RACCOMANDAZIONE N. R
Transcript
RACCOMANDAZIONE N. R
CONSIGLIO D’EUROPA RACCOMANDAZIONE N. R (81) 1 DEL COMITATO DEI MINISTRI AGLI STATI MEMBRI RELATIVA ALLA REGOLAMENTAZIONE APPLICABILE ALLE BANCHE DI DATI SANITARI AUTOMATIZZATI (adottata dal comitato dei Ministri il 23 gennaio 1981 nel corso della 328a riunione dei Delegati dei Ministri) Il Comitato dei Ministri, ai sensi dell’art. 15(b) dello Statuto del Consiglio d’Europa, Considerando che scopo del Consiglio d’Europa è di realizzare un’unione più stretta fra i suoi membri; Consapevole del fatto che il computer è sempre più utilizzato per le cure mediche, la ricerca medica, la gestione ospedaliera e gli schedari di sanità pubblica; Persuaso che è importante garantire il carattere riservato e la sicurezza delle informazioni personali immagazzinate negli schedari e verificare che di essi sia fatto un uso eticamente corretto; Richiamando i principi generali relativi alla protezione dei dati nei settori privato e pubblico definiti nelle Risoluzioni (73)22 and (74)29, come pure le garanzie per la protezione dei dati personali relativi alla salute, sancite nella Convenzione per la protezione delle persone rispetto al trattamento di dati a carattere personale; Constatando inoltre che garanzie in questo senso sono previste in molti Stati membri da leggi in vigore o in corso di elaborazione in materia di protezione dei dati come pure in materia di segreto medico e professionale; Considerando che è auspicabile dare ai responsabili delle banche di dati sanitari indicazioni più complete sul modo migliore di mettere in pratica questi principi, tenuto conto del carattere particolare degli schedari informatizzati che essi detengono, Raccomanda ai Governi degli Stati membri: a. di fare in modo che ogni banca di dati sanitari automatizzati creata sul proprio territorio sia sottoposta ad un regolamento che tenga conto dei principi contenuti nell’Allegato alla presente Raccomandazione, b. di portare questa Raccomandazione a conoscenza di tutti i servizi, autorità e istituti, sia pubblici che privati, che gestiscono banche di dati sanitari automatizzati; c. di favorire la presa di coscienza e l’informazione dei membri del personale medico e degli operatori dell’informatica in merito alla protezione dei dati sanitari, e di promuovere a questo riguardo una stretta cooperazione fra le due categorie professionali; 1 Incarica il Segretario Generale del Consiglio d’Europa di portare il contenuto della presente Raccomandazione a conoscenza dei Governi dell’Australia, del Canada, della Finlandia, del Giappone, degli Stati Uniti d’America e della Jugoslavia, come pure del Direttore generale dell’Organizzazione mondiale della sanità. 2 Allegato alla Raccomandazione N. R (81) 1 Principi applicabili alle banche di dati sanitari automatizzati 1. Obiettivi e campo di applicazione della regolamentazione 1.1. I seguenti principi si applicano alle banche di dati automatizzati create a scopo di cure mediche, di sanità pubblica, di gestione dei servizi medici o di sanità pubblica, o di ricerca medica, in cui siano immagazzinate informazioni mediche e, all’occorrenza, informazioni sociali o amministrative connesse relative a soggetti identificati o identificabili (banche di dati sanitari automatizzati). 1.2. Tutte le banche di dati sanitari automatizzati debbono sottostare ad un proprio regolamento specifico conformemente alle leggi dello Stato nel cui territorio esse operano. Il regolamento delle banche di dati sanitari utilizzati nel campo della sanità pubblica, della gestione dei servizi medici e sanitari, o per il progresso della scienza medica, deve rispettare pienamente la preminenza dei diritti e delle libertà dell’individuo. 1.3. Il regolamento deve essere sufficientemente preciso in modo da fornire risposte concrete ai vari problemi suscettibili di porsi durante il funzionamento della banca di dati sanitari in questione. 1.4. Quando una banca di dati sanitari comprende più serie di schedari medici o sottosistemi di dati sanitari, tali componenti devono essere dotati, all’occorrenza, di distinti regolamenti complementari in cui si tenga conto delle rispettive particolarità. 1.5. Le prescrizioni e gli obblighi derivanti dalla presente Raccomandazione dovranno essere debitamente presi in considerazione non solo in rapporto alle banche di dati sanitari che sono operative, ma anche in rapporto a quelle che si trovano in fase di sviluppo. 2. Pubblicità relativa alle banche di dati sanitari automatizzati 2.1. I progetti concernenti la creazione di banche di dati sanitari automatizzati come pure i progetti relativi a modifiche importanti di una banca dati già esistente dovranno essere portati alla previa conoscenza del pubblico. 2.2. Quando una banca di dati sanitari automatizzati diviene operativa, essa deve essere oggetto di una misura di pubblicità che faccia apparire almeno gli elementi seguenti: a. il nome della banca di dati sanitari; b. il riferimento all’atto in virtù del quale la banca è stata creata; 3 c. un riassunto del regolamento della banca dati, e indicazioni che permettano di ottenere o consultare il regolamento integrale della banca dati. 3. Disposizioni essenziali del regolamento della banca dati 3.1. Il regolamento della banca dati dovrà contenere almeno disposizioni concernenti: a. la sua o le sue finalità specifiche; b. le categorie delle informazioni registrate; c. la persona fisica o giuridica per conto della quale la banca dati è utilizzata, e che è abilitata a determinare le categorie di dati che vi saranno trattati; d. la persona o le persone incaricate della sua gestione corrente; e. le categorie di persone abilitate a far registrare i dati, a farli modificare e a farli cancellare (‘generatori di dati’); f. la persona o l’organo - cui certe decisioni dovranno essere sottoposte per l’approvazione, - che controlla l’utilizzazione della banca dati, - cui si può ricorrere in caso di controversia; g. le categorie di persone che, in forza delle loro funzioni, hanno accesso alla banca dati, e le categorie di dati alle quali esse sono abilitate ad accedere; h. la comunicazione di informazioni a terzi; i. la comunicazione di informazioni agli interessati; j. la conservazione prolungata dei dati; k. la procedura riguardante le richieste di utilizzazione dei dati per fini diversi da quelli per cui sono stati rccolti; l. la sicurezza dei dati e delle installazioni; m. le condizioni per permettere un eventuale collegamento con altre banche dati. 4. Registrazione dei dati 4.1. La persona o l’organo responsabile della creazione e/o della gestione di una banca di dati sanitari deve assicurare: a. che le informazioni siano ottenute con mezzi leciti e leali; b. che siano raccolti solo dati adeguati e pertinenti in rapporto alle finalità dichiarate; c. che nei limiti del possibile sia sempre verificata l’esattezza dei dati; d. che il contenuto dello schedario sia aggiornato secondo le esigenze. 4.2. Allo scopo di assicurare, da una parte, l’accesso selettivo alle informazioni in conformità al paragrafo 5.1. e, dall’altra, la sicurezza dell’informazione, gli schedari dovranno in linea generale essere concepiti in modo da permettere la separazione di: a. identificatori e dati relativi all’identità delle persone; 4 b. dati relativi all’amministrazione; c. dati di natura sanitaria; d. dati di carattere sociale. Si dovrà distinguere tra dati oggettivi e dati soggettivi in relazione ai dati menzionati alle lettere c. e d. precedenti. Tuttavia, nel caso in cui si dimostri inutile o impossibile realizzare una tale separazione, dovranno essere prese altre misure per assicurare la protezione della vita privata dei singoli e la riservatezza delle informazioni. 4.3. Le persone presso le quali sono raccolte informazioni sanitarie dovrebbero essere informate della utilizzazione che ne verrà fatta. 5. Accesso alle informazioni e loro utilizzazione 5.1. Come regola generale, l’accesso alle informazioni non può essere accordato che ai membri della professione medica e, nella misura in cui ciò sia stabilito dalla legislazione o dalla prassi nazionali, ai membri del personale paramedico, limitando per entrambi l’accesso ai dati necessari all’espletamento dei compiti specifici. 5.2. Allorché una delle persone di cui si è fatto cenno al paragrafo precedente cessa di esercitare le proprie funzioni, essa non ha più diritto di registrare, modificare, cancellare i dati e non può più accedere ad essi, salvo accordo speciale intercorso con le persone o gli organi menzionati al paragrafo 3.1. (f). 5.3. Le persone di cui al paragrafo 5.1. che hanno accesso ai dati nell’ambito delle proprie funzioni non possono utilizzare tali dati per uno scopo diverso da quello per il quale hanno ottenuto la facoltà di accedere ai dati, a meno che: a. non mettano l’informazione in una forma che renda impossibile l’identificazione della persona interessata; b. tale utilizzazione non sia stata autorizzata dalla persona o dall’organo di cui al paragrafo 3.1. (f); c. tale diversa utilizzazione non sia imposta per legge, fermo restando che il diritto o la prassi nazionali possono imporre un obbligo supplementare inteso ad ottenere il consenso della persona interessata (o, se essa è deceduta, della sua famiglia) o del medico curante. 5.4. Senza il consenso espresso e cosciente della persona interessata, l’esistenza e il contenuto di un dossier medico che la riguarda non possono essere comunicati a persone o organismi estranei al settore delle cure mediche, della sanità pubblica o della ricerca medica, a meno che una tale comunicazione non sia permessa dalle regole del segreto professionale dei medici. 5.5. Il collegamento o il raffronto di informazioni relative ad uno stesso individuo, immagazzinate in più banche di dati sanitari, è possibile se serve per la prestazione di cure mediche, per scopi di sanità pubblica o per la ricerca medica, a condizione che tutto si effettui conformemente a regolamenti specifici. 5 6. La persona interessata e la sua cartella sanitaria 6.1. Si dovranno prendere misure atte a consentire ad ogni soggetto di conoscere l’esistenza e il contenuto delle informazioni che lo riguardano registrate in una banca di dati sanitari. Queste informazioni, se ciò è previsto dal diritto interno, saranno comunicate all’interessato per il tramite del medico curante. Non sarà ammessa alcuna eccezione a tale principio, a meno che essa sia prevista dalla legge o da un regolamento e che riguardi: a. banche di dati che vengono utilizzati solo per fini statistici o di ricerca scientifica, qualora non sussista chiaramente alcun rischio di ledere la vita privata delle persone interessate; b. informazioni la cui conoscenza potrebbe arrecare un danno grave alla persona interessata. 6.2. Chiunque può chiedere la rettifica di dati erronei che lo riguardano e, in caso di rifiuto, fare ricorso alla persona o all’organo previsti al paragrafo 3.1. (f). Una volta che l’informazione sia stata rettificata, può tuttavia essere previsto che sia conservata traccia delle informazioni erronee nella misura in cui la conoscenza di tale errore può risultare utile alla prosecuzione della terapia medica o per scopi di ricerca. 7. Conservazione prolungata dei dati 7.1. In linea di massima, i dati relativi ad un soggetto non devono essere conservati oltre un periodo di tempo ragionevolmente utile al raggiungimento del fine principale. 7.2. Quando si ritenga auspicabile la conservazione di dati sanitari che non sono più utilizzati, nell’interesse della sanità pubblica, della scienza medica o per fini storici o statistici, si dovranno adottare misure tecniche atte a garantire la sicurezza e la conservazione soddisfacenti di tali dati. 8. Obblighi professionali Oltre al personale medico e paramedico, il personale incaricato del trattamento dei dati ed ogni soggetto che partecipi all’ideazione, al funzionamento, all’utilizzazione o alla manutenzione di una banca di dati sanitari deve rispettare il carattere riservato delle informazioni e verificare che ne sia fatta un’utilizzazione corretta. 9. Protezione più estesa 6 Nessuno dei principi enunciati nel presente documento sarà interpretato come limitativo della facoltà riconosciuta ad ogni Stato membro di introdurre disposizioni di legge che garantiscano una protezione più estesa alle persone alle quali si riferiscono i dati sanitari. 7