Non profit

Dati sensibili – Parere in ordine all’applicazione della legge 5 giugno 1990, n. 135 – 16 febbraio 2000.

di Redazione

Il d.lg. n. 282/1999, reca disposizioni di modifica ed integrazione della legge n.675/1996 in relazione al trattamento dei dati personali in ambito sanitario, pur sempre nel rispetto di normative più restrittive, quale quella in materia di AIDS, che impone il mantenimento di un rigoroso rispetto della riservatezza delle persone affette da AIDS.

Roma, 16 febbraio 2000

Lega italiana per la lotta all’AIDS
L.I.L.A. Trentino
Via Paradisi, 15/3
38100 Trento

OGGETTO: parere in ordine all’applicazione della legge 5 giugno 1990, n. 135

Con la nota indicata a margine, codesta associazione ha prospettato a questa Autorità la necessità di precisare alcune disposizioni del recente decreto legislativo 30 luglio 1999, n. 282 recante norme per garantire la riservatezza dei dati personali in ambito sanitario, la cui interpretazione appare indispensabile alla corretta applicazione della normativa in materia di AIDS. In particolare, si è chiesto di chiarire se la disposizione dell’art. 5 del d.lg. 282/1999, che ammette il trattamento dei dati idonei a rivelare lo stato di salute, anche senza il consenso degli interessati, qualora il trattamento medesimo sia finalizzato a scopi di ricerca epidemiologica e questa sia prevista da un’espressa previsione di legge o rientri nel programma di ricerca biomedica o sanitaria di cui all’art. 12bis del d.lg. 502/1992, debba considerarsi applicabile anche in materia di sorveglianza epidemiologica dei casi di infezione da HIV.

Al riguardo, come già precisato in precedenti occasioni, si deve osservare che la normativa in materia di protezione dei dati personali, in quanto persegue finalità analoghe a quelle di alcune disposizioni della legge 5 giugno 1990, n. 135 in materia di AIDS, non ha abrogato le disposizioni contenute nella l. n. 135 e ne ha piuttosto confermato la vigenza sempreché siano con essa compatibili (art. 43, comma 2, l. n. 675/1996).

Tale principio non può ritenersi contraddetto dal recente d.lg. n. 282/1999, che reca disposizioni di modifica ed integrazione della legge n. 675/1996 in relazione al trattamento dei dati personali in ambito sanitario, pur sempre nel rispetto di normative più restrittive, quale quella in materia di AIDS, che impone il mantenimento di un rigoroso rispetto della riservatezza delle persone affette da AIDS.

Pertanto, benché non espressamente richiamate nel testo del d.lg. n. 282, restano ferme le disposizioni della legge n. 135/1990 le quali prevedono, da un lato, che “nessuno può essere sottoposto, senza il suo consenso, ad analisi tendenti ad accertare l’infezione da HIV, salvo che per motivi di necessità clinica e nel proprio interesse” (art. 5, comma 3, legge n. 135/1990) e, dall’altro, che “la rilevazione statistica della infezione da HIV deve essere comunque effettuata con modalità che non consentano l’identificazione della persona” (art. 5, comma 2, l. n. 135/1990).

È stato poi chiesto a questa Autorità di valutare se il regime attualmente vigente di denuncia nominativa obbligatoria dei casi di AIDS conclamato sia compatibile con la normativa in materia di protezione dei dati personali. Tuttavia, poiché quest’ultima, come si è detto, non ha abrogato la normativa speciale in materia di AIDS, la questione non appare rilevante in ragione delle particolari garanzie già previste dal nostro ordinamento per le informazioni relative all’AIDS.

L’AIDS è stata infatti inserita nell’elenco delle malattie infettive e diffusive soggette a notifica obbligatoria con il decreto ministeriale 28 novembre 1986, il quale rinvia ad una apposita circolare per la disciplina delle modalità di esecuzione della denuncia stessa.

Sulla base delle indicazioni contenute nella circolare 29 aprile 1994, n. 9 – che ha in parte modificato quanto previsto nella precedente circolare n. 5 del 13 febbraio 1987 – il medico che identifica un caso di AIDS è tenuto a compilare l’apposita scheda di notifica che reca il nome e il cognome del paziente diagnosticato. Tale scheda viene quindi trasmessa al Centro operativo AIDS e all’assessorato alla sanità della regione in cui il caso è stato diagnosticato, nella espressa garanzia che “le informazioni contenute nella scheda hanno carattere confidenziale e saranno utilizzate ai soli fini di sorveglianza epidemiologica”.

La stessa legge 5 giugno 1990, n. 135, pur prevedendo che “la rilevazione statistica della infezione da HIV deve essere comunque effettuata con modalità che non consentano l’identificazione della persona”, fa espressamente salvo “il vigente sistema di sorveglianza epidemiologica nazionale dei casi di AIDS conclamato e le garanzie ivi previste” (art. 5, comma 2, l. n. 135/1990).

Il particolare regime di tutela previsto dal nostro ordinamento per le informazioni relative all’AIDS e all’infezione HIV si inserisce comunque nel quadro più generale delle garanzie stabilite dalla legge 31 dicembre 1996, n. 675 per il trattamento dei dati idonei a rivelare lo stato di salute (artt. 22, comma 3 e 3bis e 23 l. n. 675/1996) .

A tale riguardo si ricorda che il d. lg. 17 maggio 1999, n. 135 recante disposizioni integrative della legge 31 dicembre 1996, n. 675, sul trattamento dei dati “sensibili” da parte dei soggetti pubblici, prevede che gli organismi sanitari che trattano i dati idonei a rivelare lo stato di salute rispettino i princìpi di correttezza e di pertinenza sanciti dall’art. 9 della legge n. 675 e adottino specifiche cautele a tutela della riservatezza degli interessati.

Tra queste assume un particolare rilievo la disposizione secondo cui i dati anagrafici devono essere conservati separatamente da quelli sanitari, i quali, se contenuti in elenchi, registri o banche dati devono essere trattati con “tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altri sistemi che permettono di identificare gli interessati solo in caso di necessità” (art. 3, commi 4 e 5, d.lg. n. 135/1999).

Inoltre, anche sotto il profilo della sicurezza dei dati, la recente pubblicazione in Gazzetta Ufficiale (G.U. n. 216 del 14 settembre 1999) del d.P.R. 28 luglio 1999 n. 318, recante norme per l’individuazione delle misure minime di sicurezza per il trattamento dei dati personali, prevede l’adozione delle misure di cui all’ art. 15, comma 2, della legge 31 dicembre 1996, n. 675 entro il termine di sei mesi dall’entrata in vigore del regolamento stesso (art. 41, comma 3, l. n. 675/1996). In particolare, l’ art. 5 di tale regolamento relativo all’ “accesso ai dati particolari” prevede che siano rilasciate da parte del titolare o, se designato, del responsabile, specifiche autorizzazioni agli incaricati del trattamento o della manutenzione per l’accesso alle operazioni di trattamento dei dati “sensibili” o di carattere giudiziario.

È evidente che il rispetto di questi princìpi dovrà essere ancor più accurato quando si trattano informazioni delicate quale quelle relative all’AIDS o all’infezione HIV, dalla cui circolazione può derivare un grave pregiudizio per la vita privata e la dignità personale degli interessati.

IL PRESIDENTE
Rodotà

Nessuno ti regala niente, noi sì

Hai letto questo articolo liberamente, senza essere bloccato dopo le prime righe. Ti è piaciuto? L’hai trovato interessante e utile? Gli articoli online di VITA sono in larga parte accessibili gratuitamente. Ci teniamo sia così per sempre, perché l’informazione è un diritto di tutti. E possiamo farlo grazie al supporto di chi si abbona.