1. Introduzione
Il diritto di accesso ai dati personali è uno dei principi cardine della protezione dei dati stabiliti dal Regolamento Generale sulla Protezione dei Dati (RGPD – Regolamento UE 2016/679). Questo diritto consente agli interessati di ottenere informazioni chiare e dettagliate su come i propri dati vengano trattati da titolari e responsabili del trattamento. Nel contesto sanitario, tale diritto assume un’importanza fondamentale poiché riguarda dati personali di natura particolarmente sensibile: i dati sanitari, che includono diagnosi, referti, trattamenti medici, esiti di esami clinici e informazioni sui percorsi terapeutici dei pazienti.
L’accesso ai dati contenuti nelle cartelle cliniche è quindi un diritto che deve essere garantito ai pazienti nel rispetto del RGPD. Tuttavia, fino alla recente sentenza della Corte di Giustizia dell’Unione Europea C-307/22, vi erano incertezze interpretative su aspetti cruciali, tra cui:
La differenza tra il diritto di ottenere i dati personali e il diritto di ottenere la documentazione medica che li contiene.
L’eventuale obbligo di fornire gratuitamente la prima copia della cartella clinica, indipendentemente dallo scopo della richiesta.
Il ruolo del titolare del trattamento (ospedali, cliniche, medici) nel valutare la tipologia e l’estensione dei dati da rilasciare.
Questi temi sono stati affrontati dalla Corte di Giustizia dell’UE con una decisione che fornisce indicazioni importanti per le strutture sanitarie, il personale amministrativo e i responsabili della protezione dei dati. L’obiettivo di questo articolo è spiegare in modo chiaro e approfondito il contenuto della sentenza e le sue implicazioni pratiche, sia dal punto di vista giuridico che amministrativo.
2. Il Diritto di Accesso ai Dati Personali e la sua Applicazione alle Cartelle Cliniche
L’Articolo 15 del RGPD: Il Fondamento Normativo
L’articolo 15 del RGPD stabilisce che ogni interessato ha diritto di ottenere la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e, in caso affermativo, di accedere a tali dati. Questo significa che una persona ha il diritto di sapere se un’organizzazione sta trattando i suoi dati e, se sì, quali informazioni vengono trattate, con quali finalità e per quanto tempo.
Nel settore sanitario, questo diritto si traduce nella possibilità per un paziente di ottenere l’accesso ai dati contenuti nella propria cartella clinica, che può includere:
Informazioni anagrafiche e dati identificativi.
Diagnosi e anamnesi clinica.
Terapie e trattamenti prescritti o effettuati.
Risultati di esami e analisi diagnostiche.
Pareri e valutazioni dei medici curanti.
Il diritto di accesso garantisce la trasparenza del trattamento dei dati e consente ai pazienti di verificare l’accuratezza delle informazioni e, se necessario, chiederne la rettifica.
Riproduzione fedele e intelligibile: il significato per le cartelle cliniche
Un aspetto importante chiarito dalla Corte di Giustizia è che il diritto di accesso ai dati personali non si esaurisce con il semplice elenco dei dati raccolti, ma comporta la necessità di fornire una copia chiara, fedele e comprensibile delle informazioni contenute nella cartella clinica.
Ciò significa che se i dati personali sono registrati in un formato medico complesso, devono essere resi accessibili e interpretabili dal paziente. La mancanza di chiarezza nella comunicazione delle informazioni può infatti limitare il pieno esercizio del diritto di accesso, vanificando la protezione garantita dal RGPD.
Se un paziente riceve solo un elenco di codici relativi a diagnosi e trattamenti senza una spiegazione chiara del loro significato, il diritto di accesso non è soddisfatto. L’ospedale dovrebbe quindi fornire una copia chiara e comprensibile della cartella, con spiegazioni mediche ove necessario.
3. Diritto alla prima copia gratuita e la portata dell’accesso
L’obbligo di fornitura gratuita della prima copia
L’articolo 12, paragrafo 5, e l’articolo 15, paragrafo 3, del RGPD stabiliscono che la prima copia dei dati personali richiesti dall’interessato deve essere fornita gratuitamente. La sentenza C-307/22 ha ribadito che tale obbligo vale anche nel settore sanitario, indipendentemente dallo scopo per cui la richiesta viene presentata.
Se un paziente chiede una copia della propria cartella clinica per motivi legali, assicurativi o personali, la struttura sanitaria non può imporre un costo per la prima copia, anche se l’uso finale non è direttamente legato alla protezione dei dati.
Tuttavia, per le copie successive, il titolare del trattamento può prevedere un costo ragionevole, purché trasparente e giustificato.
Copia dei dati vs. copia della documentazione clinica
Una delle questioni centrali affrontate dalla sentenza C-307/22 riguarda la differenza tra:
- Il diritto di accesso ai dati personali contenuti nella cartella clinica.
- Il diritto di ottenere una copia della documentazione medica che li contiene.
La Corte ha chiarito che, in linea di principio, l’accesso riguarda i dati personali e non necessariamente l’intera documentazione medica. Tuttavia, se la fornitura di una copia della sola parte testuale dei dati non è sufficiente a garantire l’intelligibilità e la completezza delle informazioni, il titolare del trattamento deve rilasciare una copia integrale della cartella clinica.
Un paziente potrebbe chiedere di accedere alle informazioni sulle cure ricevute. Se il medico rilascia solo una scheda riassuntiva senza allegare i referti diagnostici o le annotazioni cliniche dettagliate, ciò potrebbe non essere sufficiente. In tal caso, per garantire un accesso completo e intelligibile, l’ospedale dovrebbe fornire una copia integrale della documentazione.
4. La Sentenza della Corte di Giustizia UE C-307/22: implicazioni e chiarimenti
La sentenza della Corte di Giustizia dell’Unione Europea (CGUE) C-307/22, pronunciata il 26 ottobre 2023, ha fornito un’interpretazione chiave sul diritto di accesso ai dati personali contenuti nelle cartelle cliniche. La decisione chiarisce che il diritto di accesso, sancito dall’articolo 15 del RGPD, non si limita alla trasmissione di un elenco di dati personali, ma può comprendere anche la copia integrale della documentazione medica, qualora ciò sia necessario per garantire l’intelligibilità, la completezza e l’esattezza delle informazioni richieste.
Il Caso Specifico Analizzato dalla Corte
La causa è nata da una controversia tra un paziente e una struttura sanitaria che aveva negato la consegna della copia integrale della cartella clinica, ritenendo sufficiente il rilascio di un riassunto dei dati personali richiesti. Il paziente ha contestato tale decisione, sostenendo che senza la documentazione completa non era possibile verificare l’esattezza e la completezza delle informazioni mediche.
La Corte di Giustizia UE ha stabilito che:
- Il diritto di accesso include tutti i dati personali contenuti nei documenti sanitari.
- Se per garantire un accesso chiaro e intelligibile è necessaria l’intera cartella clinica, questa deve essere fornita.
- La prima copia deve essere gratuita, anche se la richiesta è motivata da ragioni estranee alla protezione dei dati (es. controversie legali, assicurazioni, etc.).
Esempio pratico:
Un paziente subisce un intervento chirurgico e successivamente manifesta complicazioni. Chiede l’accesso alla cartella clinica per comprendere il percorso terapeutico seguito. Se l’ospedale fornisce solo un riepilogo delle terapie somministrate senza allegare referti dettagliati, non sta garantendo un accesso completo. In questo caso, il paziente ha diritto alla copia integrale della documentazione clinica.
Il Ruolo del Titolare del Trattamento nella Valutazione della Fornitura dei Dati
Il titolare del trattamento, ovvero l’ospedale, la clinica o il medico responsabile, ha il compito di valutare se la documentazione fornita sia sufficiente per garantire un accesso chiaro e completo. Questa valutazione deve essere fatta caso per caso, tenendo conto delle esigenze dell’interessato.
Le strutture sanitarie devono quindi:
Istituire procedure interne per rispondere tempestivamente alle richieste di accesso.
Valutare attentamente se sia sufficiente fornire un estratto dei dati o se sia necessaria la documentazione completa.
Motivare un eventuale rifiuto, nel rispetto del principio di trasparenza.
5. Implicazioni pratiche per le strutture sanitarie e il personale amministrativo
Le strutture sanitarie devono adeguarsi ai principi stabiliti dalla sentenza C-307/22 e garantire il pieno rispetto del diritto di accesso ai dati personali contenuti nelle cartelle cliniche. Questo implica una serie di obblighi operativi e conseguenze legali in caso di inosservanza.
Procedure Operative per la Gestione delle Richieste di Accesso
Per garantire il rispetto del diritto di accesso, le strutture sanitarie devono adottare procedure chiare per gestire le richieste dei pazienti. Alcune buone pratiche includono:
Predisporre un modulo standard per le richieste di accesso ai dati sanitari.
Designare un responsabile della protezione dei dati (DPO) per supervisionare le richieste e garantire la conformità al RGPD.
Garantire tempi di risposta adeguati (massimo 30 giorni, salvo proroghe giustificate).
Stabilire criteri interni per determinare quando fornire la copia integrale della documentazione clinica.
Tenere un registro delle richieste di accesso per monitorare il rispetto delle normative.
Conseguenze Legali per il Mancato Rispetto del Diritto di Accesso
Le strutture sanitarie che negano ingiustificatamente l’accesso ai dati personali o impongono costi indebiti per la prima copia della cartella clinica possono incorrere in sanzioni amministrative e responsabilità civili.
Possibili conseguenze:
Sanzioni pecuniarie del Garante per la Protezione dei Dati Personali, che possono arrivare fino a 20 milioni di euro o il 4% del fatturato annuo globale in caso di violazioni gravi.
Responsabilità civile: il paziente può richiedere un risarcimento danni se dimostra che la mancata consegna della documentazione ha causato un pregiudizio (es. impossibilità di difendersi in una causa legale).
Danni reputazionali per l’ente sanitario, con possibili ripercussioni sulla fiducia dei pazienti.
🔹 Esempio pratico:
Un paziente chiede la cartella clinica per dimostrare un errore medico. L’ospedale rifiuta la consegna o addebita costi non previsti per la prima copia. Il paziente può segnalare la violazione al Garante per la Protezione dei Dati Personali, che potrebbe sanzionare l’ospedale per mancata trasparenza e violazione del diritto di accesso.
6. Limitazioni e obblighi previsti dall’articolo 23 del RGPD
L’articolo 23 del RGPD consente agli Stati membri di prevedere limitazioni al diritto di accesso, a condizione che tali restrizioni siano:
- Necessarie e proporzionate.
- Finalizzate alla tutela di un interesse pubblico rilevante, come la sicurezza nazionale, la difesa o la prevenzione di reati.
- Destinate a proteggere i diritti e le libertà di terzi, incluso il diritto alla riservatezza dei professionisti sanitari.
Quando il Diritto di Accesso può essere Limitato in Ambito Sanitario?
Alcune situazioni in cui le strutture sanitarie possono limitare o ritardare l’accesso ai dati personali includono:
- Tutela della salute pubblica: Se la divulgazione di informazioni potrebbe compromettere interventi sanitari più ampi (es. emergenze epidemiologiche).
- Protezione di terzi: Se la cartella clinica contiene dati riferiti a terze persone (es. un referto psicologico che menziona un familiare).
- Prevenzione di frodi o abusi: In caso di richieste sospette, l’ente sanitario può adottare misure di verifica prima di rilasciare i dati.
🔹 Esempio pratico:
Un paziente in terapia psichiatrica chiede la sua cartella clinica, ma lo psichiatra ritiene che la divulgazione immediata possa aggravare il suo stato di salute. In questo caso, la struttura può ritardare l’accesso, informando l’interessato dei motivi del rinvio.
7. Dispositivo dell’art. 92 Codice della privacy
Fonti → Codice della privacy → PARTE II – Disposizioni specifiche per i trattamenti necessari per adempiere ad un obbligo legale o per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri nonché disposizioni per i trattamenti di cui al capo ix → Titolo V – Trattamento di dati personali in ambito sanitario → Capo VI – Disposizioni varie
1. Nei casi in cui strutture, pubbliche e private, che erogano prestazioni sanitarie e socio-sanitarie redigono e conservano una cartella clinica in conformità alla disciplina applicabile, sono adottati opportuni accorgimenti per assicurare la comprensibilità dei dati e per distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati, ivi comprese informazioni relative a nascituri.
2. Eventuali richieste di presa visione o di rilascio di copia della cartella e dell’acclusa scheda di dimissione ospedaliera da parte di soggetti diversi dall’interessato possono essere accolte, in tutto o in parte, solo se la richiesta è giustificata dalla documentata necessità:
- a) di esercitare o difendere un diritto in sede giudiziaria, ai sensi dell’articolo 9, paragrafo 2, lettera f), del Regolamento, di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale;
- b) di tutelare, in conformità alla disciplina sull’accesso ai documenti amministrativi, una situazione giuridicamente rilevante di rango pari a quella dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale.
8. le FAQ del Garante per la protezione dei dati personali
Conclusione
L’accesso ai dati sanitari è un diritto fondamentale, ma deve essere bilanciato con altri interessi legittimi. Le strutture sanitarie devono garantire trasparenza, correttezza e conformità al RGPD, evitando violazioni che potrebbero comportare sanzioni e responsabilità legali.