DELIBERA DEL GARANTE PER LA PROTEZIONE DEI DATI
PERSONALI, 21 NOVEMBRE 2013
(Gazzetta Ufficiale n. 303 del
28.12.13,
pag. 65)
Provvedimento generale rivolto alle aziende sanitarie sulle modalita' di consegna dei presidi sanitari al domicilio dell'interessato. (Delibera n. 520/2013)
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti e del dott. Giuseppe Busia, segretario generale;
Visto il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196), di seguito «Codice»;
Visto, in particolare, l'art. 83 del Codice che individua alcune misure per il rispetto dei diritti degli interessati in ambito sanitario;
Vista la disciplina rilevante in materia di assistenza sanitaria integrativa e protesica;
Esaminate le segnalazioni pervenute all'Autorità in merito alle modalità con cui le aziende sanitarie effettuano la consegna dei presidi sanitari al domicilio degli interessati;
Visto il provvedimento generale circa il rispetto dei diritti, delle libertà fondamentali e della dignità degli interessati nell'erogazione delle prestazioni da parte delle strutture sanitarie adottato dal Garante il 9 novembre 2005 (consultabile sul sito www.gpdp.it, doc. web n. 1191411);
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante, n. 1/2000;
Relatore la dott.ssa Giovanna Bianchi Clerici;
Premesso:
1. Questioni prospettate.
Sono pervenute alcune segnalazioni nelle quali si lamenta una violazione delle disposizioni in materia di protezione dei dati personali in relazione alle modalità con cui le aziende sanitarie - anche per il tramite di ditte esterne - effettuano la consegna dei presidi sanitari al domicilio degli interessati. In particolare, le segnalazioni riguardano la consegna di specifici presidi, quali quelli utilizzati da persone incontinenti o stomizzate (ad es. cateteri, ausili per evacuazione e per stomia, raccoglitori e assorbenti per urina). La possibilità da parte di terzi, quali i vicini di casa, di venire a conoscenza - anche indirettamente - della circostanza che l'interessato necessita di specifici presidi sanitari può ledere la dignità e la riservatezza di quest'ultimo. Ciò, anche in considerazione che, in taluni casi, la conoscenza dell'utilizzo di alcuni presidi può essere idonea a rivelare la sussistenza di un peculiare stato di salute dell'interessato.
Nelle segnalazioni ricevute i soggetti lamentano di aver ricevuto i suddetti presidi sanitari in pacchi trasparenti o recanti sulla parte esterna o sulla bolla di consegna l'indicazione in chiaro della tipologia del contenuto.
In altre segnalazioni inoltre viene lamentata l'avvenuta consegna dei presidi sanitari al vicino di casa o al portiere dello stabile ove risiedono senza aver autorizzato l'azienda sanitaria alla consegna degli stessi a terzi. In taluni casi, i predetti presidi sarebbero stati lasciati davanti la porta di ingresso della dimora dell'interessato.
Il Garante si è già espresso in materia con il provvedimento del 9 novembre 2005 in cui sono state introdotte misure e accorgimenti a tutela dei diritti degli interessati nell'ambito dell'erogazione delle prestazioni da parte delle strutture sanitarie. In particolare, a tali strutture è stato prescritto di adottare specifiche garanzie affinchè nella spedizione di prodotti non siano indicati, sulla parte esterna del plico postale, informazioni idonee a rivelare l'esistenza di uno stato di salute dell'interessato (ad es., indicazione della tipologia del contenuto del plico o del reparto dell'organismo sanitario mittente) (cfr. punto 3, lettera g)).
Nell'ambito delle attività istruttorie svolte dall'Ufficio in relazione alle numerose segnalazioni pervenute è emerso che frequentemente le aziende sanitarie appaltano a società esterne la fornitura e la consegna dei suddetti presidi. All'esito delle istruttorie preliminari avviate, è risultato che le aziende sanitarie interessate hanno regolarmente designato le suddette società quali responsabili esterni del trattamento (art. 29 del Codice).
2. Quadro normativo di riferimento.
Il Servizio Sanitario Nazionale eroga a tutti i cittadini attività, servizi e prestazioni sanitarie riconducibili ai c.d. Livelli Essenziali di Assistenza (LEA) (legge 23 dicembre 1978, n. 833, d.P.C.M. 29 novembre 2001).
Nei LEA si collocano le attività e i servizi erogati al livello distrettuale (c.d. assistenza distrettuale) tra i quali figurano l'«assistenza integrativa», consistente nella fornitura di alimenti dietetici a categorie particolari e di presidi sanitari ai soggetti affetti da diabete mellito e l'«assistenza protesica» diretta alla fornitura di protesi, presidi e ausili a favore di disabili fisici, psichici e sensoriali (allegato I al citato d.P.C.M. 29 novembre 2001).
Tali attività e servizi di assistenza sono erogati, su richiesta dell'interessato, ai pazienti che versano in particolari condizioni cliniche certificate da medici specialisti appartenenti al Servizio Sanitario Nazionale.
3. Trattamento dei dati idonei a rivelare lo stato di salute nella consegna dei presidi sanitari al domicilio degli interessati.
Il trattamento dei dati personali connesso all'erogazione dell'assistenza sanitaria integrativa e protesica configura un trattamento di dati idonei a rivelare lo stato di salute di persone affette da particolari patologie in relazioni alle quali necessitano dell'utilizzo di specifici presidi sanitari.
Il trattamento di tali informazioni può essere effettuato solo se ricorrono le specifiche garanzie previste dal Codice, il quale prevede, tra l'altro, che il titolare del trattamento - in questo caso l'azienda sanitaria competente - fornisca agli interessati un'informativa in merito alle caratteristiche di tale trattamento, avendo cura di indicare anche i soggetti o le categorie di soggetti che possono venire a conoscenza dei dati personali in qualità di responsabili o incaricati del trattamento (art. 13 del Codice).
Dopo aver fornito la suddetta informativa, l'azienda sanitaria competente deve acquisire il consenso degli interessati per il trattamento dei dati personali effettuato a fini di prevenzione, diagnosi, cura e riabilitazione (articoli 26 e 75 e ss. del Codice).
Nello svolgimento delle attività amministrative correlate alle predette attività di cura, l'azienda sanitaria deve rispettare le disposizioni contenute nel regolamento per il trattamento dei dati sensibili e giudiziari adottato dalla regione presso cui opera in conformità allo schema tipo aggiornato di regolamento per il trattamento di dati personali sensibili e giudiziari da effettuarsi presso le regioni e le province autonome, le aziende sanitarie, gli enti e agenzie regionali/provinciali, gli enti vigilati dalle regioni e dalle province autonome, predisposto dalla Conferenza delle regioni e delle province autonome, sul quale il Garante ha espresso parere favorevole (articoli 20, e 85 del Codice, cfr., in particolare, scheda n. 12 dell'allegato B) del citato schema tipo aggiornato di regolamento sul quale il Garante ha espresso parere favorevole con il provvedimento del 26 luglio 2012 - doc. web n. 1915390).
Qualora l'azienda sanitaria intenda avvalersi di una società esterna per la distribuzione dei suddetti presidi è necessario che designi tale soggetto quale responsabile esterno del trattamento, avendo cura di specificare analiticamente e per iscritto i compiti allo stesso affidati, nonchè di vigilare periodicamente sulla puntuale osservanza delle istruzioni ad esso impartite (art. 29 del Codice).
In considerazione della particolare delicatezza dei dati trattati e della necessità di tutelare la dignità e la riservatezza delle persone che richiedono di ricevere i suddetti presidi presso il proprio domicilio, è necessario che il titolare fornisca, in particolare, specifiche istruzioni ai responsabili e agli incaricati coinvolti nel processo di distribuzione dei presidi.
Con il presente provvedimento il Garante, ad integrazione di quanto prescritto nel citato provvedimento del 9 novembre 2005, intende, pertanto, definire un quadro unitario di misure e accorgimenti a cui le aziende sanitarie - entro 6 mesi dalla data di adozione del presente provvedimento - si devono adeguare nello svolgimento delle operazioni di consegna domiciliare dei presidi sanitari.
In particolare, sono di seguito definite le misure che si ritiene debbano essere rispettate nelle operazioni di consegna dei presidi sanitari al domicilio degli interessati che ne facciano richiesta.
1. La consegna deve avvenire:
nel luogo individuato dall'interessato rispettando gli orari scelti da quest'ultimo tra quelli indicati dal titolare o dal responsabile del trattamento;
preferibilmente nelle mani dell'interessato; il presidio non può essere lasciato incustodito nelle vicinanze del luogo indicato dall'interessato.
2. Il presidio, laddove le dimensioni e la natura lo consentano, deve essere, in ogni caso, imballato in un contenitore non trasparente che non deve contenere nella parte esterna l'indicazione del contenuto.
3. Il presidio può essere consegnato a terzi (ad es., vicino di casa, parente, portiere) solo su espressa indicazione dell'interessato.
4. Nel caso in cui l'interessato, o il terzo delegato da questo, non siano presenti al momento della consegna, il personale a ciò deputato deve lasciare esclusivamente un avviso che non contenga l'indicazione della tipologia del presidio.
5. Il personale deputato alla consegna non deve indossare divise recanti scritte da cui si possa evincere la specifica tipologia dei presidi in consegna, nè utilizzare automezzi recanti tali scritte.
L'Azienda sanitaria, in qualità di titolare del trattamento dei dati, deve altresì vigilare affinchè le suddette istruzioni siano impartite anche al personale designato incaricato del trattamento da parte dell'eventuale società esterna alla quale sia stata appaltata la fornitura e la consegna dei suddetti presidi (art. 30 del Codice).
Il presente provvedimento sarà pubblicato nella Gazzetta Ufficiale, sul sito Internet del Garante (www.garanteprivacy.it) e, considerata la sua valenza generale, sarà inviato anche alle regioni e province autonome affinchè provvedano a divulgarlo presso le aziende sanitarie competenti.
Tutto ciò premesso il Garante:
ai sensi dell'art. 154, comma 1, lettera c) del Codice, prescrive alle aziende sanitarie - ad integrazione e specificazione di quanto prescritto nel provvedimento del 9 novembre 2005 - di adeguare le operazioni di consegna domiciliare dei presidi sanitari alle misure indicate nel presente provvedimento, entro 6 mesi dalla data della sua pubblicazione nella Gazzetta Ufficiale.
Ai sensi degli articoli 152 del Codice e 10 del decreto legislativo n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Dispone che copia del presente provvedimento sia trasmessa al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 21 novembre 2013
Il Presidente
Soro
Il Relatore
Bianchi Clerici
Il Segretario generale
Busia