RACCOMANDAZIONE N. R

CONSIGLIO D’EUROPA
RACCOMANDAZIONE N. R (81) 1
DEL COMITATO DEI MINISTRI AGLI STATI MEMBRI
RELATIVA ALLA REGOLAMENTAZIONE APPLICABILE
ALLE BANCHE DI DATI SANITARI AUTOMATIZZATI
(adottata dal comitato dei Ministri il 23 gennaio 1981
nel corso della 328a riunione dei Delegati dei Ministri)
Il Comitato dei Ministri, ai sensi dell’art. 15(b) dello Statuto del Consiglio
d’Europa,
Considerando che scopo del Consiglio d’Europa è di realizzare un’unione più
stretta fra i suoi membri;
Consapevole del fatto che il computer è sempre più utilizzato per le cure
mediche, la ricerca medica, la gestione ospedaliera e gli schedari di sanità pubblica;
Persuaso che è importante garantire il carattere riservato e la sicurezza delle
informazioni personali immagazzinate negli schedari e verificare che di essi sia fatto un
uso eticamente corretto;
Richiamando i principi generali relativi alla protezione dei dati nei settori privato
e pubblico definiti nelle Risoluzioni (73)22 and (74)29, come pure le garanzie per la
protezione dei dati personali relativi alla salute, sancite nella Convenzione per la
protezione delle persone rispetto al trattamento di dati a carattere personale;
Constatando inoltre che garanzie in questo senso sono previste in molti Stati
membri da leggi in vigore o in corso di elaborazione in materia di protezione dei dati
come pure in materia di segreto medico e professionale;
Considerando che è auspicabile dare ai responsabili delle banche di dati sanitari
indicazioni più complete sul modo migliore di mettere in pratica questi principi, tenuto
conto del carattere particolare degli schedari informatizzati che essi detengono,
Raccomanda ai Governi degli Stati membri:
a. di fare in modo che ogni banca di dati sanitari automatizzati creata sul proprio
territorio sia sottoposta ad un regolamento che tenga conto dei principi contenuti
nell’Allegato alla presente Raccomandazione,
b. di portare questa Raccomandazione a conoscenza di tutti i servizi, autorità e
istituti, sia pubblici che privati, che gestiscono banche di dati sanitari automatizzati;
c. di favorire la presa di coscienza e l’informazione dei membri del personale
medico e degli operatori dell’informatica in merito alla protezione dei dati sanitari, e di
promuovere a questo riguardo una stretta cooperazione fra le due categorie
professionali;
1
Incarica il Segretario Generale del Consiglio d’Europa di portare il contenuto
della presente Raccomandazione a conoscenza dei Governi dell’Australia, del Canada,
della Finlandia, del Giappone, degli Stati Uniti d’America e della Jugoslavia, come pure
del Direttore generale dell’Organizzazione mondiale della sanità.
2
Allegato alla Raccomandazione N. R (81) 1
Principi applicabili alle banche di dati sanitari automatizzati
1. Obiettivi e campo di applicazione della regolamentazione
1.1. I seguenti principi si applicano alle banche di dati automatizzati create a scopo di
cure mediche, di sanità pubblica, di gestione dei servizi medici o di sanità pubblica, o di
ricerca medica, in cui siano immagazzinate informazioni mediche e, all’occorrenza,
informazioni sociali o amministrative connesse relative a soggetti identificati o
identificabili (banche di dati sanitari automatizzati).
1.2. Tutte le banche di dati sanitari automatizzati debbono sottostare ad un proprio
regolamento specifico conformemente alle leggi dello Stato nel cui territorio esse
operano.
Il regolamento delle banche di dati sanitari utilizzati nel campo della sanità pubblica,
della gestione dei servizi medici e sanitari, o per il progresso della scienza medica, deve
rispettare pienamente la preminenza dei diritti e delle libertà dell’individuo.
1.3. Il regolamento deve essere sufficientemente preciso in modo da fornire risposte
concrete ai vari problemi suscettibili di porsi durante il funzionamento della banca di
dati sanitari in questione.
1.4. Quando una banca di dati sanitari comprende più serie di schedari medici o
sottosistemi di dati sanitari, tali componenti devono essere dotati, all’occorrenza, di
distinti regolamenti complementari in cui si tenga conto delle rispettive particolarità.
1.5. Le prescrizioni e gli obblighi derivanti dalla presente Raccomandazione dovranno
essere debitamente presi in considerazione non solo in rapporto alle banche di dati
sanitari che sono operative, ma anche in rapporto a quelle che si trovano in fase di
sviluppo.
2. Pubblicità relativa alle banche di dati sanitari automatizzati
2.1. I progetti concernenti la creazione di banche di dati sanitari automatizzati come
pure i progetti relativi a modifiche importanti di una banca dati già esistente dovranno
essere portati alla previa conoscenza del pubblico.
2.2. Quando una banca di dati sanitari automatizzati diviene operativa, essa deve essere
oggetto di una misura di pubblicità che faccia apparire almeno gli elementi seguenti:
a. il nome della banca di dati sanitari;
b. il riferimento all’atto in virtù del quale la banca è stata creata;
3
c. un riassunto del regolamento della banca dati, e indicazioni che permettano di
ottenere o consultare il regolamento integrale della banca dati.
3. Disposizioni essenziali del regolamento della banca dati
3.1. Il regolamento della banca dati dovrà contenere almeno disposizioni concernenti:
a. la sua o le sue finalità specifiche;
b. le categorie delle informazioni registrate;
c. la persona fisica o giuridica per conto della quale la banca dati è utilizzata, e
che è abilitata a determinare le categorie di dati che vi saranno trattati;
d. la persona o le persone incaricate della sua gestione corrente;
e. le categorie di persone abilitate a far registrare i dati, a farli modificare e a
farli cancellare (‘generatori di dati’);
f. la persona o l’organo
- cui certe decisioni dovranno essere sottoposte per l’approvazione,
- che controlla l’utilizzazione della banca dati,
- cui si può ricorrere in caso di controversia;
g. le categorie di persone che, in forza delle loro funzioni, hanno accesso alla
banca dati, e le categorie di dati alle quali esse sono abilitate ad accedere;
h. la comunicazione di informazioni a terzi;
i. la comunicazione di informazioni agli interessati;
j. la conservazione prolungata dei dati;
k. la procedura riguardante le richieste di utilizzazione dei dati per fini diversi da
quelli per cui sono stati rccolti;
l. la sicurezza dei dati e delle installazioni;
m. le condizioni per permettere un eventuale collegamento con altre banche dati.
4. Registrazione dei dati
4.1. La persona o l’organo responsabile della creazione e/o della gestione di una banca
di dati sanitari deve assicurare:
a. che le informazioni siano ottenute con mezzi leciti e leali;
b. che siano raccolti solo dati adeguati e pertinenti in rapporto alle finalità
dichiarate;
c. che nei limiti del possibile sia sempre verificata l’esattezza dei dati;
d. che il contenuto dello schedario sia aggiornato secondo le esigenze.
4.2. Allo scopo di assicurare, da una parte, l’accesso selettivo alle informazioni in
conformità al paragrafo 5.1. e, dall’altra, la sicurezza dell’informazione, gli schedari
dovranno in linea generale essere concepiti in modo da permettere la separazione di:
a. identificatori e dati relativi all’identità delle persone;
4
b. dati relativi all’amministrazione;
c. dati di natura sanitaria;
d. dati di carattere sociale.
Si dovrà distinguere tra dati oggettivi e dati soggettivi in relazione ai dati menzionati
alle lettere c. e d. precedenti.
Tuttavia, nel caso in cui si dimostri inutile o impossibile realizzare una tale separazione,
dovranno essere prese altre misure per assicurare la protezione della vita privata dei
singoli e la riservatezza delle informazioni.
4.3. Le persone presso le quali sono raccolte informazioni sanitarie dovrebbero essere
informate della utilizzazione che ne verrà fatta.
5. Accesso alle informazioni e loro utilizzazione
5.1. Come regola generale, l’accesso alle informazioni non può essere accordato che ai
membri della professione medica e, nella misura in cui ciò sia stabilito dalla legislazione
o dalla prassi nazionali, ai membri del personale paramedico, limitando per entrambi
l’accesso ai dati necessari all’espletamento dei compiti specifici.
5.2. Allorché una delle persone di cui si è fatto cenno al paragrafo precedente cessa di
esercitare le proprie funzioni, essa non ha più diritto di registrare, modificare, cancellare
i dati e non può più accedere ad essi, salvo accordo speciale intercorso con le persone o
gli organi menzionati al paragrafo 3.1. (f).
5.3. Le persone di cui al paragrafo 5.1. che hanno accesso ai dati nell’ambito delle
proprie funzioni non possono utilizzare tali dati per uno scopo diverso da quello per il
quale hanno ottenuto la facoltà di accedere ai dati, a meno che:
a. non mettano l’informazione in una forma che renda impossibile
l’identificazione della persona interessata;
b. tale utilizzazione non sia stata autorizzata dalla persona o dall’organo di cui al
paragrafo 3.1. (f);
c. tale diversa utilizzazione non sia imposta per legge,
fermo restando che il diritto o la prassi nazionali possono imporre un obbligo
supplementare inteso ad ottenere il consenso della persona interessata (o, se essa è
deceduta, della sua famiglia) o del medico curante.
5.4. Senza il consenso espresso e cosciente della persona interessata, l’esistenza e il
contenuto di un dossier medico che la riguarda non possono essere comunicati a persone
o organismi estranei al settore delle cure mediche, della sanità pubblica o della ricerca
medica, a meno che una tale comunicazione non sia permessa dalle regole del segreto
professionale dei medici.
5.5. Il collegamento o il raffronto di informazioni relative ad uno stesso individuo,
immagazzinate in più banche di dati sanitari, è possibile se serve per la prestazione di
cure mediche, per scopi di sanità pubblica o per la ricerca medica, a condizione che
tutto si effettui conformemente a regolamenti specifici.
5
6. La persona interessata e la sua cartella sanitaria
6.1. Si dovranno prendere misure atte a consentire ad ogni soggetto di conoscere
l’esistenza e il contenuto delle informazioni che lo riguardano registrate in una banca di
dati sanitari.
Queste informazioni, se ciò è previsto dal diritto interno, saranno comunicate
all’interessato per il tramite del medico curante.
Non sarà ammessa alcuna eccezione a tale principio, a meno che essa sia prevista dalla
legge o da un regolamento e che riguardi:
a. banche di dati che vengono utilizzati solo per fini statistici o di ricerca
scientifica, qualora non sussista chiaramente alcun rischio di ledere la vita privata delle
persone interessate;
b. informazioni la cui conoscenza potrebbe arrecare un danno grave alla persona
interessata.
6.2. Chiunque può chiedere la rettifica di dati erronei che lo riguardano e, in caso di
rifiuto, fare ricorso alla persona o all’organo previsti al paragrafo 3.1. (f).
Una volta che l’informazione sia stata rettificata, può tuttavia essere previsto che sia
conservata traccia delle informazioni erronee nella misura in cui la conoscenza di tale
errore può risultare utile alla prosecuzione della terapia medica o per scopi di ricerca.
7. Conservazione prolungata dei dati
7.1. In linea di massima, i dati relativi ad un soggetto non devono essere conservati
oltre un periodo di tempo ragionevolmente utile al raggiungimento del fine principale.
7.2. Quando si ritenga auspicabile la conservazione di dati sanitari che non sono più
utilizzati, nell’interesse della sanità pubblica, della scienza medica o per fini storici o
statistici, si dovranno adottare misure tecniche atte a garantire la sicurezza e la
conservazione soddisfacenti di tali dati.
8. Obblighi professionali
Oltre al personale medico e paramedico, il personale incaricato del trattamento dei dati
ed ogni soggetto che partecipi all’ideazione, al funzionamento, all’utilizzazione o alla
manutenzione di una banca di dati sanitari deve rispettare il carattere riservato delle
informazioni e verificare che ne sia fatta un’utilizzazione corretta.
9. Protezione più estesa
6
Nessuno dei principi enunciati nel presente documento sarà interpretato come limitativo
della facoltà riconosciuta ad ogni Stato membro di introdurre disposizioni di legge che
garantiscano una protezione più estesa alle persone alle quali si riferiscono i dati
sanitari.
7