• Home
• European Standards on Confidentiality and Privacy in Healthcare
• Directory of European Healthcare Confidentiality Contacts
• Privacy Forum
• Healthcare Confidentiality News Archive
• Searchable Database of Confidentiality Links
• EuroSOCAP Project
• EuroSOCAP Workshop
• Contact

Direttive europee per i professionisti sanitari in materia di riservatezza e privacy nei servizi sanitari.

• Introduzione
• Protezione, uso e divulgazione delle informazioni sui pazienti: considerazioni generali
• Protezione, uso e divulgazione delle informazioni sui pazienti ai fini delle loro cure
• Protezione, uso e divulgazione di informazioni sui pazienti per scopi non direttamente legati alle loro cure
• Obblighi e giustificazioni relativi alla divulgazione di informazioni riconducibili ai pazienti per scopi non legati alle loro cure
• Sicurezza

Introduzione

Ciascun paziente ha il diritto alla privacy e all'aspettativa ragionevole che la riservatezza dei suoi dati personali sarà rigorosamente rispettata da parte di tutto il personale sanitario. Il diritto alla privacy del paziente e l'obbligo di riservatezza da parte del professionista sanitario dovranno essere applicabili indipendentemente dalla natura e dalla forma in cui i dati in questione sono archiviati o comunicati (siano questi, ad esempio, elettronici, fotografici, o campioni biologici). Le presenti direttive in materia di riservatezza e privacy delle informazioni sono applicabili a tutti i professionisti sanitari e formano parte delle Normative europee in materia di riservatezza e privacy nei servizi sanitari da cui sono tratte e in cui vengono fornite Raccomandazioni ai servizi sanitari fondate su principi etici e legali. Le normative contengono anche un Glossario. I testi delle Normative e delle Direttive sono disponibili in più lingue all'indirizzo www.eurosocap.org.

Le normative europee sono in primo luogo sviluppate secondo canoni etici, all'interno del contesto giuridico nel il quale i professionisti sanitari formulano le loro decisioni riguardo alla protezione, l'uso e la divulgazione delle informazioni riservate sui pazienti. Non tutti i professionisti del settore sanitario sono vincolati dagli stessi obblighi di riservatezza, ma gli obblighi etici relativi al rispetto della riservatezza sono in ogni caso applicabili a tutti i professionisti sanitari.

Le presenti Direttive affrontano nel dettaglio i bisogni dei pazienti più vulnerabili. Il bisogno di riservatezza di questi pazienti è maggiore in quanto esiste un rischio più elevato che tale diritto venga infranto rispetto a quanto accade per altri pazienti. È necessario che i professionisti sanitari esercitino una maggiore cura nell'assicurare che vengano rispettati il diritto alla privacy dei pazienti più vulnerabili e il dovere di riservatezza nei loro confronti.

Le Direttive identificano tre aree di protezione, uso e divulgazione:

• la protezione, l'uso e la divulgazione delle informazioni sui pazienti ai fini delle loro cure;
• la protezione, l'uso e la divulgazione delle informazioni sui pazienti per scopi sanitari non direttamente legati alle loro cure; e
• gli obblighi e le giustificazioni relativi alla divulgazione di dati riconducibili ai pazienti per scopi non legati alle loro cure.

Protezione, uso e divulgazione delle informazioni sui pazienti: considerazioni generali

1. Principi fondamentali della riservatezza nei servizi sanitari. Il professionista sanitario dovrà rispettare i seguenti principi fondamentali relativamente alla riservatezza delle informazioni sui pazienti.
   • Ciascun individuo ha il diritto fondamentale al rispetto della privacy e della riservatezza dei propri dati sanitari.
   • Ciascun individuo ha il diritto di controllare l'accesso ai propri dati sanitari e la loro divulgazione fornendo, rifiutando o ritirando il proprio consenso.
   • Il professionista sanitario dovrà valutare la necessità, la proporzionalità e i rischi coinvolti in qualsiasi evenienza di divulgazione non-consensuale di informazioni.
   riservate.
2. Assistenza ai pazienti più vulnerabili. Il professionista sanitario dovrà assicurarsi che venga data l'assistenza necessaria alle persone più vulnerabili perché vengano aiutate a comprendere la complessità delle questioni relative alla riservatezza e in modo da aiutarle ad esprimere il loro volere in merito.
3. Protezione dei pazienti più vulnerabili. Nel caso in cui un paziente venga identificato come vulnerabile da parte di un professionista sanitario, tale identificazione, la sua natura specifica, e la relativa giustificazione dovranno, con il consenso del paziente o del suo rappresentante legale[*], essere iscritte nelle loro note mediche.
4. Non competenza. Qualora un professionista sanitario ritenga che la divulgazione di alcune informazioni su di un paziente sarebbe nell'interesse del paziente stesso e il paziente in questione non sia in grado di esprimere il proprio consenso al riguardo, tale consenso dovrà essere richiesto al rappresentante legale del paziente (anche genitore/tutore, nel caso di un minore). Nel caso in cui il rappresentante legale neghi il consenso, il professionista sanitario dovrà applicare la miglior pratica in vigore nel proprio paese per la risoluzione delle controversie.
5. Casi d'emergenza. In caso d'emergenza, le informazioni riservate su un paziente potranno essere utilizzate o divulgate. In ogni caso dovranno essere rilasciate solo le informazioni minime necessarie per gestire l'emergenza.
6. Divulgazione in seguito a decesso. La riservatezza delle informazioni su un paziente dovrà continuare ad essere rispettata anche in seguito all'eventuale decesso del paziente.
7. Nel caso in cui un paziente competente avesse fatto richiesta esplicita prima del decesso perché venisse mantenuta la riservatezza dei propri dati, tale richiesta dovrà essere rispettata.
8. Qualora un professionista sanitario dovesse ritenere che la divulgazione di dati in seguito al decesso di un paziente sia necessaria, auspicabile, oppure riceva una richiesta per tale divulgazione e non abbia ricevuto istruzioni specifiche da parte del paziente, dovrà gestire la situazione secondo quanto stabilito nei casi di possibile divulgazione a terzi o per interesse pubblico protetto dalla legge. (Vedi Direttive 19-23.)
9. Accesso del paziente ai propri dati sanitari. Il professionista sanitario dovrà rispettare le richieste del paziente di accedere ai propri dati sanitari e rispettare gli obblighi legali come stabiliti dalla normativa in materia di Protezione dei dati.

Protezione, uso e divulgazione delle informazioni sui pazienti ai fini delle loro cure

10. Dovere di informare il paziente. Il professionista sanitario dovrà assicurarsi che i pazienti e/o i loro rappresentanti legali siano informati in maniera adeguata tenendo conto di eventuali bisogni particolari di comunicazione:
    • di quale tipo di informazioni vengono registrate e archiviate;
    • degli scopi per i quali le informazioni vengono registrate e archiviate;
    • di quali protezioni siano applicabili per assicurare che i loro dati non vengano divulgati;
    • di quale tipo di condivisione dati solitamente avvenga;
    • di quali siano le loro opzioni per quanto riguarda le modalità con cui i loro dati potranno essere utilizzati e divulgati;
    • riguardo al loro diritto di accedere ai propri dati e dove necessario correggere le informazioni su di loro contenute nelle loro cartelle cliniche;
    • dell'informativa alla quale hanno diritto ai sensi della normativa nazionale in applicazione della Direttiva CE/95/46; e
    • delle disposizioni o principi legali nazionali applicabili alla divulgazione dei dati.
11. Il paziente, o suo rappresentante legale, dovrà essere informato di quali dati sarà necessaria la condivisione ai fini delle sue cure mediche. A patto che il paziente venga informato in questo modo, non sarà necessario alcun consenso esplicito, ma sarà sufficiente il consenso implicito alla condivisione etica di informazioni sui pazienti ai fini della prestazione di cure mediche.
12. Verifica clinica. I professionisti sanitari dovranno assicurarsi che le politiche istituzionali in vigore per la verifica clinica siano compatibili con il requisito etico di riservatezza.
13. Accompagnatori. Dovranno essere discussi con il paziente e/o rappresentante legale i potenziali benefici della condivisione d'informazioni con eventuali accompagnatori informali del paziente. Tuttavia, il fatto che tale condivisione di informazioni potrebbe essere di beneficio per il paziente non diminuisce il dovere di riservatezza del professionista sanitario nei confronti del paziente.
14. Equipe multidisciplinari. Qualora un'equipe medica includa componenti temporanei con particolari funzioni, il professionista sanitario dovrà astenersi dal divulgare informazioni a tali componenti temporanei a meno che questi non siano tenuti essi stessi a rispettare un livello di riservatezza sufficiente per le informazioni in questione.

    Le equipe multidisciplinari dovranno accordarsi riguardo alle strategie relative alla divulgazione di informazioni riservate a terzi estranei all'equipe.

    Considerando che i vari professionisti sanitari che formano un'equipe potrebbero rispettare criteri e soglie diverse in merito alla divulgazione delle informazioni riservate, per esempio in relazione alla sicurezza pubblica, è essenziale che ciascuno di essi sia informato di tali differenze e che la divulgazione dei dati venga limitata di conseguenza.

15. Collaborazione fra enti diversi. Qualora si intenda coinvolgere personale proveniente da altri enti, sarà necessario discuterne prima con il paziente e/o il suo rappresentante legale. I motivi per i quali si intende coinvolgere un altro ente dovranno essere spiegati, nonché lo scopo per il quale i dati del paziente saranno condivisi.

    Qualora un paziente od il suo rappresentante legale dovessero negare il loro consenso al coinvolgimento di altri enti, tale rifiuto dovrà essere rispettato a meno che non intervengano interessi primari. (Vedi punti 19-23.)

    Laddove altri enti dovessero richiedere informazioni relative ad un paziente, il professionista sanitario dovrà ottenere il previo consenso del paziente o del suo rappresentante legale relativo a tale condivisione, incluso sul contenuto delle informazioni di cui si richiede la divulgazione.

16. Doppi ruoli e responsabilità. I professionista sanitario dovrà evitare, laddove possibile, situazioni che implicano doppie responsabilità e obblighi verso uno stesso paziente.

    Qualora un professionista sanitario si trovi ad esercitare una tale doppia responsabilità, è importante che al paziente e/o al suo rappresentante legale vengano spiegati con quale ruolo e a quale scopo avviene una visita o consultazione prima di ogni visita o consultazione. Il paziente e/o il suo rappresentante legale dovranno inoltre essere informati ogni qualvolta che le informazioni che forniscono non saranno trattate come riservate.

Protezione, uso e divulgazione di informazioni sui pazienti per scopi non direttamente legati alle loro cure

17. Consenso agli usi secondari. Laddove possibile, per tutti gli usi secondari di informazioni personali su un determinato paziente dovrà essere ottenuto il previo consenso espresso del paziente o del suo rappresentante legale. Qualora tale consenso venga espresso, dovranno comunque essere divulgate solo le informazioni minime necessarie riconducibili al paziente, utilizzabili per scopi sanitari legittimi.
18. Protezione dell'identità del paziente. Il professionista sanitario dovrà assicurarsi che siano applicati politiche e protocolli adeguati per la protezione dell'identità del paziente all'interno dei loro istituti ed unità sanitarie, nonché da parte dei sovrintendenti ai servizi per gli usi sanitari secondari delle informazioni riconducibili ai pazienti.
19. Anonimizzazione. Le informazioni sui pazienti dovranno essere ritenute in forme riconducibili al paziente solo per gli scopi specifici per cui sono state raccolte. I dati resi anonimi non dovranno permettere di risalire direttamente o indirettamente all'identità del paziente. Qualora si intenda procedere con l'anonimizzazione delle informazioni relative ad un paziente, il professionista sanitario dovrà informare il paziente stesso e/o il suo rappresentante legale di tale intenzione e degli effetti di tale procedura, soprattutto in termini della capacità del paziente di accedere ai propri dati ed essere informato di quali usi ne vengano fatti e, nel caso, di opporsi a tali usi. Il paziente e/o il suo rappresentante legale dovranno essere informati degli scopi del trattamento dati cui si intende procedere una volta che questi ultimi saranno stati anonimizzati.

Obblighi e giustificazioni relativi alla divulgazione di informazioni riconducibili ai pazienti per scopi non legati alle loro cure

20. Obbligo legale di divulgazione. Qualora, nel corso di un rapporto fra un professionista sanitario ed un paziente, dovesse intervenire un obbligo legale relativo alla divulgazione di informazioni sul paziente, la situazione dovrà essere discussa con il paziente stesso e/o il suo rappresentante legale il prima possibile, a meno che tale discussione non mini il fine stesso della divulgazione. Prima di adempiere ad un eventuale obbligo legale alle divulgazione, il professionista sanitario dovrà accertarsi che la situazione ricada senza dubbio alcuno nella categoria di casi per i quali tale divulgazione sia legalmente richiesta. Il professionista legale dovrà inoltre assicurarsi che ogni possibile argomentazione contro la divulgazione sia stata presentata all'autorità in questione. In ogni caso, solo le informazioni strettamente necessarie dovranno essere rilasciate.
21. Divulgazioni giustificate. Il professionista sanitario dovrà informarsi di eventuali disposizioni o principi specifici in vigore nei vari paesi in base ai quali i vari interessi dovranno essere soppesati.
22. Nel caso in cui sia necessaria la divulgazione di informazioni ai fini della salvaguardia dei diritti primari di terzi, ciascun singolo caso dovrà essere considerato nel merito per valutare se il rilascio di informazioni per la protezione degli interessi di terzi prevalga eccezionalmente sul dovere di riservatezza che spetta al paziente nell'interesse pubblico. Le decisioni in merito alla divulgazione di informazioni riconducibili ai pazienti al di fuori dei servizi sanitari nei quali non sussiste alcun obbligo di divulgazione delle informazioni dovranno formare materia di giudizio bilanciato.

    Fra i vari fattori da considerare nel raggiungimento di tale decisione, vi sono:

    • l'importanza dell'interesse messo a rischio nel caso della mancata divulgazione: ad esempio, tale divulgazione potrebbe essere maggiormente giustificabile nel caso in cui siano a rischio la vita o l'integrità (fisica o psicologica) di terzi;
    • la probabilità che si verifichi un danno nel singolo caso: vale a dire che la divulgazione potrebbe essere giustificata dove esiste una probabilità elevata che si arrechi danno alla vita di un terzo, ma non dove tale rischio sia basso;
    • l'imminenza del danno: vale a dire che la divulgazione potrebbe essere giustificata dove è necessaria un'azione immediata per la protezione di terzi, ma non quando esiste solo una possibilità che in un tempo futuro il paziente potrebbe presentare un rischio per terzi;
    • l'esistenza di un'autorità sufficientemente competente per ricevere tale divulgazione;
    • la necessità della divulgazione di informazioni per prevenire un danno: vale a dire laddove non sia possibile prevenire un danno senza che tale divulgazione avvenga;
    • la probabilità che la divulgazione delle informazioni possa prevenire un danno, il che richiede che il professionista sanitario consideri che esista motivo sufficiente di ritenere che il danno a terzi o all'interesse pubblico protetto dalla legge possa essere impedito da tale divulgazione.
23. Divulgazione ai fini della protezione degli interessi di un paziente non competente. Nel caso di un paziente non competente, la divulgazione può essere giustificata per proteggere gli interessi dello stesso. L'opportunità di divulgare o meno le informazioni in questione dovrà essere valutata sulla base di quale sia il male minore fra l'interesse del paziente al mantenimento della riservatezza dei suoi dati e gli interessi che sarebbero a rischio in mancanza di tale divulgazione.
24. Buona pratica per le divulgazioni giustificate di informazioni. In tutti i casi legati a sentenze è opportuno che il professionista sanitario discuta il caso con i propri colleghi senza rivelare dettagli che possano identificare il paziente in questione e se necessario ottenga una consulenza legale o con altri specialisti. La maggior parte delle situazioni in cui si giunge alla decisione di divulgare informazioni richiedono una buona comunicazione e sostegno al paziente la cui riservatezza è in questione. Una volta raggiunta la decisione di divulgare le informazioni, la procedura usuale da seguire sarà la seguente.
    • Al paziente e/o al suo rappresentante legale dovranno essere spiegati i motivi per i quali tali informazioni saranno condivise.
    • Il professionista sanitario dovrà incoraggiare il paziente (e/o, dove appropriato, il suo rappresentante legale) perché informi l'autorità competente (ad esempio, la polizia o i servizi sociali). Qualora il paziente o rappresentante legale diano il loro consenso, il professionista sanitario richiederà conferma da parte dell'autorità coinvolta dell'avvenuta divulgazione.
    • Qualora il paziente o suo rappresentante legale dovessero rifiutare di agire, il professionista sanitario dovrà informarli che intende divulgare le informazioni in questione all'autorità o persona competente. Il professionista sanitario dovrà poi informare l'autorità, fornendo solo le informazioni necessarie, informando il paziente e/o il suo rappresentante legale di quali dati siano stati rilasciati.
    • Il professionista sanitario che decide di divulgare informazioni riservate (indipendentemente dal fatto che abbia o meno informato preventivamente il paziente e/o il suo rappresentante legale) dovrà, se richiesto, spiegare e giustificare la propria decisione all'autorità. Il professionista sanitario dovrà iscrivere nella cartella clinica i dettagli di tutte le conversazioni, incontri e appuntamenti intercorsi nel corso del processo decisionale relativo alla divulgazione delle informazioni.

    Un'eccezione a tale procedura è costituita dalla caso in cui informare il soggetto della divulgazione in anticipo potrebbe impedire il raggiungimento del fine giustificato della divulgazione stessa.

Sicurezza

25. Sicurezza. In virtù della sua responsabilità in merito al rispetto della la riservatezza dei pazienti, il professionista sanitario dovrà assicurarsi che siano applicate politiche e protocolli appropriati all'interno dei loro istituti e da parte dei sovrintendenti ai servizi per la sicurezza dei dati dei pazienti.

    Il professionista sanitario dovrà attenersi agli obblighi di privacy e sicurezza nel comunicare con i pazienti, con i loro rappresentanti legali, con i loro accompagnatori e con i propri colleghi, in particolare quando vengono utilizzati metodi indiretti quali comunicazioni telefoniche, via e-mail e via fax.

Il rappresentante legale è una persona che per legge ha l'autorità di rappresentare gli interessi e/o prendere decisioni per conto di una persona che non può esprimere il proprio consenso.