sabato 2 maggio 2009

Linee guida del Garante sul Fascicolo Sanitario Elettronico

Pubblico integralmente le linee guida del garante per la protezione dei dati personali relative al fascicolo sanitario perché ritengo doveroso diffondere il più possibile le informazioni relative al tema che mi interessa molto visto che sto portando avanti, non senza difficoltà, un paio di iniziative che convergono in questa direzione. Il Garante ha deciso di intervenire per garantire l'applicazione di un primo insieme di regole a garanzia delle persone data l'estrema delicatezza delle informazioni trattate. Il Fascicolo Sanitario Elettronico così come definito in uno dei 'mattoni' del nuovo SSN è il 'Patient File' definito nelle specifiche CDA HL7 e dovrà essere costituito esclusivamente per il perseguimento di finalità di prevenzione, diagnosi, cura e riabilitazione. Sarà consultabile dall'interessato con apposite forme di autorizzazione e dal personale sanitario, autorizzato per finalità sanitarie Sono un po' meno d'accordo sulla possibilità di scelta del paziente se far costituire o meno un Fascicolo Sanitario che ritengo uno strumento indispensabile quando, in forma aggregata, rappresenterà la richiesta sanitaria di un territorio e guiderà la distribuzione delle risorse economiche da impegnare.
Infine le linee guida descrivono come l'informativa che "con un linguaggio comprensibile e dettagliato", appunto, deve indicare chi (medici di base, del reparto ove è ricoverato il paziente, farmacisti) ha accesso ai sui dati, che tipo di operazioni può compiere, se il conferimento dei dati è obbligatorio o facoltativo, eccetera. In materia di sicurezza dei dati trattati, l'Autorità impone l'adozione di specifici accorgimenti tecnici per "assicurare elevati livelli di sicurezza che limitino il più possibile i rischi di accesso abusivo, furto, smarrimento".

Il link del documento sul sito del garante è :

http://www.garanteprivacy.it/garante/doc.jsp?ID=1598313


IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Linee guida in tema di fascicolo sanitario elettronico e di dossier sanitario


Sommario


1. La sanità elettronica: profili generali

2. Ambito di applicazione delle linee guida

3. Diritto alla costituzione di un fascicolo sanitario elettronico o di un dossier sanitario

4. I soggetti che trattano i dati

5. Dati che possono essere trattati e accesso al fascicolo sanitario elettronico e al dossier sanitario

6. Informativa

7. Misure di sicurezza

8. Notificazione al garante

9. Diffusione e trasferimento all'estero dei dati

10.Diritti dell'interessato


1. La sanità elettronica: profili generali

Nel quadro del processo di ammodernamento della sanità pubblica e privata sono in atto numerose iniziative volte a migliorare l'efficienza del servizio sanitario attraverso un ulteriore sviluppo delle reti e una più ampia gestione informatica e telematica di atti, documenti e procedure.
In tale contesto si collocano alcune iniziative volte ad archiviare, mediante nuove tecniche, la svariata documentazione di cui gli organismi sanitari si avvalgono a diverso titolo nei processi di cura dei pazienti come, ad esempio, le più recenti esperienze di informatizzazione della cartella clinica, documento sanitario che pure è regolato da specifiche disposizioni normative. Il trattamento dei dati utilizzati nell'ambito di tali iniziative è regolato già dal Codice sulla protezione dei dati personali (cfr., in particolare, artt. 75 e ss. e art. 20 del Codice).
Accanto a tali iniziative più generali emerge di recente un'attività più specifica che rientra anch'essa nel complesso delle azioni per modernizzare la realtà sanitaria, ma ha caratteristiche peculiari che ne rendono opportuna una considerazione in forma specifica.
La novità che si intende esaminare in questa sede in chiave autonoma riguarda la condivisione informatica, da parte di distinti organismi o professionisti, di dati e documenti sanitari che vengono formati, integrati e aggiornati nel tempo da più soggetti, al fine di documentare in modo unitario e in termini il più possibile completi un'intera gamma di diversi eventi sanitari riguardanti un medesimo individuo e, in prospettiva, l'intera sua storia clinica.
Questi dati e documenti possono presentare caratteristiche o sfumature diverse e sono da tempo oggetto di specifica attenzione nell'ambito della problematica del cosiddetto Fascicolo sanitario elettronico (di seguito Fse) e del c.d. dossier sanitario (di seguito dossier). Nelle presenti Linee guida per tali strumenti si ha riguardo all'insieme dei diversi eventi clinici occorsi ad un individuo, messo in condivisione logica dai professionisti o organismi sanitari che assistono l'interessato, al fine di offrirgli un migliore processo di cura.
La peculiarità della condivisione da parte di distinti soggetti delle delicate informazioni sanitarie che documentano un insieme di eventi di rilevanza medica occorsi a uno stesso individuo giustifica la formulazione di particolari considerazioni rispetto alla gestione cartacea di analoghi documenti e alla più generale tematica dell'informatizzazione sanitaria.
Nelle more di un possibile intervento normativo che regoli alcuni aspetti di fondo, il Garante ritiene pertanto opportuno individuare un primo quadro di cautele, al fine di delineare per tempo specifiche garanzie e responsabilità, nonché alcuni diritti.

2. Ambito di applicazione delle linee guida

Il Fse e i dossier non risultano essere definiti a livello nazionale da norme di carattere primario o secondario. Ciò, comporta la necessità di utilizzare una definizione convenzionale del fenomeno che trae spunto anche da quanto emerso in sede europea nel Gruppo che riunisce le autorità garanti di protezione dei dati (cd. Gruppo Art. 29)(1).
Le considerazioni sviluppate nelle presenti linee guida sono applicabili al Fse e al dossier intesi, come detto, quali insieme di dati sanitari relativi di regola ad un medesimo soggetto e riportati in più documenti elettronici tra loro collegati, condivisibili da soggetti sanitari diversi, pubblici e privati.
Il Fse e il dossier contengono diverse informazioni inerenti allo stato di salute di un individuo relative ad eventi clinici presenti e trascorsi (es.: referti, documentazione relativa a ricoveri, accessi al pronto soccorso), volte a documentarne la storia clinica. I dati personali sono collegati tra loro con modalità informatiche di vario tipo che ne rendono, comunque, possibile un'agevole consultazione unitaria da parte dei diversi professionisti o organismi sanitari che prendono nel tempo in cura l'interessato.
Alla luce di quanto emerso a livello nazionale ed, in particolare, dalle osservazioni del gruppo di lavoro costituito presso il Ministero del lavoro, della salute e delle politiche sociali, per l'istituzione di un sistema nazionale di Fascicolo sanitario elettronico, nelle presenti Linee guida il suddetto insieme di dati sanitari risulta diversamente denominato in funzione del suo ambito di operatività. In particolare, si parla di dossier sanitario qualora tale strumento sia costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es., ospedale o clinica privata) al cui interno operino più professionisti. Si intende invece per Fse il fascicolo formato con riferimento a dati sanitari originati da diversi titolari del trattamento operanti più frequentemente, ma non esclusivamente, in un medesimo ambito territoriale (es., azienda sanitaria, laboratorio clinico privato operanti nella medesima regione o area vasta). I dossier sanitari possono anche costituire, ad esempio, l'insieme di informazioni sanitarie detenute dai singoli titolari coinvolti in una iniziativa di Fse regionale.
Il Fse dovrebbe essere costituito preferendo di regola soluzioni che non prevedano una duplicazione in una nuova banca dati delle informazioni sanitarie formate dai professionisti o organismi sanitari che hanno preso in cura l'interessato.
In secondo luogo, provenendo i dati sanitari e i documenti riuniti nel Fse da più soggetti, dovrebbero essere adottate idonee cautele per ricostruire, anche in termini di responsabilità, chi ha raccolto e generato i dati e li ha resi disponibili nell'ambito del Fse.
Nel caso di Fse, venendo poi in considerazione documenti sanitari del tutto distinti tra loro, dovrebbe essere assicurato che ciascun soggetto che li ha prodotti autonomamente ne rimanga di regola l'unico titolare, anche se le informazioni sono -come detto- disponibili agli altri soggetti abilitati all'accesso (ad esempio -come spesso accade-, attraverso la condivisione, da parte di tutti i soggetti che prendono in cura l'interessato, dell'elenco degli eventi sanitari occorsi, elenco strutturato anche sotto forma di indici o di puntatori logici dei singoli episodi clinici).
In assenza di una previsione legislativa che preveda l'istituzione di tali strumenti per il perseguimento di finalità amministrative proprie delle regioni o di organi centrali dello Stato, le finalità che possono essere perseguite attraverso la costituzione del Fse o del dossier possono essere ricondotte esclusivamente a finalità di cura dell'interessato, ovvero ad assicurare un migliore processo di cura dello stesso attraverso la ricostruzione di un insieme -di regola su base logica- il più possibile completo della cronistoria degli eventi di rilievo clinico occorsi a un interessato relativi a distinti interventi medici.
A garanzia dell'interessato, le finalità perseguite dovrebbero essere ricondotte quindi solo alla prevenzione, diagnosi, cura e riabilitazione dell'interessato medesimo, con esclusione di ogni altra finalità (in particolare, per le attività di programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, che possono essere, peraltro, espletate in vari casi anche senza la disponibilità di dati personali), ferme restando eventuali esigenze in ambito penale.
Qualora attraverso il Fse o il dossier si intendano perseguire anche talune finalità amministrative strettamente connesse all'erogazione della prestazione sanitaria richiesta dall'interessato (es. prenotazione e pagamento di una prestazione), tali strumenti dovrebbero essere strutturati in modo tale che i dati amministrativi siano separati dalle informazioni sanitarie(2), prevedendo profili diversi di abilitazione degli aventi accesso agli stessi in funzione della differente tipologia di operazioni ad essi consentite.
Eventuali, future utilizzazioni anche parziali del Fse o del dossier per ulteriori fini di ricerca scientifica, epidemiologica o statistica dovrebbero avvenire in conformità alla normativa di settore ed essere oggetto di preventiva e specifica attenzione, anche nei casi in cui -come accade per taluni progetti di Fse esaminati- la tenuta dell'elenco degli eventi sanitari riguardante un determinato interessato sia demandata a un'infrastruttura regionale.

3. Diritto alla costituzione di un fascicolo sanitario elettronico o di un dossier sanitario

In base alle disposizioni contenute nel Codice dell'amministrazione digitale, deve essere assicurata la disponibilità, la gestione, l'accesso, la trasmissione, la conservazione e la fruibilità dell'informazione in modalità digitale utilizzando le tecnologie dell'informazione e della comunicazione nel rispetto della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, delle disposizioni del Codice dell'amministrazione digitale (d.lg. 7 marzo 2005, n. 82).
A ciò deve aggiungersi che allo stato delle notizie al momento acquisite dall'Autorità, non consta l'esistenza di una norma che obblighi gli organismi sanitari a costituire un Fse o un dossier, la cui introduzione deve ritenersi, pertanto, facoltativa.
Le finalità perseguite attraverso il Fse o il dossier, come sopra ricordato, sono generalmente riconducibili alla documentazione di una "memoria storica" degli eventi di rilievo sanitario relativi a un medesimo individuo consultabile dal medico curante.
Il trattamento dei dati personali effettuato mediante il Fse o il dossier, perseguendo le menzionate finalità di prevenzione, diagnosi, cura e riabilitazione, deve uniformarsi al principio di autodeterminazione (artt. 75 e ss. del Codice). All'interessato dovrebbe essere consentito di scegliere, in piena libertà, se far costituire o meno un Fse/dossier con le informazioni sanitarie che lo riguardano, garantendogli anche la possibilità che i dati sanitari restino disponibili solo al professionista o organismo sanitario che li ha redatti, senza la loro necessaria inclusione in tali strumenti.
Il diritto alla costituzione o meno del Fse/dossier si dovrebbe quindi tradurre nella garanzia di decidere liberamente, sulla base del consenso, se acconsentire o meno alla costituzione di un documento che, come si è detto, raccoglie un'ampia storia sanitaria.
Affinché tale scelta sia effettivamente libera, l'interessato che non desideri che sia costituito un Fse/dossier dovrebbe poter accedere comunque alle prestazioni del Servizio sanitario nazionale e non avere conseguenze negative sulla possibilità di usufruire di prestazioni mediche.
Il consenso, anche se manifestato unitamente a quello previsto per il trattamento dei dati a fini di cura (cfr. art. 81 del Codice), deve essere autonomo e specifico.
In ragione delle finalità perseguite attraverso il Fse/dossier, dovrebbe essere illustrata all'interessato l'utilità di costituire e disporre di un quadro il più possibile completo delle informazioni sanitarie che lo riguardano, in modo da poter offrire un migliore supporto all'organismo sanitario, al medico e all'interessato stesso. Una conoscenza approfondita dei dati clinici, relativi anche al passato, può infatti contribuire ad una più efficace ricognizione degli elementi utili alle valutazioni del caso.
Tuttavia, dovrebbero essere previsti momenti distinti in cui l'interessato possa esprimere la propria volontà, attraverso un consenso di carattere generale per la costituzione del Fse e di consensi specifici ai fini della sua consultazione o meno da parte dei singoli titolari del trattamento (es. medico di medicina generale, pediatra di libera scelta, farmacista, medico ospedaliero).
Ferma restando l'indubbia utilità di un Fse/dossier completo, dovrebbe essere garantita la possibilità di non far confluire in esso alcune informazioni sanitarie relative a singoli eventi clinici (ad es., con riferimento a una specifica visita specialistica o alla prescrizione di un farmaco). Ciò, analogamente a quanto avviene nel rapporto paziente-medico curante, nel quale il primo può addivenire a una determinazione consapevole di non informare il secondo di certi eventi.
L'"oscuramento" dell'evento clinico (revocabile nel tempo) dovrebbe peraltro avvenire con modalità tali da garantire che, almeno in prima battuta, tutti (o alcuni) soggetti abilitati all'accesso non possano venire automaticamente (anche temporaneamente) a conoscenza del fatto che l'interessato ha effettuato tale scelta ("oscuramento dell'oscuramento").
In tale quadro, alcuni progetti di Fse esaminati garantiscono l'esercizio della "facoltà di oscuramento" mediante una "busta elettronica sigillata" non visibile, apribile di volta in volta solo con la collaborazione dell'interessato, ovvero utilizzando codici casuali relativi a singoli eventi che non consentono di collegare tra loro alcune informazioni contrassegnate.
Il titolare del trattamento che intenda istituire il Fse/dossier anche con informazioni sanitarie relative a eventi clinici precedenti alla sua costituzione (es. referti relativi a prestazioni mediche pregresse) dovrebbe essere autorizzato preventivamente dall'interessato, lasciando libero quest'ultimo di esercitare la facoltà di "oscuramento".
In caso di incapacità di agire deve essere acquisito il consenso di chi esercita la potestà. Raggiunta la maggiore età, deve essere acquisito nuovamente il consenso informato dell'interessato divenuto maggiorenne (artt. 13 e 82, comma 4, del Codice).
In caso di revoca (liberamente manifestabile) del consenso, il Fse/dossier non dovrebbe essere ulteriormente implementato. I documenti sanitari presenti dovrebbero restare disponibili per l'organismo che li ha redatti (es. informazioni relative a un ricovero utilizzabili dalla struttura di degenza) e per eventuali conservazioni per obbligo di legge, ma non dovrebbero essere più condivisi da parte degli altri organismi o professionisti che curino l'interessato (art. 22, comma 5, del Codice).
Il trattamento di dati genetici eventualmente effettuato in relazione al Fse/dossier deve avvenire nel rispetto dell'apposita autorizzazione generale al trattamento dei dati genetici rilasciata dal Garante.

4. I soggetti che trattano i dati

Il trattamento di dati personali effettuato attraverso il Fse/dossier, perseguendo esclusivamente fini di prevenzione, diagnosi e cura dell'interessato, dovrebbe essere posto in essere esclusivamente da parte di soggetti operanti in ambito sanitario, con esclusione di periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, nonché del personale medico nell'esercizio di attività medico-legale (es. visite per l'accertamento dell'idoneità lavorativa o alla guida).
La titolarità del trattamento dei dati personali effettuato tramite il Fse/dossier dovrebbe essere di regola riconosciuta alla struttura o organismo sanitario inteso nel suo complesso e presso cui sono state redatte le informazioni sanitarie (es. azienda sanitaria o ospedale) (art. 4, comma 1, lett. f) del Codice).
I titolari hanno la facoltà di designare gli eventuali soggetti responsabili del trattamento, mentre devono preporre in ogni caso le persone fisiche eventualmente incaricate, le quali possono venire lecitamente a conoscenza dei dati personali trattati attraverso tali strumenti attenendosi alle funzioni svolte e sulla base di idonee istruzioni scritte (artt. 4, comma 1, lett. g) e h), 29 e 30 del Codice).
Le persone fisiche legittimate a consultare il Fse/dossier dovrebbero essere adeguatamente edotte delle particolari modalità di creazione e utilizzazione di tali strumenti.
Nell'individuare gli incaricati il titolare o il responsabile dovrebbero indicare con chiarezza l'ambito delle operazioni consentite (operando, in particolare, le opportune distinzioni tra il personale con compiti amministrativi e quello con funzioni sanitarie), avendo cura di specificare se gli stessi abbiano solo la possibilità di consultare il Fascicolo/dossier o anche di integrarlo o modificarlo (cfr. punto 5 del presente provvedimento).

5. Dati che possono essere trattati e accesso al fascicolo sanitario elettronico e al dossier sanitario

Il titolare deve valutare attentamente quali dati pertinenti, non eccedenti e indispensabili inserire nel Fse/dossier in relazione alle necessità di prevenzione, diagnosi, cura e riabilitazione (artt. 11, comma 1, lett. d) e 22, comma 5 del Codice).
Dovrebbero essere pertanto preferite soluzioni che consentano un'organizzazione modulare di tali strumenti in modo da limitare l'accesso dei diversi soggetti abilitati alle sole informazioni (e, quindi, al modulo di dati) indispensabili.
In alcuni progetti di Fse esaminati tale organizzazione modulare permette, ad esempio, di selezionare le informazioni sanitarie accessibili ai diversi titolari abilitati in funzione del loro settore di specializzazione (es. rete oncologica composta da unità operative specializzate nella lotta ai tumori), garantendo così l'accesso alle sole informazioni correlate con la patologia in cura.
Analogamente, alcune categorie di soggetti quali i farmacisti, che svolgono la propria attività in uno specifico segmento del percorso di cura, possono accedere ai soli dati (o moduli di dati) indispensabili all'erogazione di farmaci (es. accesso limitato all'elenco dei farmaci già prescritti, al fine di valutare eventuali incompatibilità tra il farmaco vendibile senza obbligo di prescrizione medica (SOP) e altri farmaci precedentemente assunti).
In alcuni progetti di dossier sanitario è affidato alla direzione sanitaria il compito di valutare l'indispensabilità delle informazioni mediche generate dai diversi reparti/strutture ai fini della loro consultabilità, nonché quello di decidere se autorizzare o meno l'accesso alle informazioni relative agli eventi clinici anche pregressi da parte del reparto/struttura che ha in cura l'interessato sulla base del tipo di intervento medico e delle argomentazioni poste alla base della richiesta.
I titolari del trattamento, nel costituire il Fse/dossier e individuare la tipologia di informazioni che possono esservi anche successivamente riportate, dovrebbero rispettare le disposizioni normative a tutela dell'anonimato della persona tra cui quelle a tutela delle vittime di atti di violenza sessuale o di pedofilia (l. 15 febbraio 1996, n. 66; l. 3 agosto 1998, n. 269 e l. 6 febbraio 2006, n. 38), delle persone sieropositive (l. 5 giugno 1990, n. 135), di chi fa uso di sostanze stupefacenti, di sostanze psicotrope e di alcool (d.P.R. 9 ottobre 1990, n. 309), delle donne che si sottopongono a un intervento di interruzione volontaria della gravidanza o che decidono di partorire in anonimato (l. 22 maggio 1978, n. 194; d.m. 16 luglio 2001, n. 349), nonché con riferimento ai servizi offerti dai consultori familiari (l. 29 luglio 1975, n. 405).
Nella maggior parte dei progetti di Fse/dossier esaminati il rispetto delle garanzie di anonimato e riservatezza previste dalle sopra richiamate disposizioni di legge è stato ad esempio assicurato prevedendo che le informazioni relative ai suddetti eventi clinici non siano documentabili all'interno di tali strumenti.
In alcuni progetti esaminati all'interno del Fse/dossier è stata poi individuata una sintesi di rilevanti dati clinici sul paziente, ovvero un insieme di informazioni la cui conoscenza può rivelarsi indispensabile per salvaguardare la vita dell'interessato (es., malattie croniche, reazioni allergiche, uso di dispositivi o farmaci salvavita, informazioni relative all'impiego di protesi o a trapianti). Tali informazioni –raccolte di regola in un modulo distinto- sono conoscibili da parte di tutti i soggetti che prendono in cura l'interessato; circostanza di cui l'interessato dovrebbe essere edotto nell'informativa di cui all'art. 13 del Codice.
A garanzia del diritto all'autodeterminazione dovrebbero essere poi individuate modalità tali da favorire un accesso modulare al Fse/dossier con riferimento ai dati personali e ai soggetti abilitati a consultarli.
L'identificazione dei soggetti abilitati a consultare il Fse/dossier dovrebbe essere effettuata con chiarezza. In relazione alle finalità perseguite con la costituzione del Fascicolo/dossier, l'accesso dovrebbe essere consentito solamente per fini di prevenzione, diagnosi e cura dell'interessato e unicamente da parte di soggetti operanti in ambito sanitario, con conseguente esclusione di periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, nonché del personale medico che agisca nell'esercizio di attività medico-legali.
Il personale amministrativo operante all'interno della struttura sanitaria in cui venga utilizzato il Fse/dossier dovrebbe consultare solo le informazioni necessarie per assolvere alle funzioni amministrative cui è preposto e strettamente correlate all'erogazione della prestazione sanitaria (ad es., il personale addetto alla prenotazione di esami diagnostici o visite specialistiche dovrebbe consultare unicamente i soli dati indispensabili per la prenotazione stessa).
L'abilitazione all'accesso deve essere consentita all'interessato nel rispetto delle cautele previste dall'art. 84 del Codice, secondo cui gli esercenti le professioni sanitarie e gli organismi sanitari possono comunicare all'interessato informazioni inerenti al suo stato di salute (es. referti, esiti di consulti medici) per il tramite di un medico -individuato dallo stesso interessato o dal titolare- o di un esercente le professioni sanitarie, che nello svolgimento dei propri compiti intrattiene rapporti diretti con il paziente(3). Tale garanzia dovrebbe essere osservata anche quando l'accesso al Fascicolo avviene mediante l'utilizzo di una smart card.
L'accesso al Fse/dossier dovrebbe essere consentito al soggetto che ha redatto il documento con riferimento allo stesso e agli altri soggetti che abbiano in cura l'interessato, sempre che quest'ultimo ne abbia consentito l'accesso nei termini sopra indicati. In alcuni progetti di Fse esaminati, l'accesso da parte di alcune categorie di soggetti (es. medici specialisti) è ad esempio autorizzato di volta in volta dallo stesso interessato attraverso la consegna di una smart card.
Il professionista o organismo sanitario che ha in cura l'interessato dovrebbe poter accedere a tali strumenti consultando i documenti sanitari dallo stesso redatti e quelli relativi ad altri eventi clinici eventualmente formati da ulteriori reparti o strutture del medesimo titolare –nel caso di dossier-o da altri organismi o professionisti sanitari nel caso di Fse (es. ricovero pregresso, analisi cliniche antecedenti).
In ogni caso, l'accesso al Fse/dossier dovrebbe essere circoscritto al periodo di tempo indispensabile per espletare le operazioni di cura per le quali è abilitato il soggetto che accede. Ciò, comporta che i soggetti abilitati all'accesso dovrebbero poter consultare esclusivamente i fascicoli/dossier riferiti ai soggetti che assistono per il periodo di tempo in cui si articola il percorso di cura per il quale l'interessato si è rivolto ad essi.
L'elencazione della tipologia di informazioni da ricondurre ai c.d. dati di emergenza dovrebbe essere effettuata in modo esaustivo dal titolare del trattamento, il quale procede anche ad aggiornare tale elenco.
Resta ovviamente ferma la normativa in materia di diritti di accesso ai documenti amministrativi (l. 7 agosto 1990, n. 241 e successive modificazioni e integrazioni).

6. Informativa

Per consentire all'interessato di esprimere scelte consapevoli, il titolare del trattamento deve fornire previamente un'idonea informativa (artt. 13, 79 e 80 del Codice).
L'informativa, da formulare con linguaggio chiaro, dovrebbe indicare tutti gli elementi richiesti dall'art. 13 del Codice. In particolare, dovrebbe essere evidenziata l'intenzione di costituire un Fascicolo/dossier il più possibile completo che documenti la storia sanitaria dell'interessato per migliorare il suo processo di cura e, quindi, per fini di prevenzione, diagnosi, cura e riabilitazione (cfr. art. 76, comma 1, lett. a) del Codice), spiegando in modo semplice le opportunità che offrono tali strumenti, ma, al tempo stesso, l'ampia sfera conoscitiva che essi possono avere.
A garanzia del diritto alla costituzione o meno del Fse/dossier, l'interessato dovrebbe essere -come detto- informato che il mancato consenso totale o parziale non incide sulla possibilità di accedere alle cure mediche richieste.
L'informativa, anche con formule sintetiche, ma agevolmente comprensibili, dovrebbe indicare in modo chiaro –nel caso di dossier- i soggetti (ad es., medici che operano in un reparto in cui è ricoverato l'interessato o che operano in strutture di pronto soccorso) e - nel caso di Fse - le categorie di soggetti diversi dal titolare (es., medico di medicina generale, farmacista) che, nel prendere in cura l'interessato, possono accedere a tali strumenti, nonché la connessa possibilità di acconsentire che solo alcuni di questi soggetti possano consultarlo.
Nel caso di Fse, l'informativa e la connessa manifestazione del consenso potrebbero essere formulate distintamente per ciascuno dei titolari o, più opportunamente, in modo cumulativo, avendo comunque cura di indicare con chiarezza l'ambito entro il quale i singoli soggetti trattano i dati rispetto al Fse.
L'interessato dovrebbe essere informato anche della circostanza che il Fascicolo/dossier potrebbe essere consultato, anche senza il suo consenso, ma nel rispetto dell'autorizzazione generale del Garante, qualora sia indispensabile per la salvaguardia della salute di un terzo o della collettività (art. 76 del Codice).
L'informativa dovrebbe anche mettere in luce la circostanza che il consenso alla consultazione del Fascicolo/dossier da parte di un determinato soggetto (ad es., del medico di medicina generale o del medico di reparto in cui è avvenuto il ricovero) potrebbe essere riferito anche al suo sostituto.
L'informativa dovrebbe rendere note all'interessato anche le modalità attraverso le quali rivolgersi al titolare per esercitare i diritti di cui agli artt. 7 e ss. del Codice (cfr. successivo punto 10), come pure per revocare il consenso all'implementazione del suo Fse/dossier o per esercitare la facoltà di oscurare alcuni eventi clinici (cfr. punto n. 3).
Al fine di assicurare una piena comprensione degli elementi indicati nell'informativa, il titolare dovrebbe formare adeguatamente il personale coinvolto sugli aspetti rilevanti della disciplina sulla protezione dei dati personali, anche ai fini di un più efficace rapporto con gli interessati.

7. Misure di sicurezza

La particolare delicatezza dei dati personali trattati mediante il Fse/dossier impone l'adozione di specifici accorgimenti tecnici per assicurare idonei livelli di sicurezza (art. 31 del Codice), ferme restando le misure minime che ciascun titolare del trattamento deve comunque adottare ai sensi del Codice (artt. 33 e ss.).
Nell'utilizzo di sistemi di memorizzazione o archiviazione dei dati dovrebbero essere utilizzati idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l'applicazione anche parziale di tecnologie crittografiche a file system o database, oppure tramite l'adozione di altre misure di protezione che rendano i dati inintelligibili ai soggetti non legittimati).
Dovrebbero essere, inoltre, assicurati:
idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilità di consultazione, modifica e integrazione dei dati);
procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati;
individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali;
tracciabilità degli accessi e delle operazioni effettuate;
sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.
Nel caso di Fse, dovrebbero essere, poi, garantiti protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici per la comunicazione elettronica dei dati tra i diversi titolari coinvolti.

8. Notificazione al garante

Il Fse, costituendo un insieme logico di informazioni e documenti sanitari volto a documentare la storia clinica di un individuo condiviso da più titolari del trattamento, dovrebbe essere improntato a criteri di massima trasparenza nella sua strutturazione e nel suo funzionamento. A garanzia di tale evidenza i trattamenti di dati personali effettuati attraverso il Fse dovrebbero essere resi noti al Garante mediante lo strumento della notificazione da parte degli organismi pubblici e privati coinvolti e non anche a cura di singoli medici di base o professionisti che consultano un Fse (art. 37 del Codice).
Il Codice ha, infatti, demandato all'Autorità il compito di individuare ulteriori trattamenti -in aggiunta a quelli elencati nell'art. 37- da notificare potendo recare pregiudizio ai diritti e alle libertà dell'interessato in ragione delle relative modalità o della natura dei dati personali (art. 37, comma 2, del Codice). La particolare delicatezza delle informazioni trattate attraverso il Fse, nonché la possibilità di utilizzazione delle stesse da parte di diversi titolari induce a considerare allo stato necessaria una notificazione preventiva al Garante di tali trattamenti. L'Autorità si riserva pertanto di disporre all'esito della consultazione pubblica che le attività di gestione del Fse siano oggetto di notificazione in tutto o in parte.

9. Diffusione e trasferimento all'estero dei dati

I dati sanitari documentati nel Fse/dossier non devono essere in alcun modo diffusi. La circolazione indiscriminata delle informazioni idonee a rivelare lo stato di salute è infatti vietata espressamente dal Codice (artt. 22, comma 8 e 23, comma 5, del Codice). La violazione di tale divieto configura un trattamento illecito di dati personali sanzionato penalmente (art. 167 del Codice).
Anche il trasferimento all'estero dei dati sanitari documentati nel Fse/dossier per finalità di prevenzione, diagnosi e cura dell'interessato può avvenire esclusivamente con il suo consenso, salvo il caso in cui sia necessario per la salvaguardia della vita o della incolumità di un terzo (art. 43 del Codice). Non a caso, nell'ambito dei progetti esaminati, la necessità di comunicare all'estero informazioni sanitarie dell'interessato contenute in tali strumenti si verifica prevalentemente per consentire all'interessato di usufruire di cure mediche all'estero o per consultare un esperto straniero.


10. Diritti dell'interessato

Rispetto ai dati personali trattati mediante il Fse/dossier dovrebbe essere garantita la possibilità di esercitare in ogni momento i diritti di cui all'art. 7 del Codice. Tali diritti, tra i quali quello di accedere ai dati e di ottenerne la comunicazione in forma intelligibile, ovvero l'integrazione, l'aggiornamento o la rettifica, andrebbero esercitati direttamente nei confronti di ciascun organismo o professionista sanitario.
All'interessato dovrebbe essere fornito senza ritardo un riscontro compiuto e analitico in merito alle sue eventuali istanze (artt. 7, 8, 9, 10 e 146 del Codice). In particolare, dovrebbe essere fornito riscontro alle richieste di accesso ai dati personali estrapolando le informazioni oggetto dell'accesso e comunicandole all'interessato con modalità tali da renderne agevole la comprensione, se del caso trasponendole su supporto cartaceo o informatico; a tali istanze può essere opposto un rifiuto nei soli casi previsti dal Codice (art. 8). Trattandosi di documentazione medica, in analogia a quanto disposto dall'Autorità in tema di ricerche in ambito medico, biomedico ed epidemiologico(4), il riscontro a istanze di integrazione, aggiornamento e rettificazione dei dati potrebbe essere fornito annotando le modifiche richieste senza alterare necessariamente la documentazione di riferimento.
1 Documento di lavoro sul trattamento dei dati personali relativi alla salute contenuti nelle cartelle cliniche elettroniche (Cce) adottato il 15 febbraio 2007 consultabile sul sito http://ec.europa.eu/...2 Cfr. art. 22, comma 6, del Codice; regola 24 del Disciplinare tecnico in materia di misure minime di sicurezza di cui all'allegato B) al Codice.3 Cfr. Provvedimento del 9 novembre 2005 "Strutture sanitarie: rispetto della dignità" [doc. web n. 1191411]4 Provvedimento generale del 24 luglio 2008 "Linee guida per i trattamenti di dati personali nell'ambito delle sperimentazioni cliniche di medicinali" pubblicato in G.U. 14 agosto 2008, n. 190 [doc. web n. 1533155]