Dossier Sanitario Elettronico: due ASL della Regione FVG sono state sanzionate dal Garante Privacy per mancato rispetto della normativa in materia di protezione dei dati personali. Allo stesso tempo, l’Autorità ha impartito delle istruzioni operative alla società che si occupa dell’infrastruttura informatica, al fine di conformare il funzionamento del DSE alle prescrizioni.
Cos’è il DSE e a cosa serve?
Il DSE è uno strumento concepito per migliorare la resa della prestazione sanitaria nei confronti del paziente. Si tratta, molto sinteticamente, di un fascicolo elettronico che racchiude una serie di informazioni relative agli episodi di cura/assistenza che quella persona ha, nel tempo, ricevuto presso una determinata struttura sanitaria. L’inserimento di queste informazioni è rimesso ad una scelta effettuata dal paziente, che potrebbe anche decidere di oscurare alcuni accessi. Ci sono poi alcune specifiche registrazioni, relative a materie estremamente sensibili (come ad esempio le infezioni HIV), che richiedono uno specifico consenso del paziente.
Le ragioni della limitazione alla consultazione
La finalità della raccolta di queste informazioni è quella di consentire agli operatori sanitari di possedere il maggior numero di informazioni possibile, in modo da poter fornire l’assistenza medica adeguata. Poiché il trattamento dei dati personali deve sempre restare allineato alla finalità perseguita, ecco che l’accesso a queste informazioni deve essere limitato. Solo il personale che interviene nel processo di cura del paziente può consultare il DSE.
Si evidenzia pertanto un doppio limite: funzionale e temporale. Funzionale, perché l’operatore (medico, infermiere) potrà accedere alle informazioni contenute nel DSE solamente se ha in cura il paziente. Temporale, perché, esaurite le attività di assistenza medica, l’accesso non sarà più consentito. Laddove ne ricorrano i presupposti, un nuovo accesso diventerà ovviamente possibile in futuro.
Le violazioni commesse dalle ASL
Nel caso esaminato dal Garante, questi limiti non erano rispettati. Il sistema di gestione del DSE, infatti, consentiva un accesso alle informazioni di qualunque paziente fosse presente nella struttura. Non solo: dichiarando la sussistenza di alcune casistiche preimpostate, l’accesso era possibile anche a pazienti non fisicamente presenti in struttura. La doppia barriera, funzionale e temporale, era così ampiamente aggirabile.
La consultazione era inoltre consentita anche a personale non strettamente sanitario, ma operante in ambito amministrativo. Il Garante ha rilevato che la potenziale incompletezza del DSE (come si è detto, l’inserimento delle informazioni dipende dal consenso del paziente) mal si concilia con il suo utilizzo per finalità amministrative. Si rende necessario individuare un altro modo per accedere – limitatamente alle specifiche attribuzioni – ad un bagaglio informativo più ampio.
Non da ultimo, l’Autorità ha riscontrato l’impiego di un protocollo comunicativo non sicuro e l’assenza di strumenti di rilevamento e report di eventuali anomalie. Sotto questo aspetto, si tratta di una violazione ai principi che impongono al titolare del trattamento di adottare misure tecniche e organizzative adeguate. Anche i principi di privacy by default e privacy by design risultano non rispettati.
In presenza di tutte queste violazioni nella tenuta del Dossier Sanitario Elettronico, le ASL del FVG sono state sanzionate dal Garante. Le due strutture, chiamate ora ad adeguarsi alle prescrizioni impartite, hanno inoltre ricevuto una sanzione non proprio leggera. Complessivamente, le sanzioni sono arrivate a ben 120.000 euro.
Avv. Andrea MARTINIS
diritto civile (responsabilità civile, assicurazioni, recupero crediti), privacy, diritto penale