Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Dematerializzazione della documentazione clinica - 26 novembre 2009 [1688961]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
1688961
Data:
26/11/09
Argomenti:
Sanità e ricerca scientifica , Referti online , Sistema informativo per le dipendenze
Tipologia:
Parere del Garante

[doc. web n. 1688961]

Dematerializzazione della documentazione clinica - 26 novembre 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;

Vista la richiesta di parere del Ministero del lavoro, della salute e delle politiche sociali;

Visto l'art. 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO che:

- il Ministero del lavoro, della salute e delle politiche sociali ha richiesto a questa Autorità il parere in ordine a uno schema di documento recante "Linee guida per la dematerializzazione della documentazione clinica in diagnostica per immagini" che ha l'obiettivo di fornire ai direttori generali, direttori sanitari, direttori/responsabili dei sistemi informativi e dei dipartimenti e U.O. di diagnostica per immagini, radiologia, medicina nucleare, le linee guida per poter gestire la documentazione clinica testuale e iconografica ottenuta direttamente in formato digitale, nel rispetto delle attuali normative;

- nel documento sono analizzati i molteplici aspetti relativi alla de-materializzazione della documentazione clinica e individuate le soluzioni tecniche e organizzative ritenute più idonee ad avviare tale processo in relazione alla diagnostica per immagini eseguita presso aziende sanitarie nell'ambito del Servizio sanitario nazionale;

- nella descrizione delle peculiarità di tali soluzioni, il documento esamina in particolare i meccanismi realizzati al fine di garantire il rispetto dei requisiti di inalterabilità della documentazione clinica e di non ripudio della fonte;

- la documentazione clinica è prevalentemente costituita da referti medici, consistenti nella documentazione iconografica prodotta nell'ambito dell'indagine diagnostica e nei resoconti stilati da un medico specialista. Le due suddette componenti devono essere rese disponibili contestualmente, formando un'unica entità documentale;

- sono distinte due modalità di conservazione: la prima, denominata archiviazione, è effettuata per mezzo dei cosiddetti sistemi PACS (Picture Archiving and Communication Systems), ove la documentazione è sottoposta ad un processo di classificazione mediante l'apposizione di un riferimento univoco generato dal sistema; la seconda, denominata di conservazione sostitutiva, può essere effettuata mediante un sistema informatico o supporto fisico diverso dal PACS, al fine di arricchire il documento di informazioni di contesto attraverso l'uso di un titolario che consenta di garantire l'univoca identificazione del referto nel tempo, mediante un processo di protocollazione e fascicolazione in volumi che vengono firmati digitalmente. In questa seconda fase di archiviazione il documento non è pertanto più modificabile;

- le modalità di conservazione individuate rispondono a due diverse finalità: una di carattere clinico e medico-legale, per consentire l'accesso a tutti gli approfondimenti diagnostici relativi a un paziente evitando di esporlo a ripetuti trattamenti sanitari o esposizioni radiologiche, e una di carattere storico, per effettuare analisi prevalentemente di tipo statistico. E' prevista una procedura di scarto dei documenti, qualora si verifichino due condizioni: l'esaurimento dell'utilità giuridico-amministrativa e la mancanza di un apprezzabile interesse ai fini della documentazione storica. Oggetto dello scarto non possono essere singoli documenti, ma loro aggregazioni, individuabili mediante il titolario con cui vengono creati i volumi di documenti nell'archivio storico;

- al fine di garantire i requisiti di inalterabilità e di non ripudio è realizzato un sistema articolato di firme digitali e marcature temporali, nel quale sono coinvolti diversi attori. Un primo controllo è effettuato sulla validità del certificato contenuto nella smart card che abilita l'operatore sanitario alla firma digitale del referto. A seguito di questo controllo, una seconda autorità genera la chiave privata con cui verrà firmato digitalmente il referto. Poiché i due processi di verifica di validità del certificato e di generazione della chiave sono asincroni e indipendenti, per evitare che un certificato possa scadere o essere revocato mentre è in corso la generazione della chiave privata di firma (processo che può richiedere anche alcune ore), è definito un ulteriore processo di verifica, detto di consolidamento, che effettua un controllo in ordine alla validità del certificato anche successivamente alla generazione della chiave privata, apponendo sul documento una marca temporale certa fornita da una Time Stamp Authority (TSA). Solo a seguito dell'esito positivo della fase di consolidamento, il documento è memorizzato nel PACS;

RILEVATO che:

- le misure descritte nello schema di provvedimento offrono sufficienti garanzie per l'associazione di una fonte certa e di una marca temporale asseverabile al referto medico; inoltre, lo stesso meccanismo di firma digitale assicura l'inalterabilità nel tempo del referto. Tuttavia, con riferimento alle misure di sicurezza e più in generale al rispetto delle norme del Codice in materia di protezione dei dati personali emergono talune criticità, che inducono a ritenere preferibile la previsione di taluni accorgimenti utili a garantire la massima sicurezza dei dati personali contenuti nella documentazione clinica;

CONSIDERATO che:

1) definite le distinte finalità di natura clinica e medico-legale per il processo di archiviazione, e di natura storica per il processo di conservazione sostitutiva, si sottolinea la necessità di individuare distinte soluzioni tecniche anche per la memorizzazione dei dati. In particolare, venendo meno il requisito operativo corrente della fase clinica, e anche al fine di limitare i rischi di una diffusione incontrollata dei dati, può essere indicata una conservazione in forma crittografata per la fase di archiviazione storica o, in alternativa, l'impiego in questa fase di forme di anonimizzazione dei dati identificativi. Inoltre, si richiama l'attenzione sulla creazione di profili differenziati per l'accesso ai due suddetti archivi e sulle necessarie procedure di autenticazione distinte per i vari profili individuati;

2) nei casi previsti in cui il procedimento di conservazione dei referti sia affidato da parte di un'azienda sanitaria ad un soggetto terzo, sia pubblico sia privato, quale responsabile del procedimento di conservazione sostitutiva (par. 8.2. penultimo periodo, del documento), si sottolinea la necessità di introdurre nelle linee-guida un richiamo all'esigenza di designare tale soggetto anche responsabile del trattamento dei dati specificando analiticamente, nell'atto di designazione, sia le modalità di conservazione dei documenti, sia le misure di sicurezza da adottare ai sensi del Codice e del relativo Disciplinare tecnico in materia di misure minime di sicurezza, di cui all'allegato B al medesimo Codice (art. 29 e artt. 31 e ss., d. lg. n. 196/2003);

3) è opportuno evidenziare nelle linee-guida la necessità di sviluppare strumenti di audit ex post degli accessi agli archivi contenenti i referti, sia nella fase di memorizzazione PACS, sia in quella di archiviazione storica, definendo un processo di management dei log che sia in grado di rappresentare con completezza, per una determinata profondità temporale opportunamente commisurata alle esigenze di controllo sul corretto utilizzo della base di dati e degli accessi da parte del titolare del trattamento, l'insieme delle operazioni effettuate sui referti e di garantire l'inalterabilità dei log memorizzati;

4) appare utile individuare procedure tecnico-organizzative idonee a ridurre il più possibile, nel processo di dematerializzazione dei referti, l'incidenza di operazioni manuali (es., l'associazione tra i resoconti del medico specialista e le immagini contenute nei referti, ovvero la titolazione dei volumi nella fase di archiviazione storica), in quanto caratterizzate da elevato tasso di errore;

RITENUTO che:

5) per quanto concerne la previsione di un contributo a carico del richiedente copia di documentazione, nel caso di riversamento dei dati da supporto digitale a cartaceo, sia doveroso richiamare l'attenzione sul fatto che, in analoga materia, la normativa vigente non sembra ammettere tale possibilità. Il Codice in materia di protezione dei dati personali, infatti, nel disciplinare l'accesso ai dati personali, prevede un contributo solo quando i dati "figurano su uno speciale supporto del quale è richiesta specificamente la riproduzione" sul presupposto che la soddisfazione di tale richiesta possa effettivamente comportare un costo considerevole per il titolare del trattamento (art. 10, commi 7 e 8 del Codice). Nel caso ipotizzato nelle linee guida, invece, il costo del supporto cartaceo è evidentemente irrisorio come si ammette, peraltro, espressamente nello stesso documento (par. 9, penultimo periodo);

IL GARANTE:

per quanto sopra esposto, esprime parere favorevole sullo schema di documento recante "Linee guida per la dematerializzazione della documentazione clinica in diagnostica per immagini", alle seguenti condizioni:

a) siano individuate, per la memorizzazione dei dati, distinte soluzioni tecniche in funzione delle peculiarità e delle esigenze di ciascuna fase operativa, indicando per la fase di archiviazione storica una conservazione in forma crittografata o, in alternativa, l'impiego di forme di anonimizzazione dei dati identificativi, e prevedendo altresì la creazione di profili differenziati per l'accesso ai due suddetti archivi e le necessarie procedure di autenticazione distinte per i vari profili individuati (punto 1);

b) nei casi in cui il procedimento di conservazione dei referti sia affidato da parte di un'azienda sanitaria a soggetti terzi, pubblici o privati, si preveda la necessità di specificare analiticamente, in sede di designazione del responsabile del trattamento, sia le modalità di conservazione dei documenti, sia le misure di sicurezza da adottare ai sensi del Codice (punto 2);

c) si sancisca la necessità di sviluppare strumenti di audit ex post degli accessi agli archivi contenenti i referti, sia nella fase di memorizzazione PACS, sia in quella di archiviazione storica, definendo un processo di management dei log che sia in grado di rappresentare con completezza - per una determinata profondità temporale opportunamente commisurata alle esigenze di controllo sul corretto utilizzo della base di dati e degli accessi da parte del titolare del trattamento - l'insieme delle operazioni effettuate sui referti, nonché di garantire l'inalterabilità dei log memorizzati (punto 3);

d) siano individuate procedure tecnico-organizzative idonee a ridurre il più possibile, nel processo di dematerializzazione dei referti, l'incidenza di operazioni manuali, in quanto caratterizzate da elevato tasso di errore (punto 4);

e con la seguente raccomandazione:

e) valuti l'Amministrazione interessata l'opportunità di confermare o meno la previsione di un contributo a carico del richiedente copia di documentazione nel caso di riversamento dei dati da supporto digitale a cartaceo (punto 5).

Roma, 26 novembre 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Patroni Griffi