Articolo

18 ottobre 2022

Dossier sanitario: l’accesso ai dati sanitari è consentito solo a chi ha in cura il paziente

Il dossier sanitario garantisce una veloce consultazione dei referti e un’immediatezza della diagnosi. Con la sua digitalizzazione è diventato ancora più importante garantirne il corretto utilizzo, nel rispetto della normativa privacy.

Sanità Digitale

Sommario

Il dossier sanitario elettronico
L’ordinanza ingiunzione n. 210/2022 del Garante Privacy
L’adeguamento alla normativa privacy: i principi dettati dal Garante

La digitalizzazione del sistema sanitario nazionale, con la possibilità di accedere a cartelle cliniche e a documentazione dei pazienti in qualunque momento e dovunque ci si trovi, è di grande aiuto all’esercizio della professione medica, in termini soprattutto di velocità di consultazione dei referti e di immediatezza della diagnosi. Strumenti come il dossier sanitario e il fascicolo sanitario elettronico sono oramai fondamentali per lo svolgimento della professione medica, perché permettono al sanitario di offrire un migliore processo di cura al paziente.

Il dossier sanitario elettronico

Il dossier sanitario elettronico è uno strumento che consente di consultare la storia clinica che un paziente ha avuto all’interno di una determinata struttura sanitaria (ospedale, azienda sanitaria, casa di cura). Esso, proprio perché riguarda un’unica struttura sanitaria, è soggetto a particolari tutele dal punto di vista della privacy, pena l’applicazione di pesanti sanzioni. Secondo le Linee guida in materia di dossier sanitario del 4 giugno 2015 del Garante Privacy italiano, valide sia per le strutture pubbliche che per quelle private, i pazienti hanno diritto di scegliere se far costituire o meno il dossier sanitario, e in mancanza del loro consenso il medico avrà a disposizione solo le informazioni date in quel preciso momento dal paziente. Principio cardine delle linee guida sul dossier sanitario del 2015 – che continuano ad applicarsi nonostante siano anteriori al GDPR, perché compatibili con quest’ultimo – è quello per cui il titolare del trattamento dei dati (cioè l’azienda sanitaria, la casa di cura, l’ospedale) deve consentire l’accesso al dossier solo al personale sanitario che interviene nel processo di cura del paziente, e solo per il tempo limitato alla sua cura, ferma restando la possibilità di poter nuovamente accedere al dossier se deve essere effettuato un nuovo trattamento medico a quel soggetto. Per essere preparato sul tema e risolvere eventuali dubbi in materia, scopri le soluzioni offerte da Consulcesi Club.

L’ordinanza ingiunzione n. 210/2022 del Garante Privacy

Recentemente il Garante è intervenuto su una particolare situazione avvenuta in Friuli-Venezia Giulia, che ha coinvolto due aziende sanitarie e una società ICT in house della Regione. Da tempo, infatti, la società regionale in house della Regione Friuli ha sviluppato un applicativo chiamato “Visore referti”, che in teoria dovrebbe servire per consentire la visione del singolo dossier sanitario di un paziente ricoverato presso una determinata struttura sanitaria regionale. Il sistema, tuttavia, per una errata configurazione iniziale del programma, presenta una grossa falla, evidenziata da svariate denunce e segnalazioni pervenute agli uffici del Garante privacy nel 2021 e 2022: tramite l’applicativo “visore referti”, infatti, tutto il personale sanitario di tutte le aziende sanitarie regionali ha la possibilità di accedere al dossier relativo a qualunque paziente sia in quel momento presente fisicamente in azienda, nonché – in alcuni casi particolari – anche a quelli dei pazienti non più fisicamente presenti nei locali. La criticità, derivante da una configurazione del programma non in linea con la normativa privacy, è abbastanza evidente: i dati sanitari del paziente possono essere visionati anche da chi non lo ha in cura, in qualunque momento e in qualunque struttura regionale, senza che il paziente abbia mai autorizzato una così ampia condivisione. Durante tutto il 2021 e i primi mesi del 2022, l’Autorità Garante per la Privacy ha ricevuto varie notifiche di violazione e reclami in merito, sfociati in tre provvedimenti: le ordinanze-ingiunzione n°200 e 201 con cui vengono sanzionate due ASL della Regione Friuli Venezia Giulia con una sanzione, rispettivamente, di € 70.000,00 per una e € 50.000 per l’altra, e l’ordinanza-ingiunzione n°210 che impone alla società regionale in house che ha sviluppato l’applicativo “visore referti” di adottare una serie di correttivi. Prima di arrivare ai provvedimenti sanzionatori, all’esito di un incontro tra il Garante e la Regione Friuli Venezia Giulia, si era stabilito che per eliminare, o quantomeno minimizzare le criticità del sistema “visore referti” sarebbe stato necessario che i documenti fossero visualizzati solo sulla base del consenso prestato dal paziente – salvo per i documenti oscurati su base normativa (ad esempio HIV, genetica, interruzione di gravidanza) o su espressa richiesta del cittadino – e che in mancanza di una presa in carico amministrativa da parte dell’Azienda Sanitaria (ad esempio per un ricovero o un accesso in pronto soccorso o una visita ambulatoriale) i dati avrebbero dovuto essere accessibili solo su autodichiarazione da parte del sanitario, con espressa indicazione della motivazione per cui visualizzare quel determinato documento. L’adeguamento, secondo quanto preventivato dalla Regione e dalla società in house, avrebbe dovuto avere luogo entro il mese di giugno 2022, passando attraverso una serie di fasi intermedie delineate in modo abbastanza generico nelle comunicazioni effettuate al Garante, partendo da una prima fase restrittiva, in cui tutti gli operatori avrebbero dovuto accedere al dossier con autodichiarazione, fino a giungere alla messa a regime del sistema. Tuttavia, il Garante ha ritenuto di dover dare ulteriore tempo alla società in house regionale per adeguare l’applicativo alla normativa privacy, fissando il termine di 60 giorni dalla notifica dell’ordinanza ingiunzione per attuare gli adeguamenti privacy. Teoricamente, ipotizzando che l’ordinanza sia stata notificata pochi giorni dopo l’emissione, entro il mese di luglio scorso l’applicativo “visore referti” dovrebbe già essere stato messo in regola.

L’adeguamento alla normativa privacy: i principi dettati dal Garante

Il Garante ha stabilito cinque punti che l’azienda in house dovrà rispettare nell’adeguare l’applicativo alle Linee Guida:

Il dossier sanitario deve essere accessibile solo da parte del personale sanitario che abbia effettivamente in cura il paziente
L’accesso al dossier deve essere limitato al tempo di cura del paziente, salva la possibilità di potervi accedere in seguito se necessario in merito al tipo di cure da prestare
Il dossier sanitario non deve essere utilizzato dagli organi amministrativi della direzione sanitaria in virtù del diritto di oscuramento da parte del paziente
Deve essere previsto un sistema di rilevamento dei trattamenti illeciti, anche tramite l’utilizzo di veri e propri indicatori di anomalie (i c.d. alert)
Il dossier sanitario deve essere accessibile solo alle articolazioni sanitarie dello stesso titolare del trattamento (ad esempio, un ambulatorio esterno o un carcere non deve poter accedere al dossier dei pazienti di tutta l’azienda sanitaria da cui essi dipendono)

L’azienda è obbligata ad aggiornare il Garante sull’adozione di questi adeguamenti, pena l’applicazione di una sanzione fino a € 20.000. Consulcesi ha un team specializzato e organizzato per supportare ogni tipo di richiesta in merito. Contatta gli avvocati specializzati, è semplicissimo! Leggi anche Telemedicina: linee guide territoriali

Di: Redazione Consulcesi Club

Per approfondire

Guida

Teleassistenza sanitaria: la guida

La telemedicina nasce negli anni ’70, ma con l’evoluzione tecnologica ha rivoluzionato il modo di erogare le cure ai pazienti: la teleassistenza è uno dei punti principali dei servizi minimi previsti dalle Linee Guida del PNRR, ed è già realtà in alcuni ospedali italiani.

Infografiche

Decalogo del Garante Privacy sull'uso dell'AI in sanità

Il Garante Privacy ha elaborato un decalogo per realizzare servizi sanitari, a livello nazionale, attraversi sistemi di intelligenza artificiale. Consulta e scarica l'infografica.

E-book

Il web come strumento di sponsorizzazione delle attività del professionista sanitario

Qual è il modo più efficace per un professionista sanitario di utilizzare il web per sponsorizzare le proprie attività? In questo eBook riservato al Club le normative da rispettare, la privacy e gli step per avere un sito web e gestirlo in maniera produttiva.

Modulo

Modulo per avviso presenza telecamere di video sorveglianza

Avviso presenza telecamere di video sorveglianza per il tuo studio medico: scarica e compila il modulo di Consulcesi Club pronto all'uso.

Contenuti correlati

Ddl Semplificazioni: la novità della telecertificazione per il medico di famiglia

In un’intervista, il Vicesegretario Nazionale e Tesoriere della Fimmg, Nicola Calabrese, spiega quali saranno i principali cambiamenti, sia per il medici di medicina generale che per i pazienti, con le novità introdotte dal Ddl “Semplificazioni” nell’ambito della telemedicina

Ddl Semplificazioni: cosa prevede per la Sanità

Il Consiglio dei Ministri ha da poco licenziato il disegno di legge sulle Semplificazioni, che introduce varie novità in materia sanitaria: nuove assunzioni nel settore per il Giubileo 2025, telemedicina e farmacia dei servizi, cosa ci aspetta nel prossimo futuro.

Intelligenza artificiale in sanità: vantaggi, rischi e prospettive future

L’Intelligenza artificiale sta rivoluzionando il mondo, e il settore sanitario non fa eccezione. Approfondisci gli elementi più importanti di questo processo.

Ricette mediche fuori dallo studio: la sanzione del Garante

Ventimila euro di sanzione per aver messo a disposizione dei propri pazienti le ricette, senza busta chiusa, in una cassetta fuori dallo studio accessibile a chiunque: è questa la sanzione che il Garante Privacy ha emesso nei confronti di un medico di medicina generale che, per evitare ai propri pazienti di fare la fila per una semplice ricetta, ha pensato di adottare una soluzione fai da te senza rivolgersi a un consulente privacy specializzato nei dati sanitari.