Diritto di accesso ai dati clinici di una persona defunta, come esercitarlo - Riskmanagement

Diritto di accesso ai dati clinici di una persona defunta, come esercitarlo

La legislazione prevede che il fascicolo sanitario, la cartella clinica o la documentazione sanitaria di un paziente deceduto possano essere richiesti dai parenti che ne esercitano il diritto riconosciuto. Chi può esercitare questo diritto e in quali modi

05 Ott 2021

Alberto Stefani

Data Protection Officer, Consulente cybersecurity 

La legge impone che la direzione sanitaria della struttura che gestisce i dati clinici, sia essa pubblica o privata, entro sette giorni dalla presentazione della richiesta da parte degli interessati aventi diritto, nel rispetto della disciplina sull’accesso ai documenti amministrativi e da quanto previsto dal GDPR, fornisca la documentazione sanitaria disponibile relativa al paziente. Le eventuali integrazioni alla documentazione di esami e referti devono essere fornite, in ogni caso, entro il termine massimo di trenta giorni dalla presentazione della suddetta richiesta. Cosa accade nel caso in cui i dati clinici siano appartenuti a una persona defunta e a farne richiesta siano gli eredi? Tale evento, all’apparenza di facile gestione, diventa molto più delicato quando il contesto che ne pretende la consegna, è determinato da puri interessi economici tra parenti sullo stesso asse ereditario.

Dati clinici: cosa prevede la legislazione

La legislazione corrente prevede che il fascicolo sanitario, la cartella clinica o la documentazione sanitaria di un paziente deceduto possano essere richiesti dai parenti che ne esercitano il diritto riconosciuto.

WHITEPAPER
Gestione dei contratti e GDPR: guida all’esternalizzazione di attività dei dati personali
Legal
Privacy

La struttura sanitaria non può omettere un atto ufficiale, reso nei limiti e nelle modalità consentite, rifiutando la consegna della documentazione sanitaria di un deceduto senza giustificato motivo.

Il Codice civile all’Art. 536, così come l’Art. 2-terdecies Nuovo Codice Privacy – D.lgs 196/2003 aggiornato dal D.lgs 101/2018, e il Consiglio di Stato nella sentenza n. 2866/2008 riconoscono, come soggetti aventi diritto di accesso alla documentazione sanitaria del defunto, gli eredi legittimi del defunto.

Secondo il Codice civile, può richiedere la cartella clinica di un defunto soltanto un suo legittimario e, nello specifico: il coniuge; i figli naturali o adottivi; gli ascendenti (in mancanza dei parenti sopracitati); i discendenti dei figli naturali o legittimi in mancanza dei figli e del coniuge); gli eredi testamentari.

Il Codice della privacy consente di accedere ai dati clinici di un defunto a chi ha un interesse proprio o agisce a tutela dell’interessato oppure per motivi familiari meritevoli di tutela, ritenendo che non sia compromessa la garanzia dei dati personali della persona deceduta. L’Autorità specifica che l’interessato, cioè il legittimario ha il diritto ad accedere alla cartella clinica del defunto senza essere tenuto a fornire delle giustificazioni sui motivi di tale richiesta.

Il Consiglio di Stato menziona, sempre nella sentenza n. 2866/2008, un semplice concetto ovvero che: “se in vita due parenti stretti hanno titolo ad intervenire in questioni così rilevanti come la salute di uno di loro quando è impossibilitato a farlo personalmente, a maggior ragione quando uno dei due viene a mancare l’altro ha il diritto di accedere a tutte le informazioni di carattere sanitario che riguardano la persona defunta”.

I dati clinici del defunto: le connessioni con il GDPR

Proviamo a spiegare nel dettaglio i risvolti degli eventi sopra citati in relazione al GDPR poiché ricchi di particolarità.

Tra i casi da ricordare in cui GDPR non viene applicato è importante ricordare, al Considerando 27, l’esclusione dell’applicazione della normativa ai dati delle persone decedute.

Occorre però aggiungere che sempre il Considerando 27 prevede che “Gli Stati membri possono prevedere norme riguardanti il trattamento dei dati personali delle persone decedute”.

L’Italia rientra tra gli stati che hanno colto questa facoltà intervenendo sul famoso decreto legislativo 101/2018, il quale ha previsto, con l’art. 2-terdecies, l’estensione delle norme del GDPR anche ai trattamenti dei dati personali di persone decedute.

I diritti relativi ai dati personali dei defunti possono essere esercitati da chi ha un interesse proprio, oppure agisce a tutela del defunto per ragioni familiari meritevoli di protezione.

Nell’articolo articolo 2-terdecies oltre al riconoscimento dei diritti espressi nel GDPR dagli articoli 15 a 22, aggiunge un’importante limitazione ossia che tali diritti non possano essere esercitati se l’interessato lo ha espressamente vietato con dichiarazione scritta comunicata al titolare del trattamento.

Naturalmente tale divieto non può produrre effetti pregiudizievoli per l’esercizio da parte di terzi dei diritti e del diritto di difendere i propri interessi.

Purtroppo, nell’ultimo anno e mezzo, a causa della pandemia, l’ecatombe provocata, in taluni casi ha provocato per gli eredi interrogativi difficili da risolvere dando origine a pretese di conoscenza sulle dinamiche che hanno colpito i propri cari all’interno delle strutture sanitarie.

Le procedure per la richiesta della documentazione

Per quanto riguarda gli aspetti procedurali per richiedere la cartella clinica di un defunto, il parente legittimario dovrà rivolgersi al sanitario in possesso dei dati o all’ufficio competente della struttura sanitaria e compilare il modulo denominatoModello sull’esercizio dei diritti in materia di protezione dei dati personaliunito all’autocertificazione attestante la qualità di erede legittimo indicando il rapporto di parentela con il defunto, i dati anagrafici del paziente, la data di decesso, la sede in cui il paziente era al momento del decesso. Alla suddetta richiesta andrà allegata la fotocopia del documento di identità del richiedente.

Diritto di accesso ai dati clinici della persona defunta, le Faq

  • Quale norma prevede questo tipo di accesso?

Art. 2 – terdecies del D. lgs. n. 196/2003 e s.m.i., Codice in materia di protezione dei dati personali.

  • Chi può chiedere l’accesso?

Chi ha un interesse proprio, chi agisce a tutela dell’interessato, come suo mandatario o per ragioni familiari meritevoli di protezione.

  • A chi può essere avanzata la richiesta di accesso?

Al Titolare del trattamento (ossia alla Società, alla Pubblica Amministrazione, al libero professionista, ecc. che determina le finalità e tratta i dati dell’interessato) anche per il tramite del Responsabile per la protezione dei dati personali, laddove nominato.

  • Che cosa si può chiedere?

Si può chiedere l’accesso ai dati personali della persona deceduta, di conoscere le finalità del trattamento, le categorie di dati, i destinatari o le categorie di destinatari a cui i dati sono o saranno comunicati, il periodo di conservazione dei dati o i criteri utilizzati per determinarlo, l’origine dei dati, nonché di conoscere l’esistenza di un processo decisionale automatizzato, compresa la profilazione o trasferimenti dei propri dati fuori dall’Unione Europea.

  • Ci sono costi da sostenere?

No. Tuttavia, se le richieste dell’interessato sono manifestamente infondate o eccessive, in particolare per il loro carattere ripetitivo, il Titolare del trattamento può addebitare un contributo spese ragionevole, tenendo conto dei costi amministrativi sostenuti per fornire le informazioni (vedi art. 12, par. 5, del GDPR).

  • Ci sono eccezioni o limiti?

Sì. Il diritto di accesso ai dati di persone decedute è escluso nei casi previsti dalla legge o quando, limitatamente all’offerta diretta di servizi della società dell’informazione, la persona deceduta lo abbia espressamente vietato con dichiarazione scritta comunicata al Titolare del trattamento. Tale divieto non può produrre effetti pregiudizievoli per l’esercizio da parte dei terzi dei diritti patrimoniali che derivano dalla morte dell’interessato nonché del diritto di difendere in giudizio i propri interessi (vedi art. 2- terdecies del D. lgs. n. 196/2003 e s.m.i., Codice in materia di protezione dei dati personali).

  • In quanto tempo deve essere fornita una risposta?

Entro un mese dalla richiesta, salvo eventuali proroghe nei casi previsti dall’art. 12 del GDPR.

Conclusioni

Ogni volta che, per svariati motivi, entriamo all’interno di una struttura sanitaria viene creata la nostra cartella clinica ove all’interno vengono riportate tutte le informazioni necessarie alle nostre cure e alle nostre patologie. In questo ultimo periodo, come un po’in tutti i settori, si sta cercando di digitalizzare i processi ed introdurre la cartella clinica elettronica denominata anche CCE.

Come è noto, tutti i dati vengono inseriti nella cartella clinica, cartacea o digitale, oppure nel fascicolo sanitario ove sono raccolte tutte le informazioni sulle condizioni di salute del paziente in cura durante la sua permanenza all’interno della struttura sanitaria.

Penso sia inutile affermare che avere accesso alla propria cartella clinica è un diritto di ogni cittadino. Inoltre, come tutela ulteriore è bene ricordare che, in caso avvengano ritardi non giustificati nella consegna, di rifiuto o difficoltà inspiegabili, i cittadini possono sporgere una denuncia formale per “omissione di atti d’ufficio” richiamando l’articolo 328 del Codice penale.

WEBINAR
28 Ottobre 2021 - 12:00
FORUM PA 2021- Sanità: Cybersecurity, conoscere per non rischiare
Sicurezza
Cybersecurity
@RIPRODUZIONE RISERVATA
S
Alberto Stefani
Data Protection Officer, Consulente cybersecurity 
Argomenti trattati

Approfondimenti

D
data privacy
G
GDPR
P
privacy
S
sanità

Articolo 1 di 5