Dossier Sanitario Elettronico a prova di privacy

Il Garante Privacy, nell’ambito delle attività di controllo sui dossier sanitari elettronici,  ha prescritto ad un Ospedale bolognese, (l’Azienda Ospedaliero Universitaria S. Orsola Malpighi) una serie di misure per mettersi in regola con le norme sulla protezione di dati sanitari. Tutto è partito da alcune segnalazioni pervenute all’Authority in cui si lamentava un presunta violazione della disciplina in materia di protezione dei dati personali relativamente alle modalità di funzionamento del sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate da detta Azienda Ospedaliera. Le circostanza denunziate erano ancora più gravi tenendo conto del fatto che applicativi configurati in modo analogo a quello in uso presso l’Azienda ospedaliero universitaria S. Orsola Malpighi erano impiegati anche presso altre strutture sanitarie del Servizio Sanitario della Regione Emilia Romagna.

Nel corso dell’intervento ispettivo conseguente, il Garante Privacy ha accertato che:

1.il dossier sanitario aziendale esisteva ed era utilizzato esclusivamente quale repository unico, abilitato, in sola lettura, per la ricerca di informazioni sanitarie dei pazienti ed alimentato dagli applicativi di alcuni dipartimenti dell’ospedale (ad es. accettazione, laboratorio di analisi, radiologia). Attraverso tale strumento il Titolare perseguiva  finalità di cura e alcune finalità amministrative strettamente correlate alla cura dell’interessato.

2. per quanto attiene alla modulistica privacy, l’interessato esprimeva un consenso per i trattamenti di dati personali effettuati dall’AOSP per finalità di cura sulla base di una informativa che non conteneva uno specifico riferimento al suddetto dossier sanitario.

3. tutto il personale medico ed alcuni infermieri di dipartimento accedevano al DSE tramite un unico profilo di autorizzazione.

4. non esistevano specifiche procedure informatiche che consentissero al solo personale sanitario coinvolto nel processo di cura del paziente di accedere al relativo dossier per il tempo strettamente necessario alla cura. L’utente autorizzato poteva, infatti, consultare e stampare, senza alcuna limitazione, tutti i dati sanitari presenti nel dossier, indipendentemente dal fatto che il paziente fosse assistito dallo stesso, ovvero stesse, al momento dell’accesso, usufruendo di una prestazione sanitaria in regime ambulatoriale o di ricovero presso l’Azienda.

5. una volta effettuato l’accesso, l’utente poteva effettuare delle ricerche attraverso le funzioni “nuova ricerca” e “ricerca paziente”. Per effettuare tali ricerche non era necessario inserire il nome e il cognome del paziente si potevano interrogare i dossier aziendali inserendo anche porzioni di nome e cognome, date di nascita ovvero solo un CAP di residenza.

6. l’utente poteva consultare, attraverso il dossier, anche informazioni relative ad aspetti molto delicati della sfera privata dell’individuo, quali, ad esempio, quelle connesse agli accertamenti sullo stato di sieropositività, sull’uso di sostanze stupefacenti, di sostanze psicotrope e di alcool o agli interventi di interruzione volontaria della gravidanza.

7. sebbene l’applicativo Galileo, ne consentisse la corretta gestione, non è stata comunicata al paziente la possibilità di oscurare taluni dati registrati nel DSE.

A seguito del richiamato accertamento ispettivo, l’AOSP ha dichiarato di aver intrapreso azioni “per l’adeguamento degli applicativi informatici aziendali agli adempimenti in materia di protezione dei dati personali”. Si tratta dell’aspetto più interessante del Provvedimento, in quanto può costituire un modello per tutte le aziende sanitarie e/o ospedaliere nazionali. In particolare:

a. è stata introdotta una limitazione alla “possibilità di ricerca paziente” all’interno del DSE che non può più essere effettuata con le modalità rilevate durante l’ispezione, bensì “solamente inserendo i 3 campi obbligatori: nome, cognome e data di nascita” del paziente in cura.

b. con riferimento all’acquisizione del consenso, nella documentazione inviata, l’Azienda ha rappresentato che il consenso verrà acquisito tramite una maschera dedicata che consentirà di esprimere i tre seguenti valori:

  • NO: non si concede il consenso alla costituzione del dossier;
  • SI: si concede il consenso alla costituzione ed alla consultazione del dossier;
  • SI CON PREGRESSO: si concede il consenso alla costituzione ed alla consultazione del dossier anche per lo storico.

L’AOSP ha, inoltre, predisposto uno specifico modello diinformativa e consenso in materia di protezione dei dati personali nell’ambito del dossier sanitario elettronico”.

c. quanto alle modalità per il corretto esercizio del diritto di oscuramento con riferimento ai dati personali presenti nel DSE, il Titolare ha precisato che “l’oscuramento dell’evento e dei relativi referti (…) viene esercitato dall’interessato all’atto della prestazione sanitaria ed quindi inserito dal medico oppure successivamente mediante richiesta all’Ufficio Privacy. Al paziente che ne fa richiesta si garantisce l’oscuramento della visualizzazione sia dei riferimenti dell’episodio, sia dei dati clinici relativi a quest’ultimo. L’oscuramento degli eventi e dei referti richiesto in fase di erogazione della prestazione sanitaria verrà registrato su ogni dipartimentale ed inviato a Galileo insieme ai referti/risultati. Galileo acquisirà le informazioni, ma le renderà oscurate automaticamente“.

d. riguardo alla questione della c.d. “presa in carico” del paziente, l’AOSP haindividuato le tre seguenti ipotesi di accesso al dossier sanitario:

  • Caso di accesso ambulatoriale: il medico accede al dossier del paziente che ha in carico mediante un collegamento disponibile sugli applicativi ambulatoriali o sui dipartimentali ad esso connesso. Tale link sarà attivo in base allo stato della richiesta che dovrà essere: accettato, in corso, refertato provvisoriamente. Il link al gestionale, e quindi l’accesso al dossier, sarà disabilitato all’atto della validazione del referto. E’, comunque, esclusa una visualizzazione totale sui pazienti;
  • Caso di paziente in regime di ricovero: il medico accede al DSE del paziente mediante un collegamento disponibile sull’applicativo di ricovero. Tale link sarà attivo nelle fasi di pre-ricovero, ricovero e post ricovero (la durata del periodo di post ricovero sarà definito sulla base della specialità clinica di interesse);
  • Caso di accesso diretto: “dopo l’autenticazione, con la propria utenza, il medico può accedere ai dati clinici del paziente solo tramite la maschera di ricerca anagrafica (nome – cognome – data di nascita obbligatori). Alla selezione del paziente e prima di aprire la posizione verrà richiesto all’utente di esprimere una motivazione per la quale deve avere accesso alle informazioni cliniche. La maschera di accesso prevederà le seguenti motivazioni: dichiaro sotto la mia responsabilità di avere diritto a proseguire nella visualizzazione dei dati per attività di: Prevenzione/diagnosi/cura/riabilitazione su paziente in carico ma non registrato nei percorsi informatizzati previsti; Critical review per analisi ed eventuale miglioramento percorsi di cura; Processo di prelievi/trapianto”.

e. sono stati programmati l’implementazione delle “attività di verifica e controllo accessi” e l’avvio di un progetto formativo dedicato al tema del dossier sanitario, al fine di sensibilizzare tutto il personale ad un corretta gestione dei dati personali dei pazienti.

Luca Zenarolla

Avvocato, mi occupo sin dai tempi dell'Università di diritto delle nuove tecnologie. Sono il presidente del Centro Innovazione & Diritto.

Lascia un commento