Stop al Far west dei dossier sanitari. Tanti e confusi, senza procedure standard a garanzia della correttezza delle informazioni, del loro aggiornamento e delle condizioni del loro utilizzo.
L’argine è stato alzato dal garante della privacy con apposite linee guida, approvate con la deliberazione n. 331 (pubblicata sulla Gazzetta Ufficiale n. 164 del 17/7), che richiede consenso informato, diritto di oscuramento, accesso solo per il personale autorizzato, segnalazione delle violazioni.
Molto spesso nella prassi si riscontrano veri e propri illeciti: accessi abusivi; consultazione, estrazione, copia delle informazioni sanitarie da parte di personale amministrativo o personale medico che non era stato mai coinvolto nel processo di cura del paziente e che per motivi di interesse personale aveva acceduto allo stesso per poi divulgare le informazioni così acquisite a terzi all’insaputa dell’interessato.
Questo anche con riferimento a informazioni relative a prestazioni sanitarie particolarmente delicate (affezioni da Hiv, interruzione volontaria della gravidanza, parto in anonimato).
La gestione del dossier sanitario deve, invece, essere ispirata a criteri di correttezza e legittimità.
Ecco in sintesi i contenuti del provvedimento, che riguarda le strutture sanitarie sia pubbliche sia private.
Che cos’è il dossier sanitario. Il dossier elettronico va tenuto distinto dalla cartella clinica e dal Fascicolo sanitario elettronico (Fse). Il dossier sanitario elettronico è lo strumento costituito presso un’unica struttura sanitaria (un ospedale, un’azienda sanitaria, una casa di cura), che raccoglie informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso quella singola struttura.
Si differenzia dal fascicolo sanitario elettronico in cui invece confluisce l’intera storia clinica di una persona generata da più strutture sanitarie. Il dossier è diverso anche dalla cartella clinica, che è finalizzata a rilevare tutte le informazioni su un paziente e a un singolo episodio di ricovero.
Solo con il consenso. La prima prescrizione concerne il consenso del paziente: all’interessato è consentito di scegliere se far costituire o meno il dossier sanitario. Il consenso al dossier, anche se manifestato unitamente a quello previsto per il trattamento dei dati a fini di cura, deve essere autonomo e specifico. In caso di incapacità di agire dell’interessato deve essere acquisito il consenso di chi esercita la potestà legale su di esso. In caso di minori, raggiunta la maggiore età, deve essere acquisito, al primo contatto utile, nuovamente il consenso informato dell’interessato divenuto maggiorenne. Una volta prestato il consenso, il dossier sanitario sarà a disposizione da parte di tutti gli operatori sanitari che, nel corso del tempo, lo prenderanno in cura, senza che l’interessato debba manifestare tale volontà ogni volta che accede per vari motivi alla struttura sanitaria. Questo vale anche nel caso del paziente che giunga al pronto soccorso in gravi condizioni e non sia in grado di esprimere alcuna specifica volontà. Inoltre una volta che l’interessato abbia acconsentito al trattamento, il dossier sanitario potrà essere consultato, se indispensabile per la salvaguardia della salute di un terzo o della collettività, per esempio, nei casi di rischio di insorgenza di patologie su soggetti terzi a causa della condivisione di ambienti con l’interessato
Se il paziente non acconsente ad aprire il dossier sanitario, il professionista che lo prende in cura avrà a disposizione solo le informazioni rese in quel momento dallo stesso interessato (in sostanza anamnesi e documentazione diagnostica consegnata) e quelle relative alle precedenti prestazioni erogate dallo stesso professionista. Anche il personale sanitario di reparto/ambulatorio, in mancanza di dossier, avrà accesso solo alle informazioni relative all’episodio per il quale l’interessato si è rivolto presso quella struttura e alle altre informazioni relative alle eventuali prestazioni sanitarie erogate in passato da quel reparto/ambulatorio. Il consenso è necessario anche per l’inserimento delle informazioni relative a eventi sanitari pregressi e il paziente può anche scegliere che le informazioni sanitarie pregresse non siano trattate mediante il dossier. La mancanza del consenso non deve, però, incidere minimamente sulla possibilità di accedere alle cure richieste.
Per poter inserire nel dossier informazioni particolarmente delicate sarà necessario un consenso specifico: si tratta, in particolare, dei dati ad atti di violenza sessuale o di pedofilia, alle infezioni da Hiv o all’uso di sostanze stupefacenti, di sostanze psicotrope e di alcool, interventi di interruzione volontaria della gravidanza o parti in anonimato e i servizi offerti dai consultori familiari. In tali casi, l’interessato può richiedere che tali informazioni siano consultabili solo da parte di alcuni soggetti dallo stesso individuati (per esempio, solo dallo specialista presso cui è in cura), fermo restando la possibilità che agli stessi possano sempre accedere i professionisti che li hanno elaborati.
Data breach. Eventuali violazioni di dati o incidenti informatici relativi ai dossier sanitari dovranno essere comunicati al garante, entro quarantotto ore dalla conoscenza del fatto, attraverso un modulo reperibile all’indirizzo databreach.dossier@pec.gpdp.it.
La mancata comunicazione al Garante delle suddette violazioni o dei predetti incidenti informatici configura un illecito amministrativo. Inoltre si prescrive che la struttura individui una procedura per comunicare senza ritardo al paziente le operazioni di trattamento illecito effettuate dagli incaricati o da chiunque sui dati personali trattati mediante il relativo dossier. Tale tempestiva informazione, infatti, in termini generali, può consentire all’interessato di minimizzare i rischi connessi alla violazione subita.
© Riproduzione riservata