Data privacy: la tutela dei dati in ambito sanitario prosegue anche dopo il decesso dell’interessato

Torniamo oggi sul tema della data privacy per esaminare come viene regolamentato l’accesso ai dati sanitari delle persone decedute, anche alla luce di un recente parere del Garante per la Protezione dei Dati Personali.

Dati sanitari dei pazienti deceduti: chi può avervi accesso?

Nonostante la normativa europea in materia di protezione dei dati personali non sia direttamente applicabile al trattamento dei dati personali delle persone decedute, il GDPR (Regolamento UE n. 679/2016) prevede una clausola di salvaguardia a favore dei Paesi membri, con cui gli stessi vengono lasciati liberi di “prevedere norme riguardanti il trattamento dei dati personali delle persone decedute” (vedi il Considerando n. 27).

In Italia, il Codice in materia di protezione dei dati personali (D.Lgs. n. 196 del 2003) prevede espressamente all’art. 2-terdecies i “Diritti riguardanti le persone decedute”, e stabilisce che

I diritti di cui agli articoli da 15 a 22 del Regolamento riferiti ai dati personali concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato, in qualità di suo mandatario, o per ragioni familiari meritevoli di protezione.”

Pertanto, in Italia, i diritti di accesso ai dati personali (e sanitari) di un paziente deceduto, così come i diritti di rettifica e cancellazione dei dati, i diritti alla limitazione ed opposizione al trattamento, potranno essere esercitati fondamentalmente

  • da un mandatario del soggetto deceduto, ovvero
  • da parenti stretti, aventi una “ragione familiare meritevole di protezione” (qual è, per esempio, quella consistente nella verifica della regolarità dell’attività medica in caso di supposta malpractice).

Il riconoscimento, effettuato dal Codice, della possibilità di esercitare i predetti diritti da parte dei soggetti elencati nell’art, 2-terdecies, comma 1, al posto delle persone decedute, comporta – quale naturale conseguenza e necessario presupposto logico-giuridico – che ai dati personali concernenti le persone decedute continuino ad applicarsi le tutele previste dalla disciplina in materia di protezione dei dati personali.

È possibile l’accesso civico ai dati dei pazienti deceduti?

In un suo recente parere, il Garante per la Protezione dei Dati Personali affronta la diversa problematica di quali siano i limiti d’accesso civico, ovverosia pubblico, ai dati sanitari di un paziente deceduto. Vediamone i dettagli.

Il caso

Il Garante è stato recentemente interpellato dal “responsabile della prevenzione della corruzione e della trasparenza” di un’azienda sanitaria universitaria ad esprimere un parere nell’ambito del procedimento di riesame di un provvedimento di diniego di accesso civico ai documenti sanitari di un paziente deceduto.

Nel dettaglio, il suddetto responsabile aveva presentato alla direzione sanitaria dell’azienda sanitaria una segnalazione relativa alle cure eseguite su un paziente, poi deceduto, e dunque concernente un caso di possibile errore clinico, con richiesta di iniziare un audit clinico in relazione ad un caso di supposta malpractice medica.

A seguito della risposta dell’amministrazione con cui si informava il segnalante che gli accertamenti svolti avevano evidenziato un corretto operato dei clinici nella gestione del caso, veniva formulata un’istanza di accesso civico agli “atti di audit clinico e successiva elaborazione del percorso clinico da parte del risk manager riguardante la discrepanza tra rilievo autoptico e diagnosi clinica effettuata sul paziente”.

L’amministrazione rigettava anche questa istanza di accesso sulla base della considerazione che la documentazione conteneva dati sensibili del paziente, in quanto tali inaccessibili sulla base della normativa applicabile all’accesso civico.

Di seguito vediamo il parere dato dal Garante sulla questione.

Mancato coinvolgimento dei parenti stretti e diniego di autorizzazione all’accesso

Secondo il Garante, è necessario partire dalla considerazione che, nel caso di specie, non sono stati coinvolti nel procedimento di accesso civico i parenti stretti e gli altri soggetti elencati nel comma 1 del sopra visto art. 2-terdecies del Codice in materia di protezione dei dati personali, impedendo dunque loro di presentare un’eventuale opposizione all’accesso e, più in generale, di esercitare i diritti connessi ai dati personali e sensibili del paziente deceduto.

Ma anche indipendentemente da tale considerazione, il Codice prevede che i dati sensibili (ovverosia i dati genetici, biometrici e relativi alla salute) sono oggetto di un espresso divieto di diffusione (art. 2-septies, comma 8), ossia della possibilità di dare conoscenza a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione di dati relativi alla salute”.

Sulla base della normativa applicabile all’accesso civico, i dati ed i documenti che si ricevono a seguito di una istanza di accesso civico divengono “pubblici e chiunque ha diritto di conoscerli, di fruirne gratuitamente, e di utilizzarli e riutilizzarli” pur in conformità delle norme di legge e dunque anche alle norme in materia di data privacy (art. 3, co. 1, D.Lgs. n. 33/2013).

L’eventuale accoglimento dell’istanza di accesso civico alla documentazione determinerebbe dunque una potenziale diffusione dei dati sanitari del paziente deceduto, che è oggetto di espresso divieto (art. 2-septies, co. 8, D.Lgs. n. 196 del 2003).

Il caso in commento rientra dunque in una delle ipotesi di esclusione dell’accesso civico previste dalla normativa statuale in materia di trasparenza, che appunto esclude la possibilità di accesso “nei casi di divieto di accesso o divulgazione (art. 5-bis, co. 3, D.Lgs. n. 33/2013).

Sulla base di quanto precede, Il Garante ha reputato corretta la decisione dell’azienda sanitaria di non concedere l’accesso civico ai dati sanitari del paziente deceduto.

Per concludere

In caso di decesso di un paziente, potranno essere il suo mandatario o i parenti stretti a richiedere, in presenza di una “ragione familiare meritevole di protezione”, l’accesso ai dati personali e documenti sanitari del paziente stesso, così come ad esercitare i diritti relativi al trattamento dei dati che spettavano al paziente; sotto il versante pubblico, non sarà invece accoglibile un’istanza di accesso civico a tali dati sanitari, essendo in contrasto con l’esplicito divieto di diffusione dei dati sensibili e sanitari.

Ci aggiorniamo la prossima settimana con un altro, interessante argomento!

Nel frattempo, resta collegato o iscriviti alla newsletter per non perdere i prossimi aggiornamenti.

A presto!

LEGGI I DOCUMENTI

Garante Privacy, parere n. 2 del 10.1.2019

Art. 2-terdecies Codice Privacy