Con il Provvedimento n. 331 del 04 giugno 2015, pubblicato sulla Gazzetta ufficiale n. 164 del 17 luglio 2015, il Garante per la protezione dei dati personali ha adottato le nuove Linee Guida in materia di Dossier Sanitario Elettronico.
L’intento è quello di fornire un quadro di riferimento unitario per il corretto trattamento dei dati raccolti nei dossier da parte delle strutture sanitarie, in conformità ai principi a quanto prescritto dal Codice in materia di protezione dei dati personali.
Il dossier sanitario elettronico è lo strumento costituito presso un’unica struttura sanitaria (ospedale, azienda sanitaria, casa di cura o clinica privata), che raccoglie le informazioni sulla salute di un paziente, consentendo di documentarne la storia clinica (ovvero l’insieme dei dati personali generati da eventi clinici presenti e pregressi) presso quella singola struttura. Il dossier si distingue dal fascicolo sanitario elettronico, nel quale, invece, confluisce l’intera storia clinica di un paziente generata da diverse strutture sanitarie.
Il Provvedimento ha introdotto due importanti novità:
- il diritto alla visione degli accessi al proprio dossier sanitario. Viene prescritto che le strutture sanitarie forniscano riscontro alle richieste dei pazienti (anche per il tramite di loro delegati) – entro quindici giorni, ovvero trenta nei casi di particolare complessità o quando ricorre altro giustificato motivo – volte a conoscere gli accessi eseguiti al proprio dossier, indicando il reparto, la data e l’ora in cui è avvenuta la consultazione;
- l’obbligo per le strutture sanitarie di comunicare al Garante, entro quarantotto ore dalla conoscenza del fatto, le violazioni dei dati trattati attraverso i dossier (data breach) o incidenti informatici (accessi abusivi, azioni di malware, …), che possano avere un impatto significativo sui dati. Tali comunicazioni devono essere redatte secondo lo schema riportato all’Allegato B del Provvedimento e inviate tramite posta elettronica o posta elettronica certificata all’indirizzo dossier@pec.gpdp.it. La mancata comunicazione al Garante configura un illecito amministrativo sanzionato con una sanzione amministrativa da € 30.000,00 ad € 180.000,00.
Questo provvedimento, oltre ad introdurre delle sempre più chiare regole sui trattamenti sanitari, configura per la prima volta anche l’introduzione del data protection officer, ovvero di una figura di collegamento tra l’Autorità e le strutture sanitarie, che deve, oltre a rispondere alle possibili richieste in materia di data breach, anche aiutare a monte le strutture in modo da dotarsi delle giuste azioni preventive sia per quanto riguarda la messa a norma secondo la legge 196, sia appunto per le prescrizioni del sopracitato provvedimento.
Come spesso accade, infatti, la brutta usanza di correre ai ripari solo post sanzione non va molto d’accordo con la normativa sul trattamento dati e il Garante si è pronunciato invitando le strutture ad inserire nel proprio organico una figura professionale che già in Europa ha trovato molti consensi.
Alcune delle domande che dovrebbero porsi i titolari di strutture che trattano dati sanitari dovrebbero essere: ho adottato misure preventive per formare i miei incaricati, autorizzandoli e mettendoli in condizione di operare non violando alcun principio fondamentale? Ho verificato di avere informative e consensi idonei e documentati? Ho predisposto azioni semplici ed efficaci nel caso in cui l’interessato voglia avere accesso al proprio dossier? Quali diritti può avere l’interessato e/o eventuali parenti circa i propri dati?
Se ad una o a più di queste domande la risposta è: “non ne ho idea” allora probabilmente la vostra situazione ha bisogno di essere verificata per poter almeno essere consapevoli dei rischi che state correndo come titolari del trattamento, ma anche dei rischi che stanno incombendo sui dati dei vostri utenti/interessati.
Per completezza si riporta anche il paragrafo inerente il Data Protection Officer:
“7.2.
Data protection officer (referente per la protezione dati)
In sintonia con quanto espresso nel parere sul citato schema di decreto del Presidente del Consiglio dei ministri in materia di Fascicolo sanitario elettronico, in ragione della particolare delicatezza delle informazioni trattate mediante il dossier sanitario, il Garante auspica che i titolari del trattamento individuino al loro interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (c.d. DPO – data protection officer), anche in relazione ai casi di data breach precedentemente illustrati.”
Per ogni necessità si invitano i lettori interessati a capire le vulnerabilità delle loro strutture a contattarci senza alcun impegno per effettuare un audit valutativo secondo le linee guida ISO 19011:2012