La cosiddetta refertazione online, ovvero la possibilità di accedere ai referti tramite modalità digitali, è ormai un servizio comunemente offerto da parte di laboratori di analisi, poliambulatori, cliniche, ospedali e strutture sanitarie in genere per consentire ai pazienti di ricevere i risultati di analisi cliniche, radiografie e referti medici direttamente sulla propria casella e-mail o di consultarli online tramite il sito web della struttura sanitaria.
Il quesito che ci si pone riguarda la reale conoscenza della normativa e dei provvedimenti amministrativi emanati in materia e la capacità di ciascun Titolare del trattamento di mettere in relazione quanto previsto da questi specifici provvedimenti con le disposizioni normative contenute nel Regolamento Europeo 2019/679 (GDPR).
La refertazione online
Questa particolare forma di conoscibilità dei referti può avvenire principalmente tramite due strumenti, ovvero:
- la ricezione del referto tramite modalità digitali (ovvero la propria casella e-mail, tramite posta elettronica certificata, Fascicolo sanitario elettronico o supporto elettronico),
- mediante il collegamento al sito web della struttura sanitaria presso cui si è svolto l’esame clinico al fine di effettuare la copia locale (cd. download) del referto. In quest’ultimo caso all’utente vengono forniti uno username ed una password al momento della prenotazione o dell’effettuazione dell’esame.
Tuttavia, tale modalità di accesso al referto non sostituisce (e non può sostituire) le normali procedure di consegna dei referti, che devono comunque rimanere sempre disponibili in formato cartaceo presso la struttura sanitaria dove è stata erogata la prestazione.
Le linee guida del garante per la protezione dei dati personali
Il Garante privacy, al fine di accompagnare ed agevolare il processo di ammodernamento tecnologico della sanità pubblica e privata, ha approvato nel 2009 specifiche Linee Guida (Linee Guida in tema di referti on-line – 19 novembre 2009 – doc. web 1679033) che individuano misure e accorgimenti a garanzia dei cittadini, sia per quanto riguarda la ricezione del referto via e-mail, sia nel caso in cui il paziente ricorra al download degli esami clinici direttamente dal sito web della struttura sanitaria.
In particolare, il Garante ha assolto mediante questo strumento un ruolo di supplenza normativa in attesa che la legislazione disciplinasse, sulla base di regole uniformi, le modalità specifiche di tale attività di trattamento.
Le previsioni del Garante contenute all’interno delle Linee Guida toccano diversi ambiti.
In particolare, viene stabilita la regola che l’adesione al servizio debba sempre essere facoltativa e viene previsto che il referto cartaceo rimanga, comunque, sempre disponibile presso la struttura che ha erogato la prestazione sanitaria.
All’assistito, comunque, è richiesto di rilasciare un consenso alla ricezione del referto tramite questa specifica modalità sulla base di un’informativa che, in modo chiaro e trasparente, spieghi tutte le caratteristiche del servizio offerto.
Tutte le strutture che, oltre a tale servizio, offrono la possibilità di archiviare e continuare a consultare tramite web i referti, sono tenute a fornire una ulteriore specifica informativa ed acquisire un autonomo consenso (massima attenzione, in tale ambito, anche ai provvedimenti in tema di Dossier sanitario).
Si prevede, inoltre, che il referto possa rimanere a disposizione on-line per un massimo di 45 giorni e che questo debba essere accompagnato da un giudizio scritto e dalla disponibilità del medico a fornire ulteriori indicazioni su richiesta dell’interessato.
Tuttavia, dovrebbero essere escluse dal servizio di refertazione on-line tutte quelle indagini particolarmente delicate, come quelle genetiche, anche prenatali, per le quali la normativa prevede la necessità di assicurare una consulenza medica appropriata.
Le Linee Guida in esame prescrivono, inoltre, elevate misure di sicurezza tecnologica finalizzate a tutelare la particolare categoria di dati trattati mediante il servizio, quali ad esempio l’utilizzo di standard crittografici, sistemi di autenticazione forte, la convalida degli indirizzi e-mail con verifica on-line, l’uso di password per l’apertura del file.
Il decreto del presidente del consiglio dei ministri 08/08/2013
Nell’agosto 2013 è stato approvato il DPCM relativo alle modalità di consegna, da parte delle Aziende sanitarie del Servizio sanitario nazionale, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione dei pagamenti on-line di talune prestazioni.
Tale decreto è stato emanato successivamente all’emanazione del relativo parere da parte del Garante privacy (6 dicembre 2012 – doc. web 2223206) e si riferisce alle specifiche modalità di consegna che devono essere seguite da parte delle Aziende sanitarie del Servizio sanitario nazionale.
Questa normativa descrive le diverse modalità di consegna dei referti digitali o delle copie informatiche degli stessi, i servizi aggiuntivi che l’azienda sanitaria può rendere disponibili, i formati ammessi e raccomandati per il referto digitale o per la copia informatica dello stesso e i requisiti di sicurezza per le aziende sanitarie.
In ogni caso, l’Allegato A alla normativa dispone che deve comunque essere sempre garantito il rispetto delle misure, anche di sicurezza, previste dal Garante nel Provvedimento del 19 novembre 2009, recante “Linee guida in tema di referti on line” (in particolare per quanto riguarda i servizi aggiuntivi di notifica via sms e di designazione del medico al ritiro del referto).
La gestione della refertazione online nell’ottica del Gdpr
Alla luce di tutto quanto analizzato, appare oggi di fondamentale importanza mettere in relazione tutte queste disposizioni normative ed amministrative con la disciplina contenuta nel Regolamento Europeo in materia di protezione dati.
L’obiettivo è quello di capire quali disposizioni possono continuare ad essere applicate e quali nuove incombenze si rende necessario implementare alla luce delle più recenti novità normative. Proviamo ad individuare gli adempimenti più importanti.
L’informativa
Al fine di consentire all’interessato di esprimere una scelta consapevole in tema di ricezione del referto tramite modalità digitali, il Titolare del trattamento certamente continua ad essere tenuto a fornire agli interessati specifica ed idonea informativa che esponga, in forma chiara ed agevolmente comprensibile, le caratteristiche del servizio di refertazione on-line.
Tale informativa continuerà a dover essere distinta rispetto a quella relativa al trattamento dei dati personali per finalità di cura, ma dovrà essere aggiornata alla luce delle disposizioni normative contenute negli artt. 13-14 GDPR.
In particolare, grande attenzione andrà prestata a tutti quei contenuti richiesti dal GDPR ma per i quali le Linee Guida forniscono già delle specifiche indicazioni: ad esempio in relazione alle tempistiche di conservazione del referto on-line.
Il rilascio del consenso e la sua corretta gestione
Anche alla luce del GDPR, il consenso alla refertazione on-line dovrà essere liberamente prestato e, come già ribadito, dovrà essere autonomo e specifico, senza alcun pregiudizio sulla possibilità di usufruire della prestazione medica richiesta.
Inoltre, qualora l’interessato abbia aderito a tale specifico servizio, deve continuare ad essergli concessa, in relazione ai singoli esami cui di volta in volta si sottoporrà, la possibilità di manifestare una volontà contraria a quella precedentemente manifestata.
Naturalmente la possibilità di revocare il consenso preventivamente rilasciato deve poter avvenire con la stessa facilità con cui il consenso è stato accordato.
In tale ottica, la corretta gestione dei consensi diventa un passaggio fondamentale per il Titolare del trattamento in un’ottica di accountability. Tuttavia, tale obiettivo può essere raggiunto unicamente tramite un’attenta sinergia ed un costante dialogo tra consulenti legali e responsabili dei sistemi informativi. La classica firma del cartaceo sempre di più sta lasciando il posto a tablet o altre modalità di raccolta del consenso in formato digitale. L’aspetto importante è che il sistema configurato consenta una raccolta sicura del consenso ed una altrettanto sicura verificabilità del medesimo.
Le misure di sicurezza
A differenza del vecchio Codice Privacy, il GDPR non contiene un’elencazione esaustiva delle misure di sicurezza in materia di trattamento dei dati personali.
Sia le Linee Guida in materia di refertazione on-line che il DPCM 08/08/2013 prevedono che, data la particolare delicatezza dei dati personali trattati mediante tale servizio, vadano adottati specifici accorgimenti tecnici al fine di assicurare idonei livelli di sicurezza.
Ebbene, pur nella consapevolezza che molte delle disposizioni normative contenute nel vecchio D.Lgs. 196/2003 e nel suo Allegato B sono state abrogate, tuttavia diventa di fondamentale importanza rivedere tutte le prescrizioni contenute all’interno dei provvedimenti specifici in materia di refertazione on-line alla luce delle previsioni contenute nell’art. 32 GDPR.
Gli scenari descritti distinguono differenti livelli di protezione a seconda che avvenga la consultazione on-line dei referti tramite servizi Web accessibili da internet, ovvero la spedizione del referto tramite posta elettronica anche certificata, supporto elettronico o altra modalità.
I livelli di protezione minimi previsti da queste norme potrebbero essere considerati delle “buone prassi”, o meglio dei livelli minimi di protezione al di sotto dei quali non è possibile scendere. Naturalmente il tutto andrà parametrato a livelli di protezione dal punto di vista tecnico e organizzativo che siano adeguati al fine di garantire un livello di sicurezza adeguato al rischio (naturalmente tenendo conto dello stato dell’arte e dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento).
La formazione dei soggetti autorizzati alla gestione di tale specifica attività di trattamento
Sotto il profilo della sicurezza, di cruciale importanza diventa oggi, anche alla luce del GDPR, la formazione di tutti i soggetti autorizzati al trattamento. Chiunque abbia accesso a questi dati o possa effettuare attività di trattamento su di essi deve essere istruito in tal senso.
Questo non solo nell’ottica della migliore gestione e protezione dei dati stessi, ma anche in un’ottica di tutela degli interessati. Va ricordato infatti che, anche per assicurare una piena comprensione degli elementi indicati nell’informativa, specialmente quando si tratta di servizi molto specifici attinenti a categorie particolari di dati personali, il Titolare deve formare adeguatamente il personale coinvolto ai fini di un più efficace rapporto con gli utenti del servizio.
Da non sottovalutare, naturalmente, la previsione di idonei sistemi di autenticazione e autorizzazione per i soggetti autorizzati in funzione dei ruoli e delle esigenze di accesso e trattamento dei dati.
I rapporti con i responsabili del trattamento
Sempre in ambito di misure organizzative, un altro passaggio sicuramente importante alla luce delle più recenti disposizioni normative, è la redazione di un contratto o altro atto giuridico ex art. 28 GDPR con l’eventuale azienda esterna che gestisce il servizio di refertazione on-line.
Tale atto consente di vincolare il Responsabile del trattamento al Titolare e stipulare in modo compiuto tutta l’attività di trattamento che il primo andrà a svolgere per conto del secondo.
Il registro dei trattamenti
Ai sensi dell’art. 30 GDPR l’attività di refertazione on-line, con le specifiche caratteristiche e misure di sicurezza ad essa riferite andrà sicuramente inserita all’interno del Registro delle attività di trattamento.
Tale aspetto naturalmente potrà impattare sia sul Registro del Titolare tenuto ai sensi del comma 1 della norma, ma anche sul Registro dell’eventuale Responsabile (ove nominato) ai sensi del successivo comma 2.
La valutazione d’impatto
Alla luce del GDPR ed, in particolare, del suo art. 35, quando una specifica attività di trattamento può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il Titolare, prima di procedere, è tenuto ad effettuare una valutazione d’impatto (cd. DPIA).
La specifica attività di refertazione on-line può da sola comportare la necessità di effettuare una DPIA? Prendendo come riferimento l’“Elenco delle tipologie di trattamenti, soggetti al meccanismo di coerenza, da sottoporre a valutazione d’impatto” redatto dal Garante, potrebbero venire in rilievo due tipologie di attività, ovvero la numero 6 (trattamenti non occasionali di dati relativi a soggetti vulnerabili – tra cui sono compresi anche i pazienti) e la numero 10 (trattamenti di categorie particolari di dati ai sensi dell’art. 9 oppure di dati relativi a condanne penali e reati di cui all’art. 10 interconnessi con altri dati personali raccolti per finalità diverse).
La decisione di effettuare o meno una DPIA viene lasciata dal GDPR tra gli adempimenti che vanno valutati da parte di ciascun Titolare del trattamento, tuttavia, vista l’elencazione del Garante, è possibile affermare che la predisposizione di tale documento sia del tutto consigliabile prima di iniziare ad offrire tale tipologia di servizio.
La gestione dei data breach
Infine, appare fondamentale, in un’ottica di accountability, anche la predisposizione di una procedura interna per la gestione dei data breach che abbia un occhio di riguardo con riferimento ai servizi di refertazione on-line. Tale procedura, infatti, dovrebbe consentire non solo di intervenire tempestivamente in caso di violazione, ma anche di riuscire a mappare le “falle” del sistema al fine di migliorare costantemente il servizio offerto.
Conclusioni
Alla luce di tutto quanto esposto, appare evidente la complessità della tematica, che mette in relazione aspetti legali ed aspetti strettamente informatici e tecnici.
Come in molti altri ambiti, tematiche che a prima vista apparivano molto specifiche e puntuali, se lette con le lenti di ingrandimento del GDPR possono mostrare aspetti che prima non erano stati presi in considerazione. Prendere “quello che c’era prima” e trasportarlo tout court sul presente rischia di essere un’operazione miope e non aderente alle nuove previsioni normative.
In un’ottica di costante miglioramento è importante, invece, prevedere procedimenti di costante gestione degli aspetti privacy che consentano di ottenere il meglio dalle attività che vengono svolte.