Dossier sanitario: la (necessaria) complessità delle regole privacy
13 Novembre 2015
Gabriele Faggioli, giurista, Partners4innovation, Presidente Clusit (Associazione Italiana per la Sicurezza Informatica)
Negli ultimi anni numerose normative sono intervenute per dare disciplina al cosiddetto Dossier sanitario che è stato definito nelle Linee guida del 2009 del Garante per la protezione dei dati personali come “lo strumento costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es., ospedale, azienda sanitaria, casa di cura) al cui interno operino più professionisti, attraverso il quale sono rese accessibili informazioni, inerenti allo stato di salute di un individuo, relative ad eventi clinici presenti e trascorsi (es., referti di laboratorio, documentazione relativa a ricoveri, accessi al pronto soccorso), volte a documentarne la storia clinica ”.
Poiché il dossier sanitario raccoglie le informazioni relative agli eventi clinici occorsi all’interessato una un’unica struttura sanitaria (a differenza del fascicolo sanitario elettronico) è chiaro che la tipologia e la sensibilità dei dati ivi contenuti necessità che sia garantito un altissimo livello di sicurezza e riservatezza.
Per questo motivo il Garante per la protezione dei dati personali ha emanato in data 4 giugno 2015 una nuova linea guida in materia che ha fissato una serie di principi caldamente suggeriti ai titolari del trattamento oltre all’obbligo di segnalazione dei data breach e all’obbligo di riscontro agli interessati in caso di richiesta di conoscere gli accessi effettuati al dossier sanitario.
I passaggi più rilevanti della linea guida si ritiene che siano:
- In considerazione delle peculiari caratteristiche del trattamento dei dati inseriti nel dossier sanitario, della particolare delicatezza delle informazioni trattate, nonché dell’esigenza di garantire l’esattezza, l’integrità e la disponibilità dei dati, unitamente agli specifici rischi di accesso non autorizzato e di trattamento non consentito illustrati nelle Linee guida allegate, il Garante ha ritenuto necessario assoggettare il loro trattamento, anche in coerenza con le previsioni normative in tema di FSE, all’obbligo di comunicazione al Garante del verificarsi di violazioni dei dati (data breach) o incidenti informatici (accessi abusivi, azione di malware…) che, pur non avendo un impatto diretto su di essi, possano comunque esporli a rischi di violazione. La mancata comunicazione al Garante configura un illecito amministrativo sanzionato ai sensi dell’art. 162, comma 2-ter del Codice. Pertanto, entro quarantotto ore dalla conoscenza del fatto, i titolari del trattamento dei dati sono tenuti a comunicare all’Autorità Garante tutte le violazioni dei dati o gli incidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario. Tali comunicazioni devono essere redatte secondo lo schema riportato nell’ “Allegato B” alle linee guida e inviate tramite posta elettronica o posta elettronica certificata all’indirizzo: databreach.dossier@pec.gpdp.it.
- Nell’informativa resa agli interessati ai sensi dell’articolo 13 del d.lgs 196/03 inerente il dossier deve essere evidenziata l’intenzione del titolare del trattamento di costituire un insieme di informazioni personali riguardanti l’interessato il più possibile completo che documenti parte della storia sanitaria dello stesso al fine di migliorare il suo processo di cura attraverso un accesso integrato di tali informazioni da parte del personale sanitario coinvolto. L’interessato deve essere informato inoltre che l’eventuale mancato consenso al trattamento dei dati personali mediante il dossier sanitario non incide sulla possibilità di accedere alle cure mediche richieste. Infine, deve essere resa nota all’interessato anche la circostanza che, qualora acconsenta al trattamento dei suoi dati personali mediante il dossier sanitario, questo potrà essere consultato, nel rispetto dell’Autorizzazione generale del Garante di tempo in tempo applicabile, anche qualora ciò sia ritenuto indispensabile per la salvaguardia della salute di un terzo o della collettività.
- Poiché il dossier sanitario costituisce l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato, si sostanzia in un trattamento di dati personali specifico e ulteriore rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico. Come tale, quindi, si configura come un trattamento facoltativo che pretende il consenso facoltativo dell’interessato che può essere revocato successivamente.
- Inoltre, deve essere data la possibilità al cittadino di chiedere di oscurare taluni dati o documenti sanitari consultabili tramite tale strumento. Inoltre, l’“oscuramento” dell’evento clinico (revocabile nel tempo) deve avvenire con modalità tali da garantire che i soggetti abilitati all’accesso non possano venire automaticamente a conoscenza del fatto che l’interessato ha effettuato tale scelta (“oscuramento dell’oscuramento”).
- Ancora, i titolari del trattamento devono fornire all’interessato che abbia manifestato il proprio consenso al trattamento dei dati personali mediante il dossier sanitario, un riscontro alla richiesta avanzata dallo stesso o da un suo delegato, volta a conoscere gli accessi eseguiti sul proprio dossier con l’indicazione della struttura/reparto che ha effettuato l’accesso, nonché della data e dell’ora dello stesso. Di tale diritto esercitabile dagli interessati devono essere opportunamente informati anche i soggetti autorizzati ad accedere al dossier sanitario. Anche tale obbligo di riscontro puntuale agli interessati è oggetto di sanzione in caso di mancato adempimento.
Particolarmente rilevanti sono poi le indicazioni in merito alla sicurezza che deve essere garantita in relazione al dossier sanitario. L’Autorità ha infatti ritenuto opportuno indicare le principali misure di sicurezza che il titolare del trattamento dei dati personali effettuato mediante il dossier sanitario deve adottare. Tra le altre si segnala che il Garante, riprendendo il provvedimento n° 192/2011 applicabile al settore bancario, ha stabilito che le strutture sanitarie, nell’ambito della discrezionalità riconosciuta nell’organizzare la funzione di compliance, devono realizzare sistemi di controllo delle operazioni effettuate sul dossier sanitario, mediante procedure che prevedano la registrazione automatica in appositi file di log degli accessi e delle operazioni compiute. In particolare, i file di log devono registrare per ogni operazione di accesso al dossier effettuata da un incaricato, almeno le seguenti informazioni: il codice identificativo del soggetto incaricato che ha posto in essere l’operazione di accesso; la data e l’ora di esecuzione; il codice della postazione di lavoro utilizzata; l’identificativo del paziente il cui dossier è interessato dall’operazione di accesso da parte dell’incaricato e la tipologia dell’operazione compiuta sui dati.
Considerando la particolare delicatezza del trattamento dei dati personali effettuato mediante il dossier il Garante ha ritenuto necessario che siano tracciate anche le operazioni di semplice consultazione (inquiry).
Inoltre, a parere del Garante il titolare deve individuare un congruo periodo di conservazione dei log di tracciamento delle operazioni che risponda, da un lato, all’esigenza per gli interessati di venire a conoscenza dell’avvenuto accesso ai propri dati personali e delle motivazioni che lo hanno determinato e, dall’altro, alle esigenze medico legali della struttura sanitaria titolare del trattamento di dati personali. Alla luce dell’esperienza maturata in sede ispettiva, relativa all’enorme mole di accessi ai dossier sanitari che vengono effettuati all’interno delle strutture sanitarie giornalmente in modalità di sola consultazione, il Garante ha ritenuto congruo stabilire che i log delle operazioni siano conservati per un periodo non inferiore a 24 mesi dalla data di registrazione dell’operazione.
Ma non basta. Il titolare del trattamento deve mettere in opera sistemi per il controllo degli accessi anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, attraverso l’utilizzo di indicatori di anomalie utili per orientare successivi interventi di audit. Ed ancora, il titolare deve prefigurare, quindi, l’attivazione di specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati del trattamento (ad es., relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi). In tal senso, la gestione dei dati personali effettuata attraverso il dossier sanitario deve essere oggetto di una periodica attività di controllo interno da parte del titolare del trattamento, che consenta di verificare in concreto l’adeguatezza delle misure di sicurezza, sia di tipo organizzativo, sia di tipo tecnico, riguardanti i trattamenti dei dati personali, e la loro rispondenza alle disposizioni vigenti.
Si ricorda infine che il titolare deve individuare criteri per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali ai sensi degli articoli 22, comma 6 e 7 del Codice e che devono essere, inoltre, determinati i criteri per la cifratura dei dati sensibili (ad es., attraverso l’applicazione anche parziale di tecnologie crittografiche a file system o database), al fine di rendere gli stessi inintelligibili.
Infine si sottolinea che il Garante, in ragione della particolare delicatezza delle informazioni trattate mediante il dossier sanitario, auspica che i titolari del trattamento individuino al loro interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (c.d. DPO – data protection officer), anche in relazione ai casi di data breach precedentemente illustrati.
Insomma, una linea guida estremamente complessa che ribadisce ancora una volta come il mondo sanitario sia oggetto di particolare attenzione da parte della Autorità in quanto le esigenze di riservatezza e sicurezza che devono essere garantite sono di primario interesse per il cittadino.