POLITICA SULL'UTILIZZO DEI COOKIE - GIUFFRE' FRANCIS LEFEBVRE SPA

Questo sito utilizza cookie di profilazione di prima parte per offrirti un miglior servizio e per trasmetterti comunicazioni in linea con le attività svolte durante la navigazione. Puoi impedire l'utilizzo di tutti i Cookie del sito cliccando MAGGIORI INFORMAZIONI oppure puoi acconsentire all'archiviazione di tutti quelli previsti dal sito cliccando su ACCONSENTI.

Continuando la navigazione del sito l'utente acconsente in ogni caso all'archiviazione degli stessi.


> Maggiori informazioni

Acconsenti

Abbonamento scaduto
Abbonamento inattivo
Numero massimo utenti raggiunto
Utente non in CRM
Manutenzione
mercoledì 03 giugno 2020
Accedi   |   Contatti   |   Newsletter   |   Abbonamenti    Feed RSS
Notizie a cura di La Stampa.it |
AMMINISTRATIVO

Garante Privacy | 08 Luglio 2015

Regole privacy per il dossier sanitario elettronico

di Mauro Alovisio - Avvocato

Il Garante privacy adotta specifiche linee guida in materia di dossier sanitario elettronico e approfondisce i profili della sicurezza, della procedura di segnalazione dei data breach (violazioni o incidenti informatici, attacchi, accessi abusivi, perdita, furto) e del diritto dei cittadini alla visione degli accessi al proprio dossier.

Il Garante per la protezione dei dati interviene in materia di dossier sanitario elettronico con specifiche linee guida e definisce per gli operatori sanitari un complesso di regole unitarie a tutela dei pazienti e cittadini per un settore complesso e a forte innovazione.
Il dossier sanitario, ai sensi delle linee guida in materia del Garante privacy del 2009, è lo strumento costituito presso un unico organismo sanitario in qualità di unico titolare del trattamento (es. ospedale, azienda, casa di cura o clinica privata) al cui interno operino più professionisti che consente di raccogliere e trattare, al fine di documentarne, la storia clinica l'insieme dei dati personali generati da eventi clinici presenti e trascorsi (referti di laboratorio, documentazione relativa a ricoveri, accessi al pronto soccorso) riguardanti l'interessato e di offrirgli un migliore processo di cura. Il dossier sanitario si distingue dal fascicolo sanitario, strumento nel quale confluisce tutta la storia del paziente generata da più strutture sanitarie in qualità di titolari autonomi del trattamento e che è disciplinato da specifica normativa (legge n. 221/2012).
Necessario un consenso specifico. Il provvedimento stabilisce, in particolare, che ai pazienti deve essere consentito, previa chiara e dettagliata informativa privacy, di scegliere, in piena libertà, se far costituire o meno il dossier sanitario. Nel caso di assenza del sopra citato consenso il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista. Viene specificato che la mancanza del consenso non deve incidere minimamente sulla possibilità di accedere alle cure richieste. Per poter inserire nel dossier informazioni particolarmente delicate (infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia) sarà necessario un consenso specifico. Ai pazienti deve essere garantita la possibilità di oscurare i dati o documenti sanitari che non intende confluire nel dossier.
Linee guida del Garante. Le linee guida prevedono l’obbligo di comunicazione al Garante privacy del verificarsi di violazioni dei dati (data breach) o incidenti informatici (accessi abusivi, azione di malware…) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione. La sopra citata comunicazione deve essere effettuata entro quarantotto ore dalla conoscenza del fatto: i titolari del trattamento dei dati sono tenuti a comunicare all'Autorità tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario.
La comunicazione deve essere redatta secondo lo schema riportato nell' “Allegato B” alle linee guida e inviate tramite posta elettronica o posta elettronica certificata all'indirizzo: databreach.dossier@pec.gpdp.it.
Le linee guida specificano che la mancata sopra citata comunicazione al Garante configura un illecito amministrativo sanzionato ai sensi dell'art. 162, comma 2 ter, Codice che prevede una sanzione del pagamento di una somma da 30mila euro a 180mila euro. Si tratta di un adempimento con un forte impatto organizzativo sulle strutture (48 ore sono un termine molto breve in relazione alla complessità degli enti sanitari); si osserva il titolare del trattamento dei dati è tenuto a fornire al Garante molteplici dati e informazioni richiesti dal fac-simile (breve descrizione della violazione dei dati personali; quando si è verificata la violazione dei dati; dove è avvenuta la violazione, se connessa a furti o smarrimenti di dispositivi o supporti, le modalità di esposizione al rischio, sintetica descrizione dei sistemi di elaborazione o di memorizzazione dei dati coinvolti, con indicazione della loro ubicazione, il numero delle persone colpite dalla violazione dei dati personali, tipologia dei dati oggetto delle violazioni, livello di violazione dei dati personali, le misure tecniche e organizzative applicate ai dati oggetto di violazione; se la violazione è stata comunicata anche agli interessati, il contenuto della comunicazione resa agli interessati, quali sono state le misure tecnologiche e organizzative che sono state assunte per contenere la violazione e prevenire simili violazioni future).  Il Garante prescrive l'adozione di elevate misure di sicurezza. I dati sulla salute dovranno essere separati dagli altri dati personali, e dovranno essere individuati criteri per la cifratura dei dati sensibili. L'accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura. Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, saranno tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi.
Le linee guida approfondiscono anche il profilo del diritto dell’interessato alla visione degli accessi al dossier sanitario da esercitarsi attraverso una formale richiesta al titolare del trattamento o a un suo delegato, al fine di conoscere gli accessi eseguiti sul proprio dossier con l'indicazione della struttura/reparto che ha effettuato l'accesso, nonché della data e dell'ora dello stesso. Il titolare del trattamento o un suo delegato devono fornire riscontro alla suddetta richiesta dell'interessato entro 15 giorni dal suo ricevimento.
Il Garante auspica che i titolari del trattamento individuino al loro interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (c.d. DPO - data protection officer), anche in relazione ai casi di sopra citati casi data breach, figura prevista dalla bozza del regolamento europeo in corso di definizione.