Consulcesi: supporto consulenziale per le Professioni Mediche
Menu

Entra nell'Area Riservata

Hai dimenticato la tua password?

Non sei iscritto? Prova Gratis Consulcesi Club

Dossier sanitario: l’accesso ai dati sanitari è consentito solo a chi ha in cura il paziente

18/10/2022

Il dossier sanitario garantisce una veloce consultazione dei referti e un’immediatezza della diagnosi. Con la sua digitalizzazione è diventato ancora più importante garantirne il corretto utilizzo, nel rispetto della normativa privacy.

Dossier sanitario: l’accesso ai dati sanitari è consentito solo a chi ha in cura il paziente

La digitalizzazione del sistema sanitario nazionale, con la possibilità di accedere a cartelle cliniche e a documentazione dei pazienti in qualunque momento e dovunque ci si trovi, è di grande aiuto all’esercizio della professione medica, in termini soprattutto di velocità di consultazione dei referti e di immediatezza della diagnosi.

 

Strumenti come il dossier sanitario e il fascicolo sanitario elettronico sono oramai fondamentali per lo svolgimento della professione medica, perché permettono al sanitario di offrire un migliore processo di cura al paziente.

 

Il dossier sanitario elettronico 

 

Il dossier sanitario elettronico è uno strumento che consente di consultare la storia clinica che un paziente ha avuto all’interno di una determinata struttura sanitaria (ospedale, azienda sanitaria, casa di cura). Esso, proprio perché riguarda un’unica struttura sanitaria, è soggetto a particolari tutele dal punto di vista della privacy, pena l’applicazione di pesanti sanzioni.

 

Secondo le Linee guida in materia di dossier sanitario del 4 giugno 2015 del Garante Privacy italiano, valide sia per le strutture pubbliche che per quelle private, i pazienti hanno diritto di scegliere se far costituire o meno il dossier sanitario, e in mancanza del loro consenso il medico avrà a disposizione solo le informazioni date in quel preciso momento dal paziente.

 

Principio cardine delle linee guida sul dossier sanitario del 2015 – che continuano ad applicarsi nonostante siano anteriori al GDPR, perché compatibili con quest’ultimo – è quello per cui il titolare del trattamento dei dati (cioè l’azienda sanitaria, la casa di cura, l’ospedale) deve consentire l’accesso al dossier solo al personale sanitario che interviene nel processo di cura del paziente, e solo per il tempo limitato alla sua cura, ferma restando la possibilità di poter nuovamente accedere al dossier se deve essere effettuato un nuovo trattamento medico a quel soggetto.

 

Per essere preparato sul tema e risolvere eventuali dubbi in materia, scopri le soluzioni offerte da Consulcesi Club.

 

Consulcesi Club: le migliori soluzioni per i professionisti sanitari

Formazione online con oltre 250 corsi ECM, assistenza legale in ambito civile, penale, lavorativo; servizi assicurativi; aggiornamento medico-scientifico; convenzioni esclusive. Richiedi subito lo sconto e usufruisci dei vantaggi.

Scopri di più

 

L’ordinanza ingiunzione n. 210/2022 del Garante Privacy 

 

Recentemente il Garante è intervenuto su una particolare situazione avvenuta in Friuli-Venezia Giulia, che ha coinvolto due aziende sanitarie e una società ICT in house della Regione.

 

Da tempo, infatti, la società regionale in house della Regione Friuli ha sviluppato un applicativo chiamato “Visore referti”, che in teoria dovrebbe servire per consentire la visione del singolo dossier sanitario di un paziente ricoverato presso una determinata struttura sanitaria regionale.

 

Il sistema, tuttavia, per una errata configurazione iniziale del programma, presenta una grossa falla, evidenziata da svariate denunce e segnalazioni pervenute agli uffici del Garante privacy nel 2021 e 2022: tramite l’applicativo “visore referti”, infatti, tutto il personale sanitario di tutte le aziende sanitarie regionali ha la possibilità di accedere al dossier relativo a qualunque paziente sia in quel momento presente fisicamente in azienda, nonché – in alcuni casi particolari – anche a quelli dei pazienti non più fisicamente presenti nei locali.

 

La criticità, derivante da una configurazione del programma non in linea con la normativa privacy, è abbastanza evidente: i dati sanitari del paziente possono essere visionati anche da chi non lo ha in cura, in qualunque momento e in qualunque struttura regionale, senza che il paziente abbia mai autorizzato una così ampia condivisione.

 

Durante tutto il 2021 e i primi mesi del 2022, l’Autorità Garante per la Privacy ha ricevuto varie notifiche di violazione e reclami in merito, sfociati in tre provvedimenti: le ordinanze-ingiunzione n°200 e 201 con cui vengono sanzionate due ASL della Regione Friuli Venezia Giulia con una sanzione, rispettivamente, di € 70.000,00 per una e € 50.000 per l’altra, e l’ordinanza-ingiunzione n°210 che impone alla società regionale in house che ha sviluppato l’applicativo “visore referti” di adottare una serie di correttivi.

 

Prima di arrivare ai provvedimenti sanzionatori, all’esito di un incontro tra il Garante e la Regione Friuli Venezia Giulia, si era stabilito che per eliminare, o quantomeno minimizzare le criticità del sistema “visore referti” sarebbe stato necessario che i documenti fossero visualizzati solo sulla base del consenso prestato dal paziente – salvo per i documenti oscurati su base normativa (ad esempio HIV, genetica, interruzione di gravidanza) o su espressa richiesta del cittadino – e che in mancanza di una presa in carico amministrativa da parte dell’Azienda Sanitaria (ad esempio per un ricovero o un accesso in pronto soccorso o una visita ambulatoriale) i dati avrebbero dovuto essere accessibili solo su autodichiarazione da parte del sanitario, con espressa indicazione della motivazione per cui visualizzare quel determinato documento.

 

L’adeguamento, secondo quanto preventivato dalla Regione e dalla società in house, avrebbe dovuto avere luogo entro il mese di giugno 2022, passando attraverso una serie di fasi intermedie delineate in modo abbastanza generico nelle comunicazioni effettuate al Garante, partendo da una prima fase restrittiva, in cui tutti gli operatori avrebbero dovuto accedere al dossier con autodichiarazione, fino a giungere alla messa a regime del sistema.

 

Tuttavia, il Garante ha ritenuto di dover dare ulteriore tempo alla società in house regionale per adeguare l’applicativo alla normativa privacy, fissando il termine di 60 giorni dalla notifica dell’ordinanza ingiunzione per attuare gli adeguamenti privacy.

 

Teoricamente, ipotizzando che l’ordinanza sia stata notificata pochi giorni dopo l’emissione, entro il mese di luglio scorso l’applicativo “visore referti” dovrebbe già essere stato messo in regola.

 

L’adeguamento alla normativa privacy: i principi dettati dal Garante 

 

Il Garante ha stabilito cinque punti che l’azienda in house dovrà rispettare nell’adeguare l’applicativo alle Linee Guida:

  1. Il dossier sanitario deve essere accessibile solo da parte del personale sanitario che abbia effettivamente in cura il paziente
  2. L’accesso al dossier deve essere limitato al tempo di cura del paziente, salva la possibilità di potervi accedere in seguito se necessario in merito al tipo di cure da prestare
  3. Il dossier sanitario non deve essere utilizzato dagli organi amministrativi della direzione sanitaria in virtù del diritto di oscuramento da parte del paziente
  4. Deve essere previsto un sistema di rilevamento dei trattamenti illeciti, anche tramite l’utilizzo di veri e propri indicatori di anomalie (i c.d. alert)
  5. Il dossier sanitario deve essere accessibile solo alle articolazioni sanitarie dello stesso titolare del trattamento (ad esempio, un ambulatorio esterno o un carcere non deve poter accedere al dossier dei pazienti di tutta l’azienda sanitaria da cui essi dipendono)

L’azienda è obbligata ad aggiornare il Garante sull’adozione di questi adeguamenti, pena l’applicazione di una sanzione fino a € 20.000.

 

Consulcesi ha un team specializzato e organizzato per supportare ogni tipo di richiesta in merito. Contatta gli avvocati specializzati, è semplicissimo!

 

Leggi anche Telemedicina: linee guide territoriali