L’Autorità Garante privacy ha avviato un’istruttoria in merito al trattamento dei dati personali effettuati tramite dossier sanitario ad un’Azienda Ospedaliera a seguito di una segnalazione sul sistema di refutazione delle prestazione sanitarie. Più precisamente sugli applicativi in uso nei vari reparti e sulle modalità di funzionamento del sistema informativo di archiviazione e refertazione delle prestazioni sanitarie, che sarebbero state configurate in modo tale da consentire a ogni medico di accedere, non solo ai dati personali dei propri pazienti, ma anche a quelli di qualsiasi altra persona in cura presso la struttura sanitaria. Nella segnalazione risulta assente l’informativa e la richiesta di consenso per il trattamento dei dati personali.
In base a quanto emerso nel corso dell’ispezione sono risultate violate alcune delle specifiche garanzie previste dal Codice privacy e dalle Linee guida in materia di dossier sanitario del 4 giugno 2015.
Profili di criticità.
-
Informativa e consenso sull’utilizzo del Dossier Sanitario.
“Il trattamento dei dati personali effettuato mediante il dossier, perseguendo le menzionate finalità di prevenzione, diagnosi, cura e riabilitazione, deve uniformarsi al principio di autodeterminazione (artt. 75 e ss. del Codice).”, Da quanto emerge in sede ispettiva, l’Azienda Ospedaliera ha iniziato a raccogliere il consenso informato degli interessati in merito al trattamento dei dati personali, effettuato mediante il dossier sanitario, solo dal mese di ottobre 2014, sebbene tale strumento fosse in uso presso la stessa già dal 2001. A ciò si aggiunge che nel modello dell’informativa attualmente in uso, che tale strumento “può essere consultato anche senza aver raccolto preventivamente il consenso dell’utente” e ciò sulla base di un erroneo riferimento normativo (quanto previsto per le emergenze a tutela della salute e dell’incolumità fisica di cui all’art. 82 del Codice privacy) non applicabile alla fattispecie de qua.
Per di più nel modello di informativa in questione, emergono anche numerose omissioni rispetto agli elementi richiesti dall’art. 13 del Codice come obbligatori: non vengono indicate correttamente tutte le finalità perseguite, non vi sono indicati i responsabili del trattamento o le modalità attraverso le quali è possibile conoscerli e, soprattutto, non vengono fornite indicazioni in merito al diritto dell’interessato alla visione degli accessi al proprio dossier sanitario da parte del personale“. Ciò, nonostante il punto 3 del citato Provvedimento del 4 giugno 2015 abbia espressamente previsto, quale misura prescrittiva rivolta al titolare del trattamento e a garanzia dell’interessato, il diritto alla visione degli accessi che sono stati effettuati al dossier sanitario, e il punto 5 delle allegate Linee guida abbia inoltre previsto che nell’informativa devono essere illustrate le modalità attraverso le quali l’interessato possa esercitare tale diritto”.
Ulteriore criticità si ravvisa con riferimento agli elementi dell’informativa riguardanti i trattamenti di dati personali effettuati per finalità di ricerca.
Al riguardo, è necessario che siano ben distinti i trattamenti effettuati a fini di ricerca medica, biomedica ed epidemiologica relativi anche alla sperimentazione clinica (art. 110 del Codice) da quelli effettuati per fini di cura (art. 78, comma 5 del Codice). Ciò, con particolare riferimento alle indicazioni relative alla facoltatività del conferimento dei dati personali a fini di ricerca e a quelle relative alle conseguenze in ordine al mancato conferimento dei dati personali.
-
Accesso al dossier sanitario da parte del personale che svolge funzioni amministrative correlate alla cura.
Per quanto riguarda la sicurezza dei dati trattati con il dossier, durante gli accertamenti ispettivi è, anzitutto, emerso che al personale della Direzione sanitaria erano stati attribuiti profili di acceso ai dati più ampi, che consentivano loro di consultare, per lo svolgimento di finalità amministrative proprie di tali uffici, anche i dossier sanitari dei pazienti dimessi senza alcuna limitazione temporale e restrizione in ordine alla profondità dell’accesso. Sul punto, il Garante ha prescritto all’Azienda di mettere in atto di specifici accorgimenti che consentano al personale amministrativo di accedere alle sole informazioni indispensabili per assolvere alle funzioni amministrative cui sono preposti e per il tempo strettamente necessario per perseguire l’attività cui è preposto il soggetto che effettua l’accesso.
-
Sistemi di autenticazione e di autorizzazione e di audit log
Ricordato che nelle Linee guida del 2015 si è ribadita la necessità che il titolare del trattamento metta in opera sistemi per il controllo degli accessi anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, attraverso l’utilizzo di indicatori (c.d. alert) utili per orientare successivi interventi di audit, il Provvedimento rappresenta la necessità che sia effettuata una verifica periodica circa la sussistenza dei presupposti che hanno originato l’abilitazione degli incaricati ad accedere ai dati dei dossier e che questa sia posta in essere -in ogni caso- a fronte di cambiamenti organizzativi e/o di eventi anomali. Ove dalle predette verifiche emergessero delle criticità, si afferma necessario prevedere un’immediata analisi, seguita da provvedimenti volti alla revisione/disabilitazione delle credenziali di accesso o del profilo di autorizzazione.
-
Tracciabilità degli accessi e delle operazioni effettuate.
Il Provvedimento ricorda che “Pur in assenza di disposizioni normative recanti obblighi in materia di tracciabilità delle operazioni con riguardo sia all’an sia al quantum, le strutture sanitarie, nell’ambito della discrezionalità riconosciuta nell’organizzare la funzione di compliance, devono realizzare sistemi di controllo delle operazioni effettuate sul dossier sanitario, mediante procedure che prevedano la registrazione automatica in appositi file di log degli accessi e delle operazioni compiute.
Nelle citate Linee guida del 2015 il Garante ha previsto che i file di log debbano registrare per ogni operazione di accesso al dossier effettuata da un incaricato, almeno le seguenti informazioni: il codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso; la data e l’ora di esecuzione; il codice della postazione di lavoro utilizzata; l’identificativo del paziente il cui dossier è interessato dall’operazione di accesso da parte dell’incaricato e la tipologia dell’operazione compiuta sui dati. In ragione della particolare delicatezza del trattamento dei dati personali effettuato mediante il dossier è necessario che siano tracciate anche le operazioni di semplice consultazione (inquiry)”.
Nel corso delle verifiche, però, è emerso che nel software in dotazione al’Azienda ospedaliera non erano registrate le operazioni di consultazione dei dati trattati mediante il dossier. Anche rispetto a questo tema, dunque, si renderà indispensabile un intervento correttivo.
Infine, si rende necessario che nei manuali adottati dal titolare su tali procedure siano meglio indicate le informazioni registrate nei file di log quali l’identificativo della postazione di lavoro utilizzata e quello del paziente il cui dossier è interessato dall’operazione di accesso.
(Fonte Garante Privacy)