Negli ultimi anni le strutture sanitarie hanno notevolmente incrementato l’utilizzo di sistemi informativi per la gestione della documentazione sanitaria, tanto che il Garante per la protezione dei dati personale ha ritenuto necessario adottare le misure idonee a conformare i trattamenti dei dati personali, con particolare attenzione a quelli idonei a rivelare lo stato di salute, alla vigente disciplina sulla protezione dei dati personali che tenga conto dell’esperienza maturata e dell’evoluzione normativa rispetto alle “Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario”, adottate dal Garante con provvedimento del 16 luglio 2009.
Per soddisfare tale necessità, sono state pubblicate sulla Gazzetta Ufficiale della Repubblica Italiana n. 164 del 17 luglio 2015 il provvedimento 4 giugno 2015 del Garante per la protezione dei dati personali recante “Linee guida in materia di Dossier sanitario”.
Mentre nel fascicolo sanitario elettronico confluisce l’intera storia clinica di una persona generata da più strutture sanitarie, il dossier sanitario è l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato, messi in condivisione logica dai professionisti sanitari che lo assistono, al fine di documentarne la storia clinica e di offrirgli un migliore processo di cura. In particolare, il dossier è costituito presso un organismo sanitario in qualità di unico titolare del trattamento, al cui interno operino più professionisti.
Le Linee guida in materia di Dossier sanitario prevedono l’obbligo in capo alla struttura sanitaria di consentire al paziente di scegliere, in piena libertà, se costituire o meno il dossier sanitario. In assenza del consenso, il medico potrà utilizzare solo le informazioni rese in quel momento dal paziente, o in precedenti prestazioni fornite dallo stesso professionista.
Inoltre, la mancanza del consenso non deve incidere minimamente sulla possibilità di accedere alle cure richieste, mentre occorre un consenso specifico per poter inserire nel dossier informazioni particolarmente delicate, come le infezioni Hiv, gli interventi di interruzione volontaria della gravidanza, i dati relativi ad atti di violenza sessuale o di pedofilia.
Al fine di consentire al paziente una scelta libera è consapevole, è previsto l’obbligo della struttura fornirgli, in modo chiaro, tutte le informazioni su chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere.
La struttura sanitaria, inoltre, dovrà garantire al paziente l’esercizio dei diritti riconosciuti dal Codice privacy (accesso ai dati, integrazione, rettifica, etc.) e la conoscenza del reparto, della data e dell’orario in cui è avvenuta la consultazione del suo dossier. Inoltre, al paziente dovrà essere garantita anche la possibilità di “oscurare” alcuni dati, o documenti sanitari, che non intende inserire nel dossier.
Considerata la particolare delicatezza del dossier, il Garante ha prescritto l’adozione di elevate misure di sicurezza tra cui, in particolare, la separazione dei dati sulla salute rispetto agli altri dati personali, oltre all’obbligo di individuare criteri per la cifratura dei dati sensibili. L’accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura, e ogni accesso e ogni operazione effettuata, anche la semplice consultazione, dovranno essere tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi. Eventuali violazioni di dati o incidenti informatici dovranno essere comunicati all’Autorità, entro quarantotto ore dalla conoscenza del fatto, attraverso un modulo predisposto dal Garante all’indirizzo: databreach.dossier@pec.gpdp.it.
La rilevanza di tali disposizioni è stata recentemente ribadita dal Garante della Privacy, che ha comminato una sanzione di 30.000€ verso una azienda ospedaliera per tre violazioni di dati personali, accertate proprio dall’Autorità a conclusione di normali controlli periodici.[1] Nei fatti, gli accessi indebiti hanno riguardato dati sanitari di dipendenti in cura presso lo stesso nosocomio: nel primo caso, l’accesso era stato effettuato con le credenziali di un medico che aveva lasciato incustodita la propria postazione; negli altri, uno specializzando e un tecnico radiologo erano entrati nel dossier sanitario dei loro colleghi senza alcuna motivazione legittima.
La stessa azienda ospedaliera dichiarava che i tre accessi vennero effettuati non per erogare prestazioni mediche, ma per esclusive ragioni personali, descritte come “mera curiosità”.
Peraltro, dagli accertamenti svolti dal Garante emergeva che le misure tecniche e organizzative adottate dall’ospedale, a tutela del dossier sanitario aziendale, non erano idonee né ad assicurare una adeguata tutela dei dati personali dei pazienti, nè a proteggerli da trattamenti non autorizzati determinando, conseguentemente, un trattamento illecito di dati.
Dall’ispezione risultava, dunque, una violazione delle Linee guida in materia di dossier sanitario, emanate dal Garante nel 2015, le quali prevedono che l’accesso al dossier sanitario sia limitato al solo personale sanitario che interviene nel processo di cura del paziente, e che venga prestata particolare attenzione nell’individuare i profili di autorizzazione e nella formazione del personale abilitato.
Soprattutto appariva chiara anche la violazione delle disposizioni contenute nel Regolamento Ue 679/2016, che pongono precisi doveri a carico del titolare del trattamento in tema di protezione dei dati personali, sia in termini di progettazione (privacy by design) che per impostazione predefinita (privacy by default).
Nonostante l’azienda abbia in seguito avviato spontaneamente la revisione delle procedure d’accesso ai dossier sanitari, l’Autorità ha ingiunto alla stessa di completare tale operazione entro 90 giorni e per gli illeciti commessi ha applicato una sanzione di 30.000 euro.
Addirittura il Garante della Privacy ha annunciato che, nel primo semestre del 2020, l’attività di accertamento dell’Autorità, svolta anche in collaborazione con il Nucleo speciale tutela privacy e frodi tecnologiche della Guardia di finanza, riguarderà proprio i trattamenti di dati svolti nell’ambito di settori particolarmente delicati, come quello sanitario e il farmaceutico, sia pubblico che privato.
Ramona Cavalli
[1] Si veda https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9266789.