EntiOnLine
Categorie
indietro
10/01/2019 Parere su una istanza di accesso civico - 10 gennaio 2019 > Elaborazione percorso clinico da parte del risk manager

Parere su una istanza di acceso civico - 10 gennaio 2019

Registro dei provvedimenti n. 2 del 10 gennaio 2019

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Visto l’art. 5, comma 7, del d. lgs. n. 33 del 14 marzo 2013 recante «Riordino della disciplina riguardante il diritto di accesso civico e gli obblighi di pubblicità, trasparenza e diffusione di informazioni da parte delle pubbliche amministrazioni»;

Visto l’art. 58, par. 3, lett. b), del Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati) (di seguito “Regolamento”);

VISTO l’art. 154, comma 1, lett. g), del d. lgs. 30 giugno 2003, n. 196 intitolato «Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) n. 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE» (di seguito “Codice”);

Vista la Determinazione n. 1309 del 28/12/2016 dell’Autorità Nazionale Anticorruzione-ANAC, adottata d’intesa con il Garante, intitolata «Linee guida recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico di cui all’art. 5 co. 2 del d.lgs. 33/2013», in G.U. Serie Generale n. 7 del 10/1/2017 e in http://www.anticorruzione.it/portal/public/classic/AttivitaAutorita/AttiDellAutorita/_Atto?ca=6666 (di seguito “Linee guida dell’ANAC in materia di accesso civico”);

Visto il provvedimento del Garante n. 521 del 15/12/2016, contenente la citata «Intesa sullo schema delle Linee guida ANAC recanti indicazioni operative ai fini della definizione delle esclusioni e dei limiti all’accesso civico», in www.gpdp.it, doc. web n. 5860807;

Vista la documentazione in atti;

Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

Con la nota in atti il Responsabile della prevenzione della corruzione e della trasparenza dell’Azienda Sanitaria Universitaria Integrata di Trieste ha chiesto al Garante il parere previsto dall’art. 5, comma 7, del d. lgs. n. 33 del 14 marzo 2013, nell’ambito del procedimento relativo a una richiesta di riesame di un provvedimento di diniego di un accesso civico.

Nello specifico, dagli atti risulta che è stata presentata un’istanza di accesso ai sensi del d. lgs. n. 33/2013 «agli atti di audit clinico e successiva elaborazione del percorso clinico da parte del risk manager, inerente il caso segnalato [dal soggetto istante all’Azienda], riguardante la discrepanza tra rilievo autoptico e diagnosi clinica» effettuata su un paziente.

L’amministrazione ha negato l’accesso, rappresentando che «la documentazione contiene dati sensibili personali e quindi non accessibili sulla base della normativa [sopra] richiamata».

OSSERVA

Nel caso in esame, come rappresentato nella richiesta di parere al Garante, risulta che il soggetto istante, precedentemente all’istanza di accesso civico, aveva presentato alla Direzione sanitaria aziendale una segnalazione relativa alle cure eseguite su un paziente, avente a oggetto «un caso di possibile errore clinico, chiedendo di avviare un audit clinico», sollecitando «il riscontro alla sua segnalazione, di “possibile malpractice”».

A seguito della risposta dell’amministrazione con la quale si informava il segnalante, alla luce delle analisi effettuate, del corretto operato «dei clinici nella gestione del caso», lo stesso ha formulato accesso, ai sensi della normativa in materia di accesso civico, agli atti di audit clinico e agli approfondimenti condotti dal risk manager.

Dalla documentazione inviata dall’Azienda sanitaria a questa Autorità emerge che la documentazione oggetto dell’accesso civico contiene dati e informazioni personali, inerenti il quadro clinico di un paziente deceduto, con specifici e accurati dettagli su ricovero, degenza, sintomi, anamnesi, diagnosi, esami effettuati (di cui alcuni particolarmente invasivi) con relativi risultati, terapia, farmaci somministrati, consulenze mediche effettuate, nonché informazioni sul credo religioso professato.

In via preliminare, è importante ricordare per la valutazione sull’ostensione di dati e informazioni tramite l’istituto dell’accesso civico che – a differenza dei documenti a cui si è avuto accesso ai sensi della l. n. 241 del 7/8/1990 – i dati e i documenti che si ricevono a seguito di una istanza di accesso civico divengono «pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli ai sensi dell’articolo 7», sebbene il loro ulteriore trattamento vada in ogni caso effettuato nel rispetto dei limiti derivanti dalla normativa in materia di protezione dei dati personali (art. 3, comma 1, del d. lgs. n. 33/2013).

Per i profili di competenza, occorre inoltre evidenziare che per «dato personale» si intende «qualsiasi informazione riguardante una persona fisica identificata o identificabile («interessato»)» e che «si considera identificabile la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all'ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale» (art. 4, par. 1, n. 1, del Regolamento).

In tale quadro, il Regolamento definisce come «dati relativi alla salute» i «dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute» (art. 4, par. 1, n. 15; considerando n. 35).

Si rileva, di conseguenza, che, nel caso esaminato, i documenti oggetto dell’accesso civico contengono indubbiamente “dati relativi alla salute” di un paziente, anche se poi deceduto.

In relazione ai «dati personali delle persone decedute», la normativa europea in materia di protezione dei dati personali, pur prevedendo che il Regolamento non trovi a essi applicazione, stabilisce – con una “clausola di salvaguardia” – che «Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute» (considerando n. 27).

Al fine di dare applicazione alla descritta facoltà prevista dal Regolamento europeo, il legislatore italiano ha sancito che «I diritti di cui agli articoli da 15 a 22 del Regolamento», laddove «riferiti ai dati personali concernenti persone decedute», «possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione» (art. 2-terdecies, comma 1, del Codice, introdotto dall’art. 2, comma 1, lett. f, del d. lgs. n. 101 del 10/8/2018).

Il riconoscimento, effettuato dal Codice, della possibilità di esercitare i predetti diritti da parte dei soggetti elencati nell’art. 2-terdecies, comma 1, al posto delle persone decedute, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuano ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali.

Ciò in quanto i diritti di cui agli articoli da 15 a 22 del Regolamento prima richiamati – fra cui il diritto di accesso ai propri dati personali, i diritti di rettifica e cancellazione dei dati, il diritto alla limitazione del trattamento, il diritto di opposizione al trattamento, il diritto di non essere sottoposto a una decisione basata unicamente sul trattamento automatizzato (compresa la profilazione) che produca effetti giuridici che lo riguardano o che incida in modo analogo significativamente sulla sua persona – si concretizzano nel diritto di chiedere che il titolare del trattamento si conformi alle disposizioni di settore in materia di protezione dei dati personali e ai «principi applicabili al trattamento di dati personali» nel rispetto delle condizioni di «liceità del trattamento», in quanto compatibili.

Tornando allo specifico caso esaminato, dall’istruttoria risulta che non sono stati coinvolti nel procedimento di accesso civico i parenti del de cuius o altri soggetti indicati dal citato art. 2-terdecies, comma 1, del Codice; impedendo quindi a questi ultimi la possibilità di presentare un’eventuale opposizione all’accesso. Ciò nonostante – come evidenziato anche nelle Linee guida dell’ANAC in materia di accesso civico – occorre comunque rappresentare che la valutazione circa l’accoglimento o meno dell’istanza, spetta in ogni caso all’amministrazione e «va condotta anche in caso di silenzio del controinteressato», tenendo, altresì, in considerazione i criteri contenuti nelle richiamate Linee guida (cfr. in particolare par. 8.1 intitolato «I limiti derivanti dalla protezione dei dati personali»).

In tale contesto, si osserva che il Codice, a tutela dei singoli e nel «rispetto della dignità umana, dei diritti e delle libertà fondamentali della persona» (art. 1, comma 1), prevede un espresso “divieto di diffusione”, ossia della possibilità di dare «conoscenza […] a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione» di “dati relativi alla salute” (art. 2-septies, comma 8; art. 2-ter, comma 4, lett. b), all’interno dei quali nella fattispecie sottoposta all’attenzione del Garante – per i motivi sopra riportati – rientrano anche quelli riferiti al paziente deceduto, contenuti nella documentazione oggetto dell’accesso civico.

Per tutto quanto evidenziato, si rileva quindi che un eventuale accoglimento dell’istanza di accesso civico alla documentazione richiesta comporterebbe la conoscenza di “dati relativi alla salute”, per i quali come detto è invece previsto un espresso divieto di diffusione (art. 2-septies, comma 8, del Codice. Cfr. anche art. 7-bis, comma 6, del d. lgs. n. 33/2013, che al riguardo prevede, analogamente, come «Restano fermi i limiti […] alla diffusione dei dati idonei a rivelare lo stato di salute […]»).

La vicenda esaminata rientra, dunque, in una delle ipotesi di “esclusione dell’accesso civico” previste dalla normativa statale in materia di trasparenza, che prevede espressamente come l’accesso civico deve essere escluso nei «casi di divieti di accesso o divulgazione previsti dalla legge» (art. 5-bis, comma 3, del d. lgs. n. 33/2013).

Quanto riportato è confermato anche dalle Linee guida dell’Anac in materia di accesso civico con riferimento alle «Eccezioni assolute» all’accesso civico, laddove è indicato che «Nella valutazione dell’istanza di accesso, l’amministrazione deve […] verificare che la richiesta non riguardi atti, documenti o informazioni sottratte alla possibilità di ostensione o ad accesso “condizionato” in quanto ricadenti in una delle fattispecie indicate nell’art. 5-bis co. 3» (par. 6). Nello specifico, nel par. 6.2., intitolato «Altri casi di segreto o di divieto di divulgazione», è altresì precisato che «[…] alcuni divieti di divulgazione sono previsti dalla normativa vigente in materia di tutela della riservatezza con riferimento a: dati idonei a rivelare lo stato di salute, ossia a qualsiasi informazione da cui si possa desumere, anche indirettamente, lo stato di malattia o l’esistenza di patologie dei soggetti interessati, compreso qualsiasi riferimento alle condizioni di invalidità, disabilità o handicap fisici e/o psichici (art. 22, comma 8, del Codice [oggi art. 2-septies, comma 8]; art. 7-bis, comma 6, d. lgs. n. 33/2013)».

Pertanto, nel quadro descritto, allo stato degli atti e ai sensi della normativa vigente, considerata la particolare natura di “dati relativi alla salute” contenuti nella documentazione
di cui si richiede l’ostensione, si ritiene che – conformemente ai precedenti orientamenti del Garante (cfr. i pareri resi nei provvedimenti n. 188 del 10/4/2017, in www.gpdp.it, doc. web n. 6383249; n. 206 del 27/4/2017, ivi, doc. web n. 6388689; n. 98 del 22/2/2018, ivi, doc. web n. 8165944; n. 226 del 16/4/2018, ivi, doc. web n. 8983848) – l’Azienda sanitaria, anche se con una sintetica motivazione, ha correttamente respinto l´istanza di accesso civico, in conformità alla disciplina in materia di protezione dei dati personali.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini suesposti in merito alla richiesta del Responsabile della prevenzione della corruzione e della trasparenza dell’Azienda Sanitaria Universitaria Integrata di Trieste, ai sensi dell’art. 5, comma 7, del d. lgs. n. 33/2013.

Roma, 10 gennaio 2019

Fonte: Garante per la Protezione dei Dati

Banca dati