PRIVACY: i casi “in sanita” decisi dal Garante nel 2013

Relazione Autorità Garante per la protezione dei dati personali, sul diciassettesimo anno di attività e sullo stato di attuazione della normativa sulla privacy.

Come di consueto anche quest’anno il Garante ha illustrato le attività svolte nel 2013.
Nel settore sanitario i casi esaminati sono molteplici.
Da “addetta ai lavori” trovo molto interessante esaminare i casi presi in carico dal Garante, perché spesso consentono di prevenire errori analoghi….
Questi, i principali casi affrontati dal Garante in ambito sanitario.

1. Invio di e-mail non autorizzato, scorretti per il Garante: un assessore invia un’e-mail a più pazienti inserendo i destinatario “in chiaro”; invio ad alcuni pazienti di un laboratorio di un’e-mail in cui si invitavano gli stessi a dare la loro preferenza nelle consultazioni elettorali ad un medico operante nel laboratorio stesso; diversi pazienti che dopo aver eseguito una visita in una struttura riceveva comunicazioni commerciali da una società terza produttori di ausili o farmaci relativi al motivo della visita effettuate (es. visita urologica e prodotti per l’incontinenza).

2. Un dentista affigge l’elenco nominativo dei pazienti morosi: il Garante ha avviato un procedimento sanzionatorio.

3. Videosorveglianza dei pazienti – lavoratori che devono effettuare gli accertamenti di legge sulla tossicodipendenza: il Garante – con un provvedimento generale – ha consentito tale possibilità, ma precisando la facoltà per l’interessato di scegliere se consentire l’osservazione diretta di un operatore sanitario. Naturalmente il Garante ha prescritto le misure da adottare in caso di videoriprese (provv. 15 maggio 2013, n. 243, doc. web n. 2475383).

4. Consenso al trattamento dati: molti sono i casi esaminati in cui il medico non ha provveduto a chiedere al paziente il trattamento dati, tra questi si segnala la necessità di richiedere un consenso specifico per la comunicazione di dati a terzi, elemento sanzionato dal Garante.

5. Fascicolo Sanitario Elettronico e Dossier Sanitario: anche in sanità le nuove tecnologie sono state di grande interesse per il Garante.
In merito all’utilizzo del dossier sanitario da parte delle strutture sanitarie. Si ricorda che il dossier sanitario è lo strumento costituito presso un organismo sanitario in qualità di unico titolare del trattamento al cui interno operino più professionisti (es., ospedale o azienda sanitaria), contenente informazioni inerenti allo stato di salute di un individuo relative ad eventi clinici presenti e trascorsi (es.: referti, documentazione relativa a ricoveri, accessi al pronto soccorso) volte a documentarne la storia clinica.
Molte le istruttorie avviate per verificare il rispetto di quanto stabilito nelle Linee Guida del 2009 (provv. 16 luglio 2009, doc. web n. 1634116). Gli elementi principali da segnalare sono:
l’accesso al dossier deve essere consentito ai soli professionisti sanitari che hanno attualmente in cura il paziente (note 12 e 18 dicembre 2013 nonché 27 gennaio 2014)
esigenza di limitare l’accesso al dossier sanitario da parte del personale non sanitario operante nelle strutture assistenziali, merita evidenziare che a seguito dell’intervento dell’Autorità, un’azienda per i servizi alla persona ha modificato i parametri di accesso al proprio dossier sanitario consentendo al solo personale che ha in cura i pazienti di visualizzarne le informazioni sanitarie (nota 28 febbraio 2013). Prima dell’intervento dell’Autorità tale accesso era consentito anche al personale amministrativo e di direzione gestionale dell’azienda.

6. Referti e documentazione sanitaria. Molte sono le segnalazioni di consegna di referti a soggetti diversi dall’interessato in busta aperta o senza verificare l’esistenza della delega per il ritiro degli stessi. Il referto può essere consegnato a persona diversa dall’interessato solo se munito di delega e previa verifica dell’identità del delegato, ovviamente il referto dovrà essere consegnato in busta chiusa. Eclatante il caso della consegna di una cartella clinica di un minore ad un soggetto sprovvisto di delega e rimasto sconosciuto.
Si segnala, infine, la problematica affrontata dal Garante relativa alla consegna dei referti via posta elettronica o per consultarli telematicamente sul sito web della struttura sanitaria. (Linee guida in tema di referti online, provv. 19 novembre 2009, doc. web n. 1679033).
In tema di referti on line si ricorda che lo scorso anno è stato emanato il Decreto del Presidente del Consiglio dei Ministri 8 agosto intitolato “Modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione del pagamento online delle prestazioni erogate, ai sensi dell’articolo 6, comma 2, lettera d), numeri 1) e 2) del decreto-legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106, recante "Semestre europeo - prime disposizioni urgenti per l’economia". La norma stabilisce che i referti medici – esclusi gli accertamenti sull’HIV, per i quali continuano a valere regole più stringenti al fine di tutelare la privacy degli interessati – vanno consegnati in digitale, attraverso cinque differenti canali: il fascicolo sanitario elettronico, il web, la posta elettronica semplice, la posta elettronica certificata presso il domicilio digitale del cittadino, o supporti elettronici quali ad esempio memorie USB o di tipo ottico.
Al decreto si accompagna un allegato, nel quale si forniscono indicazioni dettagliate sulle modalità di consegna dei referti digitali, con particolare attenzione ai formati ammessi e raccomandati per questo tipo di documenti e ai requisiti di sicurezza che si dovranno adottare. L’allegato fa riferimento anche ad eventuali servizi aggiuntivi che le aziende sanitarie potranno attuare.