Maggiori tutele per i dati dei pazienti, più trasparenza e obbligo per le strutture sanitarie di comunicare immediatamente al Garante Privacy i cosiddetti data breach (violazioni o incidenti informatici, come attacchi, accessi abusivi, azioni di malware, perdita, furto), che possano avere un impatto significativo sui dati. Il paziente potrà conoscere gli accessi eseguiti sul proprio dossier. L’obiettivo delle linee guida è definire un quadro di riferimento unitario per il corretto trattamento dei dati raccolti nei dossier (già istituiti o che si intende istituire) da parte di strutture sanitarie pubbliche e private.
Il dossier sanitario elettronico è lo strumento costituito presso un’unica struttura sanitaria (ospedale, azienda sanitaria, casa di cura), che raccoglie informazioni sulla salute di un paziente per documentarne la storia clinica presso quella singola struttura e offrirgli un migliore processo di cura. Si differenzia dal fascicolo sanitario elettronico, in cui invece confluisce l’intera storia clinica di una persona generata da più strutture sanitarie.
Il provvedimento del Garante, in corso di pubblicazione nella Gazzetta Ufficiale, stabilisce in particolare che ai pazienti deve essere consentito di scegliere, in piena libertà, se far costituire o meno il dossier sanitario. In assenza del consenso il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista. La mancanza del consenso non deve incidere minimamente sulla possibilità di accedere alle cure richieste. Per poter inserire nel dossier informazioni particolarmente delicate (infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia) sarà necessario un consenso specifico.
Per consentire al paziente di scegliere in modo libero e consapevole, la struttura dovrà informarlo in modo chiaro indicando in particolare chi avrà accesso ai suoi dati e quali operazioni potrà compiere. La struttura sanitaria dovrà inoltre garantire al paziente l’esercizio dei diritti riconosciuti dal Codice privacy (accesso ai dati, integrazione, rettifica ecc.) e la conoscenza del reparto, della data e dell’orario in cui è avvenuta la consultazione del suo dossier. Al paziente andrà garantita anche la possibilità di oscurare alcuni dati o documenti sanitari che non vuole far confluire nel dossier.
Considerata la delicatezza del dossier, il Garante ha prescritto misure di sicurezza: separare i dati sulla salute dagli altri dati personali, individuare criteri per la cifratura dei dati sensibili, consentire l’accesso al dossier solo al personale sanitario coinvolto nella cura, tracciatura di ogni accesso e ogni operazione effettuata (anche la semplice consultazione) e loro registrazione automatica in appositi file di log che la struttura dovrà conservare per almeno 24 mesi.
Eventuali violazioni di dati o incidenti informatici andranno comunicati all’Autorità entro quarantotto ore dalla conoscenza del fatto attraverso un modulo predisposto dal Garante all’indirizzo dedicato.
