il dossier sanitario: dalle linee guida del garante al...
Post on 17-Feb-2019
225 Views
Preview:
TRANSCRIPT
privacy e sicurezza
Giancarmine Russo
Segretario generale SIT Società Italiana Telemedicina e sanità
elettronica
UÀ
Chiara Rabbito
Coordinatrice nazione Gruppo di ricerca SIT "Sicurezza e Privacy"
Il Dossier sanitario: dalle Linee guida
del Garante al nuovo Regolamento UE sulla privacy
Il dossier sanitario è stato recentemente oggetto di apposite Linee guida
stabilite dall'Autorità Garante. Analizziamo
assieme ai nostri autori, Chiara Rabbito
e Giancarmine Russo, quali sono
i punti salienti della regolamentazione
e le motivazioni che hanno spinto anche il legislatore comunitario
a redìgere II nuovo regolamento europeo
in materia di privacy del dato sanitario
Nell'imminenza della emanazione del primo decreto attuati-vo sul Fascicolo Sanitario Elettronico, vale la pena ricordare e approfondire la conoscenza dell'altro importante strumento informatico-telematico di raccolta e richiamo delle informazioni sulla salute, il dossier sanitario, recentemente
fatto oggetto di apposite Linee guida da parte della nostra Autorità Garante per la privacy. Come si ricorderà, fin dalle Linee guida sul Fascicolo Sanitario, del luglio 2009, il Garante ha previsto e definito il dossier sanitario, indicandolo come lo strumento che consente la consultazione dell'insieme dei dati sanitari del paziente, realizzato presso un organismo sanitario, in qualità di unico titolare del trattamento (es. ospedale o clinica privata) al cui interno operino più professionisti. Le Linee guida ministeriali sul Fascicolo Sanitario Elettronico, datate 2010, in più punti richiamano le Linee guida del Garante dell'anno precedente, implicitamente includendo, accanto al FSE, il dossier sanitario. Nel giugno di quest'anno il Garante privacy, pur avendo già pubblicato le "Linee guida in tema di Fascicolo Sanitario Elettronico (FSE) e di dossier sanitario", è tornato sul tema, con apposite "Linee guida in materia di dossier sanitario", a sottolineare l'importanza di questo strumento, che, a detta dello stesso Garante, è stato oggetto, nel corso degli anni, di segnalazioni e richieste di informazioni da parte dei cittadini e di accertamenti da parte dell'Autorità, ed ha conseguentemente comporta-
e-Health - n. 44 marzo 2016
LEGISLAZ. & POLITICA SANITARIA
privacy e sicurezza
to l'emanazione di un certo numero di provvedimenti1. Ma partiamo da cosa debba intendersi con dossier sanitario. Il Garante riprende, ampliandola, la definizione del 2009: il dossier sanitario è lo strumento costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es. ospedale, azienda sanitaria, casa di cura) al cui interno operino più professionisti, attraverso il quale sono rese accessibili informazioni, inerenti allo stato di salute di un individuo, relative ad eventi clinici presenti e trascorsi (es. referti di laboratorio, documentazione relativa a ricoveri, accessi al pronto soccorso), volte a documentarne la storia clinica. Il dossier sanitario, dunque, raccoglie le informazioni relative agli eventi clinici occorsi all'interessato esclusivamente presso un'unica struttura sanitaria. Esso si differenzia pertanto dal FSE per la circostanza che i documenti e le informazioni sanitarie accessibili tramite tale strumento sono state generate e fanno capo a un solo titolare del trattamento e non a più strutture sanitarie in qualità di autonomi titolari, come avviene nel caso del FSE.
Con le Linee guida il Garante intende fornire un quadro di riferimento unitario sulla cui base i titolari possano orientare le proprie scelte e conformare i trattamenti ai principi di legittimità stabiliti dal Codice. Data la delicatezza dei dati trattati, un aspetto di grande rilievo riguarda la sicurezza tecnica del trattamento e la tutela nei confronti dei rischi di accesso non autorizzato o di trattamento non consentito. Il Garante denuncia nelle Linee guida quanto emerso nel corso delle sue attività istruttorie: accessi non leciti e trattamenti non consentiti da parte di personale amministrativo o sanitario che non era stato mai coinvolto nel processo di cura dell'interessato, insicurezza di sistemi e pericoli di violazioni o incidenti informatici. I descritti rischi, a giudizio dell'Autorità, sono principalmente derivati dal fatto che la maggior parte dei dossier sono stati sviluppati in modo non strutturale e organizzato, bensì partendo da alcune iniziative estemporanee di informatizzazione delle cartelle cliniche di reparto o di ambulatorio e, quindi, senza tener conto del fatto che si andava predisponendo un sistema informativo in grado di gestire potenzialmente l'intera storia clinica di un individuo. Ne è derivata una grave approssimazione sotto il profilo sostanziale e formale: mancanza di certezza sull'autenticità delle informazioni presenti, possibilità che le stesse siano accessibili e modificabili da parte di soggetti non legittimati o, all'opposto, non disponibilità delle informazioni sanitarie qualora esse siano necessarie per il processo di cura. Ecco dunque che per far fronte a tali gravi violazioni, il Garante si premura innanzitutto di riconoscere espressamente all'assistito il diritto alla visione (e quindi alla conoscenza) degli accessi effettuati al proprio dossier sanitario dal personale delle struttura sanitaria che ha costituito e cura il suo dossier (e quindi che ne è il titolare), al fine evidentemente di offrire
1 Nelle Linee guida vengono in particolare menzionati i provvedimenti nei confronti dell'Azienda ospedaliero-universitaria Ospedali Riuniti di Trieste e delle altre aziende sanitarie della regione Friuli Venezia Giulia (doc. web n. 2284708); dell'Azienda sanitaria dell'Alto Adige (doc. web n. 3325808); dell'Azienda ospedaliero-universitaria S. Orsola Malpighi di Bologna (doc. web n. 3570631), dell'Azienda Policlinico Umberto I di Roma (doc. web n. 3725976).
supporto e argomentazioni alle iniziative di tutela azionabili dall'assistito stesso. L'interessato ha dunque diritto di sapere chi e quando ha letto i suoi dati. Ma con quali modalità? In concreto, l'interessato deve avanzare una formale richiesta al titolare del trattamento, al fine di conoscere gli accessi eseguiti sul proprio dossier con l'indicazione della struttura/reparto che ha effettuato l'accesso, nonché della data e dell'ora dello stesso. Ne consegue quindi, dal lato opposto, un obbligo del titolare di predisporre il proprio sistema informatico-telematico in modo da mantenere puntuale e sufficientemente duratura memoria degli accessi effettuati dai suoi utenti. Il titolare del trattamento deve fornire riscontro alla suddetta richiesta dell'interessato entro quindici giorni dal suo ricevimento.
Se le operazioni necessarie per un integrale riscontro alla richiesta sono di particolare complessità, ovvero ricorre altro giustificato motivo, il titolare ne dovrà dare comunicazione all'interessato. In tal caso, il termine per l'integrale riscontro è di trenta giorni dal ricevimento della richiesta. Veniamo ora al caso potenzialmente più pericoloso di violazione dei diritti dell'interessato: il data breach. Il concetto di data breach è stato introdotto nel Codice della privacy a seguito delle modifiche introdotte dal decreto legislativo 28 maggio 2012, n. 692. Per esso si deve intendere la violazione della sicurezza che comporta anche ac-
2 Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori. (Gazzetta Ufficiale n. 126 del 31 maggio 2012)
e-Health - n. 44 marzo 2016 59
LEGISLAZ. & POLITICA SANITARIA
privacy e sicurezza
cidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizzata o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico (art. 4, comma 3, lett. g-bis), del Codice). In caso di data breach i titolari del dossier sanitario saranno tenuti obbliga
le indicazioni del legislatore europeo sono state recepite
tramite decreto legislativo, n. 69
del 2012, apportando significative modifiche
al Codice privacy, tra cui quella
che prevede l'obbligo per i fornitori di servizi
di comunicazione elettronica
di comunicare senza indebiti ritardi al Garante e,
in alcuni casi, al contraente o ad altre
persone interessate, l'occorrenza di eventi dannosi per il sistema informatico-telematico
che abbiano determinato
"violazioni di dati personali"
toriamente a darne comunicazione al Garante: in particolare, entro quarantotto ore dalla conoscenza del fatto, i titolari del trattamento dovranno comunicare all'Autorità tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario. Tali comunicazioni dovranno essere redatte secondo lo schema riportato nell"'Allegato B" delle Linee guida e inviate tramite posta elettronica o posta elettronica certificata all'indirizzo: databreach.dossier® pec.gpdp.it.
60 e-Health-n.44 marzo 2016
LEGISLAZ. & POLITICA SANITARIA
privacy e sicurezza
La mancata comunicazione al Garante configura un illecito amministrativo sanzionato ai sensi dell'art. 162, comma 2-ter del Codice. La previsione di un tale obbligo non è nuova in capo alla nostra Autorità garante. Si veda infatti il "Provvedimento in materia di attuazione della disciplina sulla comunicazione delle violazioni di dati personali (ed. data breach)" del 4 aprile 2013, provvedimento che disciplina più dettagliatamente quanto previsto dall'art. 32-bis del Codice privacy, intitolato "Adempimenti conseguenti ad una violazione di dati personali". Il citato art. 32 bis e il relativo provvedimento del Garante sanciscono e disciplinano l'obbligo, per i fornitori di servizi di comunicazione elettronica accessibili al pubblico (ovvero servizi telefonici e servizi telematici), di comunicare senza indebiti ritardi al Garante la violazione di dati personali da essi detenuti. Si tratta dunque di un obbligo corrispondente a quello previsto in capo al titolare del dossier sanitario. Nei casi in cui dalla violazione possa derivare pregiudizio ai dati personali o alla riservatezza di un contraente o di altra persona, il fornitore dovrà comunicare l'avvenuta violazione anche a tali soggetti (art. 32-bis, comma 2). La previsione di un tale obbligo in capo ai fornitori dei servizi di comunicazione è frutto della sensibilità del legislatore europeo che già con la direttiva 2002/58/Ce (ed. direttiva e-Privacy) prescriveva ai fornito
ri di servizi di comunicazione elettronica di adottare "appropriate misure tecniche e organizzative" per assicurare "un
livello di sicurezza adeguato al
1
rischio esistente" (art. 4, comma 1). Nella successiva direttiva 2009/136/Ce, modificatrice della prima direttiva citata, si sottolineava come un evento che coinvolga i dati personali, se non trattato in modo adeguato e tempestivo, possa provocare un grave danno economico e sociale al contraente (o alle altre persone interessate), tra cui l'usurpazione d'identità. Le suindicate indicazioni del legislatore europeo sono state recepite tramite il sopra menzionato decreto legislativo 28 maggio 2012, n. 69, apportando significative modifiche al Codice privacy, tra cui appunto quella che prevede l'obbligo per i fornitori di servizi di comunicazione elettronica di comunicare senza indebiti ritardi al Garante e, in alcuni casi, al contraente o ad altre persone interessate, l'occorrenza di eventi dannosi per il sistema informatico-telematico che abbiano determinato "violazioni di dati personali". Va sottolineato come la sensibilità del legislatore comunitario circa la necessità della protezione dell'interessato nei confronti di tali gravi violazioni di dati personali non sia venuta meno, ma si sia al contrario accresciuta: le proposte di riforma della legislazione comunitaria in materia di protezione dei dati (si veda in particolare lo schema di Regolamento presentato dalla Commissione europea il 25 gennaio 2012) prevedono un'estensione generalizzata dell'obbligo di notifica delle violazioni dei dati personali a tutti i titolari pubblici e privati (ed data breach notification). In questa direzione e con questo scenario a fare da sfondo va interpretato il provvedimento del Garante oggetto della presente trattazione: una sempre maggiore consapevolezza della pericolosità del mezzo informatico-telematico se male utilizzato e il riconoscimento della necessità di una sempre più rafforzata protezione del interessato nei confronti di eventi potenzialmente catastrofici per la propria privacy e gravemente lesivi dei diritti della persona costituzionalmente riconosciuti.
e-Health - n. 44 marzo 2016 61
LEGISLAZ. & POLITICA SANITARIA
top related