La gestione del dossier sanitario elettronico: adempimenti, criticità e cautele richieste

Il Garante per la protezione dei dati personali ha di recente adottato due provvedimenti sanzionatori che esaminano il rispetto della normativa privacy nel trattamento dei dati personali attraverso il Dossier Sanitario Elettronico (“DSE”), con particolare riferimento alle Linee guida del Garante privacy del 4 giugno 2015, tuttora applicabili in quanto compatibili con il GDPR.

Le criticità rilevate sono emblematiche delle difficoltà di implementazione pratica del principio di privacy by design nella sanità e del necessario bilanciamento tra esigenze cliniche e diritti degli interessati.

L’Avvocato Silvia Stefanelli ha già analizzato qui i profili più critici del DSE che il Garante privacy ha contestato all’Azienda Ospedaliero Universitaria Careggi e alla Casa di Cura Città di Roma nei provvedimenti [10166336] e [10169116].

Di seguito, riassumiamo le raccomandazioni operative per una corretta gestione del DSE da parte delle strutture sanitarie:

Informativa e consenso privacy

Il trattamento di dati personali tramite DSE richiede una specifica Informativa sulla privacy che consenta agli interessati di comprendere finalità, funzionalità, possibilità di oscuramento e modalità di esercizio dei propri diritti. È necessario che sia chiaramente esplicitata la possibilità di non aderire alla formazione del DSE senza pregiudizio per le cure, e che sia dettagliata la gestione dei dati “a maggior tutela” (come quelli relativi a HIV e interruzione di gravidanza).

Poiché il trattamento dei dati effettuato tramite il DSE è di natura facoltativa, è necessario acquisire apposito consenso del paziente con modalità verificabili (tracciamento della selezione del flag) che permettano alla struttura sanitaria di dimostrare la propria conformità alla normativa privacy. In più, il consenso prestato dal paziente non è automaticamente retroattivo, ovvero non si estende alle informazioni relative ad eventi sanitari pregressi all’istituzione del DSE. Per l’inserimento di dati sanitari relativi ad eventi pregressi deve essere richiesto un altro consenso ad hoc al paziente.

Diritto di oscuramento

Il diritto di oscuramento deve essere reso effettivo e gestito tramite procedure informatiche strutturate per evitare che il personale sanitario venga a sapere della scelta del paziente. È inoltre necessario prevedere procedure sia per la revoca che per la gestione degli eventi oscurati e garantire che restino visibili solo al professionista/reparto che li ha prodotti, mantenendo la documentazione clinica ai sensi della normativa di settore.

Profili di autorizzazione, segregazione degli accessi e log management

La struttura sanitaria è tenuta a porre particolare attenzione all’individuazione dei profili di autorizzazione in quanto l’accesso al DSE deve essere limitato al solo personale sanitario che interviene nel processo di cura del paziente e al tempo in cui si articola tale processo, salva nuova necessità del paziente.

Solo dopo un attento monitoraggio delle ipotesi in cui il personale può avere necessità di consultare il DSE per finalità di cura del paziente, la struttura sanitaria può efficacemente individuare i diversi profili di autorizzazione all’accesso.

Nel caso in cui l’accesso sia consentito al personale che svolge funzioni amministrative correlate alla cura dell’interessato, la struttura deve anche individuare la profondità dell’accesso, prevedendo opportune limitazioni per l’accesso ai soli dati indispensabili per lo svolgimento dei compiti.

Ma non basta, la struttura sanitaria è tenuta:

• ad adottare sistemi per il controllo accessi e per rilevare eventuali anomalie che possano configurare trattamenti illeciti (attraverso alert);
• ad implementare sistemi di controllo sulle operazioni effettuate sul DSE, mediante procedure che prevedano la registrazione automatica in appositi file di log.

La corretta gestione dei log richiede una conservazione non inferiore a ventiquattro mesi e deve includere per ciascuna operazione di accesso al DSE: il codice identificativo dell’operatore, la data/ora di esecuzione, il codice della postazione di lavoro utilizzata, l’identificativo del paziente e la tipologia dell’operazione compiuta sui dati. L’assenza di tali misure rende impossibile garantire il diritto dell’interessato a conoscere gli accessi effettuati al proprio DSE e impedisce un’efficace attività di audit.

Conclusioni

Le sanzioni disposte dal Garante privacy confermano che la conformità nell’impiego del DSE non può prescindere dalla piena attuazione dei principi di privacy by design e by default, informazione chiara e completa verso l’interessato, consenso specifico e documentabile, segmentazione e segregazione degli accessi, gestione sicura e trasparente dei log, e formazione del personale.

Ogni devianza dai requisiti sopra esposti espone la struttura sanitaria a violazioni in materia di protezione dei dati personali, minando la tutela effettiva dei diritti degli interessati e la fiducia verso il sistema sanitario digitale.

Ad ogni struttura sanitaria è raccomandato di mantenere una documentazione puntuale delle procedure applicate, delle attività di informazione/formazione e delle scelte tecnologiche di sicurezza, al fine di dar conto delle scelte effettuate e della loro congruità rispetto ai rischi specifici e alle peculiarità organizzative.