SANITA’ DIGITALE: un altro dossier sanitario da correggere

Garante Privacy, docweb nr. 4449114

Come è noto il Garante Privacy nel corso dell’anno 2015 è intervenuto in più occasioni in merito alla regolarità dei dossier sanitari implementati da molte strutture sanitarie.

Il più recente provvedimento è relativo all’Azienda Usl 11 di Empoli in cui il Garante ha contestato – nella  sostanza -  due aspetti del sistema di gestione del dato implementato:

• l’informativa al trattamento dati ai sensi dell’art. 13 del D.lgs. 196/2003 e l’acquisizione del consenso

• il sistema e gli accessi al dossier sanitario

Vediamo più in dettaglio le irregolarità riscontrate.

L'informativa è stata riscontrata carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier da parte del paziente. Queste le criticità nell’informativa dell’AUSL di Empoli:

• non erano state inserite tutte le finalità perseguite attraverso il trattamento dei dati personali effettuato mediante il dossier sanitario; mancavano l’indicazione che le finalità di prevenzione, diagnosi e cura sono perseguite altresì attraverso l'erogazione di prestazioni sanitarie in forma intramuraria e che attraverso il dossier sanitario l'Azienda persegue anche finalità amministrative correlate alla cura mediante il trattamento delle sole informazioni a ciò indispensabili;

• non erano stati riportati i diritti di cui all'art. 7 del Codice, l’informativa del dossier deve contenere gli elementi di cui all’art. 13 del D.lgs. 196/2003;

• mancavano gli estremi identificativi di un responsabile del trattamento, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili;

• non erano presenti le modalità attraverso le quali il paziente potesse richiedere la revoca del consenso al trattamento dei dati effettuato mediante il dossier sanitario e l'oscuramento delle informazioni relative a uno o più eventi clinici trattate mediante il dossier;

• il paziente, infine, non veniva informato del diritto alla visione degli accessi al dossier individuato dal Garante con il citato Provvedimento del 4 giugno 2015 (Linee guida in materia di dossier sanitario).

Le omissioni dell’informativa potrebbero costare al Titolare del trattamento una sanzione sino a trentamila euro.

Sotto il profilo degli accessi, invece il titolare non aveva correttamente profilato e implementato un adeguato sistema di gestione degli accessi ai dati dei pazienti. In particolare, ogni medico della struttura sanitaria poteva consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l'Azienda.

Questo punto è molto critico. I dati devono essere accessibili solo ai professionisti sanitari che assistono in quel momento il paziente e solo per il tempo necessario alla cura. L’accesso al medico che non ha in cura il paziente deve essere eccezionale e consentito unicamente motivandone la richiesta (ad. es. trapianti, richiesta di consulenza, guardia medica).