Con il provvedimento del 4 giugno 2015, il Garante per la protezione dei dati personali ha varato le nuove linee guida sul dossier sanitario elettronico [doc. web n. 4084632] che puntano a definire un quadro di riferimento unitario per il corretto trattamento dei dati raccolti nei dossier, già istituiti o che si intendono istituire, da parte di strutture sanitarie pubbliche e private.
Sono previste maggiori tutele per i dati dei pazienti e prescrizioni per i titolari del trattamento.
E' una risposta importante ad un tema che riscuote particolare interesse in tutto il mondo sanitario. In tal senso si può ricordare la grande affluenza al workshop organizzato da APIHM lo scorso 29 maggio a Pisa ("Dalla Cartella Clinica al Dossier Sanitario Elettronico, tecnologia e tutela del paziente" ).
LE PRINCIPALI INDICAZIONI A TUTELA DEI PAZIENTI
- Ai pazienti deve essere consentito di scegliere, in piena libertà, se far costituire o meno il dossier sanitario;
- in assenza del consenso il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista
- la mancanza del consenso non deve incidere minimamente sulla possibilità di accedere alle cure richieste
- per poter inserire nel dossier informazioni particolarmente delicate (infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia) sarà necessario un consenso specifico
- per consentire al paziente di scegliere in maniera libera e consapevole, la struttura sanitaria dovrà informarlo in modo chiaro, indicando in particolare, chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere.
LE PRINCIPALI PRESCRIZIONI PER I TITOLARI DEL TRATTAMENTO
La struttura sanitaria deve :
- garantire al paziente l'esercizio dei diritti riconosciuti dal Codice privacy (accesso ai dati, integrazione, rettifica, etc.) e la possibilità di conoscere il reparto, la data e l'orario in cui è avvenuta la consultazione del suo dossier
- garantire al paziente la possibilità di "oscurare" alcuni dati o documenti sanitari che non intende far confluire nel dossier
- adottare elevate misure di sicurezza.
I dati sulla salute dovranno essere separati dagli altri dati personali, e dovranno essere individuati criteri per la cifratura dei dati sensibili.
L'accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura.
Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, saranno tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi.
Si dovranno comunicare al Garante eventuali violazioni di dati o incidenti informatici (data breach) entro quarantotto ore dalla conoscenza del fatto.
IL DATA PROTECTION OFFICER
In ragione della particolare delicatezza delle informazioni trattate mediante dossier sanitario, il Garante auspica che i titolari del trattamento individuino al loro interno una figura responsabile della protezione dei dati personali (data protection officer).
Per maggiori informazioni consultare il sito del Garante Privacy, dove è possibile consultare una sintesi molto efficace del provvedimento sotto forma di “infografica”