Sempre escluso l’accesso civico generalizzato ai dati relativi alla salute

Accesso civico – Commento al provvedimento del Garante per la protezione dei dati personali: n. 381 del 18-11-2022.

1. Il fatto

Il responsabile della prevenzione della corruzione e della trasparenza (RPCT) dell’azienda USL Toscana Centro richiedeva al Garante per la protezione dei dati personali un parere ai sensi del d. lgs. 33/2013 con riferimento ad una richiesta di accesso civico ricevuta dall’azienda sanitaria.
In particolare, l’Azienda USL Toscana Centro aveva ricevuto una richiesta di accesso civico generalizzato, ai sensi dell’art. 5 del d.lgs. 33/2013, con cui il richiedente voleva avere copia di quelli che definiva “registri di corsia” di un ospedale facente parte dell’azienda sanitaria. Quest’ultima riscontrava la richiesta, chiedendo chiarimenti all’istante su quali documenti intendesse in maniera specifica e precisando che l’istanza sembrava qualificabile come avanzata ai sensi della L. 241/90 (come accesso agli atti amministrativi) e pertanto avrebbe dovuto essere specificato l’interesse dell’istante che la giustificasse.
L’istante, quindi, identificava i documenti richiesti in copia nel “Registro giornaliero delle attività di reparto/corsia” e nel “Registro giornaliero pazienti in reparto con la relativa movimentazione camere/letti, nel caso anche con la sola indicazione dei numeri camera/letti”, nonché insisteva nel qualificare l’istanza come accesso civico generalizzato.
Poiché l’azienda sanitaria non forniva riscontro all’istante, quest’ultimo si rivolgeva al RPCT, chiedendo un riesame della questione. Il RPCT formulava, quindi, la richiesta di parere al Garante.
Potrebbero interessarti anche:

• Algoritmi nel settore sanitario sotto la lente del Garante
• Vademecum “privacy” per il medico di medicina generale

2. Le valutazioni del Garante

Preliminarmente, il Garante ha ricordato che, secondo quanto previsto dal D. lgs. 33/2013 in tema di accesso civico, chiunque ha diritto di accedere ai dati e ai documenti detenuti dalle pubbliche amministrazioni, ulteriori rispetto a quelli oggetto di pubblicazione, purché nel rispetto dei limiti relativi alla tutela di interessi giuridicamente rilevanti.
In particolare, per quanto concerne i limiti dettati dalla protezione dei dati personali degli interessati, la normativa in questione stabilisce che l’accesso civico è escluso in tutti i casi in cui la legge preveda un divieto di accesso o di divulgazione dei dati personali ed in ogni caso detto accesso civico deve essere rifiutato se il diniego è necessario per evitare un pregiudizio concreto alla tutela dei dati personali.
Ciò detto, il Garante ha precisato cosa deve intendersi per dato personale (cioè qualsiasi informazione riguardante una persona fisica identificata o identificabile) e che si considera “identificabile” la persona fisica che può essere identificata, direttamente o indirettamente, con particolare riferimento a un identificativo come il nome, un numero di identificazione, dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale. Invece, per dati relativi alla salute, devono intendersi i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute.
Ebbene, il Regolamento europeo per la protezione dei dati personali (GDPR) stabilisce che i dati relativi alla salute rientrano all’interno delle “categorie particolari di dati personali” e che detti dati non possono essere oggetto di trattamento, a meno che non ricorra una delle eccezioni previste dallo stesso GDPR.
Analoga disposizione che prevede il divieto di trattamento dei dati relativi alla salute è rinvenibile anche nel codice privacy italiano e dallo stesso d. lgs. 33/2013 in materia di trasparenza delle pubbliche amministrazioni.
Pertanto, l’amministrazione pubblica chiamata a decidere su di un’istanza di accesso civico generalizzato, in primo luogo, deve valutare se vi siano dei divieti di divulgazione dei dati contenuti nei documenti di cui si chiede l’ostensione che siano previsti dalla legge. In caso di esito positivo di detta verifica, l’amministrazione deve escludere l’accesso civico senza dover compiere alcun’altra valutazione sull’ostensibilità del documento.

3. Il parere del Garante

Nel caso di specie, l’istante ha richiesto all’azienda sanitaria l’accesso, in primo luogo, al “Registro giornaliero delle attività di reparto/corsia”.
Dall’esame effettuato dei documenti, il Garante ha appurato che l’amministrazione in questione non detiene un documento come quello richiesto dall’istante e che le informazioni richieste da quest’ultimo potrebbero solo essere estrapolate singolarmente dalle cartelle cliniche dei pazienti ricoverati. Per tale ragione, il RPCT ha sostenuto di non poter accogliere la richiesta di accesso perché il documento non è presente nella struttura.
Secondo il Garante, la questione esula dai profili di competenza del Garante stesso (non riguardando dati personali), ma ricorda comunque che secondo le linee guida ANAC, l’amministrazione non ha l’obbligo di rielaborare i dati ai fini dell’accesso generalizzato, ma solo di consentire l’accesso ai documenti dove sono contenute le informazioni già detenute e gestite dall’amministrazione.
In secondo luogo, l’istante ha chiesto copia del registro giornaliero dei pazienti presenti in reparto o in corsi durante 25 giorni ben identificati (cioè dal 8.3.22 al 2.4.22), con specifica indicazione delle camere e dei letti.
Dall’esame del suddetto documento effettuato dal Garante, è emerso che detto contiene numerosi dati del paziente, quali nome e cognome, data di nascita, la patologia, nonché il giorno di riferimento, il nome dell’ospedale, la specialistica medica relativa al ricovero, il reparto, l’ultimo posto letto, la data del ricovero, la data di dimissione, il numero di giorni di degenza, il numero di presenti giornalieri.
Secondo il Garante, si tratta di dati e informazioni personali che sono qualificabili come dati relativi alla salute, in quanto riguardano persone ricoverate in ospedale e attengono alla prestazione di servizi di assistenza sanitaria.
Ebbene, in considerazione della normativa in materia di accesso civico sopra esposta, per il suddetto registro è escluso l’accesso civico generalizzato, in quanto la legge prevede un esplicito divieto di divulgazione dei suddetti dati che sono ivi contenuti.
Stante la suddetta esclusione, l’amministrazione è obbligata a rifiutare l’accesso, senza dover compiere ulteriori e diverse valutazioni sulla possibile sussistenza di un pregiudizio per i soggetti interessati.
Inoltre, precisa il Garante, le informazioni contenute nel suddetto registro non possono neanche essere parzialmente rese accessibili all’istante, per esempio mediante oscuramento dei nominativi degli interessati. Ciò in quanto, dette informazioni potrebbero comunque permettere la re-identificazione dei soggetti interessati medesimi, attraverso gli ulteriori dati contenuti nel registro o comunque attraverso diversi dati in possesso di terzi. In tal modo, quindi, si potrebbe comunque risalire ai dati relativi alla salute degli interessati.
In conclusione, il Garante ha evidenziato come l’istante abbia comunque la possibilità di accedere ai dati personali in questione ai sensi della normativa in materia di accesso ai documenti amministrativi ex L. 240/1990, qualora sussista un interesse qualificato dell’istante (interesse che deve comunque essere di rango pari ai diritti dell’interessato).

>>>Per approfondire<<<
L’opera consigliata mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti.