La Regione Lazio, nella persona del Direttore della Direzione regionale salute e integrazione sociosanitaria, ha chiesto un parere sul documento denominato “Schema tipo di Regolamento aziendale sul trattamento dei dati nei processi di diagnosi e cura”, che è stato elaborato a seguito dell’adozione da parte di questa Autorità delle Linee guida in tema di dossier sanitario del 4 giugno 2015.
Lo schema tipo nasce da uno studio svolto dal Policlinico Umberto I di Roma nell’adempiere alle prescrizioni dettate dall’Autorità per rendere conforme al Codice privacy i trattamenti di dati effettuati attraverso il dossier sanitario aziendale. Esso evidenzia come l’analisi delle finalità, dei processi e degli strumenti è il primo passo per individuare gli adempimenti necessari in materia di protezione dei dati in ambito sanitario e indicare soluzioni operative rispettose dei diritti alla cura e alla riservatezza dei pazienti.
Tale approccio, messo in atto dalla Regione Lazio, si muove nella direzione sempre auspicata dal Garante privacy. E’ questo, in sintesi, il giudizio espresso dall’Autorità su uno “Schema tipo di regolamento aziendale sul trattamento dei dati nei processi di diagnosi e cura“, elaborato dalla Regione Lazio a seguito dell’adozione delle Linee guida in tema di Dossier sanitario, varate nel 2015 dal Garante [doc. web. n. 5177496].
Lo schema prevede:
- il censimento di tutti i trattamenti di dati personali svolti all’interno della struttura compresi quelli per fini di ricerca e amministrativi;
- l’individuazione delle diverse figure (medici, personale sanitario, dottorandi) responsabili a vario titolo dei trattamenti,
- la designazione e protocolli di vigilanza sull’operato degli incaricati;
- l’analisi degli strumenti informatici utilizzati e i relativi obblighi di sicurezza.
Per la gestione dei servizi informatici attraverso il cloud computing – attesa la particolare delicatezza dei dati oggetto di trattamento e delle operazioni su di essi eseguibili, nonché la vastità della platea di interessati e di titolari che dovrebbero adottare tale schema – si richiede l’attuazione di specifiche misure al fine di tutelare le informazioni trattate. Pertanto, si richiamano al riguardo le indicazioni fornite in proposito da questa Autorità con la scheda di documentazione su “Cloud computing: indicazioni per l’utilizzo consapevole dei servizi” (disponibile in www.gpdp.it, doc. web n. 1819933), nonché le cautele individuate dal Gruppo art. 29 dei Garanti europei nel “Parere 05/2012 sul cloud computing”, WP 196 del 1° luglio 2012 (doc. web n. 2133003).
Il documento “fotografa” anche i numerosi processi di diagnosi e cura presenti in una struttura sanitaria (ad es., accesso al pronto soccorso, ricovero ordinario, ricovero in day surgery), anche in riferimento alle forme di assistenza previste per particolari patologie (ad es., le cronicità, le prestazioni peculiari come la consegna diretta dei farmaci).
Lo schema sarà sottoposto all’approvazione della Giunta regionale affinché possa essere utilizzato dalle aziende sanitarie del servizio sanitario regionale come riferimento per la stesura del proprio regolamento aziendale.
(Fonte Garante Privacy)