Dossier sanitario e cartella clinica elettronica. Ecco cosa deve considerare il dentista per tutelare la privacy del paziente

Nel mese di giugno, il Garante ha pubblicato le Linee Guida in materia di dossier sanitario.

Il dossier sanitario elettronico è "l'insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l'interessato, messi in condivisione logica dai professionisti sanitari che lo assistono, al fine di documentarne la storia clinica e di offrirgli un migliore processo di cura. Tale strumento è costituito presso un organismo sanitario in qualità di unico titolare del trattamento al cui interno operino più professionisti." (Linee Guida Garante privacy 2009)

Dall'attenta lettura della definizione - molto ampia - appare chiaro che, diversamente da quella che è opinione comune, la disciplina relativa al dossier sanitario elettronico trova applicazione non solo per ospedali e strutture sanitarie ma anche per singoli medici ed odontoiatri che decidano di gestire tutti gli eventi clinici dei pazienti, con uno strumento informatico in condivisione logica con i professionisti sanitari interni allo studio

In sostanza la mera "gestione del paziente", intesa come raccolta degli appuntamenti, piani terapeutici, referti ed esami di laboratorio, è dossier sanitario elettronico.

Spesso gli operatori sanitari tendono a minimizzare la propria gestione del dato, forse per paura o non conoscenza della normativa. Così facendo, però si espongono a dei rischi inutili.

La corretta implementazione di un dossier sanitario, infatti, non è niente di preoccupante. E' sufficiente in verità implementare alcuni adempimenti burocratici e verificare con la propria software house le misure di sicurezza informatiche.

Ecco brevemente gli aspetti che il Garante ha richiesto di implementare:

1) INFORMATIVA TRATTAMENTO DATI

Il trattamento dei dati effettuato tramite il dossier sanitario costituisce un trattamento ulteriore, autonomo, specifico e facoltativo rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico del paziente. Proprio per tale motivo, il trattamento dei dati personali nel dossier sanitario necessita di una specifica informativa che contenga tutti gli elementi previsti dall'art. 13 del Codice Privacy, affinché il paziente possa prestare un corrispondente consenso ulteriore, autonomo, specifico e facoltativo a questo preciso trattamento dei suoi dati. L'informativa, poi, deve essere fornita al paziente prima dell'acquisizione del consenso e deve essere facilmente consultabile dall'interessato anche successivamente alla prestazione del consenso.

Le persone fisiche legittimate a consultare i dossier devono inoltre essere adeguatamente edotte in merito alle modalità di utilizzazione di tali strumenti, nonché alle misure adottate per la tutela dei dati personali trattati.

2) CONSENSO AL TRATTAMENTO DATI

Al paziente deve essere consentito di scegliere, in piena libertà, che le informazioni cliniche che lo riguardano siano trattate o meno in un dossier sanitario, garantendogli anche la possibilità che i dati sanitari restino disponibili solo al professionista sanitario che li ha redatti. Da tale previsione deriva - come già anticipato - la necessità che il consenso prestato dall'interessato si configuri effettivamente come ulteriore, autonomo, specifico e facoltativo rispetto a quello già prestato in relazione alla cura del singolo evento clinico.

3) DIRITTI DELL'INTERESSATO E OSCURAMENTO DATI

Un'importante garanzia a tutela della riservatezza dell'interessato che abbia manifestato la propria volontà in merito al trattamento dei dati personali mediante il dossier sanitario elettronico consiste nella possibilità di richiedere l'oscuramento delle informazioni e/o dei documenti oggetto dello stesso: in questo caso, essi restano comunque disponibili al professionista sanitario o alla struttura interna al titolare che li ha raccolti o elaborati (ad es., referto accessibile tramite dossier da parte del professionista che lo ha redatto, cartella clinica accessibile da parte del reparto di ricovero). Tuttavia, occorre precisare che la documentazione clinica relativa all'evento oscurato deve essere comunque conservata dal Titolare del trattamento in conformità a quanto previsto dalla normativa di settore.

4) SICUREZZA DEI DATI

Vista la particolare delicatezza dei dati personali trattati mediante il dossier sanitario, è importante adottare specifiche misure di sicurezza. L'Autorità, a tal fine, ha voluto indicare le principali misure di sicurezza che il Titolare del trattamento dei dati personali deve assicurare. In particolare:

· misure a protezione dell'identità del paziente e utilizzazione di canali di comunicazione sicuri;

· adozione di sistemi di autenticazione e autorizzazione che assicurino l'accesso selettivo ai dati in linea con i principi di necessità, pertinenza, non eccedenza e indispensabilità;

· individuazione di criteri e modalità per la separazione e la cifratura dei dati idonei a rivelare lo stato di salute e la vita sessuale degli interessati;

· registrazione delle operazioni di accesso in appositi file di log ai fini della verifica della liceità del trattamento dei dati;

· realizzazione di procedure per assicurare l'integrità, la disponibilità dei dati e il ripristino degli stessi in caso di guasti, malfunzionamenti o eventi disastrosi.

5) DATA BREACH

Come specificamente previsto dalla Linee guida, risulta obbligatoria la comunicazione al Garante in caso di eventuali violazioni dei dati (data breach) o incidenti informatici (ad es. accessi abusivi, azione di malware, etc.), oppure anche solo nel caso in cui i dati siano stati esposti a rischi di violazione.

Entro 48 ore dalla conoscenza del fatto, i Titolari del trattamento dei dati sono tenuti a comunicare all'Autorità (ai sensi dell'art. 154, comma 1, lett. c) del Codice) tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario.

6) DATA PROTECTION OFFICER

Da ultimo, si segnala che l'Autorità garante, anticipando quanto previsto nella Bozza di nuovo Regolamento europeo sulla privacy, auspica che i Titolari del trattamento individuino una figura di responsabile della protezione dei dati, c.d. Data Protection Officer, che svolga il ruolo di referente con il Garante anche riguardo ai casi di data breach.

A cura di: Avv. Stilvia Stefanelli, avv. Alessendra Delli Ponti, Studio legale Stefanelli in Bologna

Per approfondire:

Linee guida in materia di Dossier sanitario - 4 giugno 2015 (Pubblicato sulla Gazzetta Ufficiale n. 164 del 17 luglio 2015)

E-HEALTH: le nuove regole del Garante per la gestione del dossier sanitario nelle strutture sanitarie e negli ambulatori medici