Dossier sanitario: necessarie misure di sicurezza per evitare l’accesso ai dati dei pazienti da parte di personale medico non coinvolto nel processo di cura
Il dossier sanitario, osserva il Garante, è l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato, che vengono condivisi tra i professionisti sanitari che lo assistono presso un’unica struttura sanitaria (ad es. ospedale, casa di cura privata, ecc.). Ricordiamo, invece, che il fascicolo sanitario elettronico è "l'insieme di dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi riguardanti l'assistito" (art. 12, comma 1, d.l. n. 179/2012), generati oltre che da strutture sanitarie pubbliche anche da quelle private.
Il Dossier sanitario consente ai professionisti che operano presso quella struttura di accedere a tutte le informazioni cliniche relative ai precedenti interventi (ricoveri, visite ambulatoriali, accessi in pronto soccorso) effettuati dall’assistito presso quella stessa struttura.
Quindi, il dossier è accessibile da parte di tutti gli operatori sanitari della struttura sanitaria titolare del dossier che prenderanno in cura nel tempo l’interessato, mentre come noto il fascicolo può essere consultato da tutti gli esercenti le professioni sanitarie (pubblici e privati) che a vario titolo prenderanno in cura l'interessato.
Con le “Linee guida in materia di Dossier sanitario” del giugno 2015 il Garante ha stabilito che “il titolare del trattamento deve porre particolare attenzione nell’individuazione dei profili di autorizzazione, adottando modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso proprie di ciascuna struttura”.
Ne segue che le aziende sanitarie devono mettere in atto tutte le misure tecniche e organizzative necessarie per evitare l’accesso ai dati dei pazienti da parte di personale medico e infermieristico non coinvolto nel processo di cura. Lo ha ribadito il Garante privacy nel sanzionare con cinquanta e settanta mila euro due Asl della Regione Friuli-Venezia Giulia. (Provv.26.05.2022 doc. Web 9789972 e 9790365)
Infatti, dai controlli effettuati sono emerse diverse violazioni del Regolamento europeo. L’accesso al dossier sanitario avveniva attraverso sistemi che, non essendo stati correttamente configurati, consentivano a tutti coloro che prestavano servizio nelle due Asl (e in tutte quelle della Regione) di acquisire informazioni su qualsiasi paziente presente o non presente nelle due strutture sanitarie.
Inoltre, il Garante ha accertato in uno dei casi esaminati che la configurazione del dossier aveva reso possibile al personale sanitario, che operava presso l’Azienda, di accedere senza restrizioni anche al dossier sanitario dei colleghi. Addirittura il sistema consentiva agli operatori sanitari di una casa circondariale di accedere ai dossier sanitari di tutti i pazienti dell’Asl e non soltanto a quelli dei detenuti.
In conclusione, l’Autorità Garante dopo aver ordinato l’attuazione di interventi correttivi all’applicativo in grado di garantire un’adeguata sicurezza e integrità dei dati personali e scongiurare accessi non consentiti ha raccomandato la predisposizione di un sistema di alert, volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (es. numero degli accessi eseguiti, tipologia o ambito temporale degli stessi).
