1. Premessa
Una recente sentenza della Cassazione[2] ha ribadito la assoluta necessità di acquisire il consenso al trattamento terapeutico da parte del paziente nella ipotesi in cui lo stesso venga sottoposto al test di Hiv, avendo riconosciuto dall’ordinamento giuridico il potere di conferire o di negare il proprio consenso.
E’ consentito prescindere da tale consenso nella ipotesi in cui persistano gli estremi della urgenza, che deve essere obiettiva ed indifferibile, così come nel caso in cui in gioco ci sia la esigenza di tutelare l’ordine pubblico.
Però anche in questi ultime due ipotesi la Cassazione ha riaffermato il dovere da parte dei medici di rispettare la volontà dell’utente anche in relazione allo svolgimento di esami o di trattamenti urgenti e necessari.
2. Sentenza
La Cassazione è stata chiamata a pronunciarsi in merito ad un episodio di ricovero nel corso del quale un paziente era stato sottoposto al test anti Hiv senza che gli fosse stato chiesto il consenso.
In aggiunta a ciò, l’esito del test era stato inserito nella cartella clinica del paziente ricoverato senza la adozione delle misure di sicurezza richieste dalla normativa di settore: conservazione della cartella in apposite custodie in grado di coprire la intestazione e, successivamente, custodia delle stesse all’interno di locali dotati di controllo degli accessi.
La cartella in questione conteneva, in aggiunta ai dati sanitari, anche la notizia relativa alla omosessualità del paziente.
La mancata adozione delle misure di sicurezza aveva causato una indebita diffusione dei dati personali sensibili relativi al paziente, diffusione che aveva travalicato i confini dell’ospedale ove era avvenuto il ricovero.
La conoscenza di tali notizie aveva cagionato al soggetto in questione un grave pregiudizio sia personale sia patrimoniale, costringendolo, di lì a poco, a chiudere la propria attività commerciale.
Il tribunale, di prima istanza, aveva respinto la domanda così come aveva fatto anche la Corte di appello; il ricorrente aveva allora proposto ricorso per Cassazione contro la sentenza.
Le problematiche trattate dalla Suprema Corte riguardano due distinti aspetti: la riservatezza e il consenso esplicito del paziente al trattamento sanitario.
In merito al primo aspetto, id est: la riservatezza, si fa esplicito riferimento alla normativa in materia di trattamento dei dati personali[3] (D.Lgs.vo n. 196/03 “Codice in materia di protezione dei dati personali” e riguardo allo specifico problema –Aids- alla Legge del 5 giugno 1990, n. 135 “Programma di interventi urgenti per la prevenzione e la lotta contro l'AIDS[4])
La Cassazione ha stigmatizzato la condotta adottata dai sanitari di un P.O. in merito alla conservazione della cartella clinica del paziente all’interno della Unità Operativa; la cartella, in questione, era stata letta da soggetti non autorizzati che avevano diffuso le notizie in essa contenute (sieropositività ed omosessualità del paziente).
Ci limitiamo, a tale proposito, a far notare che la responsabilità a carico degli operatori della struttura è duplice:
a) di tipo penale in merito alla mancata adozione di misure di sicurezza minime[5] (All. B – Disciplinare Tecnico in materia di misure minime di scurezza – al D.Lgs 196/03 - al punto 29 dispone quanto segue “L’accesso agli archivi contenenti dati sensibili o giudiziari è controllato. Le persone ammesse, a qualunque titolo, dopo l’orario di chiusura, sono identificate e registrate. Quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono sono preventivamente autorizzate.” In questa ultima ipotesi va elaborato un apposito Regolamento in grado di scandire i passaggi che portano al prelievo e/o visione della cartella; andrà, ad esempio, previsto un registro sul quale il soggetto – previamente autorizzato – registri l’accesso, l’ora e gli estremi della documentazione utilizzata oltre alla data di restituzione della documentazione stessa.
b) di tipo civile relativamente alla mancata implementazione delle misure di sicurezza idonee, che sono misure aggiuntive rispetto a quelle minime e che vanno implementate tenendo conto delle peculiarità in essere (ad es., attraverso la installazione di sistemi di allarme e/o di dispositivi anti intrusione e/o di sistemi per la video sorveglianza nei locali adibiti ad archivio cartaceo). La adozione delle misure idonee va effettuata su indicazione del titolare del trattamento, (che si avvarrà della collaborazione di una serie di figure quali: il responsabile della banca di dati di riferimento oltre che del responsabile tecnico e del responsabile dei sistemi informativi aziendali) tenendo conto di una serie di aspetti che vanno dalla rilevanza della tipologia di dati personali trattati (comuni o sensibili), alla disamina dei rischi (grado di loro verificabilità); dall’impiego di risorse umane e tecniche da utilizzare, ecc. una volta scrutinate tutte le variabili la scelta andrà effettuata in modo da garantire il più alto livello di sicurezza, partendo dal presupposto che qualunque politica di sicurezza aziendale fa riferimento ad un punto di arrivo e non di partenza e che la sicurezza, per definizione, non è mai assoluta.
La suprema Corte ha ritenuto che la condotta dei sanitari non escludesse una responsabilità in capo ai soggetti preposti (in primis, il Direttore medico della U.O. e la Coordinatrice infermieristica) relativamente alla mancata adozione di misure di sicurezza; ciò in quanto detta allocazione della cartella clinica non garantiva, come non ha di fatto garantito, la riservatezza dei dati contenuti nella stessa poichè era possibile accedervi anche alle persone in transito nella Unità Operativa (visitatori, personale di altre Unità Operative, addetti alle pulizie, informatori scientifici, volontari, ecc.).
E’ stata ribadita la assoluta necessità che vengano adottati tutti gli opportuni accorgimenti finalizzati ad evitare l’indebita visione dei dati sanitari (dati personali sensibili) da parte di soggetti non autorizzati. In caso di violazione del diritto alla riservatezza del paziente è il personale sanitario che ha l’onere di dimostrare di avere adottato tutte le misure occorrenti, così come previste dal legislatore (c.d. inversione dell’onere della prova[6], art. 2050 c.c.)
Riguardo al secondo aspetto, trattato dalla Cassazione nella citata sentenza, ci si riferisce al consenso esplicito del paziente al trattamento sanitario[7], si legge che “(omissis) il consenso del paziente al test HIV – così come ad ogni altro trattamento a cui debba essere sottoposto – deve essere richiesto in ogni caso in cui ciò sia possibile, senza pregiudizio per le esigenze di cura del paziente stesso o per la tutela dei terzi”.
Ciò vuol dire che “(omissis) se nessuno può essere obbligato ad un determinato trattamento sanitario, salvo espressa disposizione di legge (art. 32 Cost.), il malato ha il diritto di essere preventivamente e tempestivamente informato delle indagini cliniche e delle cure alle quali lo si vuol sottoporre, in tutti i casi in cui possa esprimere liberamente e consapevolmente la sua volontà”.
Basandosi su una ‘lettura costituzionalmente orientata’ dell’art. 5, c. 3, L.n. 135/90 la suprema Corte è arrivata ad affermare che “(omissis) anche quando il trattamento si riveli indispensabile, per legge o nell’interesse pubblico – va riconosciuto al malato quanto meno il diritto di scegliere i tempi, i modi o i luoghi dell’intervento, in ogni caso in cui ciò sia possibile. Anche a tal fine è necessario che egli venga preventivamente informato ed interpellato.”
Uniche eccezioni individuate nella sentenza si hanno “(omissis) nei casi di obiettiva e indifferibile urgenza nel trattamento sanitario, o per specifiche esigenze di interesse pubblico (rischi di contagio per i terzi, od altro)…”.
3. Commento
Al di la della disamina della vicenda dalla quale ha avuto origine la sentenza in commento, si reputa che la problematica in questione sia particolarmente sentita dagli operatori sanitari così come dalle strutture ove gli stessi operano.
Una non corretta implementazione delle misure di sicurezza minime ed idonee, così come disciplinato dall’Allegato B al D. Leg.vo n. 196/2003, espone – come di fatto ha esposto – a notevoli rischi il mondo della sanità nella sua interezza.
Attraverso una previdente policy privacy si riusciranno a raggiungere due obiettivi: applicare la legge di settore, evitando quindi le relative sanzioni, migliorare il servizio reso alla utenza.
Solo nel momento in cui si riuscirà ad intendere la privacy come una opportunità per il miglioramento della offerta sanitaria e non solo come un costo per la Azienda, si produrranno benefici per tutti.
Lo scrutinio, a campione, relativo alle segnalazioni/reclami pervenuti negli ultimi cinque anni a diversi Uffici per le Relazioni con il Pubblico (URP) porta a ritenere che le poche denunce di irregolarità riguardanti la non corretta applicazione della normativa in materia di riservatezza siano da addebitare non tanto, o non solo, al lodevole operato dei sanitari quanto alla scarsa conoscenza da parte dell’utenza circa i propri diritti!.
---------------------------------------------------------------------------
[1] L’Autore è docente incaricato, per l’a.a. 2008/09, presso la Università degli Studi “Gabriele D’Annunzio”, C.d.L. in Tecnico di Laboratorio Biomedico e C.d.L. in Scienze Infermieristiche ed Ostetriche – Specialistica, di Diritto Pubblico e Diritto Privato.
[2] Corte di Cassazione – Sezione III Civile – Sentenza 14 novembre 2008 – 30 gennaio 2009, n. 2468
[3] Sull’argomento sia consentito rimandare a Modesti G., Commento breve al D.Lgs.vo n. 196/2003. Codice in materia di protezione dei dati personali, su www.dirittosuweb.com; ottobre 2005 e su www.diritto.it/articoli/dir_privacy/diritto_privacy.html; (2005)
[4] Legge del 5 giugno 1990, n. 135 Articolo 5, commi 3 e 4: 3. Nessuno può essere sottoposto, senza il suo consenso, ad analisi tendenti ad accertare l'infezione da HIV se non per motivi di necessità clinica nel suo interesse. Sono consentite analisi di accertamento di infezione da HIV, nell'ambito di programmi epidemiologici, soltanto quando i campioni da analizzare siano stati resi anonimi con assoluta impossibilità di pervenire alla identificazione delle persone interessate. 4. La comunicazione di risultati di accertamenti diagnostici diretti o indiretti per infezione da HIV può essere data esclusivamente alla persona cui tali esami sono riferiti.
[5] Sull’argomento sia consentito rimandare a Modesti G.Il trattamento dei dati sensibili a livello di azienda: aspetti normativi e di sicurezza ”, su www.diritto.it/articoli_materiali/privacy/diritto_privacy.html; (2005); Introduzione al Decreto Legislativo n. 196 del 2003 (Codice in materia di protezione dei dati personali) con particolare riferimento alle misure di sicurezza, su www.filodiritto.com/; (2005).
[6] Sull’argomento sia consentito rimandare a Modesti G La responsabilità oggettiva e lo svolgimento delle attività pericolose ai sensi dell’art. 2050 codice civile, con particolare riferimento al trattamento dei dati personali alla luce del decreto legislativo n. 196/2003, su www.diritto.it ; e su www.dirittosuweb.com; (giugno 2006). Tale saggio si caratterizza per la ricca citazione giurisprudenziale, senza tralasciare l’importante aspetto relativo all’istituto della delega di funzioni che in ambito sanitario acquista una sua peculiarità.
[7] Sull’argomento sia consentito rimandare a Modesti G, .Il consenso informato al trattamento medico-chirurgico. Responsabilità civile e penale del medico nei riguardi del paziente¸ su www.iureconsult.com/; agosto 2005, per un quadro sufficientemente chiaro in merito alla: evoluzione di tale concetto; ai requisiti di validità del consenso, alla articolazione del consenso informato; alla disamina dei casi in cui il consenso non è necessario; alle caratteristiche e ai requisiti di validità del consenso informato ed alla relativa elaborazione dottrinale in materia; alle ipotesi di responsabilità del medico ed alla ripartizione dell’onere probatorio.