5. Il segreto professionale e la tutela della riservatezza

5. Il segreto professionale e la tutela della riservatezza Una persona che si rivolge a un medico per qualsiasi tipo di prestazione professionale lo fa nella convinzione di trovarsi di fronte a un professionista che non solo cercherà di rispondere al meglio con la propria competenza tecnica, ma che dovrà osservare la necessaria riservatezza e mantenere il segreto su ciò che gli viene confidato. In effetti, le notizie che un medico apprende nell esercizio della propria professione attengono alla sfera più intima, personale e privata delle persone assistite. In particolare il MMG può venire a conoscenza di tali notizie sia in modo diretto durante l anamnesi, la visita e/o gli accertamenti diagnostici, sia in modo indiretto, tramite le confidenze dei familiari del paziente, o vedendo o intuendo determinati fatti durante le visite domiciliari. Mancando la garanzia del segreto, il paziente potrebbe essere indotto a non rivelare taluni aspetti della propria storia e in tal modo verrebbe a essere incrinata la relazione di reciproca fiducia che deve connotare il rapporto tra il medico e il paziente; cosicché se sussistessero dubbi sull obbligo di mantenere il segreto, il paziente potrebbe non rivelare alcuni dati che potrebbero essere utili ai fini diagnostico-terapeutici. L obbligo di mantenere il segreto e di tutelare la riservatezza attiene primariamente ad aspetti di tipo etico-deontologico, ma ha anche ricadute di tipo giuridico. Infatti, la tradizionale disposizione etico-deontologica relativa all obbligo per il medico di «mantenere il segreto su tutto ciò che gli è confidato» 1 trova riscontro nei divieti di rivelare il segreto sanzionati dal Codice Penale all art. 622 (rivelazione di segreto professionale) e all art. 326 (rivelazione e utilizzazione del segreto d ufficio), cui si aggiungono le norme specificamente volte alla protezione dei dati previste dal cosiddetto Codice sulla privacy (DLgs n. 196 del 30 giugno 2003 Codice in materia di protezione dei dati personali ). Varie sono le possibili interpretazioni del termine segreto : si può considerare segreto ogni fatto/notizia che riguardi qualsiasi aspetto della vita privata dell assistito che deve essere tenuta nascosta a qualsiasi persona diversa dal destinatario; oppure, più semplicemente, ciò che non deve essere divulgato. Un utile riferimento emerge dalla Giurisprudenza (Cass. Pen., Sent. n. 2393 del 10/01/1967), secondo la quale è segreto «ogni fatto che, per disposizione di legge o per decisione di una volontà giuridicamente autorizzata, è destinato a rimanere nascosto a qualsiasi persona diversa dal legittimo depositario». È dunque evidente che il concetto di segreto ha ampia latitudine e, in sostanza, si riferisce a ogni notizia afferente la sfera intima e privata del paziente (aspetti psichici, fisici, patrimoniali, familiari ecc.) e che quest ultimo ha interesse a che non venga divulgato. Un ulteriore parametro si desume dal Codice sulla privacy che ha fornito una sorta 1 Nel giuramento di Ippocrate (che risale al 400 a.c.) il medico si impegna solennemente a «Osservare il segreto su tutto ciò che mi è confidato, che vedo o che ho veduto, inteso od intuito nell esercizio della mia professione o in ragione del mio stato».

54 Lineamenti di medicina legale per il Medico di medicina generale di classificazione dei dati da mantenere riservati, cioè da non rivelare e, quindi, meritevoli di protezione. Ai sensi dell art. 4 del Codice (DL n. 196/03), infatti, i dati che devono essere protetti sono distinti in: dati personali, che comprendono qualunque informazione relativa a persona fisica, persona giuridica, ente o associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale; dati sensibili, che concernono, con specifico riferimento all ambito sanitario, i dati personali idonei a rivelare lo stato di salute e la vita sessuale; e che il Codice equipara ad altri tipi di dati meritevoli di particolare tutela e che sono rappresentati dai dati idonei a rivelare l origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale. I dati sensibili sono quindi i dati che attengono alla sfera etico-sociale e alle condizioni psico-fisiche dell individuo, ovvero all ambito più intimo della persona e, come tali, devono essere tutelati con la massima attenzione. In sostanza, ogni notizia che il paziente riferisce al medico, o che il medico apprende nell esercizio professionale, può integrare la nozione di segreto e i dati sensibili da non rivelare e da proteggere sono essenzialmente quelli relativi ad anamnesi ed esame obiettivo, accertamenti diagnostici (di laboratorio, radiologici e, in genere, strumentali), terapie e programmi di riabilitazione, che possono essere o meno riportati nelle cartelle cliniche, nelle lettere di dimissione, nei certificati, nelle relazioni cliniche, in data-base sanitari, nelle perizie e consulenze tecniche medicolegali, e così via. 5.1. Aspetti deontologici e giuridici L inviolabilità del segreto professionale è uno dei principi fondamentali della tradizione etica medica e, come già anticipato, è parte costituente del giuramento ippocratico. Tutti i codici di etica medica e deontologici, nazionali e internazionali, prevedono la generale garanzia, da parte del medico, di osservare e mantenere il segreto come imperativo morale, prima ancora che professionale. Il Codice Deontologico italiano, recentemente rivisitato, non fa ovviamente eccezione e rinvia alle tradizionali disposizioni in materia di segreto, avendo altresì pienamente recepito le più recenti indicazioni normative in tema di privacy. Si occupa infatti non solo del segreto in quanto tale, ma anche della documentazione e della tutela dei dati, nonché della comunicazione e diffusione dei dati, facendo così sostanziale riferimento ai dettami del Codice sulla privacy. La regola deontologica generale prevede che il medico deve mantenere il segreto su tutto ciò che gli è confidato o che può conoscere in ragione della sua professione. La

5. Il segreto professionale e la tutela della riservatezza 55 rivelazione assume particolare gravità quando ne derivi profitto, proprio o altrui, o nocumento della persona o di altri. Il medico non può decidere arbitrariamente ciò che è segreto e ciò che non lo è; tale potestà è esclusiva del paziente, il che impone la riservatezza in qualunque caso. Anche quando un determinato fatto è più o meno di dominio pubblico, il medico è comunque tenuto al segreto, poiché una ulteriore rivelazione di quel fatto da parte del medico, pur non apportando elementi di novità, gli conferisce valore e lo conferma. La stessa morte del paziente non esime il medico dall obbligo di mantenere il segreto. Occorre essere riservati anche nei confronti dei familiari del paziente, poiché la persona assistita può avere interesse a tenere nascosti anche ai propri cari alcuni aspetti della propria vita (si pensi, per esempio, al paziente che presenti una malattia sessualmente trasmessa, o alla ragazza che vuole fare uso di anticoncezionali). Solo in determinati casi il medico può (o, talora, deve) rivelare il segreto. Si tratta delle cosiddette giuste cause di rivelazione, che sono previste dal Codice Deontologico e che rinviano anche agli aspetti giuridici (essenzialmente penalistici) della problematica. Si è già detto che il Codice Penale punisce la rivelazione del segreto. L art. 622 cp stabilisce che «chiunque, avendo notizia, per ragione del proprio stato o ufficio, o della propria professione o arte, di un segreto, lo rivela, senza giusta causa, ovvero lo impiega a proprio o altrui profitto, è punito, se dal fatto può derivare nocumento, con la reclusione fino a un anno o con la multa da lire sessantamila a un milione. Il delitto è punibile a querela della persona offesa». La rivelazione senza giusta causa può dunque essere commessa da chiunque sia venuto a conoscenza di un fatto in determinate condizioni: riguarda non solo il medico, ma anche i suoi familiari, gli eventuali collaboratori dello studio, gli altri medici o gli studenti che frequentano l ambulatorio; il medico deve quindi informare dette persone, che sono tenute a mantenere il segreto e che sono vincolate alla necessaria riservatezza. Le giuste cause di rivelazione sono distinte in imperative e permissive. Se sussiste giusta causa non si commette il reato di rivelazione di segreto professionale o d ufficio, e nemmeno l infrazione deontologica. La rivelazione senza giusta causa si verifica nei casi in cui il segreto viene comunicato a una o più persone estranee al rapporto medico-paziente, senza che ciò possa essere giustificato da una specifica norma o da una ragione plausibile. Le giuste cause imperative comprendono tutte quelle situazioni previste dalla legge in cui è obbligatorio rivelare il segreto. In questi casi, il dovere per il medico di mantenere il segreto è subordinato alla volontà della legge che gli impone di rivelarlo. Rientrano in quest ambito le denunce sanitarie obbligatorie, i certificati obbligatori, il referto e la denuncia all AG, tutti i casi in cui l attività medica risponde a precisi obblighi giuridici (perizie, consulenze tecniche, arbitrati ecc.) Le giuste cause permissive concernono i casi in cui il medico può rivelare il segreto;

56 Lineamenti di medicina legale per il Medico di medicina generale non è cioè obbligato, ma ha facoltà di rivelazione senza commettere il reato. Ci si riferisce in particolare a tutti i casi in cui la rivelazione avviene con il consenso dell avente diritto; come, per esempio, nelle certificazioni facoltative. Ovviamente, come in tutti gli altri ambiti, il consenso deve essere valido, cioè, in sostanza, il paziente deve essere informato e deve essere consapevole delle conseguenze che può comportare la rivelazione. Nell ambito delle giuste cause permissive occorre segnalare anche tutte quelle fattispecie che escludono la punibilità del reato (più propriamente si dovrebbe parlare di giuste cause scriminative), cioè il caso fortuito e la forza maggiore (art. 45 cp), il costringimento fisico (art. 46 cp), la difesa legittima (art. 52 cp), lo stato di necessità (art. 54 cp) ecc. In caso sia di giusta causa imperativa che permissiva, è comunque valida la regola generale secondo la quale il medico deve mantenere il riserbo su tutte quelle notizie che risultano irrilevanti ai fini dell espletamento della richiesta che gli viene formulata. In altri termini, la rivelazione obbligatoria per legge oppure richiesta dal paziente deve concernere solo quei fatti di interesse medico oggetto dell obbligo di legge o della richiesta del cittadino, non altro. Rivelare significa comportarsi in modo che soggetti non vincolati al segreto siano messi a conoscenza del segreto stesso. La rivelazione avviene, per esempio, non custodendo in maniera adeguata la documentazione sanitaria che contiene notizie sul paziente; oppure parlando apertamente di determinati fatti con altri. Non costituisce rivelazione la comunicazione di notizie ad altre persone che sono anch esse vincolate al segreto; in questi casi si parla di trasmissione del segreto. Se è vero che l obbligo del segreto riguarda primariamente la sfera privata dei rapporti tra il medico e il paziente, è anche vero che l attuale impostazione pubblicistica del sistema sanitario può andare a scapito della natura privatistica della relazione medico-paziente, dovendosi così cercare di contemperare le talora opposte esigenze tra l interesse pubblico a conoscere determinati fatti e l interesse del singolo a mantenere riservati gli aspetti più intimi della propria vita. Va chiarito che nell ambito del sistema sanitario i dati, per ineludibili necessità assistenziali, devono circolare ed è evidente la possibilità e la necessità di comunicare i dati, per esempio dal MMG a uno specialista o a una struttura sanitaria (al cui interno i dati ulteriormente circolano, per esempio da una unità operativa chirurgica a un servizio radiologico, o ai laboratori, e così via) o a una struttura amministrativa. È persino ovvio segnalare che, in tale contesto, non vi è alcuna violazione della riservatezza: non si tratta infatti di rivelazione (o di diffusione ), bensì di trasmissione dei dati sensibili, i quali vengono portati a conoscenza di altre persone che, a loro volta, sono vincolate al segreto e alla tutela della riservatezza. Il reato di violazione del segreto professionale richiede il dolo; per commettere il reato, dunque, il medico deve rivelare il segreto volontariamente (cioè intenzionalmente, con coscienza e volontà) senza giusta causa o al fine di impiegarlo a proprio o altrui profitto. Si tratta di un reato perseguibile a querela di parte e concerne il medico che agisce in qualità di Esercente un Servizio di Pubblica Necessità.

5. Il segreto professionale e la tutela della riservatezza 57 L art. 326 cp punisce invece la rivelazione di segreto d ufficio, che riguarda «il Pubblico Ufficiale o la Persona Incaricata di Pubblico Servizio che, violando i doveri inerenti alle funzioni o al servizio o comunque abusando della sua qualità, rivela notizie d ufficio le quali debbano rimanere segrete o ne agevola in qualsiasi modo la conoscenza è punito con la reclusione da sei mesi a tre anni. Se l agevolazione è soltanto colposa si applica la reclusione fino a un anno. In questa fattispecie, dunque, il reato può essere sia doloso che colposo ed è procedibile d ufficio. Il reato è poi aggravato (reclusione da due a cinque anni) se «il Pubblico Ufficiale o l Incaricato di Pubblico Servizio, per procurare a sé o altri un indebito profitto patrimoniale, si avvale di notizie d ufficio, che debbano rimanere segrete» ed è punito (reclusione fino a due anni) anche se «il fatto è commesso al fine di procurare a sé o ad altri un ingiusto profitto non patrimoniale o di cagionare ad altri un danno ingiusto». Va ricordato che, perché sussista il reato, non occorre che il MMG che agisce in qualità di Pubblico Ufficiale o di Incaricato di Pubblico Servizio apprenda notizie in ragione del suo ufficio (cioè della sua attività professionale in concreto svolta verso gli assistiti); è infatti sufficiente che si tratti di notizie appartenenti a un determinato ufficio e delle quali il MMG sia venuto a conoscenza violando i doveri inerenti alla funzione del servizio o abusando della propria qualità. 5.2. Il Codice in materia di protezione dei dati personali Gli aspetti deontologici e penalistici del segreto professionale vanno integrati nel DL n. 196 del 30 giugno 2003 Codice in materia di protezione dei dati personali (cosiddetto Codice sulla privacy), che amplia considerevolmente la portata delle disposizioni deontologiche e giuridiche. Si tratta di un vero e proprio testo unico in tema di privacy, che ha sostituito la precedente Legge n. 675/96, e che rappresenta un tentativo di semplificare e di implementare organicamente le numerose disposizioni relative alla protezione dei dati, le quali si sono via via succedute negli anni a partire dalla originaria Legge n. 675/96. Il Codice, assai complesso e in alcune parti piuttosto farraginoso, è diviso in tre parti: la prima è dedicata alle disposizioni generali, con riferimento ai settori pubblico e privato; la seconda è la parte speciale dedicata a specifici ambiti e fra questi sono presi in considerazione gli aspetti sanitari; la terza affronta in particolare le sanzioni amministrative e penali, correlate a violazioni della legge. Il Codice raggruppa nella nozione di trattamento dei dati tutte le operazioni che possono essere eseguite sui dati. Con il termine trattamento (art. 4) viene infatti definita qualunque operazione (effettuata con o senza l ausilio di strumenti elettronici), concernente la raccolta, la registrazione, l organizzazione, la conservazione, la consultazione, l elaborazione, la modificazione, la selezione, l estrazione, il raffronto, l utiliz-

58 Lineamenti di medicina legale per il Medico di medicina generale zo, l interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati. Ai divieti previsti dal Codice Deontologico e dal Codice Penale si aggiungono dunque una serie di norme specificamente previste dal Codice sulla privacy, con il fine principale di evitare i rischi di accesso non autorizzato ai dati, di trattamento non autorizzato e di distruzione e perdita dei dati. Il Codice individua le figure coinvolte nel trattamento dei dati e, con riferimento all ambito sanitario, il paziente cui si riferiscono i dati viene identificato con il termine di Interessato. Le altre figure attive che sono preposte al trattamento dei dati sono identificate come Titolare, cui competono le decisioni in ordine alle finalità, alle modalità del trattamento dei dati e agli strumenti utilizzati, ivi compreso il profilo della sicurezza; Responsabile, che è la persona preposta dal titolare al trattamento di dati personali; e Incaricati, che sono le persone individuate dal Responsabile e che sono autorizzate a compiere le vere e proprie operazioni di trattamento dei dati, attenendosi alle disposizioni impartite dal Responsabile. Con la definizione di tali figure si individua quindi una sorta di catena di responsabilità, anche se è evidente che negli studi professionali di MMG Titolare, Responsabile e Incaricato possono coincidere nella stessa persona; in taluni casi l Incaricato può essere il personale paramedico e/o di segreteria. Si ricorda altresì che il Codice individua nella figura del Garante l authority che si occupa della tutela e della protezione dei dati a livello nazionale. Si tratta di un organo collegiale che ha sede a Roma ed è composto da persone esperte di diritto e informatica, elette dalla Camera e dal Senato. Tra i vari compiti del Garante vanno segnalati il controllo del trattamento dei dati nel rispetto della legge, l attività di risposta a specifici quesiti formulati da cittadini (compresi i medici) o enti, e l esame di reclami, segnalazioni e ricorsi presentati dai cittadini. 5.3. Consenso e informativa Le modalità generali con le quali si possono trattare i dati e i requisiti che devono avere i dati stessi vengono stabilite dall art. 11 del Codice sulla privacy, ove viene precisato che i dati oggetto del trattamento devono essere trattati in modo lecito e secondo correttezza; devono essere raccolti, registrati e utilizzati per scopi determinati, espliciti e legittimi; devono inoltre essere esatti e, se necessario, devono essere aggiornati. In particolare, i dati devono essere pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o successivamente trattati. Il Codice stabilisce all art. 76 che i dati sensibili di interesse sanitario (dati idonei a rivelare lo stato di salute e la sfera sessuale) devono essere trattati: con il consenso dell interessato se il trattamento riguarda dati e operazioni indi-

5. Il segreto professionale e la tutela della riservatezza 59 spensabili per perseguire una finalità di tutela della salute o dell incolumità fisica dell interessato; anche senza il consenso dell interessato, ma previa autorizzazione del Garante, se la finalità di tutela della salute o dell incolumità fisica riguarda un terzo o la collettività. Nel caso in cui il paziente non sia in grado di esprimere il consenso (per impossibilità fisica, incapacità di agire o incapacità di intendere e di volere), il consenso può essere prestato dal legale rappresentante o da un prossimo congiunto o da un familiare, o, in loro assenza, dal responsabile della struttura presso cui dimora l interessato. Di regola, l informativa e il consenso devono intervenire prima del trattamento dei dati, ma, ai sensi dell art. 82, tali adempimenti possono intervenire anche dopo la prestazione medica quando vi sia una condizione di emergenza, con rischio grave per la salute o l incolumità dell interessato. Non occorre il consenso del paziente in tutti i casi in cui il trattamento dei dati è previsto e obbligatorio per legge. Come in ogni altro ambito dell attività medica il consenso è valido solo se è fondato su una corretta informazione. Anche il consenso al trattamento dei dati presuppone quindi che il paziente sia stato debitamente informato e il Codice, nell art. 13, precisa quali contenuti debba avere l informativa da fornire al paziente. In particolare, il paziente deve essere consapevole delle finalità e modalità del trattamento dei dati, della natura obbligatoria o facoltativa del conferimento dei dati e delle conseguenze di un eventuale rifiuto di rispondere. Il paziente deve conoscere a chi i dati possono essere comunicati e l eventuale ambito di diffusione dei dati stessi; deve essere consapevole che i dati sanitari, resi anonimi, possono essere utilizzati anche per scopi di ricerca scientifica e per didattica. Deve altresì essere informato dei propri diritti, che sono specificati nell art. 7 del Codice e che valgono per tutti i tipi di dati, non solo quelli di natura sanitaria. In particolare, l interessato ha diritto di ottenere la comunicazione dei dati personali che lo riguardano in forma intelligibile; può anche richiedere l aggiornamento, la rettificazione o l integrazione dei dati. Ha inoltre il diritto di ottenere la cancellazione, la trasformazione in forma anonima o il blocco dei dati ovviamente solo in caso di dati sanitari trattati in violazione di legge. Deve conoscere gli estremi identificativi della persona cui rivolgersi per poter esercitare i propri diritti. Nella sostanza, l informativa da fornire all interessato deve precisare che la raccolta dei dati personali e sanitari che il paziente deve fornire quando richiede una prestazione sanitaria è necessaria ai fini della tutela della salute e dell incolumità psico-fisica della persona; dell accertamento e la certificazione dello stato di salute; degli adempimenti amministrativi e contabili necessari per la gestione delle attività assistenziali; della ricerca scientifico-statistica e lo svolgimento dell attività didattica. L informativa deve anche fornire le necessarie garanzie che i dati vengono utilizzati e custoditi in modo corretto, con tutela della riservatezza e dei diritti della persona, nel rispetto del segreto professionale e del segreto d ufficio, anche mediante predisposizione di apposite

60 Lineamenti di medicina legale per il Medico di medicina generale misure di sicurezza. Deve far sapere che i dati necessari a fini di ricerca scientifico-statistica e di attività didattica sono utilizzati in forma anonima, e che la comunicazione dei dati ad altri soggetti pubblici e/o privati è effettuata esclusivamente in osservanza di obblighi previsti dalle leggi. Con l informativa, occorre altresì rendere consapevole il paziente che, in caso di rifiuto di fornire i dati, il sanitario potrebbe non essere in grado di effettuare le prestazioni richieste. Con provvedimento del 19 luglio 2006, il Garante, in collaborazione con i rappresentanti dei MMG e dei pediatri, ha messo a punto un modello di informativa semplificata, tramite il quale i pazienti possono essere informati a voce, per iscritto o affiggendo il testo dell informativa nella sala d attesa dell ambulatorio. Si riporta il testo di tale modello di informativa: «Gentili signori, desidero informarvi che i vostri dati sono utilizzati solo per svolgere attività necessarie per prevenzione, diagnosi, cura, riabilitazione o per altre prestazioni da voi richieste, farmaceutiche e specialistiche. Si tratta dei dati forniti da voi stessi o che sono acquisiti altrove, ma con il vostro consenso, per esempio in caso di ricovero o di risultati di esami clinici. Anche in caso di uso di computer, adotto misure di protezione per garantire la conservazione e l uso corretto dei dati anche da parte dei miei collaboratori, nel rispetto del segreto professionale. Sono tenuti a queste cautele anche i professionisti (il sostituto, il farmacista, lo specialista) e le strutture che possono conoscerli. I dati non sono comunicati a terzi, tranne quando sia necessario o previsto dalla legge. Si possono fornire informazioni sullo stato di salute a familiari e conoscenti solo su vostra indicazione. In qualunque momento potrete conoscere i dati che vi riguardano, sapere come sono stati acquisiti, verificare se sono esatti, completi, aggiornati e ben custoditi, e far valere i vostri diritti al riguardo. Per attività più delicate da svolgere nel vostro interesse, sarà mia cura informarvi in modo più preciso». Resta ferma la necessità che, a norma di legge, il MMG integri i suddetti elementi essenziali in relazione a eventuali trattamenti di dati personali che presentano rischi specifici, in particolare nel caso in cui il medico di medicina generale o il pediatra intendano effettuare: attività di sperimentazione clinica controllata di medicinali; attività di tele-assistenza o tele-medicina; attività di fornitura all interessato di beni o servizi attraverso una rete di comunicazione elettronica; trattamenti per scopi scientifici, di ricerca scientifica, medica, biomedica ed epidemiologica. In questi casi occorrerà proporre al paziente una specifica informativa al fine di raccogliere il consenso. Pur essendo previsto che il consenso può essere espresso in forma verbale con una dichiarazione orale (art. 81), è persino ovvio ricordare che è del tutto opportuno che il medico a propria tutela predisponga un modulo relativo al consenso e all informativa, da compilarsi a cura del medico e da far sottoscrivere al paziente. Per tale motivo è dunque opportuno proporre al paziente un unico modulo, in cui manifesti le proprie volontà in tema di trattamento dei dati. Il modulo dovrà poi essere conservato dal medico che potrà quindi utilizzarlo in caso di indebite pretestazioni da parte del paziente sul trattamento dei dati. Va rilevato che il consenso informato al trattamento dei dati è valido per una plura-

5. Il segreto professionale e la tutela della riservatezza 61 lità di trattamenti; è cioè sufficiente un unica manifestazione di volontà del paziente debitamente informato per rendere leciti più trattamenti dei dati a fini di tutela della salute. In pratica, la regolarità del trattamento dei dati sanitari si ottiene con un unico atto di consenso informato al paziente, salvo che, in seguito, non si propongano trattamenti diversi e ulteriori rispetto a quelli inizialmente consentiti, che richiedono ovviamente una nuova manifestazione di volontà da parte dell assistito. 5.4. Le misure di sicurezza Oltre all obbligo di trattare i dati sensibili previo consenso informato del paziente, una ulteriore obbligazione che emerge dal Codice concerne i provvedimenti volti a tutelare e proteggere i dati; si tratta di cautele e precauzioni di carattere organizzativo-procedurale generale e dell adozione di misure di sicurezza. In particolare, vi è uno specifico obbligo di sicurezza, previsto dall art. 31, in base al quale i dati devono essere custoditi e controllati in modo da ridurre al minimo, mediante l adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita (anche accidentale) dei dati stessi, di accesso non autorizzato, o di trattamento non consentito o non conforme alle finalità della raccolta. Le misure minime di sicurezza sono dunque un aspetto centrale della protezione dei dati e concernono i trattamenti dei dati effettuati sia con strumenti elettronici (art. 34) sia senza l ausilio di strumenti elettronici, ovvero su supporto cartaceo (art. 35). Quanto all utilizzo con strumenti elettronici, il trattamento dei dati è consentito solo se sono adottate le seguenti misure minime di sicurezza: autenticazione informatica; adozione di procedure di gestione delle credenziali di autenticazione; utilizzazione di un sistema di autorizzazione; aggiornamento periodico dell individuazione dell ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici; protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, ad accessi non consentiti e a determinati programmi informatici; adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi; tenuta di un aggiornato Documento Programmatico sulla Sicurezza (si tratta di un documento che va aggiornato a cadenza annuale); adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. In sostanza, la legge prevede che l accesso alle procedure informatiche che trattano dati personali sia consentito alle persone in possesso di credenziali di autenticazione che permettano il superamento di una procedura di autenticazione. Le credenziali di autenticazione consistono in genere in un codice per l identificazione dell Incaricato (user-id) associato a una parola chiave riservata (password). Si tratta evidentemente di disposizioni di ordine generale che riguardano soprattutto le reti informatiche, anche se talune misure di sicurezza attengono anche al-

62 Lineamenti di medicina legale per il Medico di medicina generale l utilizzo di personal computer non in rete; ci si riferisce soprattutto alla protezione con password (per evitare accessi non autorizzati ai dati) e alla copia di salvataggio periodico dei dati (per evitare la perdita dei dati). Per quanto attiene i dati su supporto cartaceo, il trattamento è consentito solo se si adottano le seguenti misure: aggiornamento periodico dell individuazione dell ambito del trattamento consentito ai singoli incaricati; previsione di procedure per un idonea custodia dei documenti affidati agli incaricati per lo svolgimento dei relativi compiti; previsione di procedure per la conservazione dei documenti in archivi ad accesso selezionato e disciplina delle modalità di accesso. 5.5. Rapporti fra Codice Deontologico e Codice sulla privacy Le disposizioni del Codice sulla privacy sono state recepite dal Codice Deontologico, sia nella versione precedente che in quella attuale, di recente approvazione. In particolare, nella versione ultima del Codice, viene sottolineato all art. 11 che «il medico è tenuto al rispetto della riservatezza nel trattamento dei dati personali del paziente e particolarmente dei dati sensibili inerenti la salute e la vita sessuale. Il medico acquisisce la titolarità del trattamento dei dati sensibili nei casi previsti dalla legge, previo consenso del paziente o di chi ne esercita la tutela. Nelle pubblicazioni scientifiche di dati clinici o di osservazioni relative a singole persone, il medico deve assicurare la non identificabilità delle stesse. Il consenso specifico del paziente vale per ogni ulteriore trattamento dei dati stessi, ma solo nei limiti, nelle forme e con le deroghe stabilite dal codice per la tutela dei dati personali». Una norma deontologica di particolare importanza è quella (prevista sempre nell art. 11 del nuovo Codice Deontologico) che precisa che «il medico non può collaborare alla costituzione di banche di dati sanitari, ove non sussistano garanzie di tutela della riservatezza, della sicurezza e della vita privata della persona». Nella nuova versione del Codice Deontologico trova altresì sistemazione una questione assai controversa, che concerne il trattamento dei dati nei casi in cui il paziente non dia il proprio consenso ma sussistano finalità di tutela della salute di un terzo o della collettività. In conformità con il Codice della privacy, l art. 12 del nuovo Codice Deontologico prevede che al medico è consentito il trattamento dei dati personali idonei a rivelare lo stato di salute anche senza il consenso dell interessato, ma solo per finalità di tutela della salute di un terzo o della collettività o per altri interessi pubblici specificati dalla legge, nei modi, circostanze e limiti previsti dal Codice per la tutela dei dati personali. A tal uopo deve sussistere: a) la richiesta o l autorizzazione della persona assistita o del suo legale rappresentante, previa specifica informazione sulle conseguenze o sull opportunità o meno della rivelazione stessa; ovvero b) l urgenza di salvaguardare la vita o la salute dell interessato o di terzi, nel caso in cui l interessato stesso non

5. Il segreto professionale e la tutela della riservatezza 63 sia in grado di prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere e di volere; ovvero c) l urgenza di salvaguardare la vita o la salute di terzi, anche nel caso di diniego dell interessato, nei modi e con le garanzie di cui all art. 11. Con questa ipotesi, viene proposta una questione di riscontro relativamente frequente nella pratica clinica potendo verificarsi casi in cui il paziente nega al MMG la possibilità di rivelare determinate notizie riguardanti la propria malattia e che, al contempo, sussistano rischi in altre persone o nella collettività collegati a tale malattia. Possono essere citati, a titolo esemplificativo, i problemi che sorgono quando il paziente non vuole rivelare la propria condizione di HIV-positività al proprio partner sessuale, oppure quando un paziente epilettico che svolge attività di conducente di veicoli pubblici (per esempio autobus) non voglia rivelare la propria condizione. La soluzione proposta dal Codice Deontologico non risolve comunque il problema etico, poiché i due diritti in questione (quello della tutela della salute da un lato, e quello della tutela della riservatezza dall altro) sono entrambi di fondamentale interesse e non è affatto scontato che l uno debba prevalere sull altro. Per esempio, il paziente affetto da malattia infettiva e diffusiva, per paura di essere scoperto, potrebbe decidere di non rivolgersi al medico per curare la propria malattia e ciò andrebbe a discapito non solo della salute del paziente stesso, ma anche di terze persone che sarebbero comunque a rischio di contrarre la malattia infettiva. 5.6. L Autorizzazione del Garante Periodicamente, il Garante per la protezione dei dati formula un Autorizzazione generale al trattamento dei dati idonei a rivelare lo stato di salute e la sfera sessuale, che ha grande interesse per il MMG. Con tale documento (l ultimo è il n. 2 del 2005, pubblicato sulla Gazzetta Ufficiale n. 2 del 3 gennaio2006) il Garante autorizza gli esercenti le professioni sanitarie a trattare i dati idonei a rivelare lo stato di salute, qualora i dati e le operazioni siano indispensabili per tutelare l incolumità fisica o la salute di un terzo o della collettività, e il consenso non sia prestato o non possa essere prestato per effettiva irreperibilità. In tali casi, l autorizzazione è rilasciata anche per consentire ai destinatari di adempiere o di esigere l adempimento di specifici obblighi o di eseguire specifici compiti previsti da leggi, dalla normativa comunitaria o da regolamenti (in particolare in materia di igiene e di sanità pubblica, di prevenzione delle malattie professionali e degli infortuni, di diagnosi e cura, ivi compresi i trapianti di organi e tessuti, di riabilitazione degli stati di invalidità e di inabilità fisica e psichica, di profilassi delle malattie infettive e diffusive, di tutela della salute mentale, di assistenza farmaceutica e di assistenza sanitaria alle attività sportive o di accertamento, in conformità alla legge, degli illeciti previsti dall ordinamento sportivo). Il trattamento può riguardare anche la compilazione di cartelle

64 Lineamenti di medicina legale per il Medico di medicina generale cliniche, di certificati e di altri documenti di tipo sanitario, ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini appena indicati. Nell Autorizzazione viene presa in considerazione la modalità di trattamento, con la precisazione che i dati sono raccolti, di regola, presso l Interessato e che la comunicazione di dati all Interessato deve avvenire di regola direttamente a quest ultimo o a un suo delegato, in busta chiusa o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia. Viene altresì precisato che i dati idonei a rivelare lo stato di salute, esclusi i dati genetici, possono essere comunicati a soggetti pubblici e privati, ivi compresi i fondi e le casse di assistenza sanitaria integrativa, le aziende che svolgono attività strettamente correlate all esercizio di professioni sanitarie o alla fornitura all interessato di beni, di prestazioni o di servizi, gli istituti di credito e le imprese assicurative, le associazioni od organizzazioni di volontariato e i familiari dell interessato. I dati idonei a rivelare lo stato di salute e la sfera sessuale non possono essere diffusi, salvo il caso in cui la diffusione riguardi dati resi manifestamente pubblici dall interessato e per i quali l interessato stesso non abbia manifestato successivamente la sua opposizione per motivi legittimi. 5.7. Le sanzioni previste dal Codice Occorre a questo punto ricordare che alle sanzioni previste dal Codice Penale di cui si è già detto (violazione del segreto professionale e rivelazione di segreto d ufficio) si aggiunge una serie di condizioni di rilievo penale, civile e amministrativo che sono specificamente previste dal Codice sulla privacy. In particolare, per quanto concerne gli aspetti penali, è opportuno ricordare in primo luogo le previsioni che concernono il trattamento illecito di dati, previsto all art. 167 che stabilisce al primo comma che, «salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 18, 19, 23, 123, 126 e 130, ovvero in applicazione dell articolo 129, è punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione, con la reclusione da sei a ventiquattro mesi». In ambito sanitario, hanno specifica rilevanza i riferimenti all art. 23 ( Consenso 2 ). Lo stesso art. 2 L art.23 del Codice sulla privacy stabilisce che «1. Il trattamento di dati personali da parte di privati o di enti pubblici economici è ammesso solo con il consenso espresso dell interessato. 2. Il consenso può riguardare l intero trattamento ovvero una o più operazioni dello stesso. 3. Il consenso è validamente prestato solo se è espresso liberamente e specificamente in riferimento ad un tratta-

5. Il segreto professionale e la tutela della riservatezza 65 167 prevede al secondo comma che, «salvo che il fatto costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione di quanto disposto dagli articoli 17, 20, 21, 22, commi 8 e 11, 25, 26, 27 e 45, è punito, se dal fatto deriva nocumento, con la reclusione da uno a tre anni». In ambito sanitario, hanno peculiare rilevanza i riferimenti all art. 20 (principi applicabili al trattamento dei dati sensibili 3 ), all art. 25 (divieti di comunicazione e diffusione) e all art. 26 (garanzie per i dati sensibili 4 ). mento chiaramente individuato, se è documentato per iscritto, e se sono state rese all interessato le informazioni di cui all articolo 13. 4. Il consenso è manifestato in forma scritta quando il trattamento riguarda dati sensibili». 3 L art. 20 del Codice sulla privacy prevede che «1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. 2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell articolo 154, comma 1, lettera g), anche su schemi tipo. 3. Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell articolo 26, comma 2, il trattamento dei dati sensibili. Il trattamento è consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2. 4. L identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente». 4 L art. 26 del Codice sulla privacy stabilisce che: «1. I dati sensibili possono essere oggetto di trattamento solo con il consenso scritto dell interessato e previa autorizzazione del Garante, nell osservanza dei presupposti e dei limiti stabiliti dal presente codice, nonché dalla legge e dai regolamenti. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell interessato, che il titolare del trattamento è tenuto ad adottare. 3. Il comma 1 non si applica al trattamento: a) dei dati relativi agli aderenti alle confessioni religiose e ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, sempre che i dati non siano diffusi o comunicati fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati, nel rispetto dei principi indicati al riguardo con autorizzazione del Garante; b) dei dati riguardanti l adesione di associazioni od organizzazioni a carattere sindacale o di categoria ad altre associazioni, organizzazioni o confederazioni a carattere sindacale o di categoria. 4. I dati sensibili possono essere oggetto di trattamento anche senza consenso, previa autorizzazione del Garante: a) quando il trattamento è effettuato da associazioni, enti od organismi senza scopo di lucro, anche non riconosciuti, a carattere politico, filosofico, religioso o sindacale, ivi compresi partiti e movimenti politici, per il perseguimento di scopi determinati e legittimi individuati dall atto costitutivo, dallo statuto o dal contratto collettivo, relativamente ai dati personali degli aderenti o dei soggetti che in re-

66 Lineamenti di medicina legale per il Medico di medicina generale Per quanto concerne l omissione di misure di sicurezza, l art. 169 prevede che: «1. Chiunque, essendovi tenuto, omette di adottare le misure minime previste dall articolo 33 è punito con l arresto sino a due anni o con l ammenda da diecimila euro a cinquantamila euro. 2. All autore del reato, all atto dell accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo di tempo tecnicamente necessario, prorogabile in caso di particolare complessità o per l oggettiva difficoltà dell adempimento e comunque non superiore a sei mesi. Nei sessanta giorni successivi allo scadere del termine, se risulta l adempimento alla prescrizione, l autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell ammenda stabilita per la contravvenzione. L adempimento e il pagamento estinguono il reato. L organo che impartisce la prescrizione e il pubblico ministero provvedono nei modi di cui agli articoli 21, 22, 23 e 24 del decreto legislativo 19 dicembre 1994, n. 758, e successive modificazioni, in quanto applicabili». Ulteriori illeciti di rilievo penale sono previsti dall art. 168, che concerne la Falsità nelle dichiarazioni e notificazioni al Garante, e dall art. 170, che riguarda la Inosservanza di provvedimenti del Garante. Per quanto attiene gli aspetti civilistici, cioè relativi al risarcimento del danno, l art. 15 ( Danni cagionati per effetto del trattamento ) stabilisce che «chiunque cagiona danno ad altri per effetto del trattamento di dati personali è tenuto al risarcimento ai sensi dell articolo 2050 del codice civile». L art. 2050 del Codice Civile ( Relazione a tali finalità hanno contatti regolari con l associazione, ente od organismo, sempre che i dati non siano comunicati all esterno o diffusi e l ente, associazione od organismo determini idonee garanzie relativamente ai trattamenti effettuati, prevedendo espressamente le modalità di utilizzo dei dati con determinazione resa nota agli interessati all atto dell informativa ai sensi dell articolo 13; b) quando il trattamento è necessario per la salvaguardia della vita o dell incolumità fisica di un terzo. Se la medesima finalità riguarda l interessato e quest ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l interessato. Si applica la disposizione di cui all articolo 82, comma 2; c) quando il trattamento è necessario ai fini dello svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o, comunque, per far valere o difendere in sede giudiziaria un diritto, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Se i dati sono idonei a rivelare lo stato di salute e la vita sessuale, il diritto deve essere di rango pari a quello dell interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile; d) quando è necessario per adempiere a specifici obblighi o compiti previsti dalla legge, da un regolamento o dalla normativa comunitaria per la gestione del rapporto di lavoro, anche in materia di igiene e sicurezza del lavoro e della popolazione e di previdenza e assistenza, nei limiti previsti dall autorizzazione e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all articolo 111. 5. I dati idonei a rivelare lo stato di salute non possono essere diffusi».

5. Il segreto professionale e la tutela della riservatezza 67 sponsabilità per l esercizio di attività pericolose ) stabilisce che: «Chiunque cagiona danno ad altri nello svolgimento di un attività pericolosa, per sua natura o per la natura dei mezzi adoperati, è tenuto al risarcimento, se non prova di avere adottato tutte le misure idonee a evitare il danno». In altri termini, il trattamento dei dati è equiparato allo svolgimento di un attività pericolosa e, in questi casi, l onere della prova di aver fatto tutto il possibile per evitare il danno è a carico del presunto responsabile (cioè del MMG). Infine, nell ambito delle violazioni amministrative va segnalata l omessa o inidonea informativa all interessato prevista nell art. 161, che stabilisce: «La violazione delle disposizioni di cui all articolo 13 è punita con la sanzione amministrativa del pagamento di una somma da tremila euro a diciottomila euro o, nei casi di dati sensibili o giudiziari o di trattamenti che presentano rischi specifici ai sensi dell articolo 17 o, comunque, di maggiore rilevanza del pregiudizio per uno o più interessati, da cinquemila euro a trentamila euro. La somma può essere aumentata sino al triplo quando risulta inefficace in ragione delle condizioni economiche del contravventore». Da segnalare altresì quanto previsto dal secondo comma dell art. 162 che punisce la violazione dell art. 84 con il pagamento di una somma da cinquecento euro a tremila euro; si tratta di una disposizione di specifico interesse sanitario, posto che l art. 84 ( Comunicazione di dati all interessato ) stabilisce che i dati personali idonei a rivelare lo stato di salute possono essere resi noti all interessato da parte di esercenti le professioni sanitarie e organismi sanitari solo per il tramite di un medico designato dall interessato o dal titolare; lo stesso articolo, stabilisce inoltre che il Titolare o il Responsabile possono autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici, che nell esercizio dei propri compiti intrattengono rapporti diretti con i pazienti e sono incaricati di trattare dati personali idonei a rivelare lo stato di salute, a rendere noti i medesimi dati all interessato. Ulteriori violazioni amministrative concernono l illecita cessione dei dati (primo comma dell art. 162), l omessa o incompleta notificazione al Garante (art. 163) e l omessa informazione o esibizione al Garante (art. 164). 5.8. Conclusioni Da quanto sin qui considerato, emerge dunque la necessità che il MMG abbia adeguata nozione non solo delle regole etico-deontologiche ma anche degli obblighi e delle sanzioni previste dalla legge (sia dal codice penale che dal codice sulla privacy), poiché si tratta di questioni che si propongono assai di frequente nella pratica quotidiana. Ne deriva anche la necessità che il MMG ponga in essere una serie di misure, la cui adozione non può che accrescerne la professionalità agli occhi degli assistiti. Si tratta di disposizioni spesso accolte di malavoglia, perché contrastano con abitudini e consuetudini da tempo radicate, oppure perché incidono sulle già rilevanti incombenze buro-

68 Lineamenti di medicina legale per il Medico di medicina generale cratiche che gravano sul MMG, ma che, nella stragrande maggioranza dei casi, sono di attuazione relativamente semplice. Così, per esempio, è opportuno adottare le cosiddette distanze di cortesia; ed è necessario raccogliere i dati (anamnesi ecc.), effettuare la prestazione sanitaria, fornire informazioni e comunicare dati (esiti di indagini), in luoghi e modi idonei ad assicurare la necessaria riservatezza. Ancora, è opportuno adottare regole che prevedano che i supporti cartacei contenenti i dati sanitari (referti ecc.) non vengano lasciati incustoditi e che debbano essere adeguatamente protetti (contenitori chiusi); nonché regole che prevedano la protezione dei personal computer sui quali vengono raccolti e conservati i dati. Infine, è necessario consegnare direttamente in busta chiusa al paziente ogni documento contenente i dati di suo interesse, adottando ovviamente disposizioni in caso di impossibilità di consegnare personalmente al paziente la busta chiusa, e prevedendo in tali casi che la busta possa essere affidata solamente a persona designata dall interessato con delega scritta (procedura che non è diversa dall atto con il quale tutti i cittadini si recano alle poste per ritirare una semplice raccomandata). Si capisce che si tratta di provvedimenti relativamente semplici, che il MMG può e deve adottare a propria tutela, per limitare i rischi insiti nella gestione di dati assai importanti e delicati come quelli che si riferiscono alla salute degli assistiti; rischi che lo espongono alle già citate sanzioni amministrative e penali, nonché a ripercussioni di rilevanza civilistica.