Il primo comma dell’articolo 4 incrocia il decreto legislativo 33/2013 sulla trasparenza amministrativa con la disciplina della privacy (decreto legislativo 196/3003 che verrà sostituita a maggio 2018 dal regolamento 679/2016). Più esattamente il comma così sancisce: «Le prestazioni sanitarie erogate dalle strutture pubbliche e private sono soggette all’obbligo di trasparenza, nel rispetto del codice in materia di protezione dei dati personali, di cui al Dlgs 196/2003». In altre parole i principi della trasparenza amministrativa (con la possibilità per tutti di presentare il cosiddetto “accesso civico”, che non richiede di dare alcuna motivazione legittimante l’accesso) trovano un limite intrinseco nella disciplina della privacy (che ha ovviamente spazi molto più stretti quando si opera in ambito di dati sensibili).
Di fatto si ribadisce, senza nulla aggiungere, quanto già affermato nell’articolo 5-bis Dlgs 33/2013 che già poneva la disciplina della privacy come limite al principio di accessibilità (la cosiddetta “amministrazione aperta”).
Le istanze di accesso
Qualche spunto in più nel secondo comma che va a dettare regole più precise per l’area sanitaria in relazione alle istanze di accesso ai documenti amministrativi ex legge 241/1990 (che diversamente dall’accesso civico, richiede una motivazione specifica e legittimante a supporto). Qui si accorciano i tempi e – chiedendo l’aggiornamento dei regolamenti interni di Asl e ospedali attuativi della legge 241/1990 – si stabilisce che la documentazione sanitaria richiesta deve essere consegnata in 7 giorni, con tempo massimo per l’integrazione in 30 giorni.
La norma poi, allargando lo spazio applicativo, parla di «documentazione sanitaria»: quindi non si tratta solo degli atti comunemente raccolti nella cartella clinica (in molti casi solo quella medica) ma in generale di tutta la documentazione sanitaria detenuta dalla struttura (magari raccolta nel cosiddetto dossier sanitario) afferente alla vita clinica del paziente (ad esempio cartella infermieristica e/o ostetrica). Attenzione poi ad un inciso quello che prevede la consegna «preferibilmente in formato elettronico».
La portabilità dei dati
Qui la norma anticipa il principio della “portabilità dei dati” contenuto nel regolamento 679/2016 su privacy e data protection (che troverà piena vigenza a maggio 2018) che all’articolo 20 così stabilisce: «L’interessato ha il diritto di ricevere in un formato strutturato, di uso comune e leggibile da dispositivo automatico i dati personali che lo riguardano forniti a un titolare del trattamento e ha il diritto di trasmettere tali dati a un altro titolare del trattamento»; la portata e l’ampiezza della norma appare ancor più importante se si considera che nella Linea guida sul diritto alla portabilità dei dati pubblicata in data 13 dicembre 2016 (versione tradotta in italiano scaricabile oggi dal sito del Garante privacy) si segnala, solo a titolo di esempio, che sono soggetti alla portabilità anche «I dati raccolti attraverso il monitoraggio e la registrazione delle attività delle persona, come ad esempio i dati del battito cardiaco registrati in una app. Chiaro quindi che la combinazione delle due discipline – articolo 4 legge 24/2017 e articolo 20 regolamento 679/2016 – non solo portano ad un ampliamento dei dati accessibili, ma spingono fortemente per gestione dei dati sanitari in formato elettronico. Nessuna innovazione di rilievo invece per quanto attiene i soggetti che avranno diritto a chiedere l’accesso, tra i quali, stanti le modifiche legislative intercorse, sono da ricomprendere anche gli uniti civilmente e i conviventi di fatto.
Fonte: Il Sole 24 Ore