venerdì, Marzo 29, 2024
Diritto e Impresa

“Il sistema informativo sanitario”

I trattamenti di dati personali in ambito sanitario, essendo in larga parte dati sensibili, impongono misure di cautela e di protezione molto approfondite.

I sistemi informativi degli enti sanitari offrono già da molti anni la possibilità di accedere a documenti e informazioni per ragioni gestionali e burocratiche. Oggi il Servizio sanitario nazionale dispone di una rete che mette in collegamento tra loro tutte le strutture sanitarie presenti sul territorio, dando la possibilità di accesso a documenti e informazioni on line. Tale evoluzione rappresenta un notevole miglioramento del flusso di informazioni ma produce anche potenziali minacce informatiche per la protezione dei dati. La necessità di garantire la riservatezza e l’integrità delle informazioni è quindi una condizione fondamentale.

Non occorre andare molto indietro nel tempo per rinvenire casi di violazione privacy nella gestione dei dati sanitari. A titolo esemplificativo, nel 2015 una clinica britannica specializzata nella cura delle malattie sessuali ha divulgato per un errore I nomi di quasi 800 pazienti sieropositivi all’Hiv. La clinica in questione, fornendo anche un apposito servizio per la ricezione via email dei risultati dei test sull’Hiv, ha commesso l’errore proprio nell’invio di una newsletter agli “abbonati” a questo servizio. In pratica anzichè nascondere I dati dei destinatari, I loro nomi e indirizzi sono apparsi in chiaro nella email.

Il Garante Privacy , consapevole della delicatezza dei dati e dei trattamenti in questione, ha adottato il 16 luglio 2009 delle linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario (G.U. n. 178 del 3 agosto 2009) e sempre lo stesso anno delle linee guida in tema di referti on line (G.U. n. 288 dell’11 dicembre 2009).

Il Fse e il dossier contengono diverse informazioni inerenti allo stato di salute di un individuo relative ad eventi clinici presenti e trascorsi, volte a documentarne la storia clinica. I dati personali sono collegati tra loro con modalità informatiche di vario tipo che ne rendono possibile un’agevole consultazione unitaria da parte dei diversi professionisti o organismi sanitari che prendono nel tempo in cura l’interessato. In particolare, si parla di dossier sanitario qualora tale strumento sia costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es., ospedale) al cui interno operino più professionisti. Si intende invece per Fse il fascicolo formato con riferimento a dati sanitari originati da diversi titolari del trattamento operanti più frequentemente, ma non esclusivamente, in un medesimo ambito territoriale.

A garanzia dell’interessato, le finalità perseguite devono essere ricondotte solo alla prevenzione, diagnosi, cura e riabilitazione dell’interessato medesimo, con esclusione di ogni altra finalità, ferme restando eventuali esigenze in ambito penale.

Il trattamento dei dati personali effettuato mediante il Fse o il dossier deve uniformarsi al principio di autodeterminazione. Il diritto alla costituzione o meno del Fse/dossier si deve, quindi, tradurre nella garanzia di decidere liberamente, sulla base del consenso, se acconsentire o meno alla costituzione di un documento che raccoglie un’ampia storia sanitaria. Il consenso deve essere autonomo e specifico. L’interessato deve essere informato che il mancato consenso totale o parziale non incide sulla possibilità di accedere alle cure mediche richieste.

In ogni caso, sia con riferimento alle informazioni sanitarie pregresse che a quelle attuali, il titolare del trattamento deve fornire previamente un’idonea informativa all’interessato e deve assicurargli di poter esercitare il diritto di oscuramento (revocabile nel tempo) di alcune informazioni relative a singoli eventi clinici.

I dati sanitari documentati nel Fse/dossier non devono essere in alcun modo diffusi. La violazione di tale divieto configura un trattamento illecito di dati personali sanzionato penalmente. Anche il trasferimento all’estero dei dati sanitari documentati nel Fse/dossier può avvenire esclusivamente con il consenso dell’interessato, salvo il caso in cui sia necessario per la salvaguardia della vita o della incolumità di un terzo.

Il trattamento di dati personali effettuato attraverso il Fse/dossier deve essere posto in essere esclusivamente da parte di soggetti operanti in ambito sanitario. Il personale amministrativo operante all’interno della struttura sanitaria in cui venga utilizzato il Fse/dossier può, in qualità di incaricato del trattamento, consultare solo le informazioni necessarie per assolvere alle funzioni amministrative cui è preposto e strettamente correlate all’erogazione della prestazione sanitaria.

La particolare delicatezza dei dati personali trattati mediante il Fse/dossier impone l’adozione di specifici accorgimenti tecnici per assicurare idonei livelli di sicurezza, ferme restando le misure minime che ciascun titolare del trattamento deve comunque adottare ai sensi del Codice. Nel caso di Fse, devono essere, poi, garantiti protocolli di comunicazione sicuri per la comunicazione elettronica dei dati tra i diversi titolari coinvolti.

Per quanto riguarda invece la possibilità per l’assistito di accedere al “referto” – inteso come la relazione scritta rilasciata dal medico sullo stato clinico del paziente dopo un esame clinico o strumentale – con modalità informatica, è concessa all’assistito la possibilità di decidere – di volta in volta o una tantum – di ricevere telematicamente i predetti esiti clinici generalmente attraverso due modalità: 1) la ricezione del referto presso la casella di posta elettronica dell’interessato; 2) il collegamento al sito Internet della struttura sanitaria ove è stato eseguito l’esame clinico, al fine di effettuare il download del referto.

La mancanza di specifiche disposizioni normative in merito a tali modalità di consegna dei referti determina che tali servizi devono essere considerati facoltativi per l’interessato, ovvero offerti con modalità tali da rendere possibile a quest’ultimo di potere comunque scegliere di ritirare il referto in formato cartaceo.

Tali servizi sono da considerare del tutto autonomi e distinti dal Fascicolo sanitario elettronico. In alcuni casi, è offerto all’interessato anche un servizio aggiuntivo, solitamente gratuito, consistente nella possibilità di archiviare, presso la struttura sanitaria, tutti i referti effettuati nei laboratori della stessa. Tali archivi, raccogliendo tutti i referti effettuati nel tempo dall’interessato ed essendo realizzati presso un organismo sanitario in qualità di unico titolare del trattamento, ricadono nella definizione di dossier sanitario.

È evidente che la particolare delicatezza dei dati personali trattati mediante i servizi di refertazione on line richieda l’adozione di idonei accorgimenti per la protezione dei dati registrati. Tali accorgimenti sono in particolare volti alla tutela dei dati registrati rispetto a rischi di accesso abusivo, e sono attuati principalmente attraverso meccanismi di controllo, limitazione e registrazione degli accessi nonché attraverso strumenti di cifratura.

Anna Rovesti

Anna Rovesti nasce a Modena il 31 ottobre 1992. Conseguita la maturità classica, prosegue i suoi studi presso il Dipartimento di Giurisprudenza dell’Università degli Studi di Modena e Reggio Emilia e consegue la laurea a luglio 2016 con il massimo dei voti. La passione e l’interesse per Informatica giuridica e il Diritto dell'informazione e delle comunicazioni la portano ad approfondire in particolar modo queste materie grazie a corsi universitari, seminari di approfondimento e la partecipazione a luglio 2015 tramite l’Associazione ELSA (European Law Student Association) di cui è socia alla Summer Law School di Copenhagen in Media Law. Proprio in quest’ambito decide di redigere la tesi di laurea dal titolo: “Disciplina della libertà di stampa alla prova delle nuove comunicazioni telematiche. Libertà di espressione e di informazione tra ordinamento italiano e prospettive sovranazionali”. Grazie a un tirocinio formativo presso COOPSERVICE S. Coop. p. A. in area legale-privacy, riesce a mettere a frutto l'interesse per questo ambito, affiancando il tutor aziendale e le figure senior dell’ufficio nella gestione della modulistica, di comunicati, lettere, avvisi e convocazioni d’uso comune legati alla normativa sulla protezione dei dati personali. Attualmente lavora come praticante consulente del lavoro in uno studio di Modena prestando consulenza legale in materia giuslavoristica e nella gestione delle risorse umane (gestione del personale inviato all'estero con assistenza contrattuale fiscale e previdenziale, assistenza giudiziale e stragiudiziale in controversie inerenti il rapporto di lavoro, assistenza nelle procedure concorsuali e di licenziamento individuale e collettivo, trattative sindacali inerenti a contratti integrativi aziendali, gestione di survey aziendali finalizzate all'implementazione di piani di welfare, assistenza nella predisposizione di piani relativi ai premi di produzione e di risultato, ecc). La sua collaborazione con “Ius in itinere” nasce dal desiderio di mettersi in gioco come giurista, studiosa e giovane lavoratrice alle prese con il mondo del diritto, tanto complesso quanto affascinante. Una forte determinazione, senso del dovere e capacità di organizzazione la contraddistinguono nella vita e nel lavoro. Email: anna.rovesti@iusinitinere.it

Lascia un commento