Diritti interna

Diritti - Come tutelare i tuoi dati

Doveri interna

Doveri - Come trattare correttamente i dati

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Dati sensibili - Quesito relativo al trattamento dei dati inerenti alla salute da parte di aziende sanitarie pubbliche - 12 novembre 1997

[doc. web. n. 1055385]

Dati sensibili - Quesito relativo al trattamento dei dati inerenti alla salute da parte di aziende sanitarie pubbliche - 12 novembre 1997

L´Autorità, nel rispondere all´azienda ospedaliera in indirizzo, ha illustrato la portata delle disposizioni concernenti il trattamento dei dati sensibili.
In particolare, si è ribadito che le aziende ospedaliere e gli altri soggetti pubblici potranno proseguire il trattamento dei dati sensibili anche in assenza delle disposizioni di legge indicate nell´art. 22 comma 3, della legge n. 675, purché sia effettuata una comunicazione al Garante ai sensi dell´art.41 comma 5, della medesima legge.

Roma, 12 novembre 1997

Azienda ospedaliera S. Croce e Carle - Cuneo
Via M. Coppino, n.26
12100 Cuneo


OGGETTO: Quesito relativo al trattamento dei dati inerenti alla salute (legge 31 dicembre 1996, n. 675, articoli 22 e 23).

È stato chiesto a questa Autorità se le aziende sanitarie pubbliche possono trattare i dati relativi alla salute unicamente in base al consenso dell´interessato o all´autorizzazione di questo Garante, ai sensi dell´articolo 23 della legge 675/96, oppure possono prescindere dal consenso e dall´autorizzazione in applicazione degli articoli 12 e 27 della medesima legge.

Occorre premettere che il trattamento dei dati sulla salute da parte delle aziende sanitarie pubbliche è disciplinato dagli articoli 22 e 23 della legge 675/96.

Gli articoli 12 e 27 non sono, invece, applicabili, in quanto disciplinano il trattamento dei dati non sensibili da parte, rispettivamente, di soggetti privati e di enti pubblici economici (art. 12) o di soggetti pubblici (art. 27).

Tuttavia, tale constatazione non deve portare a ritenere che le aziende pubbliche debbano operare esclusivamente in base al consenso dell´interessato o all´autorizzazione del Garante.

Al contrario, l´art. 22 comma 3, da considerarsi "norma generale" in materia, ha previsto che i soggetti pubblici che trattano i dati sensibili possono operare in base alle regole stabilite da una legge che precisi nel dettaglio l´ambito di operatività del trattamento.

Poiché la legislazione vigente reca poche disposizioni così analitiche, l´articolo 41, comma 5, della legge 675 ha introdotto un termine transitorio, in virtù del quale qualunque soggetto pubblico, incluse le aziende sanitarie, può continuare a trattare dati sensibili fino alla data del 7 maggio 1998, anche in assenza di un´espressa disposizione di legge, previa comunicazione al Garante.

Tale facoltà può essere esercitata anche quando il trattamento sia iniziato prima dell´8 maggio 1997, e riguardi dati raccolti anche in epoca successiva.

È da tenere presente che questa Autorità intende sensibilizzare le competenti autorità di Governo affinché utilizzino lo strumento della delega legislativa per colmare al più presto alcuni vuoti legislativi.

Questa occasione normativa permetterà anche di prendere in esame in maniera organica le connesse problematiche relative alla sanità privata e agli organismi convenzionati.

Le indicazioni precedenti non escludono che fin da ora, ove lo ritengano opportuno, le aziende sanitarie pubbliche possano operare anche in virtù della norma "speciale" di cui all´art. 23 della citata legge 675.
In base a tale norma, gli esercenti le professioni sanitarie e gli organismi sanitari pubblici possono trattare i dati sulla salute con il solo consenso scritto dell´interessato (anche senza l´autorizzazione del Garante), quando il trattamento è finalizzato alla tutela dell´incolumità fisica e della salute dell´interessato (art.23, comma 1, primo periodo).

Nell´ipotesi in cui il trattamento sia finalizzato, invece, alla tutela dell´incolumità fisica e della salute di un terzo o della collettività, in mancanza di consenso dell´interessato è sufficiente l´autorizzazione del Garante (art.23, comma 1, secondo periodo).

Si coglie l´occasione per inviare copia di una deliberazione adottata da questa Autorità e relativa all´esercizio dell´attività medica.

IL PRESIDENTE