Dopo il Friuli Venezia Giulia e il Trentino Alto Adige, è il momento delle strutture sanitarie dell’Emilia Romagna.

Nel corso del 2014, infatti, il Garante ha svolto una ispezione in un importante ospedale di Bologna: nel corso dell’ispezione  i il trattamento di dati dei pazienti effettuato attraverso il Dossier Sanitario Elettronico non è risultato conforme al Codice Privacy.

Richiesta quindi l’adozione di una serie di misure per mettersi in regola.

La decisione è molto interessante perché oggi sono in crescente aumento le strutture sanitarie che decidono di gestire le cartelle cliniche o i dati dei pazienti attraverso un programma informatico istituendo così un Dossier Sanitario al proprio interno, gestito in maniera informatica.

Il Dossier sanitario è infatti  “l’ insieme di dati sanitari relativi di regola ad un medesimo soggetto e riportati in più documenti elettronici tra loro collegati, condivisibili da soggetti sanitari diversi, pubblici e privati” (Linee Guida Garante privacy del 2009).

In sostanza è costituito presso un solo organismo sanitario in qualità di unico titolare del trattamento (es., ospedale o clinica privata), ma è  accessibile da più  soggetti sanitari.

L’obiettivo perseguito dagli Organismi Sanitari con il dossier sanitario è quello di migliorare la gestione organizzativa del paziente e risparmiare costi e tempo: purtroppo però in questa nuova organizzazione non sempre la gestione del dato avviene nel rispetto della normativa sulla privacy.

Nell’ispezione di Bologna, per esempio, sono stati riscontrati aspetti spesso disattesi dai titolari del trattamento.

Vediamoli in dettaglio.

Informativa e consenso.

Nel corso degli accertamenti ispettivi a Bologna, il titolare del trattamento, non ha fornito agli interessati alcuna informativa e non ha acquisito uno specifico consenso in merito al trattamento dei dati personali effettuato mediante il dossier sanitario in uso presso la struttura.

L’informativa utilizzata dall’Azienda per il trattamento dei dati personali effettuato nell’ambito delle attività di cura prestate dalla stessa non conteneva, infatti, alcun riferimento al trattamento dei dati effettuato mediante il dossier sanitario.

Pertanto, il trattamento dati mediante il  dossier  non è lecito in quanto non è stata fornita l’informativa agli interessati e non è stato acquisito il loro consenso (art. 13, 23 e 76 e ss. del Codice) e che, di conseguenza, i dati personali trattati mediante il dossier sanitario aziendale non possono essere utilizzati (art. 11, comma 2, del Codice).

Accesso al dossier sanitario solo da parte del medico che ha in cura l’interessato.

Nella struttura sanitaria ispezionata non erano state attivate specifiche procedure che consentissero al solo personale sanitario coinvolto nel processo di cura del paziente di accedere al relativo dossier per il tempo strettamente necessario alla cura.

Sostanzialmente tutti potevano trattare tutti i dati del paziente, senza limitazioni di tempo, con possibilità di fare ricerche ampie all’interno del DB pazienti.

Ciò in contrasto con quanto previsto dalle Linee Guida del 2009 che richiedono che sia consentito ai ai soli professionisti sanitari che hanno in cura il paziente (che abbia già manifestato un consenso informato alla costituzione del dossier) di accedere al relativo dossier per il tempo in cui si articola il percorso di cura.

In particolare, si ricorda che in riferimento all’accesso dei dati del dossier, le Linee Guida del 2009 stabiliscono che:

–  in relazione alle finalità perseguite con la costituzione del dossier, l’accesso a tale strumento deve essere consentito solamente per fini di prevenzione, diagnosi e cura dell’interessato e unicamente da parte di soggetti operanti in ambito sanitario, con conseguente esclusione di periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, nonché del personale medico che agisca nell’esercizio di attività medico-legali;

– debbano essere adottate modalità tecniche di autenticazione al dossier che consentano di autorizzare l’accesso a tale strumento solo da parte degli esercenti la professione sanitaria che a vario titolo prenderanno in cura l’interessato;

– il personale amministrativo operante all’interno della struttura sanitaria in cui viene utilizzato il dossier sanitario può, pertanto, in qualità di incaricato del trattamento, consultare solo le informazioni necessarie per assolvere alle funzioni amministrative cui è preposto e strettamente correlate all’erogazione della prestazione sanitaria (ad es., il personale addetto alla prenotazione di esami diagnostici o visite specialistiche può consultare unicamente i soli dati indispensabili per la prenotazione stessa);

– l’esercente la professione sanitaria che ha redatto uno o più documenti clinici presenti nel dossier deve poter sempre consultare gli stessi;

– l’accesso al dossier sanitario deve essere circoscritto al periodo di tempo indispensabile per espletare le operazioni di cura per le quali è autorizzato il soggetto che accede. Ciò, comporta che i soggetti autorizzati all’accesso devono poter consultare esclusivamente i dossier sanitari riferiti ai pazienti che assistono e per il periodo di tempo in cui si articola il percorso di cura per il quale l’interessato si è rivolto ad essi.

Oscuramento

Dall’ispezione effettuata è risultato che la struttura sanitaria bolognese,  non richiedendo all’interessato uno specifico consenso per la costituzione del dossier, non ha mai comunicato allo stesso la possibilità di esercitare nei confronti dei dati ivi trattati il richiamato diritto all’oscuramento. L’Azienda ha comunque rappresentato che in passato, a seguito di specifica richiesta di alcuni pazienti, sono stati comunque oscurati i dati presenti nel dossier.

Il Garante, nelle citate Linee guida, ha previsto un’importante garanzia a tutela della riservatezza dell’interessato che abbia scelto consapevolmente di far costituire un dossier sanitario sulla propria storia clinica, consistente nella possibilità di oscurare taluni eventi clinici ivi presenti (cfr. 3 delle citate Linee guida). Tale garanzia, peraltro,  è stata riproposta dal legislatore anche con riferimento al FSE (citato art. 12, comma 3-bis D.L. 18 ottobre 2012, n. 179, convertito, con modificazioni, dall’art. 1, comma 1, L. 17 dicembre 2012, n. 221).

Ferma restando, infatti, l’indubbia utilità di un dossier sanitario completo, il titolare del trattamento deve garantire la possibilità per l’interessato di non far confluire in esso alcune informazioni sanitarie di cui non vuole sia data conoscenza .

*   *  *

In merito alle contestazioni fatte al titolare del trattamento, il Garante ha dato termine sino al  31 marzo 2015, per adeguarsi alle non irregolarità riscontrate, ma già la struttura sanitaria sta provvedendo a riorganizzare il sistema secondo le indicazioni date.

Il Garante non si è ancora pronunciato sulla quantificazione della sanzione alla struttura sanitaria, probabilmente molto dipenderà anche dai correttivi che la struttura stessa metterà in atto.

Un ultimo aspetto molto interessante.

Il Garante ha inviato alla Regione Emilia Romagna il provvedimento affinchè ne vanga data comunicazione e tutte le strutture e costituisca un importante esempio per tutte le stesse allo scopo di  conformarsi alle prescrizioni previste dal Codice.

In altre parole: se questo giro le sanzioni potranno essere lievi (vedremo), non ci saranno sconti per tutte le altre le strutture sanitarie che, anche se non direttamente, ora sanno (o devono sapere) con esattezza quali sono gli obblighi cui adempiere.

ALLEGATO:
Dossier sanitario elettronico e privacy dei pazienti- 23 ottobre 2014, Registro dei provvedimenti n. 468 del 23 ottobre 2014

 

Alessandra Delli Ponti

Avvocato dal 2003, è il responsabile del Diritto delle Nuove Tecnologie presso lo Studio Legale Stefanelli(www.studiolegalestefanelli.it), consolidata realtà bolognese in materia di Appalti, Sanità ed Imprese. Oltre alle nuove tecnologie, segue le tematiche di tutela della privacy, compliance e modelli organizzativi (231/2001).Dal 2010 è mediatrice per l’Organismo di mediazione della Camera di Commercio di Bologna. È membro del Consiglio Direttivo dell’Associazione Nova Civitas con cui collabora per la diffusione del diritto e la divulgazione dei metodi alternativi per la gestione dei conflitti. E’ amministratore del gruppo linkedin Privacy& Sanità fondato proprio per sollecitare le discussioni in questo delicato settore. Svariate pubblicazioni su Sapere&Consumare, Newsline, Telexanie. Docente in percorsi in house presso aziende e per Enti di Formazione.

Scrivi un Commento

*