consenso in forma specifica con riferimento alle finalità perseguite e alle diverse operazioni di trattamento che il titolare intende effettuare. Come anticipato nel precedente punto 2 del presente provvedimento, infatti, l'organismo sanitario, prima della raccolta dei dati per l'esecuzione della prestazione sanitaria richiesta, deve specificare i casi in cui il conferimento dei dati sia obbligatorio o facoltativo, fornendo, di conseguenza la possibilità all'interessato di manifestare il consenso per il trattamento dei dati ai soli fini di cura della salute (comprese le attività amministrative a queste strettamente correlate), ovvero anche un autonomo consenso, del tutto distinto dal primo, per ulteriori finalità cui facoltativamente intende aderire (es. partecipare a iniziative di ricerca scientifica, ottenere ulteriori servizi sanitari, acconsentire alla comunicazione del proprio stato di salute a familiari/conoscenti oppure all'invio di referti al medico curante). Ciò premesso, il consenso generale acquisito in un unico atto con il modello utilizzato dalla Bios Marx s.r.l., sia nell'ambito dell'iniziativa "Non solo Mimose" che in occasione dei correnti rapporti con i pazienti, non può, quindi, considerarsi validamente prestato in quanto esso non risulta espresso specificamente in riferimento ad un trattamento chiaramente individuato e, inoltre, è correlato ad un'informativa non idonea (artt. 13, 23 e 76 e ss. del Codice). 4. Prescrizioni Il trattamento dei dati personali dei pazienti raccolti dalla società Bios Marx s.r.l. sulla base di una informativa inidonea e di un consenso non validamente prestato è illecito e, pertanto, i dati stessi non possono essere utilizzati (art. 11, comma 2, del Codice). Il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d), del Codice, ha in tal caso il compito di vietare, anche d'ufficio, in tutto o in parte, il trattamento illecito o non corretto dei dati o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali. In tale quadro, sulla base delle motivazioni in precedenza illustrate, si ritiene, quindi, necessario vietare alla Società Bios Marx s.r.l. di effettuare ulteriori trattamenti di dati personali dei pazienti raccolti sulla base del modello di informativa e di consenso in atti; si ritiene inoltre necessario prescrivere contestualmente che i medesimi dati personali possano essere trattati solo per l'esecuzione delle prestazioni sanitarie richieste dagli interessati e per adempiere a obblighi previsti da leggi, regolamenti o normativa comunitaria. Il Garante, inoltre, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, ha il compito di prescrivere al titolare le misure opportune o necessarie per rendere il trattamento conforme alle disposizioni vigenti. Pertanto, si ritiene necessario prescrivere alla Società Bios Marx s.r.l. di modificare il modello di

4 informativa e di consenso utilizzato nei rapporti con i pazienti, al fine di rendere il trattamento conforme alle disposizioni vigenti, indicando: 1. nell'informativa, oltre agli altri elementi previsti dall'art. 13 del Codice: i trattamenti di dati personali indispensabili all'erogazione della prestazione medica richiesta (ivi comprese le attività amministrative correlate), evidenziando al riguardo che il mancato consenso dell'interessato impedirebbe di usufruire della prestazione stessa. Qualora sia prevista anche la comunicazione dei dati per il perseguimento della predetta finalità, devono essere indicati i soggetti o le categorie di soggetti destinatari; la natura facoltativa del conferimento dei dati personali per l'eventuale perseguimento di ulteriori finalità (es. ricerca scientifica; offerta di ulteriori servizi) rispetto alle quali il mancato consenso dell'interessato non impedisce di usufruire della prestazione sanitaria. Anche in questo caso, qualora sia prevista una comunicazione dei dati, devono essere indicati i soggetti o le categorie di soggetti destinatari; la facoltà per l'interessato che le informazioni sul suo stato di salute siano comunicate a soggetti terzi (es. familiari o conoscenti) ovvero che i referti siano inviati al medico curante. 2. nella richiesta di consenso la possibilità di esprimere una manifestazione di volontà specifica e correlata all'informativa in relazione: al trattamento e alla eventuale comunicazione dei dati personali indispensabili al perseguimento delle finalità di cura della salute dell'interessato e di quelle amministrative a queste strettamente correlate; al trattamento e alla eventuale comunicazione dei dati per il perseguimento di specifiche e facoltative ulteriori finalità rispetto a quelle di cura della salute; alla facoltà che le informazioni sul suo stato di salute siano comunicate a soggetti terzi (es. familiari o conoscenti indicati dall'interessato medesimo) ovvero che i referti siano inviati al medico curante. Si ritiene altresì necessario prescrivere alla società Bios Marx s.r.l. di dare riscontro a questa Autorità delle modifiche apportate al modello di informativa e di consenso per il trattamento dei dati dei pazienti, in conformità alle prescrizioni sopra richiamate, entro e non oltre il termine di sessanta giorni dalla data di ricezione del presente provvedimento. L'Autorità si riserva infine di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni delle disposizioni di cui agli artt. 13, commi 1 e 23, del Codice e la conseguente applicazione delle sanzioni di cui agli artt. 161 e 162, comma 2-bis del Codice. Si evidenzia che, ai sensi dell'art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2-ter, del Codice, in caso di inosservanza del divieto, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro. PER QUESTI MOTIVI IL GARANTE a) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive alla società Bios Marx s.r.l., che i dati personali già raccolti alla data della ricezione del presente provvedimento sulla base del modello di informativa e di consenso in atti, possano essere ulteriormente trattati solo per l'esecuzione

5 della prestazione sanitaria richiesta dall'interessato e per adempiere a obblighi previsti da leggi, regolamenti o normativa comunitaria; b) ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, accertata l'illiceità del trattamento dei dati personali dei pazienti raccolti dalla società Bios Marx s.r.l. mediante l'utilizzo del modello di informativa e di consenso in atti, vieta alla stessa Società di effettuare ulteriori trattamenti dei predetti dati personali; c) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive alla società Bios Marx s.r.l., di modificare il modello di informativa e di consenso utilizzato nel seguente modo: 1. nell'informativa, oltre agli altri elementi previsti dall'art. 13 del Codice, occorre indicare: i trattamenti di dati personali indispensabili all'erogazione della prestazione medica richiesta (ivi comprese le attività amministrative correlate), evidenziando al riguardo che il mancato consenso dell'interessato impedisce di usufruire della prestazione stessa. Qualora sia prevista anche la comunicazione dei dati per il perseguimento della predetta finalità, devono essere indicati i soggetti o le categorie di soggetti destinatari; la natura facoltativa del conferimento dei dati personali per l'eventuale perseguimento di ulteriori finalità (es. ricerca scientifica; offerta di altri servizi), evidenziando al riguardo che il mancato consenso dell'interessato non impedisce di usufruire della prestazione sanitaria. Anche in questo caso, qualora sia prevista una comunicazione dei dati, devono essere indicati i soggetti o le categorie di soggetti destinatari; la facoltà per l'interessato di scegliere che le informazioni sul suo stato di salute siano comunicate a soggetti terzi (es. familiari o conoscenti) ovvero che i referti siano inviati al medico curante. 2. nella richiesta di consenso la possibilità di esprimere una manifestazione di volontà -specifica e correlata all'informativa- in relazione: al trattamento e alla eventuale comunicazione dei dati personali indispensabili al perseguimento delle finalità di cura della salute dell'interessato e di quelle amministrative a queste strettamente correlate; al trattamento e alla eventuale comunicazione dei dati per l'eventuale perseguimento di specifiche e facoltative ulteriori finalità, distinte da quelle di cura della salute; alla facoltà che le informazioni sul suo stato di salute siano comunicate a soggetti terzi (es. familiari o conoscenti indicati dall'interessato medesimo) ovvero che i referti siano inviati al medico curante. d) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive alla società Bios Marx s.r.l. di dare riscontro a questa Autorità delle modifiche apportate al modello di informativa e di consenso per il trattamento dei dati dei pazienti in conformità alle prescrizioni contenute nella precedente lettera

6 c) entro e non oltre il termine di sessanta giorni dalla data di ricezione del presente provvedimento. Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero. Roma, 9 febbraio 2012 IL PRESIDENTE Pizzetti IL RELATORE Pizzetti IL SEGRETARIO GENERALE De Paoli