Il Garante per la protezione dei dati personali è da poco intervenuto sul tema della privacy dei referti online pubblicando delle Faq, nelle quali si affronta per la prima volta il tema alla luce del GDPR.
Il Regolamento europeo è infatti una normativa improntata sul principio dell’accountability, tendente quindi a fornire al Titolare i principi generali in materia di tutela del dato personale, ma lasciando allo stesso piena libertà sulle modalità con le quali metterli in pratica.
Per tale ragione è apparso chiaro fin dalla sua piena applicazione (maggio 2018) come fossero necessari e fortemente auspicabili interventi da parte del Garante, per affrontare tematiche di notevole importanza, sul merito delle quali il GDPR non entra.
Passiamo dunque a vedere in concreto cosa le Faq del Garante hanno ripreso dalle precedenti “Linee guida in tema di referti online”, risalenti al 2009, e cosa invece può considerarsi definitivamente superato.
Refertazione online: dalle linee guida del 2009 alle Faq del 2020
Le Faq del Garante ribadiscono l’obbligo per il Titolare di una struttura sanitaria di fornire un’informativa distinta da quella relativa al trattamento dei dati personali, che esponga, con un linguaggio chiaro e comprensibile, le caratteristiche del servizio di refertazione online in conformità agli artt. 13-14 del GDPR; il consenso dell’interessato alla refertazione online deve essere esplicito, libero, specifico e informato.
È interessante notare come il Garante colga l’occasione per confermare ulteriormente nelle Faq che non sia invece più necessario per il Titolare raccogliere il consenso dell’interessato per il trattamento dei dati necessario all’erogazione della prestazione sanitaria, questione ancora assai dibattuta, nonostante il provvedimento di chiarimenti del Garante in materia risalga a marzo 2019.
I referti online, cosa sono a livello giuridico
Quando si fa parla di referti online si fa riferimento alla possibilità che il paziente di una struttura sanitaria possa scaricare il proprio referto da un portale messo a disposizione dalla struttura stessa, o che lo riceva via email all’indirizzo da esso indicato.
Il punto di riferimento per la gestione privacy in materia di referti online era rappresentato dalle “Linee guida in tema di referti online”, un provvedimento nel quale il Garante affrontava l’argomento in maniera piuttosto ampia, spaziando dalle modalità con le quali informare il paziente e chiederne il consenso, fino ad arrivare alle misure di sicurezza e alla conservazione dei dati.
Si trattava tuttavia pur sempre di un provvedimento risalente al 2009, un periodo in cui il GDPR era lontano dal diventare la normativa di riferimento in ambito privacy per l’intera Unione Europea.
Facoltatività del servizio
Il servizio di refertazione online viene confermato come un servizio totalmente facoltativo; è ribadito infatti dalle Faq del Garante il diritto per il paziente di ottenere copia cartacea del referto digitale, e quindi l’obbligo per le strutture sanitarie rimane la consegna del referto in formato cartaceo, rappresentando la refertazione online solo un servizio ulteriore e facoltativo.
Misure di sicurezza
La tematica delle misure di sicurezza è particolarmente interessante, dal momento che per il principio dell’accountability spetta al Titolare determinare le misure di sicurezza più adeguate ai rischi afferenti alla sua struttura sanitaria, che deve preventivamente aver valutato.
Referti sul portale: protocolli https e strong authentication
Il primo passaggio riguarda le misure di sicurezza da applicare al sito web o al portale su quale vengono resi disponibili al paziente i referti in formato digitale.
Si richiede al riguardo che la struttura sanitaria adotti protocolli di comunicazione sicuri (https) e che richieda all’interessato di seguire una procedura di strong authentication per poter accedere al portale e scaricare il proprio referto.
Referti tramite posta elettronica
É importante sottolineare come non sia stato riportato il passaggio, presente invece nelle linee guida del 2009, secondo il quale il paziente poteva autorizzare l’invio di referti alla sua casella di posta elettronica anche senza password, trattandosi di comunicazione tra struttura sanitaria e interessato, effettuata su specifica richiesta di quest’ultimo.
L’invio di referti tramite posta elettronica dovrà dunque avvenire solo dopo che la struttura sanitaria abbia provveduto a proteggere il file tramite password e fornire all’interessato la stessa tramite diverso canale (es sms o telefonicamente).
Si trattava in ogni caso di una pratica da sconsigliare, seppur consentita dalle linee guida del 2009, perché un referto contenente dati sanitari, inviato senza alcuna misura di sicurezza atta a proteggerlo, avrebbe esposto la struttura sanitaria ad un rischio elevato di incorrere in una violazione.
Quali misure applicare in concreto alla refertazione online?
Il Garante, nelle Faq, richiama in maniera esplicita sia le misure di sicurezza previste nelle citate linee guida del 2009 sia quelle riportate nel DPCM 08/08/2013.
Possiamo quindi ritenere che le misure di sicurezza presenti nell’allegato B al D.Lgs. 196/2003 possano continuare a rappresentare un buon punto di partenza per assicurare la necessaria tutela del dato personale nel caso in cui si implementi un servizio di refertazione on-line.
Tra queste abbiamo già ricordato l’utilizzo di protocolli https e la necessità di ricorrere a procedure di strong authentication per il download dei referti, ma va citato anche il termine massimo di permanenza del referto sul portale (45 giorni) e la possibilità per l’interessato di sottrarre alla visibilità in modalità on-line o di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.
Tali misure, tuttavia, non possono ritenersi sufficienti, dal momento che, come già ricordato, il GDPR richiede che il Titolare valuti i rischi relativi ai trattamenti effettuati, e adotti le misure che garantiscono il maggior livello di sicurezza sulla base di tali rischi.
Il Garante a riguardo pone l’accento sulla necessità che siano previsti idonei sistemi di autenticazione e autorizzazione per i soggetti che lavorano all’interno della struttura sanitaria (soggetti autorizzati), differenziati sulla base della ‘sensibilità’ dei dati con cui vengono a contatto, e soprattutto viene ribadita, anche in questo contesto, la necessità di un’adeguata formazione, misura di sicurezza troppo spesso considerata di poco conto, ma invece in grado di prevenire le fattispecie più comuni di data breach.
Data Breach e valutazione d’impatto
L’implementazione e la gestione di un servizio di refertazione online porta inevitabilmente con sé il rischio di incorrere in un data breach, che nel caso specifico riguarderebbe dati particolarmente ‘sensibili’ quali quelli sanitari.
Il Garante al riguardo si limita a richiedere un’apposita procedura che permetta alla struttura sanitaria di intervenire in maniera tempestiva nel caso in cui la violazione si sia verificata e di tenere sempre sotto controllo la sicurezza dei dati personali.
È opportuno in ogni caso implementare un sistema di refertazione online che si ispiri al principio della privacy by design, richiamato dall’art 25 del GDPR, prevedendo delle misure di sicurezza che proteggano il dato fin dalla fase di progettazione del portale su cui verranno resi disponibili i referti degli interessati, come ad esempio la criptazione del database che contiene gli stessi, misura che li proteggerebbe anche nel caso in cui il portale subisse un attacco informatico.
Va ricordato infine che anche il servizio di refertazione on-line può richiedere una preventiva valutazione d’impatto. Il Garante specifica, infatti, che qualora il Titolare prevedesse l’impiego di nuove tecnologie per offrire su larga scala nuovi servizi digitali di refertazione deve effettuare, prima di procedere al trattamento, la valutazione d’impatto (DPIA) secondo le regole previste dal GDPR.
Il concetto di “nuove tecnologie”, è bene specificarlo, va sempre valutato sulla base delle singole realtà, e da questo punto di vista anche l’implementazione di un sistema di refertazione on-line per una struttura sanitaria che non è mai ricorsa all’utilizzo di strumenti informatici, se non in minima parte, può rappresentare un’attività altamente a rischio e, come tale, deve essere adeguatamente valutata in maniera preventiva.
Conclusioni
Le Faq del Garante in tema di referti online ci hanno quindi aiutato a fare chiarezza in un settore, come quello sanitario, sempre a rischio quando si parla di trattamento dati personali, ma più in generale gli interventi del Garante rappresentano uno strumento indispensabile in materia di trattamento dati personali, data la gran quantità di temi rimasti ‘in sospeso’ nel passaggio dal D.Lgs. 196/2003 al GDPR (vedi ad esempio la questione relativa alla figura dell’Amministratore di sistema).