Diritti interna

Doveri interna

ricerca avanzata

Parere del Garante su uno schema di decreto in materia di consegna, da parte delle aziende sanitarie del Servizio sanitario nazionale, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali

[doc. web n. 2223206]

Parere del Garante su uno schema di decreto in materia di consegna, da parte delle aziende sanitarie del Servizio sanitario nazionale, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali - 6 dicembre 2012

Registro dei provvedimenti
n. 382 del 6 dicembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei Ministri - Ministro per la pubblica amministrazione e la semplificazione;
Visto l´articolo 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO:

Con nota del Capo dell´Ufficio legislativo del Ministro per la pubblica amministrazione del 13 novembre u.s. é stato chiesto il parere del Garante in ordine a uno schema di decreto del Presidente del Consiglio dei Ministri in materia di consegna, da parte delle aziende sanitarie del Servizio sanitario nazionale, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione del pagamento delle prestazioni erogate.

Lo schema è adottato ai sensi dell´articolo 6, comma 2, lett. d), numeri 1) e 2), del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106, al fine di accelerare il processo di automazione amministrativa e migliorare i servizi per i cittadini, riducendone i costi connessi.
Ai sensi della predetta norma, le aziende sanitarie devono, infatti, adottare, in linea con il decreto legislativo 7 marzo 2005, n. 82, recante il codice dell´amministrazione digitale (infra CAD), procedure telematiche per consentire il pagamento delle prestazioni erogate, nonché la consegna, tramite web, posta elettronica certificata o altre modalità digitali, dei referti medici, salvo il diritto dell´interessato di ottenere copia cartacea del referto. Le disposizioni attuative di tali previsioni sono adottate, appunto, con l´odierno schema di d. P. C. M., previo parere del Garante.

RILEVATO

Lo schema di decreto reca definizioni mutuate da altri pertinenti testi normativi. In particolare, il titolare del trattamento dei dati è definito in modo corrispondente all´articolo 4, comma 1, lett. f), del Codice in materia di protezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito "Codice"); le definizioni di fascicolo sanitario elettronico e di domicilio digitale del cittadino recepiscono le indicazioni contenute nel recentissimo decreto legge 18 ottobre 2012, n. 179, recante ulteriori misure urgenti per la crescita del Paese, ancora in fase di conversione in legge (art. 2).

Le aziende sanitarie devono rendere disponibile all´interessato il referto digitale mediante una o più delle seguenti modalità, definite "servizi di refertazione on line": tramite web, posta elettronica, posta elettronica certificata, supporto elettronico o fascicolo sanitario elettronico (art. 3, comma 1).

Per quanto di più specifico interesse dell´Autorità, il decreto prevede che dopo aver informato l´interessato ai sensi dell´articolo 13 del Codice nonché sulle caratteristiche dei servizi di refertazione on line disponibili, l´azienda sanitaria – titolare del trattamento dei dati personali - acquisisce un autonomo e specifico consenso dell´interessato a trattare i suoi dati personali, anche sanitari, permettendo la revoca dello stesso in qualsiasi momento (art. 5, comma 1); solo in seguito all´acquisizione del consenso esplicito dell´interessato sono attivati i servizi di refertazione on line (art. 3, comma 2).

Mediante richiesta indirizzata all´azienda sanitaria, l´interessato può indicare un medico attraverso il quale acquisire il referto digitale o una farmacia per il ritiro del referto secondo le modalità di cui al decreto del Ministro della salute 8 luglio 2011 (art. 5, comma 2).

Ferme restando le misure di sicurezza previste dal Codice, si specifica poi che l´azienda sanitaria, per il trattamento dei dati personali necessario ad assicurare i servizi di refertazione online, deve ottemperare ai requisiti di sicurezza specificamente indicati nell´allegato A al decreto (art. 6). Tale allegato descrive le diverse modalità di consegna dei referti digitali, i servizi aggiuntivi resi dall´azienda sanitaria, nonché, appunto, le misure di sicurezza da adottare.

In particolare, premesso che devono essere adottate tutte le misure di sicurezza idonee a rispettare il divieto di diffusione dei dati sanitari ai sensi dell´art. 22, comma 8, del Codice, le aziende sanitarie devono prevedere: misure contro i rischi di accesso abusivo, furto o smarrimento dei supporti dei dati o dei sistemi di elaborazione; sistemi di autenticazione, anche forte, per gli incaricati, "con utilizzo di caratteristiche biometriche nel caso del trattamento di dati idonei a rivelare l´identità genetica dell´individuo"; separazione fisica o logica dei dati; procedure di indisponibilità dei referti on line in ipotesi di potenziale rischio per la riservatezza. L´allegato A prevede poi ulteriori misure specifiche per le diverse modalità di erogazione del servizio di refertazione; ad esempio, per la consegna tramite supporto elettronico sono previste credenziali di sicurezza. Infine, è espressamente previsto il rinvio alle cautele e alle misure di sicurezza previste dal Garante nelle Linee guida in tema di referti on line del 19 novembre 2009, nonché Linee guida in tema di fascicolo sanitario elettronico e di dossier sanitario del 16 luglio 2009 (allegato A, premessa, nn. 1.5 e 4).

Da ultimo, lo schema prevede, in base all´articolo 5 del CAD, i pagamenti on line delle prestazioni presso l´azienda sanitaria, che a tale scopo devono adottare procedure telematiche per il controllo delle esenzioni per patologia e per reddito (art. 7).

Nella realizzazione dei servizi di refertazione e pagamento on line, le aziende sanitarie rilevano il giudizio dei cittadini in conformità con l´articolo 7 del CAD (art. 8) e con le Linee guida in tema di trattamento di dati per lo svolgimento di indagini di customer satisfaction in ambito sanitario adottate dal Garante il 5 maggio 2011.

CONSIDERATO

1. Il parere è reso su di una versione dello schema di decreto che tiene conto degli approfondimenti e delle indicazioni suggeriti dall´Ufficio del Garante ai competenti uffici dell´Amministrazione interessata nel corso di una riunione e di contatti informali, volti a perfezionare il testo e a renderlo pienamente conforme alla disciplina in materia di protezione dei dati personali.

Le osservazioni dell´Ufficio hanno riguardato, in particolare: il coordinamento delle disposizioni del decreto con la disciplina in materia di consenso al trattamento dei dati personali e di informativa all´interessato di cui al Codice; in ambito più strettamente  sanitario, un più puntuale raccordo con la disciplina sul fascicolo sanitario elettronico, recentemente introdotta dal decreto-legge 18 ottobre 2012, n. 174 e con quella riguardante la consegna dei referti tramite farmacie, di cui al decreto del Ministro della salute 8 luglio 2011, sul cui schema il Garante ha reso parere; le modalità di fruizione del servizio di refertazione on line; l´indicazione delle cautele e delle misure di sicurezza da adottarsi a cura delle aziende sanitarie, anche in relazione a quanto previsto dal Garante nelle Linee guida in tema di referti on line; la necessità di riferirsi, nella descrizione dei pagamenti on line (art. 7), non solo al sistema di controllo delle esenzioni per reddito, ma anche a quello delle esenzioni per patologia.

Da questo punto di vista, quindi, lo schema di regolamento non presenta, in linea generale, profili di criticità.

Nondimeno, per conformarne pienamente il contenuto ai principi e alle garanzie in materia di protezione dei dati personali, si ritiene necessario perfezionarne ulteriormente il testo come di seguito indicato.

2. Lo schema di decreto non specifica se i servizi di refertazione on line riguardino anche i referti recanti i risultati di accertamenti diagnostici relativi ad infezione da HIV o quelli concernenti test genetici.

Al riguardo si richiama l´attenzione sui limiti e sulle garanzie per il trattamento dei dati in questione previsti dalla normativa di settore. In particolare, per quanto riguarda le analisi genetiche, la comunicazione della relativa refertazione deve essere accompagnata da una specifica consulenza (art. 12 Convenzione sui diritti dell´uomo e sulla biomedicina, fatta a Oviedo il 4 aprile 1997, ratificata e resa esecutiva dalla legge 28 marzo 2001, n. 145; Autorizzazione del Garante al trattamento dei dati genetici 24 giugno 2011, punto 5.1). Quanto invece agli accertamenti sull´HIV, l´articolo 5 della legge 5 giugno 1990, n. 135, prevede che l´operatore sanitario e ogni altro soggetto che venga a conoscenza di un caso di AIDS, ovvero di un caso di infezione da HIV, è tenuto a prestare la necessaria assistenza all´interessato e ad adottare ogni misura o accorgimento occorrente per la tutela dei diritti della persona, nonché della relativa dignità.

In proposito, il Garante, nelle Linee guida sui referti on line ha ritenuto, in particolare, di escludere la possibilità di offrire i servizi di refertazione on line  nel caso di indagini genetiche, stante appunto la necessità di assicurare una consulenza appropriata nell´effettuazione di test genetici (punto 5 del provvedimento del Garante). Appare, pertanto, necessario che il decreto chiarisca espressamente questi aspetti.

3. Si rende necessario, poi, un perfezionamento formale. Nell´allegato A al decreto, in premessa, si prevede opportunamente l´obbligo per le aziende di garantire anche il rispetto delle misure indicate dal Garante nella materia. Poiché però non si tratta soltanto di misure di sicurezza, ma anche di altre cautele e garanzie, è opportuno perfezionare il rinvio come segue: "In ogni caso deve essere garantito il rispetto delle misure, anche di sicurezza, previste dal Garante per la protezione dei dati personali nel provvedimento del 19 novembre 2009 recante "Linee guida in tema di referti on line, in particolare per quanto riguarda il servizio di notifica via sms e la designazione del medico al ritiro del referto (punto  2)". Conseguentemente, il riferimento al rispetto di tali Linee guida è superfluo ai punti 1.5, lett. c), e  4, lett. e), del medesimo allegato A.

TUTTO CIO´ PREMESSO IL GARANTE:

esprime parere favorevole sullo schema di decreto del Presidente del Consiglio dei Ministri in materia di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione del pagamento online delle prestazioni erogate, con le seguenti osservazioni:

a)  tenuto conto della normativa di settore e delle indicazioni rese dal Garante nel provvedimento recante Linee guida sui referti on line del 19 novembre 2009 si espliciti nel decreto l´esclusione della refertazione on line relativa ad analisi genetiche, individuando al contempo limiti e garanzie per i referti relativi ad accertamenti dell´HIV, ove questi siano previsti (punto 2);

b) valuti l´amministrazione di apportare allo schema di decreto le modifiche formali indicate al punto 3.

Roma, 6 dicembre  2012

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia