PRIVACY - Hiv, dati sanitari e violazione della riservatezza.
Una casa di cura è stata condannata dal Garante privacy a pagare una cospicua sanzione amministrativa pecuniaria per la violazione prevista dall'art. 162, co. 2-bis, del T.U. privacy, per aver compiuto un trattamento di dati personali senza osservare i presupposti e i limiti stabiliti dalla legge in violazione dell'art. 26, co. 1, del Codice in materia di protezione dei dati personali e dell'art. 5, co. 4 della L. 05.06.1990 n° 135, nella fattispecie illecitamente avendo effettuato la comunicazione di dati particolarmente sensibili quali quelli relativi all'esito del test HIV dell’interessato: impugnato il provvedimento sanzionatorio, il Tribunale di Padova lo ha confermato con Sentenza 02.05.11, atteso che vi sarebbe stata la «[…] accertata illegittimità della comunicazione dei dati relativi agli accertamenti diagnostici diretti e indiretti per l'infezione HIV a persona diversa dall'interessato, in difetto di consenso», tanto che così il Garante nel 2013 ha irrogato la relativa sanzione amministrativa. Invero,
nel 2010 si era già verificato un caso per certi versi analogo, poiché una persona aveva ricevuto una comunicazione telematica (un "sms») dal proprio medico di famiglia che lo aveva invitato a contattarlo con urgenza poiché sieropositivo come dettogli da un medico della Casa di cura ove il paziente si era sottoposto ad analisi per l'accertamento dell’eventuale infezione da HIV: anche in tale caso, il Garante aveva censurato il contegno dei sanitari, dato che è vietata dalla legge ogni iniziativa volta ad acquisire da terzi (nel caso in esame dal medico di famiglia del paziente) notizie su quadro clinico del paziente e altresì a rivelare la sua sieropositività, stante il chiaro disposto dell’art. 5, co. 4, L. n° 135/90, secondo la quale gli specifici accorgimenti previsti dalla normativa che sanciscono v’è l’obbligo di comunicare i risultati degli accertamenti diagnostici, diretti o indiretti, in materia di Hiv "esclusivamente alla persona cui tali esami sono riferiti». lDel resto, le disposizioni del Codice privacy del 2003 hanno rafforzato le cautele previste dalla legislazione previgente a tutela della riservatezza delle persone sieropositive, giacché hanno imposto ad operatori sanitari, oltrechè ad ogni altro soggetto che venga a conoscenza di un caso di infezione da Hiv, di "adottare ogni misura o accorgimento occorrente per la tutela dei diritti e delle libertà fondamentali dell'interessato, nonché della relativa dignità" e per le quali "restano ferme le disposizioni di legge e di regolamento che stabiliscono divieti o limiti più restrittivi in materia di trattamento di taluni dati personali" (art. 5, co. 1, L. 05.06.90 n° 135, come modificato dall'art. 178, co. 2, del Codice e art. 184, co. 3, del Codice, anche in riferimento all’art. 84 del D.L.vo n° 196/03, per ciò che attiene alla diretta consegna all’interessato, in busta chiusa).
Lo stesso Garante privacy, peraltro, il 16.02.2000, aveva reso un Parere in ordine all'applicazione della L. 05.06.90 n° 135 e del D.L.vo n° 282/99, recante disposizioni di modifica ed integrazione della precedente legge sulla privacy (la L. n° 675/96) in materia di trattamento dei dati personali in ambito sanitario per persone affette da AIDS. Nell’occorso, fatto espressamente salva l’ipotesi relativa al sistema di c.d. sorveglianza epidemiologica nazionale per i casi di AIDS conclamato, il Garante ha posto in evidenza, da un lato, che i dati anagrafici devono essere conservati separatamente da quelli sanitari (anzi, se essi risultano contenuti in elenchi, registri o banche dati, allora devono essere trattati con "tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altri sistemi che permettono di identificare gli interessati solo in caso di necessità») e, dall’altro, che sono prescritte delle misure minime di sicurezza per il trattamento dei dati personali, tra cui quelle concernenti l'"accesso ai dati particolari" (si prevede infatti che siano rilasciate dal titolare o dal responsabile del trattamento delle specifiche autorizzazioni ai vari incaricati del trattamento o della manutenzione per l'accesso alle operazioni di trattamento dei dati "sensibili" o di carattere giudiziario).
Come scritto dal Prof. Rodotà, quando si trattano informazioni delicate - quale quelle relative all'AIDS o all'infezione HIV (dalla cui circolazione può derivare un grave pregiudizio per la vita privata e la dignità personale degli interessati) le cautele devono essere maggiori e il trattamento dev’essere ancor più accurato di quanto prescritto in generale per i dati sensibili.
........
[doc. web n. 2337641]
Ordinanza di ingiunzione nei confronti di Casa di cura Abano Terme - 24 gennaio 2013
Registro dei provvedimenti
n. 28 del 24 gennaio 2013
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
NELLA riunione odierna, alla presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente e della dott.ssa Giovanna Bianchi Clerici, componente e del dott. Giuseppe Busia, segretario generale;
RILEVATO che il Garante, all'esito di una segnalazione, ha concluso il relativo procedimento amministrativo con il provvedimento datato 27 maggio 2010 con il quale è stato altresì accertato che la Casa di Cura Abano Terme Polispecialistica e Termale S.p.A., con sede in Abano Terme (Pd), piazza Cristoforo Colombo n. 1, in persona del legale rappresentante pro-tempore, ha effettuato un trattamento di dati personali senza osservare i presupposti e i limiti stabiliti dalla legge in violazione dell'articolo 26, comma 1, del Codice in materia di protezione dei dati personali (di seguito denominato Codice) e dell'art. 5, comma 4 della legge 5 giugno 1990 n. 135;
VISTO il verbale n. 14878/67264 del 22 giugno 2010 con cui è stata contestata alla predetta società la violazione amministrativa prevista dall'art. 162, comma 2-bis, del Codice, in relazione all'art. 26, informandola della facoltà di effettuare il pagamento in misura ridotta ai sensi dell'art. 16 della legge n. 689/1981;
VISTO che la società non si è avvalsa delle facoltà previste dall'art. 18 della legge 689/1981, ma ha impugnato, presso il Tribunale di Padova, il provvedimento da cui trae origine il procedimento sanzionatorio;
ESAMINATO il rapporto dell'Ufficio del Garante per la protezione dei dati personali predisposto ai sensi dell'art. 17 della legge 24 novembre 1981, n. 689, relativo al predetto verbale di contestazione per violazione amministrativa, dal quale non risulta essere stato effettuato il pagamento in misura ridotta;
RILEVATO che il Tribunale di Padova, con la sentenza datata 2 maggio 2011, nel ritenere corretto il provvedimento del Garante datato 27 maggio 2010 e non modificando, quindi, il quadro della responsabilità per la violazione in argomento, ha respinto il ricorso della società motivando tale decisione sulla "(…) accertata illegittimità della comunicazione dei dati relativi agli accertamenti diagnostici diretti e indiretti per l'infezione HIV a persona diversa dall'interessato, in difetto di consenso";
CONSIDERATO che la Casa di Cura Abano Terme Polispecialistica e Termale S.p.A. ha agito in violazione dell'art. 26, comma 1, del Codice, effettuando un trattamento di dati personali in difetto del prescritto consenso, senza osservare i presupposti e i limiti stabiliti dalla legge;
VISTO l'art. 162, comma 2-bis, che punisce la violazione delle disposizioni indicate nell'art. 167 del Codice, tra le quali quelle di cui all'art. 26 del medesimo Codice, con la sanzione amministrativa del pagamento di una somma da diecimila euro a centoventimila euro;
CONSIDERATO che, ai fini della determinazione dell'ammontare della sanzione pecuniaria, occorre tenere conto, ai sensi dell'art. 11 della legge 24 novembre 1981 n. 689, dell'opera svolta dall'agente per eliminare o attenuare le conseguenze della violazione, della gravità della violazione, della personalità e delle condizioni economiche del contravventore;
RITENUTO che, nel caso in cui l'infrazione non abbia caratterizzazioni specifiche che possano portare a valutazioni di maggiore o minor rigore, nella determinazione della sanzione può ritenersi corretta l'individuazione di un importo pari al terzo del massimo o, se più favorevole, al doppio del minimo, in linea con quanto previsto dall'art. 16 della l. n. 689/1981, ferma restando la valutazione degli ulteriori elementi previsti dall'art. 11 della medesima legge [cfr. Cass. Civ., sez. I, 4 novembre 1998, n. 11054];
CONSIDERATO che, nel caso in esame:
a) in ordine all'aspetto della gravità, circa l'entità del pregiudizio o del pericolo, deve essere tenuto in considerazione che la violazione pur riguardando un solo interessato, è consistita in un'illecita comunicazione di dati particolarmente sensibili quali quelli relativi all'esito del test HIV del segnalante;
b) ai fini della valutazione dell'opera svolta dall'agente, la società non ha fornito alcun elemento di valutazione circa le iniziative adottate al fine di uniformarsi a quanto statuito nel provvedimento dell'Autorità del 27 maggio 2010 e nella sentenza del Tribunale di Padova datata 2 maggio 2010;
c) circa la personalità dell'autore della violazione, deve essere positivamente considerata la circostanza che la società non risulti avere precedenti specifici in termini di violazioni alle disposizioni del Codice;
d) in merito alle condizioni economiche dell'agente, al fine di commisurare l'importo della sanzione alla reale capacità economica del trasgressore nel rispetto del principio di uguaglianza, si evidenzia che la società, per l'anno 2011, ha dichiarato un valore della produzione particolarmente rilevante;
RITENUTO di dover determinare, ai sensi dell'art. 11 della legge n. 689/1981, l'ammontare della sanzione pecuniaria per la violazione dell'art. 162, comma 2-bis, del Codice nella misura di euro 30.000,00 euro (trentamila);
VISTO l'art. 164-bis, comma 4, del Codice che prevede che le sanzioni amministrative di cui al Titolo III, Capo I, del Codice possono essere aumentate fino al quadruplo quando possono risultare inefficaci in ragione delle condizioni economiche del contravventore;
RILEVATO che l'applicazione della predetta sanzione nei confronti della Casa di cura Abano Terme polispecialistica e termale s.p.a. risulterebbe inefficace, in ragione del valore della produzione rilevabile dal bilancio dell'anno 2011;
RITENUTO che, nel caso di specie, ricorrano le condizioni per applicare l'aumento previsto dall'art. 164-bis, comma 4, del Codice nella misura, ritenuta congrua, pari a euro 60.000,00 (sessantamila);
VISTA la documentazione in atti;
VISTA la legge 24 novembre 1981 n. 689, e successive modificazioni e integrazioni;
VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
RELATORE la dott.ssa Augusta Iannini;
ORDINA
alla Casa di cura Abano Terme polispecialistica e termale s.p.a., con sede in Abano Terme (Pd), piazza Cristoforo Colombo n. 1, in persona del legale rappresentante pro-tempore, di pagare la somma di euro 60.000,00 (sessantamila) a titolo di sanzione amministrativa pecuniaria per la violazione prevista dall'art. 162, comma 2-bis, del Codice;
INGIUNGE
alla medesima di pagare la somma di euro 60.000,00 (sessantamila) secondo le modalità indicate in allegato, entro 30 giorni dalla notificazione del presente provvedimento, pena l'adozione dei conseguenti atti esecutivi a norma dell'art. 27 della legge 24 novembre 1981, n. 689, prescrivendo che, entro il termine di giorni 10 (dieci) dal versamento, sia inviata a questa Autorità, in originale o in copia autentica, quietanza dell'avvenuto versamento.
Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.
Roma, 24 gennaio 2013
IL PRESIDENTE, Soro
IL RELATORE, Iannini
IL SEGRETARIO GENERALE, Busia
…………..
[doc. web n. 1738383]
Tutela della riservatezza in caso di infezioni da Hiv - 27 maggio 2010
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan, componente, e del dott. Daniele De Paoli, segretario generale;
VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice");
VISTA la segnalazione del Sig. XY in data 13 gennaio 2010, con la quale lo stesso lamenta di aver ricevuto un "sms" sul proprio numero di telefono mobile da parte del suo medico di famiglia, dott. KW, contenente l'invito a contattarlo con urgenza; nel corso del successivo colloquio telefonico, il medesimo medico lo informava del suo stato di sieropositività, avendone avuto notizia dal dott. ZQ, che opera presso la Casa di cura XX, ove sono state effettuate le analisi per l'accertamento dell'infezione da HIV;
CONSIDERATO che, nella medesima segnalazione, il Sig. XY ha evidenziato al Garante che "il dott. ZQ della Casa di cura di XX avrebbe potuto comunicare il referto al mio medico di base solo con mio preventivo consenso scritto. Risulta, pertanto, violato il primo comma dell'art. 26 del d.lgs. 196/2003";
VISTA la nota di riscontro dell'11 marzo 2010 della Casa di cura trasmessa a seguito di specifica richiesta di informazioni dell'Ufficio, dalla quale risulta che nel modulo di informativa e consenso, sottoscritto in data 1° dicembre 2009 dal Sig. XY, è contrassegnata la casella "Presta il suo consenso per la comunicazione dei dati ai seguenti ulteriori soggetti" ma, pur essendo previste le voci "al medico di famiglia dott….." e "alle seguenti persone: ….", non ne risulta essere stata selezionata alcuna dal Sig. XY e, comunque, non risultano indicazioni in ordine alle generalità del medico di famiglia (v. modello di informativa e consenso, in allegato (n.6) alla nota della Casa di cura dell'11 marzo 2010);
CONSIDERATO che con la citata nota di riscontro dell'11 marzo 2010 la Casa di cura ha precisato che "la richiesta per gli accertamenti in parola proveniva dal medico di famiglia indicato in calce sull'impegnativa (nome, cognome, tel. e cell.); questa precisazione è necessaria in quanto l'interessato, all'atto dell'autorizzazione alla comunicazione al medico di famiglia, ha ritenuto superfluo indicarne nuovamente nome e cognome risultando già esaustivamente individuato nella prescrizione di riferimento";
CONSIDERATO, inoltre, che al Sig. XY è stato sottoposto dalla Casa di cura uno specifico modulo –che lo stesso ha sottoscritto in data 1° dicembre 2009- al fine di acquisirne il consenso informato per effettuare il test HIV, con il quale veniva informato che: "Il risultato del test è da considerarsi strettamente confidenziale; pertanto viene comunicato esclusivamente alla persona che lo ha effettuato e sottoposto al vincolo del segreto professionale";
CONSIDERATO che il dott. ZQ che opera presso la Casa di cura XX, con nota dell'11 marzo 2010 indirizzata alla citata Casa di cura che lo ha chiamato a riferire sulla questione (All. n. 10 alla nota della Casa di cura dell'11 marzo 2010), ha dichiarato che, per la corretta interpretazione dei risultati delle analisi, al fine di valutare il quadro clinico del paziente anche con riferimento ad altri esami, ha "telefonato al dott. KW, medico di famiglia e firmatario della prescrizione per il test in parola, anche in considerazione del fatto che il sig. XY aveva espressamente autorizzato le comunicazioni col medico di famiglia";
CONSIDERATO che il dott. ZQ, con la medesima nota, ha altresì dichiarato: "conosco bene la legge n. 135 del 1990, so perfettamente di non poter rivelare dati sensibili come il risultato del test HIV ad altre persone che non siano il paziente stesso e, nonostante il paziente avesse acconsentito apponendo la propria firma alle comunicazioni con il medico di famiglia, mi sono astenuto dal rivelare esplicitamente i risultati del test essendo sufficiente per me acquisire unicamente informazioni dettagliate sul quadro clinico complessivo con particolare riferimento alle malattie autoimmuni";
RILEVATO che, nell'ambito dell'istruttoria preliminare avviata da questo Ufficio anche nei confronti del dott. KW, medico di famiglia del Sig. XY, il medesimo medico ha affermato -con dichiarazione della cui veridicità risponde penalmente ai sensi dell'art. 168 del Codice- di aver ricevuto una richiesta di informazioni da parte del dott. ZQ volta ad accertare se avesse "di recente visto l'assistito e se gli fossero note condizioni o abitudini a rischio dello stesso" e che "dalla conversazione che ne seguì emerse la segnalazione che il test eseguito dal mio paziente risultava positivo, che il test era stato verificato con altra metodica più approfondita che ne riconfermava l'esito e che, allo scopo di tutelare la salute del paziente e dei suoi conviventi, fosse opportuno contattarlo" (nota 11 marzo 2010);
RILEVATO che l'iniziativa del dott. ZQ di prendere contatto con il dott. KW, al fine di acquisire specifiche informazioni sul quadro clinico del paziente (con particolare riferimento alla presenza di malattie autoimmuni), dandogli notizia dello stato di sieropositività dello stesso, configura una comunicazione di dati personali contenuti in risultati di accertamenti diagnostici per infezione da HIV;
VISTI gli specifici accorgimenti previsti dalla normativa in materia di Hiv che sanciscono l'obbligo di comunicare i risultati dei relativi accertamenti diagnostici, diretti o indiretti, "esclusivamente alla persona cui tali esami sono riferiti" (art. 5, comma 4, legge n. 135/1990);
VISTE le disposizioni del Codice che hanno rafforzato le cautele previste dalla legislazione previgente a tutela della riservatezza delle persone sieropositive imponendo agli operatori sanitari e ad ogni altro soggetto che venga a conoscenza di un caso di infezione da Hiv di "adottare ogni misura o accorgimento occorrente per la tutela dei diritti e delle libertà fondamentali dell'interessato, nonché della relativa dignità" e per le quali "restano ferme le disposizioni di legge e di regolamento che stabiliscono divieti o limiti più restrittivi in materia di trattamento di taluni dati personali" (art. 5, comma 1, l. 5 giugno 1990, n. 135 come modificato dall'art. 178, comma 2, del Codice e art. 184, comma 3, del Codice; v., anche, con specifico riferimento ai medici, artt. 3, 10, 11, 20 del Codice di deontologia medica del 16 dicembre 2006);
CONSIDERATO che la disciplina in materia di protezione dei dati personali prevede che gli esercenti le professioni sanitarie e gli organismi sanitari comunichino al solo interessato le informazioni relative al suo stato di salute e che le certificazioni rilasciate dagli organismi sanitari possono essere ritirate da persone diverse dal diretto interessato solo sulla base di una delega scritta e mediante la consegna delle stesse in busta chiusa (art. 84, del Codice; punto 4 del provvedimento generale del Garante del 9 novembre 2005, [doc. web n. 1191411]);
CONSIDERATO che la comunicazione effettuata dalla Casa di cura YY, da parte del dott. ZQ, dei risultati degli accertamenti diagnostici diretti o indiretti per infezione da HIV relativi al Sig. XY nei confronti del dott. KW configura un trattamento illecito di dati;
CONSIDERATO che il Garante, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, ha il compito di vietare anche d'ufficio il trattamento illecito o non corretto o di disporne il blocco e di adottare, altresì, gli altri provvedimenti previsti dalla disciplina applicabile al trattamento dei dati personali;
RILEVATA la necessità di adottare nei confronti della Casa di cura XX polispecialistica e termale S.p.A. un provvedimento di divieto del trattamento illecito di dati personali ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice correlato alla comunicazione di dati relativi ai risultati di accertamenti diagnostici diretti o indiretti per infezione da HIV a persone diverse dagli interessati cui tali esami si riferiscono;
RILEVATA, altresì, la necessità di adottare, anche nei confronti del dott. KW, medico di famiglia del segnalante, in considerazione della particolare natura dei dati, e in relazione al concreto rischio del verificarsi di un pregiudizio rilevante per l'interessato, un provvedimento di divieto del trattamento di dati personali ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice correlato alla eventuale comunicazione a soggetti terzi dei dati riguardanti i dati personali del Sig. XY relativi ai risultati di accertamenti diagnostici diretti o indiretti per infezione da HIV;
TENUTO CONTO che, ai sensi dell'art. 170 del Codice chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni e che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del medesimo provvedimento, è altresì applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro;
RISERVATA, con autonomo procedimento, la verifica dei presupposti per contestare la violazione amministrativa concernente l'avvenuta comunicazione di dati personali idonei a rivelare lo stato di salute a persona diversa dall'interessato;
CONSIDERATO che resta impregiudicata la facoltà per gli interessati di far valere i propri diritti in sede civile in relazione alla condotta illecita accertata (cfr. anche art. 15 del Codice), con specifico riguardo agli eventuali profili di danno;
VISTA la documentazione in atti;
VISTE le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante, n. 1/2000 del 28 giugno 2000;
RELATORE il dott. Mauro Paissan;
TUTTO CIÒ PREMESSO IL GARANTE:
- ritenuta l'illiceità del trattamento, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, vieta, con effetto dalla notifica del presente provvedimento, alla Casa di cura XX, la comunicazione dei dati personali relativi ai risultati di accertamenti diagnostici diretti o indiretti per infezione da HIV a persone diverse dagli interessati cui tali esami si riferiscono;
- ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, vieta, con effetto dalla notifica del presente provvedimento, al dott. KW, medico di famiglia del segnalante, la eventuale comunicazione a soggetti terzi dei dati personali del Sig. XY relativi ai risultati di accertamenti diagnostici diretti o indiretti per infezione da HIV.
Roma, 27 maggio 2010
IL PRESIDENTE, Pizzetti
IL RELATORE, Paissan
IL SEGRETARIO GENERALE, De Paoli
………….
[doc. web n. 30907]
Dati sensibili - Parere in ordine all'applicazione della legge 5 giugno 1990, n. 135 - 16 febbraio 2000
Il d.lg. n. 282/1999, reca disposizioni di modifica ed integrazione della legge n.675/1996 in relazione al trattamento dei dati personali in ambito sanitario, pur sempre nel rispetto di normative più restrittive, quale quella in materia di AIDS, che impone il mantenimento di un rigoroso rispetto della riservatezza delle persone affette da AIDS.
Roma, 16 febbraio 2000
Lega italiana per la lotta all'AIDS
L.I.L.A. Trentino
Via Paradisi, 15/3
38100 Trento
OGGETTO: parere in ordine all'applicazione della legge 5 giugno 1990, n. 135
Con la nota indicata a margine, codesta associazione ha prospettato a questa Autorità la necessità di precisare alcune disposizioni del recente decreto legislativo 30 luglio 1999, n. 282 recante norme per garantire la riservatezza dei dati personali in ambito sanitario, la cui interpretazione appare indispensabile alla corretta applicazione della normativa in materia di AIDS. In particolare, si è chiesto di chiarire se la disposizione dell'art. 5 del d.lg. 282/1999, che ammette il trattamento dei dati idonei a rivelare lo stato di salute, anche senza il consenso degli interessati, qualora il trattamento medesimo sia finalizzato a scopi di ricerca epidemiologica e questa sia prevista da un'espressa previsione di legge o rientri nel programma di ricerca biomedica o sanitaria di cui all'art. 12bis del d.lg. 502/1992, debba considerarsi applicabile anche in materia di sorveglianza epidemiologica dei casi di infezione da HIV.
Al riguardo, come già precisato in precedenti occasioni, si deve osservare che la normativa in materia di protezione dei dati personali, in quanto persegue finalità analoghe a quelle di alcune disposizioni della legge 5 giugno 1990, n. 135 in materia di AIDS, non ha abrogato le disposizioni contenute nella l. n. 135 e ne ha piuttosto confermato la vigenza sempreché siano con essa compatibili (art. 43, comma 2, l. n. 675/1996).
Tale principio non può ritenersi contraddetto dal recente d.lg. n. 282/1999, che reca disposizioni di modifica ed integrazione della legge n. 675/1996 in relazione al trattamento dei dati personali in ambito sanitario, pur sempre nel rispetto di normative più restrittive, quale quella in materia di AIDS, che impone il mantenimento di un rigoroso rispetto della riservatezza delle persone affette da AIDS.
Pertanto, benché non espressamente richiamate nel testo del d.lg. n. 282, restano ferme le disposizioni della legge n. 135/1990 le quali prevedono, da un lato, che "nessuno può essere sottoposto, senza il suo consenso, ad analisi tendenti ad accertare l'infezione da HIV, salvo che per motivi di necessità clinica e nel proprio interesse" (art. 5, comma 3, legge n. 135/1990) e, dall'altro, che "la rilevazione statistica della infezione da HIV deve essere comunque effettuata con modalità che non consentano l'identificazione della persona" (art. 5, comma 2, l. n. 135/1990).
È stato poi chiesto a questa Autorità di valutare se il regime attualmente vigente di denuncia nominativa obbligatoria dei casi di AIDS conclamato sia compatibile con la normativa in materia di protezione dei dati personali. Tuttavia, poiché quest'ultima, come si è detto, non ha abrogato la normativa speciale in materia di AIDS, la questione non appare rilevante in ragione delle particolari garanzie già previste dal nostro ordinamento per le informazioni relative all'AIDS.
L'AIDS è stata infatti inserita nell'elenco delle malattie infettive e diffusive soggette a notifica obbligatoria con il decreto ministeriale 28 novembre 1986, il quale rinvia ad una apposita circolare per la disciplina delle modalità di esecuzione della denuncia stessa.
Sulla base delle indicazioni contenute nella circolare 29 aprile 1994, n. 9 - che ha in parte modificato quanto previsto nella precedente circolare n. 5 del 13 febbraio 1987 - il medico che identifica un caso di AIDS è tenuto a compilare l'apposita scheda di notifica che reca il nome e il cognome del paziente diagnosticato. Tale scheda viene quindi trasmessa al Centro operativo AIDS e all'assessorato alla sanità della regione in cui il caso è stato diagnosticato, nella espressa garanzia che "le informazioni contenute nella scheda hanno carattere confidenziale e saranno utilizzate ai soli fini di sorveglianza epidemiologica".
La stessa legge 5 giugno 1990, n. 135, pur prevedendo che "la rilevazione statistica della infezione da HIV deve essere comunque effettuata con modalità che non consentano l'identificazione della persona", fa espressamente salvo "il vigente sistema di sorveglianza epidemiologica nazionale dei casi di AIDS conclamato e le garanzie ivi previste" (art. 5, comma 2, l. n. 135/1990).
Il particolare regime di tutela previsto dal nostro ordinamento per le informazioni relative all'AIDS e all'infezione HIV si inserisce comunque nel quadro più generale delle garanzie stabilite dalla legge 31 dicembre 1996, n. 675 per il trattamento dei dati idonei a rivelare lo stato di salute (artt. 22, comma 3 e 3bis e 23 l. n. 675/1996) .
A tale riguardo si ricorda che il d. lg. 17 maggio 1999, n. 135 recante disposizioni integrative della legge 31 dicembre 1996, n. 675, sul trattamento dei dati "sensibili" da parte dei soggetti pubblici, prevede che gli organismi sanitari che trattano i dati idonei a rivelare lo stato di salute rispettino i princìpi di correttezza e di pertinenza sanciti dall'art. 9 della legge n. 675 e adottino specifiche cautele a tutela della riservatezza degli interessati.
Tra queste assume un particolare rilievo la disposizione secondo cui i dati anagrafici devono essere conservati separatamente da quelli sanitari, i quali, se contenuti in elenchi, registri o banche dati devono essere trattati con "tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altri sistemi che permettono di identificare gli interessati solo in caso di necessità" (art. 3, commi 4 e 5, d.lg. n. 135/1999).
Inoltre, anche sotto il profilo della sicurezza dei dati, la recente pubblicazione in Gazzetta Ufficiale (G.U. n. 216 del 14 settembre 1999) del d.P.R. 28 luglio 1999 n. 318, recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, prevede l'adozione delle misure di cui all' art. 15, comma 2, della legge 31 dicembre 1996, n. 675 entro il termine di sei mesi dall'entrata in vigore del regolamento stesso (art. 41, comma 3, l. n. 675/1996). In particolare, l' art. 5 di tale regolamento relativo all' "accesso ai dati particolari" prevede che siano rilasciate da parte del titolare o, se designato, del responsabile, specifiche autorizzazioni agli incaricati del trattamento o della manutenzione per l'accesso alle operazioni di trattamento dei dati "sensibili" o di carattere giudiziario.
È evidente che il rispetto di questi princìpi dovrà essere ancor più accurato quando si trattano informazioni delicate quale quelle relative all'AIDS o all'infezione HIV, dalla cui circolazione può derivare un grave pregiudizio per la vita privata e la dignità personale degli interessati.
IL PRESIDENTE, Rodotà