riferimenti normativi: artt. 13, 23, 30 del Codice in materia di protezione dei dati personali; Linee guida in materia di dossier sanitario del 4 giugno 2015.
Fatto
A seguito dei normali controlli effettuati dal nucleo speciale privacy della Guardia di Finanzia, nei confronti di un’Azienda Sanitaria Locale del territorio nazionale, è emerso che questa aveva costituito un Dossier Sanitario elettronico dei pazienti, il cui accesso era consentito a tutto il personale sanitario della struttura pubblica, il quale, dunque, poteva prendere visione di tutta la storia clinica dei pazienti.
In particolare, secondo quanto appurato dalla Autorità investigativa, il dossier sanitario elettronico era stato creato ed utilizzato senza aver dato una preventiva informazione agli interessati e senza aver acquisito uno specifico consenso da parte degli stessi al trattamento dei propri dati sensibili mediante la raccolta in un dossier elettronico. Infine, la Guardia di finanza, aveva sostenuto che l’Azienda sanitaria avesse mancato anche di individuare e designare gli incaricati al trattamento dei dati.
Di fronte a tali accuse, l’Azienda sanitaria si era difesa, evidenziando in prima battuta che nelle more dell’emanazione delle Note interpretative alle linee guida del Garante Privacy per la corretta gestione del Dossier sanitario elettronico, aveva provveduto a designare quali responsabili del trattamento dei dati personali e sensibili degli utenti, i Responsabili di Unità operativa complessa e Unità operativa semplice Dipartimentale, e di aver provveduto a designare quali incaricati al trattamento dei dati dei pazienti tutti i dipendenti dell’Azienda sanitaria. L’Azienda sanitaria aveva, poi, illustrato le modalità di designazione dei Responsabili e degli incaricati al trattamento dei dati personali e sensibili, spiegando che sia la nomina degli incaricati che l’ambito di operatività del trattamento ad essi consentito, con specifico riferimento agli ausili tecnologici messi a disposizione dell’Azienda, e dunque anche al dossier elettronico, era stato effettuato per iscritto.
Con riguardo alla presunta violazione dell’obbligo di informativa, l’Azienda sanitaria si era difesa sostenendo che tutti i pazienti avevano ricevuto un’informativa circa il trattamento dei loro dati personali, attraverso la quale erano stati informati del fatto che il trattamento poteva avvenire non solo con modalità cartacea, ma anche su supporti elettronici, onde per cui, secondo l’Azienda sanitaria, si poteva considerare che i pazienti erano stati informati sul possibile trattamento tramite il dossier elettronico, che altro non era se non un supporto informatico.
In ultimo l’Azienda sanitaria aveva rigettato le accuse circa la mancata acquisizione del consenso al trattamento mediante dossier elettronico, specificando di aver avviato una procedura sperimentale di acquisizione del consenso mediante firma grafometrica. Tale firma consisteva nella predisposizione di un modulo da sottoporre all’assistito per l’apposizione sullo stesso di una firma grafometrica mediante un software di raccolta dei dati biometrici della firma stessa su dispositivi grafici atti a consentire la lettura.
La decisione del Garante
Il Garante, all’esito dell’esame delle dichiarazioni rese dalla Azienda sanitaria locale, ha ritenuto che la stessa attraverso l’utilizzo del Dossier sanitario elettronico abbia effettuato un trattamento di dati personali illecito, confermando totalmente quanto risultato dal controllo effettuato dalla Guardia di finanza. Il Garante ha, infatti, riconosciuto che l’Azienda sanitaria locale ha creato un Dossier sanitario elettronico accessibile a tutto il personale sanitario senza aver dato preventiva informazione agli interessati e senza aver raccolto il loro consenso, oltre a non aver designato correttamente gli incaricati al trattamento
In particolare, il Garante ha ribadito quanto già espresso nelle Linee guida in materia di dossier sanitario, vale a dire che il trattamento dei dati personali effettuato mediante dossier differisce da quello relativo alla compilazione e tenuta della cartella clinica, intesa come lo strumento informativo individuale finalizzato a rilevare tutte le informazioni anagrafiche e cliniche significative relative ad un paziente ed ad un singolo episodio di ricovero. Il trattamento dei dati personali mediante dossier elettronico necessita di una specifica informativa, distinta e separata da quella relativa al trattamento terapeutico o alla cartella clinica.
Anche in riferimento alla mancata acquisizione del consenso al trattamento dei dati mediante dossier, il Garante, richiamando le Linee guida di cui sopra, ha ribadito che il dossier sanitario elettronico costituendo l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato, costituisce un trattamento di dati personali specifico ed ulteriore rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico. Per tale ragione, configurandosi come un trattamento facoltativo, l’eventuale mancato consenso al trattamento dei dati personali mediante il dossier sanitario non deve incidere negativamente sulla possibilità di accedere alle cure mediche richieste. Ma comunque il consenso al dossier anche se manifestato unitamente a quello previsto per il trattamento dei dati ai fini di cura, deve essere autonomo e specifico.
Infine in riferimento alla mancata nomina degli incaricati al trattamento, il Garante ha rilevato che l’Azienda sanitaria non ha dimostrato di aver provveduto alla puntuale designazione degli incaricati con specifico riferimento al trattamento dei dati mediante il Dossier sanitario elettronico.
Potrebbe interessarti anche: “Accesso al sistema informatico, contenente i dati dei pazienti.“
Volume consigliato
La tutela della privacy in ambito sanitario
L’opera mira a fornire agli operatori del settore sanitario, pubblico e privato, gli strumenti per comprendere in modo chiaro e semplice la copiosa normativa relativa al trattamento dei dati sanitari, in modo che gli stessi possano adempiere con tranquillità agli obblighi su di loro gravanti, volti alla cura e alla protezione dei dati personali dei loro assistiti. In particolare, l’Autore, dopo aver illustrato le caratteristiche principali dei dati sanitari, necessarie per poter individuare quali informazioni rientrano in detta categoria, si dedica all’esame di tutte le disposizioni che incidono sul loro trattamento: dal codice privacy fino al GDPR, passando per le linee guida adottate dal Garante nel corso degli anni in tema di dossier sanitario, siti web dedicati alla salute, referti on-line, indagini di customer satisfaction nonché per la normativa in tema di fascicolo sanitario elettronico. Il trattamento dei dati in ambito sanitario, in considerazione della delicatezza delle informazioni che riguardano lo stato di salute degli interessati, è sempre stato estremamente pericoloso. L’opera si rende ancor più utile oggi, in un mondo in cui anche nell’ambito sanitario i dati personali assumono un’importanza fondamentale e vengono trattati attraverso diversi strumenti tecnologici ed elettronici, rientrando la protezione di tali dati tra i principali adempimenti che i professionisti e le strutture sanitarie debbono curare per poter fornire le proprie prestazioni senza preoccupazioni di incorrere in responsabilità.Pier Paolo Muià Si è laureato in Giurisprudenza presso l’Università degli Studi di Firenze. Esercita la professione di avvocato tra Firenze, Prato e Pistoia, occupandosi in particolare di responsabilità medica, diritto di internet, privacy e IP. È autore di numerose pubblicazioni sulle principali riviste giuridiche nazionali e collabora stabilmente con il portale giuridico Diritto.it. È stato relatore in diversi convegni, anche per ordini professionali medici.
Pier Paolo Muià | 2018
Scrivi un commento
Accedi per poter inserire un commento