Data protection

Accesso ai dati personali della cartella clinica; le FAQ del Garante.

Il tema dell’accesso ai dati personali contenuti nella cartella clinica va dipanato individuando, in prima battuta, quale sia il perimetro normativo di riferimento: legge n. 241/90, art. 15 GDPR, altro.

Per quanto di stretto interesse in questa sede si forniscono una serie di chiarimenti partendo da due documenti: la sentenza della Corte di Giustizia dell’Unione Europea C-307/22 del 26 ottobre 2023; e le Faq del Garante Privacy in materia di accesso ai dati personali della cartella clinica.

1. La sentenza della Corte di Giustizia dell’Unione Europea C-307/22 del 26 ottobre 2023;

La struttura sanitaria valuta se fornire copia integrale di tutta o parte della documentazione contenuta nella cartella clinica. La struttura è tenuta a fornire al richiedente, gratuitamente, copia integrale della propria documentazione sanitaria quando ciò sia necessario per consentirgli di verificare l’esattezza, la completezza e l’intelligibilità delle informazioni richieste, come stabilito dalla sentenza CGUE 307/22.[1]

La sentenza richiamata al precedente cpv fornisce l’interpretazione che deve essere data ai seguenti articoli del GDPR:

L’articolo 12, paragrafo 5, e l’articolo 15, paragrafi 1 e 3, del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), devono essere interpretati nel senso che l’obbligo di fornire all’interessato, a titolo gratuito, una prima copia dei suoi dati personali oggetto di trattamento grava sul titolare del trattamento anche qualora tale richiesta sia motivata da uno scopo estraneo a quelli di cui al considerando 63, prima frase, di detto regolamento.

L’articolo 15, paragrafo 3, prima frase, del regolamento 2016/679 deve essere interpretato nel senso che: nell’ambito di un rapporto medico/paziente, il diritto di ottenere una copia dei dati personali oggetto di trattamento implica che sia consegnata all’interessato una riproduzione fedele e intelligibile dell’insieme di tali dati. Tale diritto presuppone quello di ottenere la copia integrale dei documenti contenuti nella sua cartella medica che contengano, tra l’altro, detti dati, qualora la fornitura di una siffatta copia sia necessaria per consentire all’interessato di verificarne l’esattezza e la completezza nonché per garantirne l’intelligibilità. Per quanto riguarda i dati relativi alla salute dell’interessato, tale diritto include in ogni caso quello di ottenere una copia dei dati della sua cartella medica contenente informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati al medesimo.

2. Le Faq del Garante Privacy in materia di accesso ai dati personali della cartella clinica.

Pubblicate le Faq del Garante Privacy in materia di accesso ai dati personali della cartella clinica, il documento che contiene l’insieme di informazioni sanitarie e anagrafiche sul singolo ricovero.

I chiarimenti dell’Autorità giungono a seguito di alcuni reclami di utenti che lamentavano il mancato rilascio gratuito da parte di strutture sanitarie della prima copia cartacea della propria cartella clinica. Diniego segnalato dopo la sentenza della Corte di Giustizia dell’Unione Europea C-307/22 del 26 ottobre 2023.

Nelle Faq l’Autorità chiarisce che la struttura sanitaria, titolare del trattamento, a seguito di una istanza presentata ai sensi dell’art. 15 del Regolamento[2], è tenuta a fornire al richiedente copia dei dati personali oggetto del trattamento. La prima copia di tali dati è rilasciata gratuitamente.

Il Garante ricorda, inoltre, ai titolari del trattamento (ospedali, aziende sanitarie, ecc.) che, in caso di ricezione di istanze generiche di accesso, le Linee guida della Commissione Europea sulla Protezione dei dati raccomandano di chiedere agli interessati di specificare l’oggetto della richiesta (dati personali o documentazione).

Ma cosa si ottiene presentando istanza di accesso, ai sensi dell’art. 15 del GDPR, alla cartella clinica: copia dei dati personali o copia della documentazione?

L’interessato può accedere, ai sensi dell’art. 15 del RGPD, alla propria cartella clinica (o alla cartella clinica del defunto, ai sensi dell’art. 2-terdecies del d.lgs. 196/2003 “Codice in materia di protezione dei dati personali”) ottenendo copia dei dati personali oggetto di trattamento (art. 15, par. 3 del RGPD).

Nei casi in cui sia necessario garantire l’esattezza, la completezza e l’intelligibilità delle informazioni richieste il titolare fornisce all’interessato copia integrale dei documenti contenenti tali dati (sentenza CGUE 307-22 del 26 ottobre 2023).

Con richiesta di accesso alla cartella clinica, ai sensi dell’art. 15 GDPR, l’interessato può pretendere di ottenere a titolo gratuito copia di tutta la documentazione presente in tale cartella?

Con richiesta di accesso alla cartella clinica, ai sensi dell’art. 15 GDPR, l’interessato può pretendere di ottenere a titolo gratuito copia di tutta la documentazione presente in tale cartella?

No.

Come evidenziato nella faq precedente, con la richiesta di accesso alla cartella clinica ai sensi del sopra citato art. 15 viene fornita a titolo gratuito copia dei dati personali e non necessariamente dei documenti contenuti in tale cartella.

La prima copia di tali dati viene fornita gratuitamente (art. 12, par. 5 e art. 15, par. 3, del RGPD).

Chi valuta la necessità di fornire copia integrale dei documenti contenuti nella cartella clinica a fronte di una richiesta di accesso ai dati ai sensi dell’art. 15 GDPR?

Il titolare del trattamento.

Nel fornire copia dei dati personali in risposta a una domanda di accesso presentata ai sensi dell’art. 15 del RGPD, il titolare valuta se occorre fornire copia integrale o meno di tutta o parte della documentazione contenuta nella cartella clinica per garantire all’interessato di verificare l’esattezza, la completezza, nonché l’intelligibilità dei dati richiesti. [3] 

A fronte di una generica istanza di accesso ala cartella clinica, non presentata formalmente ai sensi dell’art. 15 GDPR, come deve comportarsi il titolare del trattamento?

Le Linee guida, sopracitate, fanno presente che il Regolamento non prevede requisiti formali per la presentazione di richieste di accesso ai dati personali ai sensi dell’art. 15 del RGPD e consigliano ai titolari una certa indulgenza nei confronti dei richiedenti, spesso non a conoscenza delle complesse disposizioni del RGPD. In caso di dubbi, si raccomanda al titolare del trattamento di chiedere all’interessato che presenta la richiesta di accesso di specificare l’oggetto della richiesta stessa (cfr. Linee guida sopracitate, punto n. 50)

[1] C/2023/1109 Sentenza della Corte (Prima Sezione) del 26 ottobre 2023 (domanda di pronuncia pregiudiziale proposta dal Bundesgerichtshof — Germania) — FT / DW (Causa C-307/22 ( 1 ), FT (Copia della cartella medica)) [Rinvio pregiudiziale – Trattamento dei dati personali – Regolamento (UE) 2016/679 – Articoli 12, 15 e 23 – Diritto di accesso dell’interessato ai suoi dati oggetto di trattamento – Diritto di ottenere gratuitamente una prima copia di tali dati – Trattamento di dati di un paziente da parte del suo medico – Cartella medica – Motivi della richiesta di accesso – Utilizzo dei dati al fine di far valere la responsabilità del professionista sanitario – Nozione di «copia»

[2] Articolo 15 Diritto di accesso dell’interessato (C63, C64)

1. L’interessato ha il diritto di ottenere dal titolare del trattamento la conferma che sia o meno in corso un trattamento di dati personali che lo riguardano e in tal caso, di ottenere l’accesso ai dati personali e alle seguenti informazioni:
a) le finalità del trattamento;
b) le categorie di dati personali in questione;
c) i destinatari o le categorie di destinatari a cui i dati personali sono stati o saranno comunicati, in particolare se destinatari di paesi terzi o organizzazioni internazionali;
d) quando possibile, il periodo di conservazione dei dati personali previsto oppure, se non è possibile, i criteri utilizzati per determinare tale periodo;
e) l’esistenza del diritto dell’interessato di chiedere al titolare del trattamento la rettifica o la cancellazione dei dati personali o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento;
f ) il diritto di proporre reclamo a un’autorità di controllo;
g) qualora i dati non siano raccolti presso l’interessato, tutte le informazioni disponibili sulla loro origine;
h) l’esistenza di un processo decisionale automatizzato, compresa la profilazione di cui all’articolo 22, paragrafi 1 e 4, e, almeno in tali casi, informazioni significative sulla logica utilizzata, nonché l’importanza e le conseguenze previste di tale trattamento per l’interessato.
2. Qualora i dati personali siano trasferiti a un paese terzo o a un’organizzazione internazionale, l’interessato ha il diritto di essere informato dell’esistenza di garanzie adeguate ai sensi dell’articolo 46 relative al trasferimento.
3. Il titolare del trattamento fornisce una copia dei dati personali oggetto di trattamento. In caso di ulteriori copie richieste dall’interessato, il titolare del trattamento può addebitare un contributo spese ragionevole basato sui costi amministrativi. Se l’interessato presenta la richiesta mediante mezzi elettronici, e salvo indicazione diversa dell’interessato, le informazioni sono fornite in un formato elettronico di uso comune.
4. Il diritto di ottenere una copia di cui al paragrafo 3 non deve ledere i diritti e le libertà altrui.

[3] Articolo 12 Informazioni, comunicazioni e modalità trasparenti per l’esercizio dei diritti dell’interessato (C58-C60, C64)
(omissis)
5. Le informazioni fornite ai sensi degli articoli 13 e 14 ed eventuali comunicazioni e azioni intraprese ai sensi degli articoli da 15 a 22 e dell’articolo 34 sono gratuite. Se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il titolare del trattamento può:
a) addebitare un contributo spese ragionevole tenendo conto dei costi amministrativi sostenuti per fornire le informazioni o la comunicazione o intraprendere l’azione richiesta; oppure
b) rifiutare di soddisfare la richiesta. Incombe al titolare del trattamento l’onere di dimostrare il carattere manifestamente infondato o eccessivo della richiesta.
[4] cfr. in tal senso il documento del Comitato europeo per la protezione dei dati (EDPB) “Linee guida 1/2022 sui diritti degli interessati – Diritto di accesso” – versione 2.1 del 28 marzo 2023 – punto 152, rintracciabili all’indirizzo web: https://www.edpb.europa.eu/system/files/2024-04/edpb_guidelines_202201_data_subject_rights_access_v2_it.pdf.

About Author /

Dott. Prof.( a.c.) Davide De Luca - Compliance & Cybersecurity Advisor - LinkedIn

minaccecibernetiche
Certificati per l’assenza dal lavoro

Lascia un commento

Your email address will not be published.

Potrebbe piacerti

violazione privacy
Il ricorso per una presunta violazione della privacy deve essere fatto prima di fronte all’Autorità nazionale e poi, eventualmente, davanti alla Corte Europea dei diritti dell’Uomo.
26 Febbraio 2025
trattamento dati personali
Censimento dei servizi e dei processi di trattamento dei dati personali
23 Gennaio 2024
accesso-illegittimo-fse
Accesso illegittimo al portale FSE della Regione Molise. Sanzione da parte del garante.
1 Marzo 2025

Start typing and press Enter to search