Negli scorsi mesi l’Autorità Garante della Privacy ha irrogato importanti sanzioni a due strutture sanitarie a causa dell’erronea configurazione del dossier sanitario elettronico.
I provvedimenti seguono accertamenti ispettivi dell’Autorità disposti proprio per verificare la corretta applicazione da parte delle strutture sanitarie, pubbliche e private, della normativa privacy nei trattamenti effettuati mediante il dossier sanitario.
Ma cos’è il dossier sanitario e quali sono i principali errori da evitare? Vediamolo insieme.
I recenti casi del Garante
Gli accertamenti del Garante della Privacy hanno riguardato una Azienda Ospedaliero-Universitaria pubblica ed una clinica privata.
Nel primo caso, in particolare, è emerso che l’Azienda utilizzava due applicativi – relativi rispettivamente alla cartella ambulatoriale e a quella di ricovero – nei quali erano registrate tutte le prestazioni sanitarie erogate dalle strutture operative interne all’Azienda, anche rese in regime di intramoenia.
Accedendo a questi applicativi, tutto il personale sanitario poteva effettuare ricerche sulla storia clinica dei pazienti, anche nel caso in cui non fosse coinvolto nel loro percorso di cura. Inoltre, i pazienti non erano a conoscenza dell’esistenza dei trattamenti effettuati attraverso il dossier e dunque impossibilitati a prestare o negare il proprio consenso al proprio dossier, o a decidere se oscurare alcune informazioni soggette a maggior tutela.
A seguito dei controlli, a carico dell’Azienda Ospedaliero-Universitaria è stata emessa una sanzione pari a 80mila euro.
Violazioni relativamente meno importanti sono state accertate con riferimento ad una casa di cura privata, nei confronti della quale è stata emessa una sanzione per “soli” 12mila euro.
Ma quali sono i principali errori commessi dalle strutture sanitarie nello strutturare i loro dossier sanitari?
Cos’è il dossier sanitario elettronico?
Chiariamo innanzitutto i concetti di riferimento.
Per dossier sanitario elettronico si intende lo strumento costituito presso una struttura sanitaria (ospedale, azienda sanitaria, casa di cura) e che raccoglie le informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso quella singola struttura.
Si differenzia:
- dal fascicolo sanitario elettronico, in cui invece confluisce l’intera storia clinica di una persona, generata da più strutture sanitarie
- dalla cartella clinica, che descrive un singolo episodio di ricovero dell’interessato.
Il dossier sanitario non certifica lo stato di salute dei pazienti, ma consiste in uno strumento che può aiutare il clinico ad inquadrare meglio e più rapidamente lo stato di salute di questi, nel rispetto del diritto-dovere del medico di effettuare gli accertamenti che riterrà – anche deontologicamente – più opportuni.
Le Linee Guida
In data 4 giugno 2015 il Garante per la protezione dei dati personali ha varato delle linee guida volte a definire un quadro di riferimento unitario per il corretto trattamento dei dati raccolti nei dossier, già istituiti o che si intendono istituire, da parte di strutture sanitarie pubbliche e private. Le linee guida sono restate applicabili anche dopo l’entrata in vigore del Regolamento 679/2016.
Le principali misure a tutela dei pazienti…
Qui di seguito, in sintesi, le principali misure previste a tutela del paziente:
- informativa: la struttura sanitaria deve informare il paziente in merito alla costituzione del dossier, nonché su chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere
- consenso alla costituzione del dossier: ai pazienti deve essere consentito di scegliere se far costituire o meno il dossier sanitario; in assenza del consenso specifico, il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista
Attenzione: l’attivazione del dossier sanitario è un trattamento di dati specifico ed ulteriore – e, dunque, facoltativo – rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico; è dunque richiesto il consenso esplicito e specifico del paziente per attivarlo
- consenso specifico: è necessario per poter inserire nel dossier informazioni particolarmente delicate (infezioni HIV, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia, uso di stupefacenti etc.)
- diritti esercitabili dall’interessato sui trattamenti effettuati attraverso il dossier: la mancanza del consenso del paziente alla costituzione del dossier non può incidere sulla possibilità di accedere alle cure richieste.
… ed i principali obblighi a carico delle strutture sanitarie
La struttura sanitaria deve innanzitutto garantire al paziente:
- la possibilità di “oscurare” alcuni dati o documenti sanitari, che non intende far confluire nel dossier
- l’esercizio dei diritti riconosciuti dal Codice della Privacy e dal Regolamento (accesso ai dati, integrazione, rettifica, etc.)
- la limitazione dell’accesso al dossier al solo personale sanitario che a vario titolo interviene nel processo di cura del paziente
- la possibilità di chiedere di conoscere gli accessi eseguiti sul proprio dossier, con l’indicazione della struttura/reparto che ha effettuato l’accesso, nonché della data e dell’ora dello stesso
Nel caso in cui l’interessato chieda l’oscuramento di informazioni e/o di documenti clinici, questi restano comunque disponibili al professionista sanitario o alla struttura interna che li ha raccolti o elaborati (ad es., referto accessibile tramite dossier da parte del professionista, che lo ha redatto, cartella clinica accessibile da parte del reparto di ricovero). La documentazione clinica relativa all’evento oscurato deve essere comunque conservata dal titolare del trattamento in conformità a quanto previsto dalla normativa di settore.
Inoltre, la struttura deve:
- adottare elevate misure di sicurezza: in particolare, l’accesso al dossier deve essere consentito solo al personale sanitario coinvolto nella cura e devono essere adottati sistemi per il controllo degli accessi anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, attraverso l’utilizzo di indicatori di anomalie (c.d. alert) che individuino comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati del trattamento (es. relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi). Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, devono essere tracciati e registrati automaticamente in appositi file di log che la struttura deve conservare per almeno 24 mesi;
- comunicare al Garante eventuali violazioni di dati o incidenti informatici (data breach) entro quarantotto ore dalla conoscenza del fatto.
Molti degli accertamenti ispettivi dell’ufficio del Garante in materia vengono avviati a seguito di segnalazioni relative ad accessi abusivi ai dossier sanitari: per esempio, consultazione, estrazione, copia delle informazioni sanitarie accessibili tramite il dossier da parte di personale amministrativo o personale medico che non era stato mai coinvolto nel processo di cura del paziente e che per motivi di interesse personale aveva acceduto allo stesso per poi divulgare le informazioni così acquisite a terzi all’insaputa dell’interessato. Nella maggior parte dei casi l’accesso aveva riguardato informazioni relative a prestazioni sanitarie particolarmente delicate, in merito alle quali l’ordinamento vigente ha posto specifiche disposizioni a tutela della riservatezza dei soggetti interessati (ad es., affezioni da HIV, interruzione volontaria della gravidanza, parto in anonimato).
Per concludere
All’esito degli accertamenti nella prima delle due strutture interessate, è risultato che i pazienti non fossero stati informati del trattamento dei loro dati mediante un dossier elettronico, né avessero espresso esplicito consenso all’alimentazione dello stesso; i sistemi utilizzati non includevano misure di profilazione degli accessi, né misure di sicurezza adeguate (come l’utilizzo di alert o il tracciamento delle operazioni effettuate sugli applicativi in appositi file di log).
Nel comminare la sanzione, il Garante ha ribadito quanto già stabilito nelle Linee Guida del 2015, ovvero che al paziente, dev’essere consentito di scegliere se le informazioni cliniche che lo riguardano alimentino il dossier a cui potrà accedere solo il personale sanitario che lo abbia effettivamente in cura.
Ci aggiorniamo presto con un nuovo, interessante argomento!
Nel frattempo, resta collegato ed iscriviti alla newsletter per non perdere i prossimi aggiornamenti.
A presto!
LEGGI I DOCUMENTI