Sanità - Garante Privacy: accesso al dossier sanitario solo da parte del medico che ha in cura l’interessato
Il Garante per la protezione dei dati personali, con provvedimento del 22 ottobre scorso, ha ribadito i principi sull’accesso al dossier sanitario elettronico. L’Autorità ha più volte ricordato che oltre al consenso al trattamento dei dati per scopo di tutela della salute, deve essere acquisito un consenso specifico ed ulteriore per la costruzione del dossier sanitario, con dati accessibili solamente ai medici che hanno in cura l’interessato, in quel momento e per il tempo necessario alla cura.
In particolare, il provvedimento è volto a sanare gravi violazioni riscontrate da una ASL nella gestione degli oltre 350 mila dossier sanitari. Le irregolarità emerse durante l’ispezione riguardavano, in particolare, l’informativa ed il consenso dell’interessato (violazione articoli 13 e 23 del Codice Privacy) e la costituzione di un dossier senza il consenso del paziente, peraltro, con accessi indiscriminati al sistema informatico. L’azienda, come prescritto dall’Autorità, entro il 31 marzo 2016 dovrà adottare gli opportuni accorgimenti tecnici, affinché i documenti e i loro contenuti siano disponibili solo al medico curante e non condivisi con altri operatori, mentre il personale amministrativo potrà accedere ai dati indispensabili per l’assolvimento delle proprie funzioni.
Il dossier sanitario è costituito da un insieme di informazioni, dati personali e sensibili,collegati tra loro in modalità informatica, relativi ai trascorsi all’interno della medesima struttura sanitaria, volti a documentare la storia clinica di un individuo (eventi clinici come: ricoveri, referti, accessi al pronto soccorso) per agevolare la consultazione da parte dei professionisti che prendono in cura l’interessato.
L’Autorità ha sostenuto che oltre all’obbligo di informativa ed al consenso del trattamento dei dati personali, all’interessato deve essere consentito di scegliere se far costruire o meno il dossier sanitario. E inoltre, più precisamente, in tema di fascicolo sanitario elettronico e di dossier sanitario, come esplicato nelle linee guida del 2009 confermate nelle nuove linee guida del 2015, ha raccomandato il rispetto del “principio di autodeterminazione (artt. 75 e ss. del Codice)”, “essendo il trattamento dei dati personali effettuato tramite il dossier un trattamento facoltativo, all'interessato deve essere consentito di scegliere, in piena libertà…”, come pure:“l'accesso al dossier deve essere limitato, al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente al dossier qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all'interessato.”.
L’Autorità, alla luce dei suddetti accertamenti ispettivi, con separato provvedimento, ha applicato le sanzioni amministrative previste dal Codice della Privacy.
(Garante protezione dei dati personali, Provvedimento22 ottobre 2015, n. 550)
Il Garante per la protezione dei dati personali, con provvedimento del 22 ottobre scorso, ha ribadito i principi sull’accesso al dossier sanitario elettronico. L’Autorità ha più volte ricordato che oltre al consenso al trattamento dei dati per scopo di tutela della salute, deve essere acquisito un consenso specifico ed ulteriore per la costruzione del dossier sanitario, con dati accessibili solamente ai medici che hanno in cura l’interessato, in quel momento e per il tempo necessario alla cura.
In particolare, il provvedimento è volto a sanare gravi violazioni riscontrate da una ASL nella gestione degli oltre 350 mila dossier sanitari. Le irregolarità emerse durante l’ispezione riguardavano, in particolare, l’informativa ed il consenso dell’interessato (violazione articoli 13 e 23 del Codice Privacy) e la costituzione di un dossier senza il consenso del paziente, peraltro, con accessi indiscriminati al sistema informatico. L’azienda, come prescritto dall’Autorità, entro il 31 marzo 2016 dovrà adottare gli opportuni accorgimenti tecnici, affinché i documenti e i loro contenuti siano disponibili solo al medico curante e non condivisi con altri operatori, mentre il personale amministrativo potrà accedere ai dati indispensabili per l’assolvimento delle proprie funzioni.
Il dossier sanitario è costituito da un insieme di informazioni, dati personali e sensibili,collegati tra loro in modalità informatica, relativi ai trascorsi all’interno della medesima struttura sanitaria, volti a documentare la storia clinica di un individuo (eventi clinici come: ricoveri, referti, accessi al pronto soccorso) per agevolare la consultazione da parte dei professionisti che prendono in cura l’interessato.
L’Autorità ha sostenuto che oltre all’obbligo di informativa ed al consenso del trattamento dei dati personali, all’interessato deve essere consentito di scegliere se far costruire o meno il dossier sanitario. E inoltre, più precisamente, in tema di fascicolo sanitario elettronico e di dossier sanitario, come esplicato nelle linee guida del 2009 confermate nelle nuove linee guida del 2015, ha raccomandato il rispetto del “principio di autodeterminazione (artt. 75 e ss. del Codice)”, “essendo il trattamento dei dati personali effettuato tramite il dossier un trattamento facoltativo, all'interessato deve essere consentito di scegliere, in piena libertà…”, come pure:“l'accesso al dossier deve essere limitato, al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente al dossier qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all'interessato.”.
L’Autorità, alla luce dei suddetti accertamenti ispettivi, con separato provvedimento, ha applicato le sanzioni amministrative previste dal Codice della Privacy.
(Garante protezione dei dati personali, Provvedimento22 ottobre 2015, n. 550)