Nella riunione odierna, in presenza del prof. Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vice-presidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. Giovanni Buttarelli, segretario generale;

Visti i quesiti in atti;

Viste le osservazioni dell’Ufficio, formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante, n. 1/2000;

Relatore il prof. Giuseppe Santaniello;

PREMESSO:

Il Garante ha ricevuto numerosi quesiti sull’accesso ad atti e documenti contenenti dati personali idonei a rivelare lo stato di salute, per verificare entro quali limiti persone diverse dagli interessati possano prenderne visione ed estrarre copia.

I quesiti riguardano in particolare:

* il caso in cui la richiesta di accesso sia formulata ad una pubblica amministrazione ai sensi della disciplina sull’accesso a documenti amministrativi (legge n. 241/1990 ed altre normative in materia di trasparenza);

* l’accesso a cartelle cliniche detenute presso strutture sanitarie;

* il caso in cui la richiesta sia formulata da un difensore in conformità a quanto previsto dal codice di procedura penale in materia di c.d. indagini difensive (art. 391-quater c.p.p.).

Le questioni rivestono specifica rilevanza di carattere generale in relazione ai diritti coinvolti e all’elevato grado di tutela che l’ordinamento prevede per i dati sulla salute.

I dati sulla salute e la vita sessuale

Nell’ambito della più ampia categoria dei dati "sensibili", riguardanti profili particolarmente delicati della vita privata delle persone (sfera religiosa, politica, sindacale e filosofica, origine razziale ed etnica), le informazioni relative allo stato di salute e alla vita sessuale sono oggetto di una speciale protezione.

Il trattamento di tali informazioni è stato pertanto vietato sul piano internazionale e comunitario, salvi i casi in cui esso può essere reso lecito dal legislatore nazionale in quanto necessario per perseguire una sfera circoscritta di importanti finalità e qualora sia basato su specifiche, elevate garanzie (v., in particolare, la direttiva comunitaria n. 95/46/CE del 24 ottobre 1995, la Convenzione di Strasburgo n. 108/1981 e la Raccomandazione del Consiglio d’Europa n.R. 97 (5)).

Il legislatore italiano si è fatto interprete di queste indicazioni individuando nel diritto interno le predette finalità e le corrispondenti garanzie, dapprima con la legge n. 675/1996 che ha approntato un regime di particolare tutela per il trattamento dei dati sulla salute e la vita sessuale e, poi, con i decreti legislativi nn. 135 e 282 del 1999. Tale assetto è stato confermato e rafforzato nel "Codice in materia di protezione dei dati personali" di imminente pubblicazione, che sostituirà le predette fonti normative a decorrere dal 1° gennaio 2004.

Questione della documentazione sanitaria

Gli atti e i documenti nei quali vengono riportati dati sulla salute e la vita sessuale sono a volte predisposti o raccolti non per finalità di cura dell’interessato, ma per scopi amministrativi connessi ad esempio al riconoscimento di particolari benefici o malattie professionali, all’accertamento di responsabilità o al risarcimento danni.

I quesiti pervenuti vanno poi affrontati tenendo presente che alcuni di tali atti e documenti, come le cartelle cliniche, si caratterizzano per la presenza di diagnosi ed anamnesi, nonché per la menzione di patologie riferite a volte anche ad individui diversi dal principale interessato, il che influisce sulla legittimazione all’accesso alla cartella e sulle modalità di visione o rilascio delle relative copie, integrali o per estratto (v. ad es. l’art. 35 del d.P.C.M. 27 giugno 1986, in tema di compilazione di cartelle cliniche presso case di cura private).

Le richieste di accesso di cui si tratta riguardano inoltre documenti per i quali (specie per le cartelle cliniche) specifiche disposizioni possono prevedere speciali modalità o responsabilità di conservazione che si aggiungono ai comuni obblighi di rispetto del segreto professionale. E’ il caso, appunto, dell’ordinamento interno dei servizi ospedalieri, il quale demanda al primario di ciascuna divisione il compito di curare la regolare compilazione delle cartelle cliniche e la loro conservazione fino alla consegna all’archivio centrale, ed attribuisce al direttore sanitario il compito di vigilare sull’archivio delle cartelle e di rilasciarne copia agli aventi diritto, anche in base a criteri "stabiliti" dall’amministrazione (artt. 5 e 7 d.P.R. 27 marzo 1969, n. 128; v., analogamente, il citato art. 35 del d.P.C.M. 27 giugno 1986, per il quale le cartelle cliniche firmate dal medico curante e sottoscritte dal medico responsabile di raggruppamento sono conservate a cura della direzione sanitaria).

La particolare delicatezza dei documenti in questione è desumibile anche dalla specifica attenzione che va prestata alle modalità di accesso e di utilizzazione delle cartelle cliniche da parte del personale interno (artt. 3 e 4 d.lg. n. 135/1999; punti 3 e 4 autorizzazione generale n. 2/2002 del Garante; d.P.C.M. 19 maggio 1995 sullo schema generale di riferimento della Carta dei servizi pubblici sanitari, il quale riconosce il diritto dei pazienti "alla segretezza della propria cartella clinica nei confronti di persone estranee al servizio" -art. 38, allegato 8-; artt. 8, comma 5, e 19 legge n. 675/1996, secondo cui il titolare e il responsabile del trattamento devono individuare ed incaricare per iscritto le persone fisiche che operano sotto la loro diretta autorità, e che sono autorizzate ad effettuare le operazioni di trattamento di competenza, ed impartire loro apposite istruzioni; infine, art. 15 legge n. 675/1996 e d.P.R. n. 318/1999 in tema di misure di minime di sicurezza).

Deve infine tenersi conto che idonee garanzie, anche in termini di sicurezza, vanno adottate in caso di gestione delle cartelle mediante rete telematica.

Le norme sulla trasparenza amministrativa

Rispetto ai quesiti formulati, non suscitano particolari problemi l’accesso ai dati personali da parte dell’interessato (art. 13 legge n. 675/1996) e il rilascio di copia della cartella clinica al medesimo interessato a persona munita di specifica delega o, in caso di decesso, a chi "ha un interesse proprio o agisce a tutela dell’interessato o per ragioni familiari meritevoli di protezione" (art. 13, comma 3, legge n. 675, come sostituito dall’art. 9, comma 3, del Codice).

La comunicazione all’interessato di dati personali sulla salute va comunque effettuata solo per il tramite di un medico (art. 23, comma 2, legge n. 675/1996; v., ora, art. 84 del citato Codice).

Rispetto all’accesso ai documenti da parte di terzi, il Garante ha più volte evidenziato che la legge n. 675/1996 non ha comportato l’abrogazione della disciplina sull’accesso a documenti amministrativi (art. 43, comma 2, legge n. 675/1996), la cui applicabilità, anche in caso di documenti contenenti dati sensibili, è stata confermata, dalla successiva disposizione (art. 16, d.lg. 11 maggio 1999, n. 135) che in riferimento ai soggetti pubblici ha individuato come di "rilevante interesse pubblico", i trattamenti di dati sensibili "necessari per far valere il diritto di difesa in sede amministrativa o giudiziaria, anche da parte di un terzo" -lett. b)- e quelli "effettuati in conformità alle leggi e ai regolamenti per l’applicazione della disciplina sull’accesso ai documenti amministrativi" -lett. c)-.

Il medesimo articolo 16, nel comma 2, ha anche introdotto un’ulteriore garanzia riferita unicamente ai dati riguardanti lo stato di salute o la vita sessuale, precisando che il trattamento di tali dati da parte del soggetto pubblico è consentito solo se "il diritto da far valere o difendere … è di rango almeno pari a quello dell’interessato".

Quest’ultima garanzia, come meglio specificato nel Codice (artt. 60, 71 e 92, comma 2), riguarda sia il caso in cui il soggetto pubblico debba valutare una richiesta di terzi di conoscere singoli dati sulla salute o la vita sessuale, ritenuti necessari per far valere il diritto di difesa (lett. b) cit.), sia il caso in cui il soggetto pubblico riceva una richiesta di accesso a documenti amministrativi contenenti siffatti dati. Il tema viene qui affrontato con prevalente riferimento a cartelle cliniche, ma con considerazioni utili anche per altri tipi di documenti detenuti in ambito pubblico o privato.

La c.d. questione del "pari rango" interessa poi anche la comunicazione a terzi, da parte di un soggetto privato, di singoli dati personali sulla salute e la vita sessuale (es.: casa di cura privata: art. 22, comma 4, lett. c), legge n. 675/1996; art. art. 26, comma 4, lett. c) del Codice).

La concreta valutazione dei diritti coinvolti

Le disposizioni da ultimo indicate hanno posto l’interrogativo sul comportamento che deve tenere il soggetto pubblico o privato (in caso di richiesta di un terzo di conoscere dati sulla salute o la vita sessuale, oppure di accedere a documenti che li contengono), in particolare nello stabilire se il diritto dedotto dal richiedente vada considerato "di pari rango" rispetto a quello della persona cui si riferiscono i dati.

Il destinatario della richiesta, nel valutare il "rango" del diritto di un terzo che può giustificare l’accesso o la comunicazione, deve utilizzare come parametro di raffronto non il "diritto di azione e difesa" che pure è costituzionalmente garantito (e che merita in generale protezione a prescindere dall’"importanza" del diritto sostanziale che si vuole difendere), quanto questo diritto sottostante che il terzo intende far valere sulla base del materiale documentale che chiede di conoscere.

Ciò chiarito, tale sottostante diritto, come già constatato dall’Autorità (v. ad es. l’autorizzazione n. 6/2002, al punto 1, lett. a)) e come ora espressamente precisato dal Codice, può essere ritenuto di "pari rango" rispetto a quello dell’interessato -giustificando quindi l’accesso o la comunicazione di dati che l’interessato stesso intende spesso mantenere altrimenti riservati- solo se fa parte della categoria dei diritti della personalità o è compreso tra altri diritti o libertà fondamentali ed inviolabili: v. gli artt. 71, 92 comma 2 e 60 del Codice.

In particolare, la norma da ultimo citata prevede espressamente che "quando il trattamento concerne dati idonei a rivelare lo stato di salute o la vita sessuale, il trattamento è consentito se la situazione giuridicamente rilevante che si intende tutelare con la richiesta di accesso ai documenti amministrativi è di rango almeno pari ai diritti dell’interessato, ovvero consiste in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile".

In ogni altra situazione riguardante dati sulla salute o la vita sessuale, non è quindi possibile aderire alla richiesta di accesso o di comunicazione da parte di terzi se i dati o il documento sono ritenuti utili dal richiedente per tutelare in giudizio un interesse legittimo o un diritto soggettivo che possono essere anche di rilievo, ma che restano comunque subvalenti rispetto alla concorrente necessità di tutelare la riservatezza, la dignità e gli altri diritti e libertà fondamentali dell’interessato: si pensi al caso dell’accesso -in un caso, denegato dalla giurisprudenza- volto a soddisfare generiche esigenze basate sulla prospettiva eventuale di apprestare la difesa di diritti non posti in discussione in quel momento (Cons. Stato Sez. VI, n. 2542/2002).

Ciò comporta ad esempio che nella prevalenza dei casi riguardanti meri diritti di credito non sia possibile accogliere l’istanza di accesso o di comunicazione, e che si possa invece valutare, con cautela, caso per caso, l’effettiva necessità di consentire l’accesso ad una cartella clinica -prima della sua probabile acquisizione su iniziativa del giudice- in caso di controversia risarcitoria per danni ascritti all’attività professionale medica documentata nella cartella.

Il riferimento normativo ai diritti della personalità e ad altri diritti e libertà fondamentali è collegato ad un "elenco aperto" di posizioni soggettive individuabile in chiave storico-evolutiva, e presuppone una valutazione in concreto, in modo da evitare per le amministrazioni, gli altri destinatari delle richieste e per il giudice stesso in caso di impugnazione, "il rischio di soluzioni precostituite poggianti su una astratta scala gerarchica dei diritti in contesa" (cfr. Cons. Stato, Sez. VI n. 1882/2001 e 2542/2002).

Principio di "necessità" e pertinenza e non eccedenza dei dati

La valutazione sull’istanza di accesso o di comunicazione non deve essere circoscritta al raffronto fra i diritti coinvolti, ma deve basarsi anche sull’ulteriore verifica volta ad appurare -anche ai fini dell’accoglimento solo parziale dell’istanza- se i dati o tutti i dati personali idonei a rivelare lo stato di salute o la vita sessuale oggetto di richiesta siano effettivamente "necessari" al fine di far valere o difendere gli equivalenti diritti in sede contenziosa (cfr., art. 16, comma 1, lett. b) d. lg. 135/1999; Cons. Stato Sez. VI n. 2542/2002, cit. e TAR Emilia Romagna-Bologna n. 1207/2001).

Tra i profili da valutare vi è anche quello dell’ effettiva necessità di anticipare o meno l’autonoma conoscibilità mediante accesso ad un documento già prodotto agli atti di un procedimento giudiziario di cui si è parte -e in tale sede già per altra via conoscibile- o di cui il giudice deve inevitabilmente disporre autonomamente l’acquisizione.

Alle ricordate limitazioni connesse alla pari ordinazione di alcuni diritti coinvolti e all’effettiva "necessità" dei dati ai fini dell’azione o della difesa, va aggiunto il rispetto dei princìpi di pertinenza e non eccedenza nel trattamento, sanciti dall’art. 9 della legge n. 675, ribaditi per i soggetti pubblici dagli artt. 3-4 del d.lg. n. 135/1999 e, ora, dall’art. 22 del Codice.

Il richiamo a tali princìpi, nel caso dei documenti sanitari e, in particolare, delle cartelle cliniche, deve indurre l’amministrazione ad effettuare una valutazione concreta, anche se in alcuni casi non agevole, su quali informazioni, fra quelle contenute nei documenti oggetto della richiesta di accesso o di comunicazione che si ritenga di poter accogliere, debbano essere rese conoscibili dai richiedenti.

Se la richiesta è rivolta ad una amministrazione pubblica, nel procedimento instaurato dall’istanza andrebbe poi interpellato l’interessato, per avviare un contraddittorio anticipato che può consentire a quest’ultimo, oltre alla tutela giurisdizionale in sede amministrativa, anche di opporsi per motivi legittimi al trattamento delle informazioni che lo riguardano (art. 13, legge n. 675/1996).

Le norme sulle investigazioni difensive

A conclusioni analoghe a quelle sopra indicate in tema di "pari rango" deve pervenirsi per il caso in cui la richiesta di accesso o di comunicazione di dati sia formulata dal difensore ai sensi della disciplina sulle investigazioni difensive introdotta dalla legge n. 397/2000 e, in particolare, dell’art. 391-quater del codice di procedura penale. Ciò è confermato espressamente dall’art. 71 del Codice, che ha introdotto questo chiarimento il quale opera a prescindere dalla qualificazione che si intenda assegnare sul piano sistematico alla facoltà prevista da tale art. 391-quater, riguardato alla luce del generale diritto di accesso a documenti detenuti dalle pubbliche amministrazioni.

Il successivo utilizzo dei dati sulla salute

Da ultimo, la tutela dei dati personali in questione non si esaurisce nella valutazione della richiesta nei modi illustrati, in quanto riguarda anche l’utilizzazione dei dati e dei documenti di cui si è venuti a conoscenza, i quali, possono essere utilizzati anche da difensori, in conformità all’autorizzazione del Garante n. 6/2002, solo per le finalità dapprima dichiarate e se ancora strettamente indispensabili, pertinenti e non eccedenti al momento del loro concreto utilizzo.

TUTTO CIÒ PREMESSO, IL GARANTE:

esprime il proprio avviso nei termini di cui in motivazione e dispone la trasmissione di copia della presente pronuncia alle amministrazioni, agli enti e alle associazioni indicate in atti.

Roma, 9 luglio 2003