BLOG

Nuovo provvedimento del Garante in materia di dossier sanitario

L'intervento del Garante è stato nuovamente sollecitato in materia di dossier sanitario in occasione di un accertamento che ha coinvolto l'Azienda USL 11 di Empoli (Leggi qui il provvedimento "Dossier sanitario: prescrizioni per il sistema informativo delle prestazioni sanitarie erogate da un'Azienda sanitaria - 22 ottobre 2015").

Il Garante per la protezione dei dati personali ha riscontrato alcune criticità nel trattamento effettuato tramite il sistema informativo sanitario adottato dall'Azienda sanitaria locale, quali, in particolare, l'incompletezza dell'informativa somministrata agli interessati e la possibilità di accedere ai dati sanitari da parte di soggetti non direttamente coinvolti nel processo di cura del paziente.

Ribadendo quanto già affermato in precedenti provvedimenti in materia, il Garante ha precisato che il trattamento tramite dossier sanitario costituisce un trattamento ulteriore rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico per il quale l'interessato si rivolge ad esso (cfr. punto 2 delle citate Linee guida del 2015 e punto 3 delle Linee guida del 2009). E' necessario, pertanto, fornire una specifica informativa che contenga non solo tutti gli elementi indicati all'art. 13 del Codice privacy ma anche una serie di informazioni ulteriori legate alle specificità del dossier (finalità, responsabile del trattamento, modalità attraverso le quali è possibile richiedere la revoca del consenso al trattamento dei dati effettuato mediante il dossier sanitario e l'oscuramento delle informazioni relative a uno o più eventi clinici trattate mediante il dossier, diritto alla visione degli accessi al dossier, ecc.).

Con riferimento all'accesso al dossier, il Garante ha sottolineato nuovamente che il sistema informativo deve consentire l'accesso a tale strumento solo ed esclusivamente al personale sanitario che interviene nel tempo nel processo di cura del paziente (cfr. punto 6 delle Linee guida del 2015 e punto 5 delle Linee guida del 2009). E' necessario, pertanto, mettere in atto di specifici accorgimenti a livello architetturale-informatico in modo da consentire ai soli professionisti sanitari che hanno in cura il paziente (che abbia già manifestato un consenso informato alla costituzione del dossier) di accedere al relativo dossier per il tempo in cui si articola il percorso di cura.

Il titolare del trattamento deve altresì porre in essere una serie di misure per gestire in maniera oculata la cd. "profondità dell'accesso".  Il personale amministrativo operante all'interno della struttura sanitaria in cui viene utilizzato il dossier, ad esempio, può consultare i dossier che riguardino i soggetti coinvolti nelle attività amministrative svolte, visualizzando però le sole informazioni indispensabili per assolvere alle funzioni amministrative cui è preposto (ad es., il personale addetto alla prenotazione di esami diagnostici o visite specialistiche può consultare unicamente i dossier di soggetti che stanno richiedendo una prestazione sanitaria visualizzando i soli dati indispensabili per la prenotazione stessa). 

Ancora una volta, dunque, il Garante suggerisce l'adozione di soluzioni che consentano un'organizzazione modulare del dossier.