Da una parte modulistica e procedure inadeguate a celare le informazioni sulla salute dei pazienti, dall’altra regioni i cui database sono troppo accessibili con conseguenze anche gravi sulla tutela del dato sensibile. L’ospedale è sempre più nel mirino del Garante Privacy che a sua volta riscontra come per vari motivi sia “sotto attacco” il provvedimento del 9 novembre 2005 sul “rispetto della dignità del paziente”. L’ultima controffensiva dell’Authority? Nelle certificazioni rilasciate ai pazienti o ai loro accompagnatori per attestare la presenza in ospedale e giustificare ad esempio l’assenza dal lavoro, raccomanda di non indicare la struttura ov’è stata erogata la prestazione, e di non inserire la specialità del sanitario.
«Sono informazioni da cui si risale allo stato di salute», dice l’avvocato Paola Ferrari, esperta di temi sanitari. «Occorre distinguere la modulistica in oggetto dai certificati di malattia rilasciati dall’ospedale e indirizzati all’Inps. Questi ultimi non riportano la diagnosi ma può essere indicata la struttura, ad esempio il pronto soccorso dove il paziente è stato visitato. Dall’altra parte ci sono i certificati per chi si assenta dal lavoro per una visita propria o per un familiare, e frequenta scuole in cui non si può fare oltre un numero di assenze, o lavori dove si sottosta alle regole della dipendenza pur essendo a partita Iva o avendo tutt’al più un contratto di collaborazione continuativa. Ci sono contratti di lavoro interinale per imprese di pulizia dove se figura che sei stato dall’ortopedico i titolari pensano che non sei in grado di continuare e ti tagliano». Il Garante s’è attivato dopo la segnalazione di un paziente che lamentava informazioni sulla sua salute nei moduli rilasciati da un Policlinico. «In questi casi -dice Ferrari – il certificato deve indicare solo il nome dell’ospedale e il nome del medico che ha effettuato la visita dichiarata, senza specificare reparto e specialità». Il Garante richiama il provvedimento 2005, articolo 3 g), nel ribadire che “gli organismi sanitari devono mettere in atto specifiche procedure, anche di formazione del personale, per prevenire che soggetti estranei possano evincere in modo esplicito l’esistenza di uno stato di salute del paziente attraverso la semplice correlazione tra la sua identità e l’indicazione della struttura”.
Il punto subito successivo della disposizione (h) prevede che  i soggetti non tenuti per legge al segreto professionale (lo sportellista Asl) siano sottoposti a regole di condotta analoghe al vincolo del segreto di medici ed infermieri. E sottolinea i rischi “di accesso non autorizzato, che incombono sui dati idonei a rivelare lo stato di salute e le misure disponibili per prevenire effetti dannosi”. L’anno scorso con provvedimento 340 del 3 luglio l’Authority ha intimato a un ospedale bolzanino di fermare l’allestimento di dossier sanitari informatizzati sui pazienti dopo che un’infermiera locale accedendo alla banca dati sanitaria dell’ospedale con la password aveva scoperto e rivelato la sieropositività di una collega. «E’ l’altra faccia della stessa medaglia – spiega Ferrari – in quel contesto si rischia che tutti gli operatori visionino le cartelle cliniche di tutti i cittadini curati; invece l’ingresso al database è possibile solo se il sanitario ha di fronte a sé il cittadino con la sua tessera personale o se come specialista ha il paziente in cura nel suo reparto».

Mauro Miserendino