Sono riconosciuti diritti della persona a cui i dati si riferiscono:
- ottenere conferma dell’esistenza di propri dati;
- averne comunicazione in forma intelligibile;
- avere indicazione di: origine dei dati, finalità e modalità del trattamento, estremi del titolare, dei responsabili, soggetti a cui i dati possono essere comunicati;
- ottenere: aggiornamento, rettifica o integrazione di dati; cancellazione, trasformazione anonima o blocco di dati trattati in violazione di legge;
- opporsi, per motivi legittimi, al trattamento di propri dati.
Di norma prima del trattamento, l’interessato deve ricevere debita informativa, preferibilmente, ma non necessariamente, scritta; stesse prerogative anche per il consenso, da ottenere sempre prima del trattamento; in talune circostanze, è consentito provvedere successivamente, seppur senza ritardo, quando:
- vi sia impossibilità fisica, incapacità di agire o di intendere o volere dell’interessato e non sia disponibile alcun’altra persona, abilitata all’espressione del consenso;
- sussista rischio grave, imminente e irreparabile per la salute o l’incolumità fisica dell’interessato;
- la previa acquisizione potrebbe compromettere l’efficacia o la tempestività della prestazione medica.
Speciale tutela è prevista per i dati genetici, per i quali è intervenuta apposita autorizzazione del Garante il 22/2/2007.
Particolare attenzione è poi riservata agli archivi cartacei. Le misure minime da adottare sono:
- aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati o alle unità organizzative;
- previsione di procedure per un’idonea custodia di atti e documenti affidati agli incaricati per lo svolgimento dei relativi compiti;
- previsione di procedure per la conservazione di determinati atti in archivi ad accesso selezionato e disciplina delle modalità di accesso finalizzata all’identificazione degli incaricati.
Agli incaricati devono essere impartite istruzioni scritte finalizzate al controllo e alla custodia, per l’intero ciclo necessario allo svolgimento delle operazioni di trattamento, degli atti e dei documenti contenenti dati personali.
L’accesso agli archivi contenenti dati sensibili o giudiziari deve essere controllato. Le persone ammesse, a qualunque titolo, devono essere identificate e registrate: quando gli archivi non sono dotati di strumenti elettronici per il controllo degli accessi o di incaricati della vigilanza, le persone che vi accedono devono essere preventivamente autorizzate.
La corretta gestione dei dati sanitari include anche un’adeguata conservazione degli stessi. L’attività di conservazione e archiviazione deve essere rispettosa dei disposti normativi in materia archivistica e di quelli inerenti alla tutela della privacy. I rischi attinenti alla custodia dei documenti sanitari su supporto cartaceo possono ricondursi a:
- accesso indebito;
- falsificazione;
- smarrimento, sottrazione;
- deterioramento, distruzione.
La struttura sanitaria deve individuare il responsabile di ogni archivio contenente documenti sanitari, nel rispetto delle norme stabilite dal D. Lgs. 196/2003.
In caso di distruzione o perdita di dati sanitari come ad esempio una cartella clinica, mancando specifiche disposizioni, si suggerisce di procedere in analogia a quanto avviene per gli atti di procedimenti giudiziari. In ordine di priorità, si collocano:
- la surrogazione: si sostituisce all’originale una sua copia autentica, se esistente, acquisibile anche con richiesta a un possessore esterno;
- la ricostituzione: sulla base degli elementi disponibili. In un documento così prodotto occorre un’attestazione che si tratta di “documento ricostituito”;
- la rinnovazione: estremo rimedio, solo se possibile ripetere, in pari condizioni, un accertamento di cui manca l’esito. Sull’esito dell’indagine rinnovata – recante la data reale di esecuzione – deve essere dato atto che trattasi di rinnovazione.