Diritti interna

Doveri interna

ricerca avanzata

Dossier sanitario e trattamento dei dati personali dei pazienti - 10 gennaio 2013 [2284708]

E' pervenuta a questa Autorità una segnalazione nella quale si lamenta che il sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate dalle strutture sanitarie della Regione Friuli Venezia Giulia, denominato "G2", sarebbe stato strutturato in modo tale da consentire a ogni medico -inserendo un username ed una password- di accedere ai referti sia dei propri pazienti sia di qualsiasi altra persona che abbia effettuato un esame clinico presso la struttura sanitaria. L'accesso del medico sarebbe pertanto indipendente dalla circostanza che le informazioni che può conoscere siano riferite a soggetti in cura presso lo stesso

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
2284708
Data:
10/01/13
Argomenti:
Dati sanitari , Pazienti , Dossier sanitario , Fascicolo sanitario elettronico
Tipologia:
Prescrizioni e divieto del Garante

[doc. web n. 2284708]

[differimento del termine]

Dossier sanitario e trattamento dei dati personali dei pazienti - 10 gennaio 2013

Registro dei provvedimenti
n. 3 del 10 gennaio 2013

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Vista la segnalazione anonima relativa al sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate dagli ospedali della Regione Friuli Venezia Giulia, denominato "G2";

Vista le richieste di informazioni in atti;

Visti gli atti dell´accertamento ispettivo effettuato presso l´Azienda ospedaliero universitaria Ospedali Riuniti di Trieste il 29 e il 30 maggio 2012;

Vista la documentazione inviata dall´Azienda ospedaliero universitaria Ospedali Riuniti di Trieste;

Visti gli atti d´Ufficio;

Visto le "Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario" adottate dal Garante con Provvedimento del 16 luglio 2009 (G.U. n. 178 del 3 agosto 2009, doc. web n. 1634116);

Viste le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

E´ pervenuta a questa Autorità una segnalazione nella quale si lamenta che il sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate dalle strutture sanitarie della Regione Friuli Venezia Giulia, denominato "G2", sarebbe stato strutturato in modo tale da consentire a ogni medico -inserendo un username ed una password- di accedere ai referti sia dei propri pazienti sia di qualsiasi altra persona che abbia effettuato un esame clinico presso la struttura sanitaria. L´accesso del medico sarebbe pertanto indipendente dalla circostanza che le informazioni che può conoscere siano riferite a soggetti in cura presso lo stesso.

A seguito della suddetta segnalazione, l´Ufficio ha richiesto informazioni alla Agenzia regionale di sanità con particolare riferimento alla possibilità di ricondurre il suddetto sistema informativo "G2" al concetto di "Fascicolo sanitario elettronico (Fse)" indicato nel provvedimento del Garante del 16 luglio 2009 concernente "Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario" (di seguito Linee guida Fse/dossier), e, conseguentemente, al rispetto nella sua implementazione delle garanzie individuate nelle Linee guida citate.

Nella risposta alla richiesta di informazioni, l´Agenzia ha affermato che nella Regione Friuli Venezia Giulia non è stato ancora attivato il Fse e che tutte le strutture sanitare regionali utilizzano un applicativo gestionale informatizzato denominato "G2". Da quanto emerge da tale risposta, il sistema di gestione delle informazioni sanitarie dei pazienti gestito da tale applicativo sarebbe riconducibile al concetto di dossier sanitario così come descritto nelle citate Linee guida (nota n. sps/2012/0005435 del 19.3.2012).

L´Agenzia Regionale di Sanità nella suddetta risposta, fornendo solo brevi cenni di riscontro a quanto richiesto dall´Ufficio, riconosceva inoltre che "al momento i sistemi informatici già esistenti presentano alcune criticità strutturali".

Alla luce del suddetto riscontro fornito dall´Agenzia regionale di sanità, l´Ufficio procedeva ad effettuare il 29 e il 30 maggio 2012 un accertamento ispettivo presso l´Azienda ospedaliero universitaria "Ospedali riuniti" di Trieste (di seguito AOUTS), volto a verificare se lo strumento di raccolta e di gestione dei dati dei pazienti utilizzato dal suddetto Ospedale attraverso l´applicativo "G2" -e riconducibile effettivamente al concetto di "dossier sanitario" secondo quanto indicato nelle richiamate Linee guida- fosse conforme alla disciplina in materia di protezione dei dati personali ed, in particolare, rispettasse le garanzie individuate nelle citate Linee guida.

Nel corso dei suddetti accertamenti ispettivi è stato accertato che presso l´AOUTS sono in uso alcuni applicativi forniti da INSIEL -Informatica per il Sistema degli Enti Locali S.p.A. (di seguito INSIEL) per la gestione amministrativa e clinica della documentazione sanitaria dei pazienti.

In particolare, è emerso che l´operatore sanitario, utilizzando gli applicativi "G2 clinico", "PSNET", "CARDIONET" ed altri, ha la possibilità di accedere, con il profilo "operatore di reparto AORTS", alla documentazione clinica relativa a tutti gli episodi medici occorsi ad un paziente all´interno del reparto in cui lo stesso svolge la sua attività professionale. Inoltre, l´operatore sanitario –attraverso l´uso di specifiche funzioni presenti in tali applicativi- ha la possibilità di accedere anche ad un ulteriore applicativo denominato "Visualizzatore referti" che consente allo stesso di visualizzare l´elenco di tutti gli episodi medici occorsi allo stesso paziente all´interno dell´intera Azienda ospedaliera, nonché di tutti i relativi documenti clinici. Attraverso tale sistema l´operatore sanitario ha inoltre la possibilità di visualizzare, e poi accedere, alla documentazione clinica relativa a qualsiasi persona sia stata in cura, anche in passato, presso l´AOUTS.

Come descritto anche nel verbale delle operazioni compiute del 29 maggio u.s., i sistemi sopra descritti costituiscono una implementazione di dossier sanitario secondo la definizione resa nelle citate Linee guida Fse/dossier.

Nel corso dei suddetti accertamenti è stato, inoltre, riscontrato che l´AOUTS non ha messo in atto specifiche procedure informatiche per limitare al solo medico che ha in quel momento in cura il paziente l´accesso al dossier sanitario dello stesso per il tempo in cui si articola il percorso clinico (cfr. punto 5 delle citate Linee guida). Tuttavia, l´AOUTS in passato ha dichiarato di aver fornito istruzioni al personale affinché utilizzi tale strumento solo per porre in essere le necessarie attività di cura dei soggetti loro in carico (cfr. verbale delle operazioni compiute il 29 maggio u.s.).

Nel corso degli accertamenti ispettivi è emerso, inoltre, che, con delibera della Giunta regionale del Friuli Venezia Giulia n. 1259 del 7 aprile 2011, è stato approvato il piano triennale regionale sull´informatica 2011-2013, in base al quale sono state predisposte delle bozze di informativa e di consenso specifiche sul dossier sanitario, così come previsto dalle citate Linee guida del Garante. Tali modelli sarebbero dovuti essere utilizzati nei rapporti con l´utenza a partire dall´estate del 2012. Alla data degli accertamenti ispettivi è stato dichiarato che viene invece fornito agli interessati solo un modello di informativa e di consenso predisposto dalla Regione Friuli Venezia Giulia sul trattamento dei dati sanitari effettuati dall´AOUTS che non contiene alcun riferimento al dossier sanitario (cfr. punto 8 delle citate Linee guida).

Nel corso dei suddetti accertamenti ispettivi è risultato che tale dossier sanitario è stato realizzato per perseguire finalità di prevenzione, diagnosi e cura dell´interessato e quelle amministrative strettamente correlate alla cura. All´atto dell´accertamento ispettivo è stato dichiarato dal rappresentante dell´AOUTS che non vengono perseguite, attraverso tale strumento, finalità di ricerca o di statistica.

È poi emerso che non sono previste specifiche modalità di oscuramento del dato clinico, come invece indicato dal Garante nelle citate Linee guida (cfr. punto 3). Su richiesta dell´interessato può essere cancellato solo l´intero episodio clinico dal sistema, conservando il documento che lo contiene solo in forma cartacea. Di tale opportunità non è fatta alcuna menzione nell´informativa resa all´interessato così come dichiarato all´atto degli accertamenti ispettivi.

E´ stato riscontrato inoltre che, all´atto degli accertamenti ispettivi, il dossier sanitario viene alimentato automaticamente con tutte le informazioni relative anche agli episodi medici occorsi in passato all´interessato.

L´AOUTS ha, inoltre, precisato che nel dossier sanitario non sono presenti dati genetici, informazioni relative all´eventuale stato di sieropositività, all´interruzione volontaria della gravidanza, alla circostanza che la donna abbia scelto di partorire in anonimato, all´uso di sostanze stupefacenti e di sostanze psicotrope, alle vittime di atti di violenza sessuale o di pedofilia, nonché a quelle attinenti ai servizi offerti dai consultori familiari. All´atto degli accertamenti ispettivi il suddetto dossier sanitario non contiene, inoltre, una sintesi dei rilevanti dati clinici dell´interessato da consultare in caso di emergenza.

Nel corso dei suddetti accertamenti il rappresentante dell´AOUTS ha dichiarato che "un elemento di criticità nell´adeguamento alle linee guida del Garante (da parte dell´AOUTS) è legata alla presenza di diversi sistemi ed applicativi informatici, sia di recente sviluppo ma prevalentemente rilasciati nel passato (anni ´90), e sul ristretto margine di intervento di cui l´AOUTS dispone rispetto all´aggiornamento ed allo sviluppo di tali applicativi" (v. verbale delle operazioni compiute del 29 maggio u.s.).

Al termine degli accertamenti ispettivi l´Ufficio ha, pertanto, ritenuto necessario acquisire ulteriori informazioni dalla Direzione centrale salute integrazione sociosanitaria e politiche sociali della Regione Friuli Venezia Giulia e da INSIEL in ordine ai rapporti tra la AOUTS e le altre strutture sanitarie della Regione con INSIEL S.p.a. nella gestione della documentazione clinica e amministrativa dei pazienti (v. la Deliberazione di generalità della Giunta regionale del 26 novembre 2008 n. 2623).

Dalla risposta fornita da INSIEL alla suddetta richiesta di informazioni è risultato che detta società opera in qualità di società strumentale della Regione deputata alle attività tecnologiche per il Sistema informativo elettronico regionale (SIER). La società INSIEL è stata nominata dalle undici aziende sanitarie della Regione come responsabile del trattamento, ed in quanto tale "provvede ad eseguire le istruzioni che riceve espressamente dalle aziende sanitarie regionali" (cfr. risposta a richiesta di informazioni del 6 luglio 2012). Nella suddetta risposta il Presidente di INSIEL dichiara inoltre che "è possibile apportare ai sistemi le modifiche necessarie per recepire quanto previsto nelle Linee guida del Garante privacy sia direttamente a cura delle Aziende sia tramite richiesta ad INSIEL", ricoprendo tale società "il ruolo di fornitore di manutenzione e assistenza sui propri prodotti impiegati presso le strutture sanitarie regionali". In particolare, il Presidente di INSIEL afferma che è possibile agire direttamente sugli applicativi da parte delle aziende sanitarie "definendo i profili di autorizzazione e attribuendo le credenziali (…), stabilendo le politiche di pubblicazione dei documenti sul "visualizzatore referti"" scegliendo "il tipo di documenti da pubblicare (…). Agendo mediante tali strumenti, le Aziende possono operare in modo tale da consentire agli operatori sanitari la visualizzazione dei soli documenti di stretta pertinenza del personale che ha in cura il paziente (ad esempio, per i pazienti ricoverati è possibile impostare dei percorsi di richiesta prestazioni e visualizzazione dei referti limitati ai pazienti ricoverati in quel momento nel singolo reparto; è inoltre, possibile inserire dei filtri per non consentire la visualizzazione ad altri reparti o per non evidenziare particolari esami compiuti dal paziente, come ad esempio gli accertamenti per l´HIV". Secondo quanto affermato dal Presidente di INSIEL "la decisione in ordine all´implementazione di tali criteri di autenticazione e autorizzazione per gli incaricati (…) è lasciata ad ogni singola struttura sanitaria (…). Il ruolo di INSIEL si configura quale supporto nell´implementazione di tali scelte".

In relazione a quanto affermato dal Presidente di INSIEL, il Direttore centrale della Regione Friuli Venezia Giulia, con nota del 6 luglio 2012, in risposta alla richiesta di informazioni dell´Ufficio, fa "proprie le risposte espresse da INSIEL", e fornisce ulteriori chiarimenti in ordine alle modalità di acquisizione del consenso informato da parte degli interessati. In particolare, il Direttore centrale della Regione ha dichiarato che, a seguito dell´approvazione del programma triennale per lo sviluppo dell´ICT, dell´e-goverment e delle infrastrutture telematiche 2012/2014, con delibere di Giunta regionale (n. 2178 del 18.11.2011 e n. 156 del 1.2.2012), la Direzione regionale competente per la sanità ha delineato gli obiettivi prioritari di sviluppo in ambito socio-sanitario tra i quali figura la previsione di "soluzioni informatiche per l´integrazione socio-sanitaria e la continuità della cura". Al fine di realizzare tale obiettivo, la Direzione competente per la sanità si è prefissa come intento quello della "gestione del consenso del cittadino e la conseguente visibilità del dato socio-sanitario sui diversi canali previsti". In attuazione di tale obiettivo, il Direttore centrale della Regione dichiara che è stato "dato mandato di realizzare un nuovo strumento di raccolta del consenso strutturato, in sostituzione dell´attuale (…) così come definito dalle Linee guida del Garante (…). L´evoluzione di tale strumento prevede la gestione del consenso (compreso l´oscuramento e l´oscuramento dell´oscuramento) fino al singolo episodio- così come definito dal Garante della privacy. L´applicativo è al momento in collaudo presso l´Azienda ospedaliero universitaria di Trieste ed a breve verrà reso disponibile a tutte le aziende sanitarie pubbliche regionali". A tal fine, il 2 luglio 2012, la Regione Friuli Venezia Giulia ha predisposto per le strutture sanitarie regionali delle "Linee generali di automazione- adeguamento Linee guida del Garante Privacy- gestione del consenso" in cui è prevista la realizzazione del citato "nuovo strumento di raccolta del consenso strutturato, in sostituzione dell´attuale".

Secondo quanto affermato dal Presidente di INSIEL e confermato dal Direttore centrale della Regione Friuli Venezia Giulia le strutture sanitarie regionali che hanno attualmente in uso i suddetti applicativi per l´accesso alla documentazione clinica relativa agli episodi medici occorsi ad un paziente sono: l´Azienda per i servizi sanitari n. 1, l´Azienda per i servizi sanitari n. 2, l´Azienda per i servizi sanitari n. 3, l´Azienda per i servizi sanitari n. 4, l´Azienda per i servizi sanitari n. 5, l´Azienda per i servizi sanitari n. 6, l´Azienda ospedaliero universitaria S. Maria della Misericordia di Udine, l´Azienda ospedaliero universitaria ospedali riuniti di Trieste, l´Azienda ospedaliera S. Maria degli Angeli di Pordenone, l´IRCCS CRO di Aviano, l´IRCCS Burlo Garofalo di Trieste.

OSSERVA

1. Premessa.

A seguito di consultazione pubblica, con provvedimento del 16 luglio 2009, il Garante ha adottato le citate Linee guida FSe/dossier nelle quali è stato individuato un quadro di cautele, al fine di delineare specifiche garanzie e responsabilità, nonché misure ed accorgimenti necessari ed opportuni che le strutture sanitarie devono porre a tutela dei cittadini, in relazione ai trattamenti di dati sanitari che li riguardano.

Nel suddetto provvedimento, in mancanza allo stato di una definizione a livello nazionale di dossier sanitario, l´Autorità ha definito come tale quello strumento contenente diverse informazioni inerenti allo stato di salute di un individuo relative ad eventi clinici presenti e passati (es.: referti, documentazione relativa a ricoveri, accessi al pronto soccorso), volto a documentarne la storia clinica. I dati personali sono collegati tra loro con modalità informatiche di vario tipo che ne rendono, comunque, possibile un´agevole consultazione unitaria da parte dei diversi professionisti che prendono nel tempo in cura l´interessato. Si intende, pertanto, per dossier sanitario lo strumento costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es. ospedale o clinica privata) utilizzato da parte dei professionisti operanti presso lo stesso.

2. Profili di criticità.

Di seguito sono indicate le specifiche garanzie previste dal Codice e individuate nelle citate Linee guida che, in base a quanto emerso dai descritti accertamenti ispettivi e dall´esame dei documenti in atti, non trovano attuazione nel dossier sanitario in uso presso la AOUTS, sinteticamente riconducibili ai seguenti profili: l´informativa e il consenso dell´interessato, l´accesso al dossier sanitario solo da parte del medico che ha in cura l´interessato, il diritto dell´interessato a richiedere l´oscuramento di un singolo evento clinico presente nel dossier sanitario.

2.1 Informativa e consenso.

Come specificato da questa Autorità nelle citate Linee guida Fse/dossier, il trattamento dei dati personali effettuato mediante il dossier, perseguendo le menzionate finalità di prevenzione, diagnosi, cura e riabilitazione, deve uniformarsi al principio di autodeterminazione (artt. 75 e ss. del Codice). All´interessato, infatti, deve essere consentito di scegliere, in piena libertà, se far costituire o meno un dossier sanitario con le informazioni cliniche che lo riguardano, garantendogli anche la possibilità che i dati sanitari restino disponibili solo al professionista sanitario che li ha redatti, senza la loro necessaria inclusione in tale strumento (cfr. punti 3 e 8 delle citate Linee guida).

In tale quadro il consenso, anche se manifestato unitamente a quello previsto per il trattamento dei dati a fini di cura, deve essere autonomo e specifico (cfr. artt. 23, comma 3  e 81 del Codice).

Ciò in quanto, il trattamento dei dati sanitari effettuato tramite il dossier costituisce un trattamento ulteriore e -come tale- facoltativo rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico per il quale l´interessato si rivolge ad esso. In assenza del dossier sanitario, infatti, il professionista avrebbe accesso alle sole informazioni fornite dal paziente e a quelle elaborate in relazione all´evento clinico per il quale il paziente si è recato presso di lui; attraverso l´uso del dossier sanitario, invece, il professionista pone in essere un ulteriore trattamento di dati sanitari mediante la consultazione delle informazioni elaborate nell´ambito dell´intera struttura sanitaria e non solo del suo reparto –da professionisti diversi- in occasione di altri eventi clinici occorsi in passato all´interessato anche riferiti a patologie differenti rispetto a quella in relazione alla quale l´interessato si è rivolto al professionista che effettua l´accesso al dossier.

Essendo la costituzione del dossier sanitario facoltativa per l´interessato, per consentire a questo di esprimere scelte consapevoli, il titolare del trattamento deve pertanto fornire previamente un´idonea informativa (artt. 13, 79 e 80 del Codice), che deve contenere tutti gli elementi richiesti dall´art. 13 del Codice (cfr. punto 8 delle citate Linee guida). In particolare, deve essere evidenziata l´intenzione di costituire un dossier sanitario il più possibile completo che documenti la storia sanitaria dell´interessato per migliorare il suo processo di cura (cfr. art. 76, comma 1, lett. a) del Codice). Deve essere illustrato all´interessato, infatti, che tale strumento potrà essere utilizzato da tutti i professionisti che lo prenderanno in cura all´interno della struttura sanitaria al fine di valutare in modo più completo il suo stato di salute e, al tempo stesso, deve essere resa nota all´interessato anche l´ampia sfera conoscitiva che tale strumento può avere. L´interessato deve essere, poi, informato che l´eventuale mancato consenso totale o parziale alla costituzione del dossier sanitario non incide sulla possibilità di accedere alle cure mediche richieste.

L´informativa, quindi, deve esplicitare all´interessato che, se acconsente al trattamento di dati sanitari effettuato tramite il dossier, i professionisti sanitari (ad es. medici del reparto in cui è ricoverato, medici operanti in ambulatorio o al pronto soccorso) che lo prenderanno in cura possono accedere a tale strumento e consultare anche le informazioni sanitarie relative agli eventi clinici occorsi in passato allo stesso.

L´interessato deve essere informato anche della circostanza che il dossier sanitario potrebbe essere consultato, anche senza il suo consenso, ma nel rispetto dell´autorizzazione generale del Garante, qualora ciò sia ritenuto indispensabile per la salvaguardia della salute di un terzo o della collettività (art. 76 del Codice e Autorizzazione generale del Garante n. 2/2012 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale del 13 dicembre 2012 [doc. web n. 2158850]).

L´informativa deve rendere note all´interessato anche le modalità attraverso le quali rivolgersi al titolare per esercitare i diritti di cui agli artt. 7 e ss. del Codice, come pure quelle per revocare il consenso all´implementazione del suo dossier sanitario o per esercitare la facoltà di oscurare alcuni eventi clinici che lo riguardano (cfr. successivo punto 2.3).

In caso di revoca (liberamente manifestabile in qualsiasi momento) del consenso, il dossier sanitario non deve essere ulteriormente implementato. I documenti sanitari presenti devono restare disponibili al professionista o alla struttura interna al titolare che li ha redatti (es. informazioni relative a un ricovero utilizzabili solo dal reparto di degenza) e per eventuali conservazioni per obbligo di legge (art. 22, comma 5, del Codice), ma non devono essere più condivisi da parte degli altri professionisti degli altri reparti che prenderanno in cura l´interessato.

L´inserimento delle informazioni relative ad eventi sanitari pregressi all´istituzione del dossier sanitario deve, inoltre, fondarsi sul consenso specifico ed informato dell´interessato, potendo quest´ultimo anche scegliere che le informazioni sanitarie pregresse che lo riguardano non siano inserite in tale dossier.

Alla data degli accertamenti ispettivi- come risulta dal verbale delle operazioni compiute il 29 maggio u.s.- l´AOUTS, in qualità di titolare del trattamento, non ha fornito agli interessati alcuna informativa e non ha acquisito uno specifico consenso in merito al trattamento dei dati personali effettuato mediante il dossier sanitario in uso presso la stessa.

Secondo quanto indicato nel documento "Linee generali di automazione- adeguamento Linee guida del Garante Privacy- gestione del consenso", emanato lo scorso 2 luglio dalla Regione Friuli Venezia Giulia, è stata individuata una nuova procedura per la raccolta del consenso dell´interessato che prevede, tra l´altro, una specifica manifestazione di volontà di questo con riferimento al dossier sanitario aziendale.

Pertanto, con riferimento ai trattamenti di dati personali effettuati dalla AOUTS mediante il suddetto dossier sanitario, si rileva che il trattamento non è lecito nella parte in cui prevede tale trattamento di dati senza aver fornito agli interessati l´informativa e aver acquisito il loro consenso (art. 13, 23 e 76 e ss. del Codice) e che, pertanto, i dati personali trattati dall´AOUTS con tali strumenti non possono essere utilizzati (art. 11, comma 2, del Codice).

Pertanto, il Garante, al fine di rendere conforme il trattamento dei dati effettuato dall´AOUTS, in qualità di titolare del trattamento, attraverso lo strumento del dossier sanitario, ritiene necessario:

a) vietare alla AOUTS di effettuare ulteriori trattamenti di dati personali dei pazienti mediante lo strumento del dossier sanitario, in quanto tale trattamento è stato effettuato senza aver fornito agli interessati un´idonea e preventiva informativa ai sensi dell´art. 13 del Codice e senza aver acquisito uno specifico consenso ai sensi degli artt. 23 e 76 e ss. del Codice (artt. 143, comma 1, lett. c) e 154, comma 1, lett. d);

b) prescrivere alla AOUTS che i documenti sanitari attualmente trattati attraverso lo strumento del dossier sanitario restino disponibili solo al professionista o alla struttura interna al titolare che li ha redatti (es. informazioni relative a un ricovero utilizzabili dal reparto di degenza) e per eventuali conservazioni per obbligo di legge (art. 22, comma 5, del Codice), adottando idonei accorgimenti anche tecnici affinché i medesimi documenti sanitari non siano più condivisi attraverso lo strumento del dossier sanitario con altri professionisti che hanno in cura l´interessato presso altri reparti, fino al momento in cui lo stesso esprima uno specifico consenso informato in ordine al trattamento dei suoi dati sanitari attraverso lo strumento del dossier sanitario (artt. 13 e 76 e artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice);

c) prescrivere alla AOUTS di acquisire uno specifico consenso informato dell´interessato per utilizzare -attraverso lo strumento del dossier sanitario- anche le informazioni sanitarie relative a eventi clinici pregressi ovvero occorsi all´interessato in periodi precedenti rispetto al momento in cui lostesso acconsente al trattamento dei suoi dati sanitari attraverso lo strumento del dossier sanitario (gestione del pregresso). Tale consenso può essere raccolto anche unitamente a quello prescritto nella precedente lett. b) (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice).

L´Autorità ritiene inoltre necessario riservarsi di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare le violazioni delle disposizioni di cui agli artt. 13 e 23, del Codice e la conseguente applicazione delle sanzioni di cui agli artt. 161 e 162, comma 2-bis del Codice.

2.2 Accesso al dossier sanitario solo da parte del medico che ha in cura l´interessato.

Nelle citate Linee guida Fse/dossier il Garante, con riferimento all´accesso ai dati contenuti nel dossier sanitario (cfr. punto 5 delle citate Linee guida), ha ritenuto che:

- in relazione alle finalità perseguite con la costituzione del dossier sanitario, l´accesso a tale strumento deve essere consentito solamente per fini di prevenzione, diagnosi e cura dell´interessato e unicamente da parte di soggetti operanti in ambito sanitario, con conseguente esclusione di periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, nonché del personale medico che agisca nell´esercizio di attività medico-legali;

- il dossier sanitario può essere consultato soltanto da tutti quegli esercenti la professione sanitaria che a vario titolo prenderanno in cura l´interessato, secondo modalità tecniche di autenticazione che consentano di autorizzare l´accesso al dossier sanitario da parte del medico che ha in cura l´interessato;

- il personale amministrativo operante all´interno della struttura sanitaria in cui viene utilizzato il dossier sanitario può, in qualità di incaricato del trattamento, consultare solo le informazioni necessarie per assolvere alle funzioni amministrative cui è preposto e strettamente correlate all´erogazione della prestazione sanitaria (ad es., il personale addetto alla prenotazione di esami diagnostici o visite specialistiche può consultare unicamente i soli dati indispensabili per la prenotazione stessa);

- l´accesso al dossier sanitario deve essere sempre consentito al soggetto che ha redatto il documento con riferimento al documento medesimo;

- l´accesso al dossier sanitario deve essere circoscritto al periodo di tempo indispensabile per espletare le operazioni di cura per le quali è abilitato il soggetto che accede. Ciò, comporta che i soggetti abilitati all´accesso devono poter consultare esclusivamente i dossier sanitari riferiti alla persona che assistono e per il periodo di tempo in cui si articola il percorso di cura per il quale l´interessato si è rivolto ad essi.

Dalla documentazioni in atti risulta che tali cautele non siano state poste in essere nella loro interezza da parte dell´AOUTS. Infatti, alla data degli accertamenti ispettivi- come risulta dal verbale delle operazioni compiute il 29 maggio u.s.- gli operatori sanitari dell´AOUTS, utilizzando alcuni applicativi in uso presso i reparti, avevano la possibilità di accedere alla documentazione clinica relativa a tutti gli episodi medici occorsi ad un paziente all´interno del reparto in cui gli stessi svolgono la loro attività professionale, nonché quella di accedere ad un ulteriore applicativo denominato "Visualizzatore referti" che consente di visualizzare l´elenco di tutti gli episodi medici occorsi al paziente all´interno dell´intera Azienda ospedaliera, nonché di prendere visione dei relativi documenti clinici. E´ stato riscontrato inoltre che, attraverso tale sistema, l´operatore sanitario ha inoltre la possibilità di visualizzare, e poi accedere, alla documentazione clinica relativa a qualsiasi persona sia stata in cura, anche in passato, presso l´AOUTS.

Risulta, pertanto, che l´accesso al dossier sanitario dell´interessato non è limitato ai soli professionisti che hanno in cura l´interessato, potendo essere consultato, in ogni momento, da parte di tutti soggetti abilitati alla consultazione dei dossier sanitari aziendali.

Secondo quanto affermato dal Presidente di INSIEL, e confermato dal Direttore centrale della Regione Friuli Venezia Giulia nella documentazione in atti, l´AOUTS, al pari delle altre strutture sanitarie che hanno i uso i suddetti applicativi, può "operare in modo tale da consentire agli operatori sanitari la visualizzazione dei soli documenti di stretta pertinenza del personale che ha in cura il paziente (ad esempio, per i pazienti ricoverati è possibile impostare dei percorsi di richiesta prestazioni e visualizzazione dei referti limitati ai pazienti ricoverati in quel momento nel singolo reparto)".

Pertanto, al fine di rendere conforme il trattamento dei dati effettuato dall´AOUTS, in qualità di titolare del trattamento, attraverso lo strumento del dossier sanitario, il Garante ritiene necessario prescrivere alla predetta Azienda di mettere in atto specifici accorgimenti –anche eventualmente avvalendosi del supporto tecnico fornito da INSIEL S.P.A.- che consentano ai soli professionisti sanitari che hanno in quel momento in cura il paziente (che abbia già manifestato un consenso informato alla costituzione del dossier) di accedere al suo dossier sanitario per il tempo in cui si articola il percorso di cura. Tali accorgimenti devono essere adottati entro 6 mesi dalla data di ricezione del presente provvedimento (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice).

2.3 Oscuramento

Il Garante, nelle citate Linee guida Fse/dossier, ha ritenuto di dover introdurre un´importante garanzia a tutela della riservatezza dell´interessato che abbia scelto consapevolmente di far costituire un dossier sanitario sulla propria storia clinica, consistente nella possibilità di oscurare alcuni eventi clinici presenti in tale strumento (cfr. 3 delle citate Linee guida). Ferma restando, infatti, l´indubbia utilità di un dossier sanitario completo, il titolare del trattamento deve garantire la possibilità per l´interessato di non far confluire in esso alcune informazioni sanitarie relative a singoli eventi clinici (ad es., con riferimento all´esito di una specifica visita specialistica o alla prescrizione di un farmaco). Ciò, analogamente a quanto avviene nel rapporto paziente-medico curante, nel quale il primo può addivenire a una determinazione consapevole di non informare il secondo di certi eventi.

L´"oscuramento" dell´evento clinico (revocabile nel tempo) deve peraltro avvenire con modalità tali da garantire che, almeno in prima battuta, tutti i soggetti abilitati all´accesso non possano venire automaticamente a conoscenza del fatto che l´interessato ha effettuato tale scelta ("oscuramento dell´oscuramento").

Resta ferma la possibilità per il titolare del trattamento di informare i soggetti abilitati ad accedere a tali strumenti che tutti i dossier sanitari cui hanno accesso possono non essere completi, in quanto l´interessato potrebbe aver esercitato il suddetto diritto di oscuramento.

La possibilità di richiedere l´oscuramento di uno o più eventi clinici da parte dell´interessato non risulta essere consentita da parte dell´AOUTS nei confronti dei dossier sanitari in uso presso l´Azienda.

Secondo quanto affermato dal Presidente di INSIEL, e confermato dal Direttore centrale della Regione Friuli Venezia Giulia nella documentazione in atti, è possibile inserire dei filtri nell´uso dei suddetti applicativi "per non consentire la visualizzazione ad altri reparti o per non evidenziare particolari esami compiuti dal paziente, come ad esempio gli accertamenti per l´HIV". Il Direttore centrale della Regione Friuli Venezia Giulia ha poi confermato che "l´evoluzione (del nuovo strumento di raccolta del consenso) (…)  prevede la gestione del consenso (compreso l´oscuramento e l´oscuramento dell´oscuramento) fino al singolo episodio- così come definito dal Garante della privacy.

Pertanto, al fine di rendere conforme il trattamento dei dati effettuato dall´AOUTS, in qualità di titolare del trattamento, attraverso lo strumento del dossier sanitario, il Garante ritiene necessario prescrivere alla predetta Azienda di mettere in atto specifici accorgimenti -anche eventualmente avvalendosi, anche in questo caso, del supporto tecnico fornito da INSIEL S.P.A.- che consentano all´interessato di poter esprimere la volontà di oscurare nel proprio dossier sanitario singoli eventi clinici anche relativi al pregresso. Di tale diritto deve essere fatta menzione nell´informativa resa ai sensi dell´art. 13 del Codice (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice). Tali accorgimenti devono essere messi in atto entro 3 mesi dalla data di ricezione del predetto provvedimento.

TUTTO CIÒ PREMESSO IL GARANTE

a) rilevata l´illiceità del trattamento effettuato dall´AOUTS con riferimento alla mancanza di non aver reso l´informativa e non aver acquisito il consenso dell´interessato in relazione al trattamento effettuato tramite il dossier sanitario aziendale (artt. 13, 23 e 76 e ss. del Codice), vieta, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, all´Azienda ospedaliero universitaria Ospedali Riuniti di Trieste di effettuare ulteriori trattamenti di dati personali dei pazienti mediante lo strumento del dossier sanitario aziendale;

b) ai sensi dell´art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive all´Azienda ospedaliero universitaria Ospedali Riuniti di Trieste quali misure necessarie:

1. che i documenti sanitari attualmente trattati attraverso lo strumento del dossier sanitario restino disponibili solo al professionista o alla struttura interna al titolare che li ha redatti (es. informazioni relative a un ricovero utilizzabili dal reparto di degenza) e per eventuali conservazioni per obbligo di legge (art. 22, comma 5, del Codice), adottando idonei accorgimenti anche tecnici affinché i medesimi documenti sanitari non siano più condivisi attraverso lo strumento del dossier sanitario con altri professionisti che curino l´interessato presso altri reparti, fino al momento in cui lo stesso esprima uno specifico consenso (artt. 13 e 76 e ss. del Codice);

2. di acquisire uno specifico consenso informato dell´interessato per utilizzare -attraverso lo strumento del dossier sanitario- anche le informazioni sanitarie relative a eventi clinici pregressi ovvero occorsi all´interessato in periodi precedenti rispetto al momento in cui lo stesso acconsente al trattamento dei suoi dati sanitari attraverso lo strumento del dossier sanitario (gestione del pregresso). Tale consenso può essere raccolto anche unitamente a quello prescritto nel precedente punto sub 1;

3. di mettere in atto specifici accorgimenti –anche eventualmente avvalendosi del supporto tecnico fornito da INSIEL S.P.A.- che consentano ai soli professionisti sanitari che hanno in quel momento in cura il paziente (che abbia già manifestato un consenso informato alla costituzione del dossier) di accedere al suo dossier sanitario per il tempo in cui si articola il percorso di cura. Tali accorgimenti devono essere adottati entro 6 mesi dalla data di ricezione del predetto provvedimento;

4. di mettere in atto specifici accorgimenti -anche eventualmente avvalendosi del supporto tecnico fornito da INSIEL S.P.A.- che consentano all´interessato di poter esprimere la volontà di oscurare nel proprio dossier sanitario singoli eventi clinici anche relativi al pregresso. Di tale diritto deve essere fatta menzione nell´informativa resa ai sensi dell´art. 13 del Codice. Tali accorgimenti devono essere messi in atto entro 3 mesi dalla data di ricezione del predetto provvedimento.

c) ai sensi dell´art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive quale misura necessaria all´Azienda per i servizi sanitari n. 1, all´Azienda per i servizi sanitari n. 2, all´Azienda per i servizi sanitari n. 3, all´Azienda per i servizi sanitari n. 4, all´Azienda per i servizi sanitari n. 5, all´Azienda per i servizi sanitari n. 6, all´Azienda ospedaliero universitaria S. Maria della Misericordia di Udine, all´Azienda ospedaliera S. Maria degli Angeli di Pordenone, all´IRCCS CRO di Aviano, all´IRCCS Burlo Garofalo di Trieste di rendere conforme -anche eventualmente avvalendosi del supporto tecnico fornito da INSIEL S.P.A.- il trattamento dei dati personali effettuato attraverso gli applicativi in uso presso gli stessi alle prescrizioni contenute nella lettera b) del presente provvedimento entro i termini indicati nella medesima lettera.

d)  ai sensi dell´art. 157 del Codice, prescrive all´Azienda ospedaliero universitaria Ospedali Riuniti di Trieste, all´Azienda per i servizi sanitari n. 1, all´Azienda per i servizi sanitari n. 2, all´Azienda per i servizi sanitari n. 3, all´Azienda per i servizi sanitari n. 4, all´Azienda per i servizi sanitari n. 5, all´Azienda per i servizi sanitari n. 6, all´Azienda ospedaliero universitaria S. Maria della Misericordia di Udine, all´Azienda ospedaliera S. Maria degli Angeli di Pordenone, all´IRCCS CRO di Aviano, all´IRCCS Burlo Garofalo di Trieste di dare riscontro a questa Autorità dell´avvenuta adozione delle prescrizioni di cui alle lettere b) e c) del presente provvedimento contestualmente alla loro adozione.

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 10 gennaio 2013

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia