Pur non essendo dotato di un riferimento preciso a principi sanciti dalla Carta Costituzionale, il concetto tradizionale di privacy trova come riferimento essenziale nell'ordinamento comunitario la Convenzione europea dei diritti dell'uomo.

Ma piu' che il cittadino medio, il medico e' particolarmente vincolato alla riservatezza per via del suo ruolo pubblico.

Ben tre diverse normative si intrecciano, per il medico, attorno a questo problema:

• Segreto professionale (art. 622 C.P.)
• Codice deontologico (art. 9)
• Normativa sulla privacy (Legge 675 del 1996 e modificazioni)

Art. 622 C.P. "Chiunque avendo notizia per ragione del proprio stato, ufficio, della propria professione o arte di un segreto, lo rivela senza giusta causa ……. e’ punito….".

Perche' si concretizzi un reato quindi occorre che

• che si tratti di un segreto (non sono tutelate notizie di comune conoscenza)
• che il medico ne abbia avuto notizie, direttamente o indirettamente, in ragione della propria professione
• che la rivelazione sia stata fatta senza giusta causa
• che sia derivato o possa derivare un nocumento alla persona offesa
• che venga presentata querela dalla persona offesa (reato perseguibile a querela.

Il Codice Deontologico tutela il segreto professionale:

Art. 9: Il medico deve mantenere il segreto su tutto ciò che gli è confidato o che può conoscere in ragione della sua professione; deve, altresì, conservare il massimo riserbo sulle prestazioni professionali effettuate o programmate, nel rispetto dei principi che garantiscano la tutela della riservatezza...

Anche il Codice Deontologico prevede alcune possibilita' di deroga, tra cui, principalmente, quella della "giusta causa".

Le norme citate precedentemente tutelavano soprattutto la riservatezza di informazioni conosciute per motivi professionali, lasciando invece non protette quelle notizie recepite attraverso mezzi o canali diversi.

Questo limite e' stato colmato dalla legge 675, entrata in vigore dal 31 dicembre del '96, la quale ha affermato regole e principi che riguardano essenzialmente:

1. la tutela dei dati personali;
2. l'obbligo di acquisire il consenso per la loro raccolta;
3. l'obbligatorietà di dichiarare la finalità del trattamento;
4. una serie di importanti distinzioni sulla qualità dei dati raccolti.

Con il termine dati personali la legge 675/99 intende qualunque informazione concernente una persona fisica o giuridica, ente o associazione identificata o identificabile.

Per trattamento dei dati si intende qualunque operazione, svolta con qualsiasi mezzo, concernente la raccolta, la registrazione, l'organizzazione, la conservazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati stessi.

Qualche definizione:

Il Titolare del dato indica la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono le decisioni relative alle finalità ed alle modalità del trattamento di dati personali. (Ad esempio: l' INPS e' titolare della sua banca dati concernente le pensioni).
Il Responsabile è la persona fisica, giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali (Il funzionario che l' INPS mette a capo dell' Ufficio che gestisce i dati).

L' Incaricato e' la persona incaricata per iscritto dal titolare o dal responsabile di trattare materialmente i dati (gli impiegati, le dattilografe dell' INPS ecc.).
L' Interessato è la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali (il pensionato i cui dati vengono trattati).

Al di fuori di tali soggetti, la diffusione di dati personali senza il consenso dell' interessato e' illecita.

Nello studio medico, i ruoli sono cosi' rappresentabili:

• Titolare: il medico titolare del rapporto di fiducia.
• Responsabile: lo stesso medico o altra persona da lui eventualmente preposta al trattamento dei dati (es: il gestore del server o la Societa’ responsabile del trattamento dei dati raccolti)
• Incaricato: la persona incaricata per iscritto di trattare materialmente i dati (es.: segretaria)
• Interessato: il paziente

In caso di violazioni delle norme, o comunque di diffusione non autorizzata di dati personali, ogni componente della "catena" dovra' dimostrare di aver operato correttamente e di aver fatto tutto il possibile per evitare il fatto. Eventuali carenze organizzative ricadrebbero, ovviamente, sul Titolare e sul Responsabile.

Non tutti i dati hanno lo stesso valore e la stessa importanza: accanto ai dati personali ordinari (generalita', indirizzo, numero telefonico ecc.) la legge ha individuato una serie di dati meritevoli di particolare tutela: i dati sensibili.

Questi riguardano, appunto, la salute, e poi anche le abitudini sessuali, le opinioni politiche, sindacali o religiose del singolo individuo. Questi dati sono protetti da norme giuridiche più rigorose rispetto a quelle che la legge prevede per il trattamento dei dati ordinari o comuni, e sono esclusi, in linea di principio, da ogni forma di circolazione.

L'art. 22 (commi 3, 3bis, 4) stabilisce che il trattamento dei dati sensibili è consentito solo al verificarsi di tre condizioni:

1. esistenza di disposizioni che indichino quali dati devono essere trattati, le operazioni da eseguire e le finalità da perseguire;
2. l'attività deve essere di rilevante interesse pubblico;
3. serve l'autorizzazione del Garante.

L'autorizzazione del Garante per il trattamento di dati inerenti lo stato di salute e la vita sessuale di un individuo (da chiunque effettuato) è obbligatoria, concessa solo "per far valere o difendere un diritto di rango pari a quello dell'interessato".

In breve sintesi, quindi, il trattamento dei dati sensibili è sottoposto al duplice requisito del consenso scritto dell'interessato e dell'autorizzazione del Garante.

Il medico spesso e' inconsapevole di questo duplice requisito in quanto il Garante rinnova periodicamente un' autorizzazione preventiva a tutti gli esercenti le arti sanitarie, senza la quale sarebbe necessaria per ogni prestazione, oltre ad un consenso scritto, la richiesta di autorizzazione al Garante stesso.

Da quanto si' e' detto, il medico che con leggerezza permette (come nei casi citati all' inizio) che persone estranee (o comunque non autorizzate) possano venire a conoscenza di informazioni relative alla salute di altri pazienti, puo' inconsapevolmente rendersi colpevole di violazione di tutte e tre le normative citate sopra.

1. Egli viola il segreto professionale, e non vale il fatto che le informazioni vengano diffuse senza una suo diretto intervento, perche' non impedire un fatto che si ha dovere di impedire, equivale a cagionarlo. Qualora qualche paziente lo querelasse, ne dovrebbe rispondere in sede civile e penale.
2. Egli viola la norma deontologica: in caso di esposto all' Ordine, ne risponderebbe in sede disciplinare.
3. Egli viola la legge 675/99 per i motivi sopradescritti. Il suo particolare ruolo fa si' che con tali comportamenti vengano violate, il piu' delle volte, non solo le norme sui dati personali comuni ma anche e soprattutto quelle sui dati sensibili, attinenti allo stato di salute; e le pene previste per le diverse violazioni non sono indifferenti:

- Omessa o infedele notificazione (art. 34) Pena: reclusione da 3 mesi a 2 anni Pubblicazione della sentenza

- Trattamento illecito di dati personali (art.35) Pena: reclusione da 3 mesi a 2 anni o reclusione da 1 a 3 anni (se aggravanti). Pubblicazione della sentenza

- Omessa adozione di misure necessarie alla sicurezza dei dati (art.36) Pena: reclusione fino ad 1 anno o reclusione da 2 mesi a 2 anni (se aggravanti). Pubblicazione della sentenza

- Inosservanza dei provvedimenti del Garante (art.37) Pena: reclusione da 3 mesi a 2 anni Pubblicazione della sentenza

I problemi non riguardano pero' solo il Medico di Famiglia, ma tutti gli operatori della Sanita' che entrino in contatto con dati personali o sensibili: ciascuno, a seconda del ruolo che riveste, e' tuttavia ugualmente tenuto ad operare in modo da evitare diffusioni indesiderate.

Daniele Zamperini (pubblicato su Occhio Clinico, 9 2003)