09.3515 · Interpellanza · 2009-06-08
Dipartimento dell'interno
Liquidato
Wortlaut
Nel suo 14° rapporto d'attività pubblicato il 3 marzo 2009, l'incaricato della protezione dei dati del canton Zurigo ha chiaramente messo in evidenza che i cosiddetti "case manager" (gli addetti alla gestione dei casi) degli assicuratori-malattie hanno accesso illimitato ai dati sanitari degli ospedali e violano quindi, in alcuni casi anche gravemente, la protezione dei dati e il segreto professionale fra medico e paziente. Le convenzioni stipulate fra assicuratori e ospedali disciplinano unicamente l'attività di coordinamento del case manager e non contengono disposizioni sufficienti sull'osservanza del segreto professionale fra medico e paziente o indicazioni sull'obbligo di informare da parte dell'assicuratore. Nemmeno la legge sull'assicurazione malattie prevede una regolamentazione in materia.
Gli assicuratori-malattie si procurano dati sanitari sensibili anche senza il consenso dei pazienti, con il risultato che talvolta sono loro i primi a disporre di informazioni concernenti ad esempio la diagnosi, le misure terapeutiche o la possibile durata del ricovero ospedaliero. Sembra inoltre che persino quando viene chiesto il loro consenso, i pazienti non ricevano le spiegazioni necessarie. Questa situazione, di per sé insostenibile, arriva al punto che le assicurazioni sollecitano gli ospedali a comunicare loro i nominativi delle persone che si rifiutano di sottoscrivere la dichiarazione di consenso. È impensabile continuare a tollerare questo stato di cose.
Sulla base di quanto precede, il Consiglio federale è invitato a rispondere alle seguenti domande:
1. Nonostante l'autorità federale di vigilanza sia stata informata da più parti, già nel 2007, sulle pratiche illecite degli assicuratori-malattie, nulla è stato fatto. Per quale motivo?
2. Spesso i case manager ottengono più informazioni del necessario presenziando a rapporti medici o partecipando alla pianificazione delle cure. Qual è l'opinione del Consiglio federale sulla gestione del segreto professionale fra medico e paziente in questi casi?
3. Quale ritiene che sia il seguito della procedura per le pratiche illecite degli assicuratori, che in tal modo violano la legge sulla protezione dei dati?
4. Quali misure sono adottate a tutela dei pazienti e per garantire a lungo termine la conformità ai requisiti della protezione dei dati?
5. Il governo intende prendere sul serio la questione della protezione dei dati nelle convenzioni e procedere a un loro esame accurato per verificarne la conformità al diritto, il rispetto dell'obbligo di informazione e di protezione dei dati?
6. Prevede di modificare la legge? Se sì, con quale orientamento?
Stellungnahme des Bundesrates
1. Come già rilevato dal Consiglio federale nelle risposte a due precedenti interventi parlamentari (postulato Heim 08.3493, domanda Schenker Silvia 09.5060), la protezione dei dati nel settore dell'assicurazione obbligatoria delle cure medico-sanitarie (AOMS) va migliorata. Uno studio di recente pubblicazione condotto congiuntamente dall'Incaricato federale della protezione dei dati e dall'Ufficio federale della sanità pubblica illustra in modo differenziato che, benché gli assicuratori malattie che esercitano l'assicurazione obbligatoria delle cure medico-sanitarie e l'assicurazione facoltativa d'indennità giornaliera conformemente alla legge federale sull'assicurazione malattie (LAMal, RS 832.10) garantiscano ampiamente la protezione dei dati, vi è la necessità di intervenire in alcuni ambiti. In concomitanza con la pubblicazione dello studio sono state indirizzate agli assicuratori malattie le seguenti raccomandazioni la cui attuazione sarà verificata nei prossimi mesi nell'ambito della vigilanza sugli assicuratori malattie:
Ogni assicuratore malattie deve elaborare una strategia di protezione dei dati e tenere un inventario delle collezioni di dati. Per le collezioni contenenti dati personali degni di particolare protezione deve essere elaborato un regolamento sul loro trattamento (descrizione dei processi e delle responsabilità, delle autorizzazioni, del flusso di dati e delle misure tecniche di protezione dei dati). Ogni assicuratore malattie deve designare un responsabile della protezione dei dati e un titolare per ogni collezione di dati. I compiti associati a queste funzioni vanno descritti in un mansionario. I responsabili della protezione dei dati devono disporre delle conoscenze tecniche necessarie. Devono essere organizzati regolarmente audit condotti da organi esterni all'amministrazione, i cui risultati vanno presentati all'autorità di vigilanza.
2. Benché non sia disciplinato esplicitamente nella LAMal, il case management sottostà alle disposizioni di protezione dei dati. Gli assicurati i cui esami e le cui cure sono seguiti da un case manager devono dare il loro consenso libero ed esplicito a questo accompagnamento e al relativo accesso ai dati sulla loro salute, conformemente ai principi della LAMal (p. es. scelta del fornitore di prestazioni o dei metodi di trattamento) e delle pertinenti disposizioni di protezione dei dati. Il consenso è considerato valido se gli assicurati sono stati adeguatamente informati in precedenza dal loro assicuratore malattie e sono consapevoli delle implicazioni che esso comporta. Il fornitore di prestazioni o l'assicuratore malattie deve inoltre informare l'assicurato che il fornitore di prestazioni è autorizzato in situazioni giustificate e obbligato se l'assicurato lo richiede a comunicare dati medici unicamente al medico di fiducia dell'assicurazione malattie.
Gli assicuratori malattie sono autorizzati a trattare i dati personali, inclusi i dati e i profili della personalità particolarmente degni di protezione, di cui necessitano per adempiere i compiti conferiti loro dalla legge, in particolare per valutare il diritto alle prestazioni e l'ammontare delle stesse. Nel fare ciò devono attenersi scrupolosamente al principio di proporzionalità e non possono concludere accordi con i fornitori di prestazioni per accedere a dati sulla salute di assicurati di cui non hanno bisogno per realizzare i compiti attribuiti loro dalla legge.
3./4. La situazione della protezione dei dati nell'ambito del case management varia da un assicuratore malattie all'altro. Le autorità di vigilanza contatteranno pertanto singolarmente gli assicuratori malattie interessati per migliorare tale aspetto.
5. La problematica sollevata dall'Incaricato della protezione dei dati del cantone di Zurigo riguarda convenzioni tra ospedali e assicuratori malattie a livello cantonale. Pertanto la verifica e l'autorizzazione di simili convenzioni (tariffali) spetta alle autorità cantonali. Questo vale anche per il rispetto della protezione dei dati. Per quanto riguarda il disciplinamento delle convenzioni tariffali occorre rammentare che nella sua decisione del 29 maggio 2009 il Tribunale amministrativo federale ha affermato che la trasmissione delle diagnosi e del codice d'intervento con la notifica del ricovero o con l'emissione della fattura - in particolare nell'ambito del principio di proporzionalità e delle altre disposizioni inerenti alla protezione dei dati - è autorizzata unicamente se impostata esattamente secondo il principio dell'intervento minimo.
6. La legge federale sulla protezione dei dati (LPD, RS 235.1) e l'ordinanza relativa alla legge federale sulla protezione dei dati (OLPD; RS 235.11) sono interamente applicabili agli assicuratori malattie in quanto organi federali. L'articolo 33 della legge federale sulla parte generale del diritto delle assicurazioni sociali (LPGA; RS 830.1) prevede un obbligo generale di segreto degli organi di esecuzione delle assicurazioni sociali. Gli articoli 84 e 84a LAMal, nonché gli articoli 59 e 120 dell'ordinanza sull'assicurazione malattie (OAMal; RS 832.102) costituiscono ulteriori disposizioni speciali per il trattamento dei dati personali, per la comunicazione dei dati, per la garanzia della protezione dei dati e per l'informazione degli assicurati da parte degli assicuratori malattie. Considerata l'esistenza di queste norme di protezione dei dati nel settore dell'assicurazione malattie non è necessario introdurre altre disposizioni di protezione dei dati per il case management.
Risposta del Consiglio federale.