Il Garante italiano per la protezione dei dati personali ha adottato – con la Deliberazione 4 giugno 2015 – le nuove Linee guida in materia di dossier sanitario elettronico. Questa scelta è dovuta anche al crescente utilizzo di questo nuovo strumento[1] – insieme al Fascicolo sanitario elettronico (FSE)[2] – per la condivisione delle informazioni sulla salute del paziente, per l’incremento dei livelli di efficienza nei processi di diagnosi e per la riduzione dei costi della spesa sanitaria dovuta, ad esempio, alla ripetizione di analisi cliniche.
Come ha dichiarato l’Autorità garante, tenuto conto delle peculiari caratteristiche del trattamento, della particolare delicatezza delle informazioni trattate e dei potenziali rischi di accesso non autorizzato e di trattamento non consentito, in questo ambito è ancora più necessario garantire l’esattezza, l’integrità e la disponibilità dei dati.
Le principali novità introdotte dalle Linee guida possono essere così sintetizzabili.
Trattamento dei dati e informativa
Il dossier sanitario raccoglie tutte le informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso la struttura sanitaria dove il dossier è costituito, per offrirgli un migliore servizio di cura.
Il dossier si differenzia dal fascicolo sanitario elettronico in quanto, quest’ultimo raccoglie le informazioni sull’intera storia clinica del paziente, generata anche in più strutture sanitarie.
Nelle Linee guida, il Garante specifica che il trattamento dei dati effettuato tramite il dossier sanitario costituisce un trattamento ulteriore, autonomo, specifico e facoltativo rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico del paziente. Proprio per tale motivo, il trattamento dei dati personali nel dossier sanitario necessita di una specifica informativa che contenga tutti gli elementi previsti dall’art. 13 del Codice Privacy, affinché il paziente possa prestare un corrispondente consenso ulteriore, autonomo, specifico e facoltativo a questo preciso trattamento dei suoi dati.
Il Garante ha stabilito che gli interessati debbano essere informati circa i soggetti o le categorie di soggetti ai quali i dati personali trattati mediante il dossier sanitario possono essere comunicati o che possono venirne a conoscenza in qualità di Responsabili o Incaricati (compresi eventualmente i professionisti in regime di c.d. intramoenia).
Inoltre, come si legge nelle Linee guida, nell’informativa il Titolare del trattamento deve illustrare anche gli specifici criteri di profilazione degli utenti adottati e una breve descrizione delle misure che sono state poste in essere per la protezione dei dati da specifici rischi di accesso non autorizzato e di trattamento non consentito, unitamente a quelle individuate per garantire l’esattezza, l’integrità e la continuità della fruibilità dei dati.
L’informativa, poi, deve essere fornita al paziente prima dell’acquisizione del consenso e deve essere facilmente consultabile dall’interessato anche successivamente alla prestazione del consenso.
In caso di omessa o inidonea informativa all’interessato, è prevista una sanzione amministrativa ai sensi dell’art. 161 del Codice Privacy.
In riferimento agli accessi al dossier sanitario, appare utile evidenziare che il Garante ha anche stabilito espressamente che tutti i soggetti abilitati a trattare i dati personali mediante il dossier sanitario devono essere designati Incaricati o Responsabili del trattamento (artt. 4, comma 1, lett. g) e h), 29 e 30 del Codice).
Le persone fisiche legittimate a consultare i dossier devono inoltre essere adeguatamente edotte in merito alle modalità di utilizzazione di tali strumenti, nonché alle misure adottate per la tutela dei dati personali trattati.
Il titolare o il responsabile, se designato, deve indicare con chiarezza agli incaricati l’ambito del trattamento consentito, avendo cura di specificare la tipologia di operazioni che essi possono effettuare (ad es., visualizzazione, inserimento dati, modifica) e le misure di sicurezza, sia logiche che fisiche, da rispettare nelle operazioni di trattamento.
Si precisa, infine, che la mancata designazione come incaricati del trattamento configura un illecito penale per l’omessa adozione delle misure minime di sicurezza (artt. 33 e ss. e 169 del Codice), nonché, in ogni caso, una fattispecie sanzionata amministrativamente (art. 162, comma 2-bis, del Codice).
Il consenso al dossier
L’Autorità ha voluto chiarire che al paziente deve essere consentito di scegliere, in piena libertà, che le informazioni cliniche che lo riguardano siano trattate o meno in un dossier sanitario, garantendogli anche la possibilità che i dati sanitari restino disponibili solo al professionista sanitario che li ha redatti. Da tale previsione deriva – come già anticipato – la necessità che il consenso prestato dall’interessato si configuri effettivamente come ulteriore, autonomo, specifico e facoltativo rispetto a quello già prestato in relazione alla cura del singolo evento clinico.
Il titolare del trattamento, inoltre, deve acquisire una specifica manifestazione di volontà dell’interessato qualora nel dossier siano inserite anche informazioni relative a prestazioni sanitarie offerte a soggetti nei cui confronti l’ordinamento vigente ha posto specifiche disposizioni a tutela della loro riservatezza e dignità personale: si tratta, in particolare, dei dati soggetti a maggiore tutela dell’anonimato, ovvero relativi ad atti di violenza sessuale o di pedofilia, all’infezioni da HIV o all’uso di sostanze stupefacenti, di sostanze psicotrope e di alcool, alle prestazioni erogate alle donne che si sottopongono a interventi di interruzione volontaria della gravidanza o che decidono di partorire in anonimato e ai servizi offerti dai consultori familiari.
In tali casi, infatti, l’interessato può legittimamente richiedere che tali informazioni siano consultabili solo da parte di alcuni soggetti dallo stesso individuati (ad es., solo dallo specialista presso cui è in cura), fermo restando la possibilità per i professionisti che le hanno elaborate di accedere sempre a queste informazioni.
Nel caso in cui il titolare intenda trattare anche tali dati personali mediante il dossier sanitario elettronico è necessario che egli acquisisca un autonomo e specifico consenso dell’interessato, che può essere raccolto unitamente a quello sul dossier o anche in occasione dell’erogazione della specifica prestazione sanitaria.
Sul punto, il Garante non ha mancato di evidenziare che il trattamento dei dati personali effettuato mediante il dossier sanitario in assenza del consenso informato dell’interessato non è lecito e, di conseguenza, i dati personali in tal modo trattati non possono essere utilizzati da parte del titolare (artt. 11, comma 2, 13, 23 e 76 e ss. del Codice). Inoltre, il trattamento dei dati personali in violazione delle disposizioni sul consenso costituisce una fattispecie sanzionabile amministrativamente, rilevante anche in sede penale (artt. 18, comma 4, 23, 26, 76, 81, 82, 162, comma 2-bis e 167 del Codice).
Si precisa, poi, che la diffusione di dati personali è espressamente vietata dal Codice e, oltre a comportare l’applicazione della sanzione amministrativa prevista dall’art. 162, comma 2-bis, può integrare la fattispecie di reato stabilita dall’art. 167, comma 2.
Una volta che il paziente avrà prestato il consenso al trattamento dei dati personali mediante il dossier sanitario, quest’ultimo sarà accessibile da parte di tutti gli operatori sanitari che, nel corso del tempo, prenderanno in cura il paziente, senza che egli debba manifestare tale volontà ogni volta che accede per vari motivi alla struttura sanitaria titolare del dossier elettronico.
Fatto salvo quanto previsto in via generale dall’art. 82 del Codice, ciò vale anche nel caso del paziente che giunga al pronto soccorso in gravi condizioni e non sia in grado di esplicitare alcuna specifica volontà.
Qualora l’interessato abbia acconsentito al trattamento dei suoi dati personali mediante il dossier sanitario, questo potrà essere consultato, nel rispetto dell’Autorizzazione generale del Garante, qualora ciò sia ritenuto indispensabile per la salvaguardia della salute di un terzo o della collettività (art. 76 del Codice e Autorizzazione generale del Garante n. 2/2014 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale dell’11 dicembre 2014), ad es., nei casi di rischio di insorgenza di patologie su soggetti terzi a causa della condivisione di ambienti con l’interessato.
I diritti dell’interessato
Un’importante garanzia a tutela della riservatezza dell’interessato che abbia manifestato la propria volontà in merito al trattamento dei dati personali mediante il dossier sanitario elettronico consiste nella possibilità di richiedere l’oscuramento delle informazioni e/o dei documenti oggetto dello stesso: in questo caso, essi restano comunque disponibili al professionista sanitario o alla struttura interna al titolare che li ha raccolti o elaborati (ad es., referto accessibile tramite dossier da parte del professionista che lo ha redatto, cartella clinica accessibile da parte del reparto di ricovero). Tuttavia, occorre precisare che la documentazione clinica relativa all’evento oscurato deve essere comunque conservata dal Titolare del trattamento in conformità a quanto previsto dalla normativa di settore. Il Titolare del trattamento dei dati effettuato tramite il dossier sanitario è tenuto anche a informare i soggetti abilitati ad accedere ai dati presenti nel dossier della possibilità che gli stessi possano non essere completi, in quanto l’interessato potrebbe aver esercitato il suddetto diritto di oscuramento.
In argomento, il Garante precisa poi che l’oscuramento dell’evento clinico, che è revocabile nel tempo, deve avvenire con modalità tali da garantire che i soggetti abilitati all’accesso non possano venire automaticamente a conoscenza del fatto che l’interessato abbia effettuato tale scelta (“oscuramento dell’oscuramento”).
Inoltre, di estrema importanza appare la nuova previsione per cui, in considerazione del rischio di accesso abusivo al dossier da parte di personale amministrativo o sanitario non coinvolto nel processo di cura dell’interessato, il Garante ha ritenuto necessario, anche in coerenza con le previsioni normative in tema di FSE, riconoscere all’interessato il diritto alla visione degli accessi al proprio dossier sanitario.
L’interessato, quindi, può avanzare una formale richiesta al titolare del trattamento o a un suo delegato, per conoscere gli accessi eseguiti sul proprio dossier, con l’indicazione della struttura/reparto che ha effettuato l’accesso, nonché della data e dell’ora dello stesso.
La sicurezza dei dati
Vista la particolare delicatezza dei dati personali trattati mediante il dossier sanitario, è importante adottare specifiche misure di sicurezza. L’Autorità, a tal fine, ha voluto indicare le principali misure di sicurezza che il Titolare del trattamento dei dati personali deve assicurare. In particolare, quelle elencate dal Garante possono essere così schematizzate:
• misure a protezione dell’identità del paziente e utilizzazione di canali di comunicazione sicuri;
• adozione di sistemi di autenticazione e autorizzazione che assicurino l’accesso selettivo ai dati in linea con i principi di necessità, pertinenza, non eccedenza e indispensabilità;
• individuazione di criteri e modalità per la separazione e la cifratura dei dati idonei a rivelare lo stato di salute e la vita sessuale degli interessati;
• registrazione delle operazioni di accesso in appositi file di log ai fini della verifica della liceità del trattamento dei dati;
• realizzazione di procedure per assicurare l’integrità, la disponibilità dei dati e il ripristino degli stessi in caso di guasti, malfunzionamenti o eventi disastrosi.
Data Breach
Come specificamente previsto dalla Linee guida, risulta obbligatoria la comunicazione al Garante in caso di eventuali violazioni dei dati (data breach) o incidenti informatici (ad es. accessi abusivi, azione di malware, etc.), oppure anche solo nel caso in cui i dati siano stati esposti a rischi di violazione.
Entro 48 ore dalla conoscenza del fatto, i Titolari del trattamento dei dati sono tenuti a comunicare all’Autorità (ai sensi dell’art. 154, comma 1, lett. c) del Codice) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario. Tali comunicazioni devono essere redatte secondo lo schema riportato nell’Allegato B delle Linee guida sul Dossier sanitario.
Sul punto, occorre considerare che la mancata comunicazione al Garante configura un illecito amministrativo, sanzionato ai sensi dell’art. 162, comma 2-ter del Codice.
Da ultimo, si segnala che l’Autorità garante, anticipando quanto previsto nella Bozza di nuovo Regolamento europeo sulla privacy (che dovrebbe essere in via di approvazione), auspica che i Titolari del trattamento individuino una figura di responsabile della protezione dei dati, c.d. Data Protection Officer, che svolga il ruolo di referente con il Garante anche in relazione ai casi di data breach.
[1] Definito nell’Allegato C della Deliberazione come l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato, messi in condivisione logica dai professionisti sanitari che lo assistono, al fine di documentarne la storia clinica e di offrirgli un migliore processo di cura. Tale strumento è costituto presso un organismo sanitario in qualità di unico titolare del trattamento (es., ospedale o clinica privata) al cui interno operino più professionisti. In argomento, cfr. le “Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario” del 16 luglio 2009.
[2] L’insieme dei dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito (si veda, in proposito, l’art. 12 del D.L. n. 179/2012, convertito dalla Legge n. 221/2012).
