g-docweb-display Portlet

Illeicità nel trattamento di dati personali e sensibili presso una struttura ospedaliera - 18 dicembre 2014 [3725976]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

Vedi anche provvedimento dell´8 luglio 2015

 

[doc. web n. 3725976]

Illeicità nel trattamento di dati personali e sensibili presso una struttura ospedaliera - 18 dicembre 2014

Registro dei provvedimenti
n. 610 del 18 dicembre 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), di seguito "Codice";

VISTA le segnalazioni ricevute concernenti il sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate dall´Azienda Policlinico Umberto I di Roma;

VISTA la comunicazione al Garante del Direttore generale dell´Azienda Policlinico Umberto I di Roma in merito all´avvenuta divulgazione di dati sensibili di pazienti mediante lettera anonima indirizzata ad alcuni quotidiani nazionali ed alcuni organi istituzionali (nota del 23 maggio 2013, prot. n. 0018752);

VISTE le richieste di informazioni in atti;

VISTI gli atti dell´accertamento ispettivo effettuato dall´Ufficio presso l´Azienda Policlinico Umberto I di Roma il 21, 22 e il 27 novembre 2013 e l´11 marzo 2014;

VISTA la documentazione inviata dall´Azienda Policlinico Umberto I di Roma a seguito del suddetto accertamento ispettivo e delle richieste di informazioni in atti;

VISTO il procedimento per la violazione di cui all´art. 169 del Codice relativo all´omessa adozione delle misure minime di sicurezza adottato dall´Autorità nei confronti del rappresentante legale dell´Azienda Policlinico Umberto I di Roma (note del 3 marzo 2014, prot. n. 6431 e n. 6296);

VISTO quanto dichiarato dalla Regione Lazio, Direzione regionale salute e integrazione sociosanitaria, Area servizio informativo sanitario (nota del 10.1.2014 prot. n. 15183);

VISTO le "Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario" adottate dal Garante con Provvedimento del 16 luglio 2009 (G.U. n. 178 del 3 agosto 2009, consultabili sul sito www.gpdp.it, doc. web n. 1634116);

VISTO l´articolo 12 (Fascicolo sanitario elettronico e sistemi di sorveglianza nel settore sanitario) del decreto legge 18 ottobre 2012 n. 179, convertito, con modificazioni, dall´art. 1, comma 1, legge 17 dicembre 2012, n. 221;

VISTI gli atti d´Ufficio;

VISTE le osservazioni formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

Sono pervenute a questa Autorità alcune segnalazioni nelle quali si lamenta una presunta violazione della disciplina in materia di protezione dei dati personali relativamente alle modalità di funzionamento del sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate dall´Azienda Policlinico Umberto I di Roma (di seguito Policlinico). Più precisamente, nelle segnalazioni si lamenta che gli applicativi in uso presso i diversi dipartimenti del Policlinico sarebbero stati configurati in modo tale da consentire a ogni medico di accedere non solo ai dati personali dei propri pazienti, ma anche a quelli di qualsiasi altra persona che sia stata in cura presso la struttura sanitaria. L´accesso del personale sanitario autorizzato sarebbe, pertanto, indipendente dalla circostanza che le informazioni che questi possono conoscere siano riferite a soggetti dagli stessi assistiti.

Alcuni segnalanti lamentano, inoltre, di non aver prestato alcun consenso informato in relazione al suddetto trattamento di dati personali. In particolare, in una segnalazione si lamenta che nel predetto sistema informativo sarebbero trattate anche informazioni relative allo stato di sieropositività, senza che il paziente abbia espresso uno specifico consenso al riguardo.

Contestualmente alle segnalazioni ricevute, l´Autorità ha appreso dal Direttore generale del Policlinico Umberto I che una lettera anonima indirizzata ad alcuni quotidiani nazionali e a diversi organi istituzionali divulgava dati idonei a rivelare lo stato di salute di numerosi pazienti del Policlinico; secondo quanto dichiarato, tali informazioni sarebbero state estrapolate dai rapporti di pronto soccorso.

A seguito delle suddette segnalazioni, l´Ufficio ha effettuato in data 21, 22 e 27 novembre 2013 e in data 11 marzo 2014 accertamenti ispettivi presso il Policlinico Umberto I al fine di verificare l´osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento a quanto indicato nelle richiamate Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario.

Con riferimento a quanto comunicato dal Direttore generale del Policlinico, in ordine alla divulgazione dei dati personali dei pazienti mediante invio di una lettera anonima a diversi destinatari, durante gli accertamenti ispettivi si è appreso che la vicenda trae origine da una lettera anonima inviata a numerosi soggetti istituzionali e politici, alla Procura della Repubblica presso il Tribunale di Roma, ad alcune testate giornalistiche e anche al Magnifico Rettore dell´Università di Roma "La Sapienza", il quale ne ha trasmesso copia alla Direzione generale del Policlinico. Tale lettera divulga dati personali sensibili relativi a pazienti del pronto soccorso del Policlinico (DEA- Dipartimento di Emergenza e Accettazione), facendo specifico riferimento agli interventi clinici prestati ai medesimi pazienti dalla struttura sanitaria. In merito a tale circostanza, il Direttore generale del Policlinico ha dichiarato di aver istituito un´apposita commissione interna di indagine.

Durante i suddetti accertamenti ispettivi è stato verificato che l´area di emergenza del Policlinico è composta da 4 DEA specialistici e da un DEA generale. Nell´area dell´emergenza sono impiegati circa 530 operatori, di cui 130 medici. Nel DEA generale sono presenti costantemente circa 15 persone "di guardia", alle quali si aggiungono altri 60 operatori circa che sono in servizio presso il Policlinico e che possono intervenire in pronto soccorso in relazione all´erogazione delle necessarie prestazioni specialistiche. L´area di emergenza offre assistenza a circa 75.000 pazienti l´anno, con circa 250 accessi giornalieri di cui il 40% con codice rosso.

E´ stato, inoltre, verificato che il personale sanitario operante nei DEA utilizza un sistema informativo denominato "GIPSE" attraverso il quale sono raccolte tutte le informazioni sanitarie relative all´accesso al pronto soccorso del paziente. E´ stato, al riguardo, riscontrato che gli infermieri del pronto soccorso -in fase di accettazione (Triage)- hanno la possibilità di visualizzare le informazioni relative ad eventuali precedenti accessi al DEA effettuati da parte di un paziente. Il sistema GIPSE è accessibile da parte di tutti gli operatori del DEA, i quali lo alimentano con le informazioni relative agli interventi clinici effettuati.

Con riferimento alla documentazione cartacea relativa all´accesso ai DEA è stato verificato che la stessa è affidata all´operatore che segue il paziente nelle varie fasi del suo percorso di cura. Concluso l´accesso al pronto soccorso, il Rapporto di pronto soccorso (RPS) è depositato presso un raccoglitore situato nei diversi box di cura dove sono prestati gli interventi sanitari al paziente. Giornalmente i RPS sono ritirati da personale a ciò delegato, al fine di valutarne la completezza e, quindi, procedere all´archiviazione degli stessi. Qualora l´episodio di accesso al pronto soccorso si concluda con il ricovero del paziente presso un dipartimento di degenza, il RPS è trasmesso al reparto per poi confluire nella cartella clinica di ricovero.

Durante i suddetti accertamenti ispettivi è stato constatato che la gestione informatica dei dati relativi al ricovero del paziente nei dipartimenti avviene tramite il sistema informativo denominato "GALILEO" e che presso il Dipartimento dell´area chirurgica è presente una postazione da cui è possibile consultare il sistema GIPSE in uso presso il DEA. Dalle postazioni DEA non è, invece, possibile accedere al sistema GALILEO in uso presso i dipartimenti del Policlinico.

Nel corso dei suddetti accertamenti è emerso, inoltre, che presso i dipartimenti del Policlinico è in uso anche un sistema informatico radiologico denominato "ELEKTRA", ovvero il RIS (Radiology Information System) del Policlinico dedicato alla gestione degli accertamenti radiologici e alla visualizzazione dei referti e delle relative immagini.

Nel corso del suddetto accertamento ispettivo è stata verificata, quindi, la riconducibilità al concetto di "dossier sanitario" -definito nelle richiamate Linee guida- dello strumento di raccolta e di gestione dei dati dei pazienti utilizzato dal Policlinico attraverso gli applicativi aziendali denominati "GALILEO" e "ELEKTRA" (per il trattamento dei dati effettuato nei dipartimenti) e "GIPSE" (per il trattamento dei dati effettuati nei DEA).

Durante la predetta verifica ispettiva sono stati, pertanto, acquisiti elementi in merito alla conformità dei trattamenti effettuati attraverso il suddetto dossier aziendale alla disciplina in materia di protezione dei dati personali, con particolare riferimento al rispetto delle garanzie individuate nelle citate Linee guida.

Secondo quanto dichiarato in ispezione dai rappresentanti del Policlinico, tali sistemi sono in uso presso tutti i dipartimenti e presso l´ambulatorio di ematologia dall´anno 2008/2009 circa. I trattamenti effettuati tramite l´uso dei suddetti sistemi perseguono esclusivamente finalità di cura e quelle amministrative correlate alla cura. In particolare, tali sistemi sono utilizzati per la gestione dell´accettazione, dimissione e trasferimento dei pazienti (ADT-SDO), per la richiesta degli esami ematochimici (ad eccezione degli accertamenti relativi allo stato di sieropositività e delle dipendenze) e della diagnostica per immagini. Il sistema GALILEO, come sopra anticipato, ha un´interfaccia con il sistema ELEKTRA, al fine di visualizzare i referti radiologici, e con il sistema GIPSE con riferimento ai rapporti di pronto soccorso.

Durante le suddette verifiche ispettive in loco è stato constatato che il personale sanitario di dipartimento può accedere al dossier aziendale con riferimento ai pazienti:

- ricoverati in reparto (ovvero dimessi da meno di trenta giorni): allo storico degli esami radiologici e di laboratorio, nonché allo storico dei rapporti di pronto soccorso;

- non ricoverati in reparto (ovvero dimessi da più di trenta giorni): solo le anagrafiche di accettazione.

Secondo quanto dichiarato in atti al sistema Galileo possono accedere complessivamente 2892 utenti, di cui 1197 medici e 1695 infermieri; non è consentito l´accesso al sistema da parte del personale amministrativo. Il personale abilitato all´accesso al sistema GALILEO ha frequentato un corso di formazione presso le aule della UOC Sistemi Informativi del Policlinico. Sono stati, inoltre, differenziati i profili di autorizzazione degli utenti; in particolare, il personale infermieristico di dipartimento non è abilitato ad accedere al sistema di accettazione, dimissione e trasferimento del paziente (ADT) e a richiedere esami radiologici o di laboratorio.

In ordine ad una segnalazione nella quale si lamentava l´avvenuta registrazione nei suddetti sistemi informativi di dati personali sensibili dell´interessato, anche idonei a rivelare il suo stato di sieropositività, senza che lo stesso avesse prestato il proprio consenso informato al riguardo, nel corso dei predetti accertamenti ispettivi è stato verificato che i dati del segnalante sono stati oscurati e resi nuovamente visibili solo su richiesta del medico che lo aveva in quel momento in cura. Alla data dell´11 marzo 2014 non era, pertanto, possibile visualizzare né l´anagrafica ADT del segnalante, né i dati clinici relativi ai suoi accessi al Policlinico. Dalla documentazione in atti emerge che i dati anagrafici del segnalante sono stati sostituiti nel sistema informativo con un codice identificativo del paziente conosciuto solo all´amministratore di sistema del Policlinico.

Al riguardo, i rappresentanti del Policlinico hanno evidenziato che, allo stato, non sussistono specifiche procedure per la gestione di eventuali richieste di oscuramento e che, come si evince dalla documentazione in atti, tali richieste sono gestite caso per caso.

Il sistema GIPSE è costituito da una parte di front end realizzata in modalità client/server che si appoggia su un DBMS Oracle. Per accedere alla consolle di gestione, anch´essa client/server, è necessario disporre di una postazione nella quale sia installato l´apposito client. Al momento della verifica ispettiva, il sistema era stato strutturato in modo da registrare il momento di login e di logout di ciascun utente (non era previsto dall´applicativo un timeout e, pertanto, l´utente rimaneva connesso fino alla disconnessione) e, con riferimento alle attività svolte, memorizzava in corrispondenza di ciascuna operazione di scrittura esclusivamente il dato relativo all´utente che ha effettuato l´ultima scrittura. L´applicativo non teneva, invece, traccia dello storico delle operazioni di scrittura e non effettuava alcun tracciamento delle operazioni di mera visualizzazione e stampa.

Non sono stati, inoltre, previsti sistemi di audit automatizzato per il rilevamento di eventuali anomalie negli accessi al database.

I rappresentanti del Policlinico hanno, inoltre, evidenziato di non disporre della documentazione tecnica sul sistema GISPE, in quanto i rapporti con la società produttrice sono gestiti direttamente dall´Agenzia di sanità pubblica (ASP) della Regione Lazio (dal 1° dicembre 2013 le competenze dell´Agenzia sono state trasferite alla Giunta regionale e al Dipartimento di epidemiologia dell´Asl RME). In relazione a tale aspetto, il Direttore generale del Policlinico ha dichiarato che, sin dal maggio 2013, aveva richiesto alla Regione Lazio "un adeguamento del sistema software GIPSE ai requisiti di funzionalità e sicurezza". In sede istruttoria, l´Ufficio ha, pertanto, richiesto informazioni alla Regione Lazio, Direzione regionale salute e integrazione socio sanitaria, la quale ha evidenziato che "il software GIPSE è un applicativo gestionale di raccolta dati progettato e implementato presso la maggior parte dei P.S. (DEA) del Lazio nel 1999". La Direzione regionale ha, inoltre, precisato che sono in fase di realizzazione "ammodernamenti" del sistema di tracciamento che consentiranno di registrare anche alcune operazioni di accesso in lettura ai dati contenuti nel rapporto di pronto soccorso (RPS) da parte di tutti gli operatori.

Con specifico riferimento al consenso informato dei pazienti, dalla documentazione acquisita nel corso dei predetti accertamenti ispettivi e da quella successivamente inviata dal Policlinico, è emerso che, alla data dei suddetti accertamenti, erano in uso presso i Dipartimenti del Policlinico diversi modelli di informativa e consenso al trattamento dei dati personali, che solo in taluni casi rendevano edotto il paziente circa la possibilità che fossero raccolti -con modalità informatiche- "i dati sanitari riferibili alla sua storia clinica precedente". In ogni caso, in tali modelli non vi era un espresso riferimento all´utilizzo da parte del personale medico del Policlinico di un dossier sanitario aziendale. Successivamente all´accertamento ispettivo, il Direttore generale del Policlinico, con determinazione n. 19 del 9 aprile 2014, ha disposto l´adozione di modelli aziendali di informativa e consenso unici per tutti i dipartimenti. In tali modelli è prevista la raccolta del consenso del paziente ai fini di cura della sua salute e per la costituzione del "Dossier sanitario elettronico del paziente". Nei suddetti modelli è, inoltre, previsto il c.d. diritto di oscuramento di alcune informazione presenti nel dossier (mediante il sistema del c.d. "oscuramento dell´oscuramento"), e che l´accesso al dossier sia limitato al solo personale sanitario che ha in cura il paziente. E´, inoltre, prevista la revoca delle predette manifestazioni di volontà.

A seguito delle suddette verifiche ispettive è stato, inoltre, accertato che il Policlinico non aveva provveduto a designare quali incaricati del trattamento (art. 30 del Codice e allegato B) al Codice) il personale medico ed infermieristico ivi operante. Al riguardo, a seguito di un provvedimento adottato dall´Autorità, ai sensi degli artt. 154, comma 1, e 169, comma 2, del Codice, e del connesso procedimento sanzionatorio, il Direttore generale del Policlinico ha provveduto al "riesame complessivo del livello di attuazione delle prescrizioni organizzative e informative dettate dal Codice" e ha provveduto a designare i responsabili del trattamento (art. 29 del Codice), affidando loro il compito di designare per iscritto, entro dieci giorni dalla nomina, gli incaricati del trattamento (art. 30 del Codice). L´atto di designazione a responsabile del trattamento recepisce anche l´indicazione in merito ai nuovi modelli di informativa e consenso disposti con la citata delibera del 9 aprile 2014.

OSSERVA

1. Premessa.

La tematica del trattamento di dati personali nell´ambito dei dossier istituiti dalle strutture sanitarie è stata affrontata dall´Autorità sin dal 2009 con il citato provvedimento del 16 luglio adottato a seguito di una consultazione pubblica.
In tale provvedimento è stato individuato un quadro di cautele, al fine di delineare specifiche garanzie e responsabilità, nonché misure ed accorgimenti necessari ed opportuni che le strutture sanitarie devono porre a tutela dei pazienti, in relazione ai trattamenti di dati sanitari che li riguardano effettuati mediante i dossier sanitari.

Nel suddetto provvedimento, in mancanza di una definizione a livello nazionale di dossier sanitario, l´Autorità ha descritto come tale quello strumento contenente informazioni inerenti allo stato di salute di un individuo relative ad eventi clinici presenti e passati (es.: referti, documentazione relativa a ricoveri, accessi al pronto soccorso), volto a documentarne la storia clinica. I dati personali sono collegati tra loro con modalità informatiche di vario tipo che ne rendono, comunque, possibile un´agevole consultazione unitaria da parte dei diversi professionisti che prendono nel tempo in cura l´interessato. Si intende, pertanto, per dossier sanitario lo strumento costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es. azienda sanitaria) utilizzato da parte dei professionisti operanti presso lo stesso.

Il dossier sanitario differisce dal Fascicolo sanitario elettronico (FSE) in quanto quest´ultimo, secondo la definizione recentemente resa dal legislatore, è l´insieme dei dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi relativi a prestazioni sanitarie erogate non da un unico titolare del trattamento (ad es. azienda sanitaria, ospedale), bensì da tutte le strutture sanitarie del Servizio sanitario nazionale e dei servizi socio-sanitari regionali (Cfr. art. 12, D.L. 18 ottobre 2012, n. 179, convertito, con modificazioni, dall´art. 1, comma 1, L. 17 dicembre 2012, n. 221).

Recentemente, l´Autorità ha adottato tre provvedimenti in cui ha prescritto alle strutture sanitarie, in qualità di titolari del trattamento, di adottare una serie di misure e accorgimenti necessari al fine di rendere conforme al Codice il trattamento dei dati personali effettuato attraverso i dossier sanitari aziendali: provvedimenti del 10 gennaio 2013 (doc. web n. 2284708), del 3 luglio 2014 (doc web n. 3325808) e del 23 ottobre 2014 (doc. web n. 3570631).

2.  Profili di criticità.

In base a quanto emerso nel corso del richiamato accertamento ispettivo e dall´esame della documentazione in atti, alcune delle specifiche garanzie previste dal Codice e individuate nelle citate Linee guida non trovano attuazione con riferimento al trattamento dei dati personali effettuato attraverso il dossier sanitario attualmente in uso presso il Policlinico Umberto I di Roma.

L´Autorità prende atto che subito dopo il predetto accertamento ispettivo, il Policlinico ha posto in essere azioni migliorative dello stato degli adempimenti in materia di protezione dei dati personali, attraverso una più puntuale ricognizione dei trattamenti effettuati e dei diversi soggetti autorizzati ad accedere ai dati personali. In tale quadro, si valuta positivamente l´avvenuta introduzione di nuovi modelli di informativa e consenso adottati dalla Direzione generale e si prende atto di quanto dichiarato in merito alla possibilità da un lato che l´accesso al dossier sia consentito solo da parte del personale sanitario che ha in cura l´interessato e dall´altro che a quest´ultimo sia riconosciuto il diritto di richiedere l´oscuramento di taluni eventi clinici presenti nel dossier (mediante il c.d. "oscuramento dell´oscuramento").

Gli interventi sopra descritti, tuttavia, non superano tutte le criticità riscontrate in sede ispettiva e di esame documentale degli atti inviati all´Autorità successivamente agli accertamenti in loco. Il trattamento dei dati personali effettuato mediante il dossier sanitario aziendale presenta, infatti, ancora profili di criticità con riferimento al modello di informativa, a quello per acquisire il consenso dell´interessato e al diritto di oscuramento nei termini di seguito descritti.

Con specifico riferimento a quanto dichiarato dal Direttore generale del Policlinico in ordine alla limitazione all´accesso al dossier al solo personale sanitario che ha in cura il paziente, l´Autorità, nel prendere atto di tale dichiarazione, si riserva di valutare le modalità attraverso le quali tale garanzia è stata realizzata in concreto nei sistemi informativi in uso presso il Policlinico.

L´Autorità si riserva, inoltre di valutare, le azioni che sono state intraprese al fine di realizzare le modifiche ai sistemi informativi utilizzati dal Policlinico, che sono state dichiarate all´Autorità dalla Regione Lazio con la citata nota del 10 gennaio 2014.

2.1 Informativa e consenso.

Come specificato da questa Autorità nelle citate Linee guida del 2009, il trattamento dei dati personali effettuato mediante il dossier, perseguendo le menzionate finalità di prevenzione, diagnosi, cura e riabilitazione, deve uniformarsi al principio di autodeterminazione (artt. 75 e ss. del Codice).
Al riguardo, l´Autorità ha stabilito che:

- all´interessato deve essere consentito di scegliere, in piena libertà, se far costituire o meno un dossier sanitario con le informazioni cliniche che lo riguardano; garantendogli anche la possibilità che i dati sanitari restino comunque sempre disponibili al professionista sanitario che li ha raccolti ed elaborati, senza la loro necessaria inclusione nel dossier sanitario (cfr. punti 3 e 8 delle citate Linee guida);

- il consenso, anche se manifestato unitamente a quello previsto per il trattamento dei dati a fini di cura, deve essere autonomo e specifico (cfr. artt. 23, comma 3 e 81 del Codice). Ciò in quanto, il trattamento dei dati sanitari effettuato tramite il dossier costituisce un trattamento ulteriore e -come tale- facoltativo rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico per il quale l´interessato si rivolge ad esso. In assenza del dossier sanitario, infatti, il professionista avrebbe accesso alle sole informazioni fornite dal paziente e a quelle elaborate in relazione all´evento clinico per il quale il paziente si è recato presso di lui; attraverso l´uso del dossier sanitario, invece, il professionista pone in essere un ulteriore trattamento di dati sanitari mediante la consultazione delle informazioni trattate nell´ambito dell´intera struttura sanitaria e non solo del suo reparto –da professionisti diversi- in occasione di altri eventi clinici occorsi in passato all´interessato, anche riferiti a patologie differenti rispetto a quella in relazione alla quale l´interessato si è rivolto al professionista che lo ha in cura;

- il titolare del trattamento deve fornire previamente un´idonea informativa (artt. 13, 79 e 80 del Codice), che deve contenere tutti gli elementi richiesti dall´art. 13 del Codice (cfr. punto 8 delle citate Linee guida). In particolare, deve essere evidenziata l´intenzione di costituire un dossier sanitario (il più possibile completo) che documenti la storia clinica dell´interessato per migliorare il suo processo di cura (cfr. art. 76, comma 1, lett. a) del Codice). Deve essere illustrato all´interessato, infatti, che tale strumento, una volta che sia stato costituito con il suo consenso, potrà essere utilizzato da tutti i professionisti che lo prenderanno in cura all´interno della struttura sanitaria, al fine di valutare in modo più completo il suo stato di salute. Tale strumento potrà essere, infatti, consultato nella sua interezza da parte di tutto il personale sanitario che fornirà nel tempo assistenza allo stesso. L´interessato deve essere, poi, informato che l´eventuale mancato consenso alla costituzione del dossier non incide sulla possibilità di accedere alle cure mediche richieste;

- il titolare deve rendere note all´interessato anche le modalità attraverso le quali rivolgersi allo stesso per esercitare i diritti di cui agli artt. 7 e ss. del Codice, come pure quelle per revocare il consenso espresso in merito alla costituzione del dossier o per esercitare la facoltà di oscurare alcuni eventi clinici che lo riguardano (cfr. successivo punto 2.2); in caso di revoca del consenso (liberamente manifestabile in qualsiasi momento), il dossier non deve essere ulteriormente alimentato. I documenti sanitari presenti restano disponibili al professionista o alla struttura interna al titolare che li ha raccolti od elaborati (es. informazioni relative a un ricovero utilizzabili solo dal reparto/dipartimento di degenza) e per eventuali conservazioni per obbligo di legge (art. 22, comma 5, del Codice), ma non saranno più condivisi da parte degli altri professionisti degli altri reparti/dipartimenti che prenderanno in cura l´interessato;

- l´inserimento delle informazioni relative ad eventi sanitari pregressi all´istituzione del dossier deve, inoltre, fondarsi sul consenso specifico ed informato dell´interessato, potendo quest´ultimo anche scegliere che le informazioni sanitarie pregresse che lo riguardano non vi siano inserite;

- qualora nel dossier siano inserite anche informazioni relative a prestazioni sanitarie offerte a soggetti nei cui confronti l´ordinamento vigente ha posto specifiche disposizioni a tutela della loro riservatezza e dignità personale (atti di violenza sessuale o di pedofilia, persone sieropositive o che fanno uso di sostanze stupefacenti, di sostanze psicotrope e di alcool, interventi di interruzione volontaria della gravidanza, parto in anonimato, servizi offerti dai consultori familiari), il titolare del trattamento deve acquisire una specifica manifestazione di volontà dell´interessato, il quale potrebbe anche legittimamente richiedere che tali informazioni siano consultabili solo da parte di alcuni soggetti dallo stesso individuati (ad es. solo dallo specialista presso cui è in cura) (punto 5 delle citate Linee guida).

L´informativa deve, infine, distinguere -nell´ambito delle finalità perseguite- quelle di cura della salute dell´interessato da quelle amministrative correlate alla cura. Solo per il perseguimento delle prime è necessario acquisire il consenso dell´interessato (art. 76 e ss. del Codice). Il trattamento di dati sensibili per finalità di carattere amministrativo correlate alla cura deve avvenire, infatti, in conformità allo schema tipo di regolamento per i trattamenti dei dati sensibili e giudiziari di competenza delle regioni e delle province autonome, delle aziende sanitarie, degli enti e agenzie regionali/provinciali, nonché degli enti vigilati dalle regioni e dalle province autonome, adottato dalla Conferenza delle regioni e delle province autonome su cui il Garante ha espresso parere favorevole (Provv. 13 aprile 2006, consultabile sul sito www.garanteprivacy.it -doc. web n. 1272225). Successivamente, il Garante ha reso parere favorevole su una versione aggiornata del predetto schema tipo di regolamento in relazione alla necessità, evidenziata da parte di più enti, di adeguare i regolamenti regionali sul trattamento dei dati sensibili e giudiziari al mutato quadro normativo (cfr. Provv. del Garante del 26 luglio 2012 doc. web n. 1915390).

Alla data degli accertamenti ispettivi il Policlinico Umberto I, in qualità di titolare del trattamento, non ha fornito agli interessati alcuna specifica informativa e non ha acquisito uno consenso in merito al trattamento dei dati personali effettuato mediante il dossier sanitario in uso presso lo stesso. Alla data dell´accertamento ispettivo, solo alcuni dei modelli di informativa per il trattamento dei dati personali in uso presso taluni dipartimenti del Policlinico contenevano un generico riferimento alla circostanza che fossero trattati anche dati personali relativi alla "storia clinica precedente" dell´interessato.

Secondo quanto rappresentato dal Policlinico nella documentazione in atti, presso lo stesso è in itinere un progetto di raccolta del consenso informato dell´interessato al trattamento dei dati personali effettuati mediante il dossier sanitario aziendale attraverso l´uso di modelli di informativa e consenso unici per i diversi dipartimenti del Policlinico adottati dalla Direzione generale. Tali modelli, di cui è stata acquisita copia in atti, tuttavia, presentano le seguenti criticità:

1. l´interessato non è informato in merito al trattamento dei suoi dati personali relativi agli eventi clinici occorsi allo stesso in un periodo antecedente alla sua manifestazione del consenso al dossier sanitario, né viene chiesto allo stesso di manifestare una specifica volontà in merito alla possibilità che siano consultabili mediante il dossier anche i dati relativi alla sua pregressa storia clinica (c.d. gestione del pregresso);

2. l´interessato non è informato in merito alla possibilità che nel dossier sanitario siano trattate anche le informazioni di cui al citato punto 5 delle richiamate Linee guida (es., sieropositività, interruzione volontaria di gravidanza), nei confronti delle quali deve essere anche prevista una specifica manifestazione di volontà dell´interessato affinché tali informazioni siano consultabili mediante il dossier sanitario;

3. all´interessato viene richiesto di prestare il consenso con riferimento ai trattamenti di dati personali effettuati per il raggiungimento di finalità amministrative correlate alla cura, il cui presupposto di legittimità è, invece, da ricondursi al rispetto del citato schema tipo di regolamento e non anche alla manifestazione di volontà dell´interessato.

Pertanto, con riferimento al trattamento di dati personali effettuato dal Policlinico Umberto I mediante il suddetto dossier, si rileva che, al momento degli accertamenti ispettivi, lo stesso non era lecito in quanto non era stata fornita l´informativa agli interessati e non era stato acquisito il loro consenso (art. 13, 23 e 76 e ss. del Codice) e che, di conseguenza, i dati personali trattati dal Policlinico mediante il dossier sanitario aziendale non potevano essere utilizzati (art. 11, comma 2, del Codice). Secondo quanto dichiarato dal Direttore generale del Policlinico, successivamente all´accertamento ispettivo, sono attualmente utilizzati nei diversi Dipartimenti del Policlinico nuovi modelli di informativa e di consenso relativi al dossier sanitario aziendale. Tuttavia, il Garante, riscontrando in tali modelli ancora dei profili di criticità, nei termini sopra descritti, al fine di rendere conforme il trattamento dei dati effettuato dal Policlinico Umberto I, in qualità di titolare del trattamento, attraverso lo strumento del dossier, ritiene necessario:

a) vietare al Policlinico Umberto I di effettuare ulteriori trattamenti di dati personali relativi a eventi clinici pregressi ovvero occorsi all´interessato in periodi precedenti rispetto al momento in cui lo stesso ha acconsentito al trattamento dei suoi dati sanitari attraverso il dossier, in quanto sono stati effettuati senza aver fornito agli interessati un´idonea e preventiva informativa ai sensi dell´art. 13 del Codice e senza aver acquisito uno specifico consenso ai sensi degli artt. 23 e 76 e ss. del Codice (artt. 143, comma 1, lett. c) e 154, comma 1, lett. d);

b) prescrivere al Policlinico Umberto I di acquisire uno specifico e autonomo consenso informato dell´interessato per utilizzare -attraverso il dossier - anche le informazioni sanitarie relative a eventi clinici pregressi ovvero occorsi all´interessato in periodi precedenti rispetto al momento in cui lo stesso acconsente al trattamento dei suoi dati sanitari attraverso il dossier (c.d. gestione del pregresso) (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice);

c) prescrivere al Policlinico Umberto I di acquisire uno specifico e autonomo consenso informato dell´interessato qualora intenda utilizzare -attraverso il dossier - anche le informazioni relative alle prestazioni erogate dal Policlinico a seguito di atti di violenza sessuale o di pedofilia, in occasione dell´accertamento dello stato di sieropositività, dell´uso di sostanze stupefacenti, di sostanze psicotrope e di alcool, degli interventi di interruzione volontaria della gravidanza o relativi al parto in anonimato, nonché con riferimento ai servizi offerti dai consultori familiari (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice).

Atteso quanto dichiarato dalla suddetta Azienda, in merito all´attuale processo di adeguamento alle indicazioni fornite dal Garante nelle citate Linee guida, gli accorgimenti di cui alle precedenti lett. b) e c) si ritiene che debbano essere completati entro il 30 giugno 2015 (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice).

L´Autorità, in relazione agli aspetti sopra rappresentati, ritiene, inoltre, necessario riservarsi di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare al Policlinico Umberto I le violazioni delle disposizioni di cui agli artt. 13 e 23, del Codice e la conseguente applicazione delle sanzioni di cui agli artt. 161 e 162, comma 2-bis del Codice.

2.2 Oscuramento

Il Garante, nelle citate Linee guida, ha previsto un´importante garanzia a tutela della riservatezza dell´interessato che abbia scelto consapevolmente di far costituire un dossier sanitario sulla propria storia clinica, consistente nella possibilità di oscurare taluni eventi clinici ivi presenti (cfr. 3 delle citate Linee guida). Tale garanzia è stata riproposta dal legislatore anche con riferimento al FSE (citato art. 12, comma 3-bis D.L. 18 ottobre 2012, n. 179, convertito, con modificazioni, dall´art. 1, comma 1, L. 17 dicembre 2012, n. 221). Ferma restando, infatti, l´indubbia utilità di un dossier sanitario completo, il titolare del trattamento deve garantire la possibilità per l´interessato di non far confluire in esso alcune informazioni sanitarie.

Al riguardo, nelle predette Linee guida il Garante ha stabilito che:

- l´"oscuramento" dell´evento clinico (revocabile nel tempo) deve avvenire con modalità tali da garantire che, almeno in prima battuta, i soggetti abilitati all´accesso non possano venire automaticamente a conoscenza del fatto che l´interessato ha effettuato tale scelta ("oscuramento dell´oscuramento");

- il titolare del trattamento è tenuto ad informare i soggetti abilitati ad accedere a tali strumenti in ordine alla possibilità che tutti i dossier sanitari possono non essere completi, in quanto l´interessato potrebbe aver esercitato il suddetto diritto di oscuramento;

- in caso di oscuramento le informazioni oscurate restano comunque disponibili al professionista o alla struttura interna al titolare che le ha raccolte o elaborate (es. referto accessibile tramite dossier da parte del professionista che lo ha redatto). La documentazione clinica relativa all´evento oscurato deve essere comunque conservata dal titolare del trattamento secondo la normativa di settore.
Con riferimento alla possibilità di richiedere l´oscuramento di uno o più eventi clinici da parte dell´interessato, alla data degli accertamenti ispettivi, il Policlinico Umberto I, non richiedendo all´interessato uno specifico consenso per la costituzione del dossier, non ha mai comunicato allo stesso la possibilità di esercitare nei confronti dei dati ivi trattati il richiamato diritto all´oscuramento. I rappresentanti del Policlinico hanno comunque evidenziato che in passato, a seguito di specifica richiesta di alcuni pazienti, sono stati comunque oscurati i dati presenti nel dossier; ciò è stato verificato in sede di accertamento ispettivo con riferimento ai dati personali relativi ad un segnalante.

Al riguardo, il Policlinico ha comunicato che, dopo i suddetti accertamenti ispettivi, nel nuovo modello di informativa al trattamento dei dati personali effettuato tramite il dossier, è stata prevista la facoltà per l´interessato di oscurare alcuni eventi sanitari, garantendo anche il c.d. "oscuramento dell´oscuramento".

Pertanto, al fine di rendere conforme il trattamento dei dati effettuato dal Policlinico Umberto I, in qualità di titolare del trattamento, attraverso il dossier sanitario, il Garante ritiene necessario prescrivere al predetto Policlinico di completare la messa in atto di specifici accorgimenti che consentano all´interessato di poter esprimere la volontà di oscurare nel proprio dossier sanitario anche i dati personali relativi a singoli eventi clinici relativi al pregresso. Di tale facoltà deve essere fatta menzione nell´informativa resa ai sensi dell´art. 13 del Codice (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice).

Anche in relazione a tale aspetto, si ritiene che la facoltà per l´interessato di oscurare anche i dati relativi al pregresso e l´indicazione di tale facoltà nell´informativa debbano essere compiute entro il 30 giugno 2015.

Si tenga infine presente che ai sensi dell´art. 170 del Codice, chiunque, essendovi tenuto, non osserva il presente provvedimento di divieto è punito con la reclusione da tre mesi a due anni; che, ai sensi dell´art. 162, comma 2-ter del Codice, in caso di inosservanza del predetto divieto o delle prescrizioni impartite con il medesimo provvedimento, in ogni caso, è altresì applicata in sede amministrativa la sanzione del pagamento di una somma da trentamila a centottantamila euro.

TUTTO CIÒ PREMESSO IL GARANTE

a) rilevata l´illiceità del trattamento effettuato dall´Azienda Policlinico Umberto I di Roma con riferimento alla circostanza che non è stata resa l´informativa e non è stato acquisito il consenso dell´interessato in relazione al trattamento dei dati relativi al pregresso effettuato tramite il dossier sanitario aziendale (artt. 13, 23 e 76 e ss. del Codice), ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, vieta all´Azienda Policlinico Umberto I di Roma di effettuare ulteriori trattamenti di dati personali relativi a eventi clinici pregressi ovvero occorsi all´interessato in periodi precedenti rispetto al momento in cui lo stesso ha acconsentito al trattamento dei suoi dati sanitari attraverso il dossier sanitario aziendale;

b) ai sensi dell´art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive all´Azienda Policlinico Umberto I di Roma, quali misure necessarie:

1. di acquisire uno specifico consenso informato dell´interessato per utilizzare -attraverso il dossier sanitario- anche le informazioni sanitarie relative a eventi clinici pregressi ovvero occorsi all´interessato in periodi precedenti rispetto al momento in cui lo stesso acconsente al trattamento dei suoi dati sanitari attraverso il dossier sanitario (gestione del pregresso). Tale consenso informato deve essere acquisito nel più breve tempo possibile e comunque entro il 30 giugno 2015;

2. di acquisire uno specifico e autonomo consenso informato dell´interessato qualora intenda utilizzare -attraverso il dossier sanitario- anche le informazioni relative alle prestazioni erogate dall´Azienda a seguito di atti di violenza sessuale o di pedofilia, in occasione dell´accertamento dello stato di sieropositività, dell´uso di sostanze stupefacenti, di sostanze psicotrope e di alcool, degli interventi di interruzione volontaria della gravidanza o relativi al parto in anonimato, nonché con riferimento ai servizi offerti dai consultori familiari. Tale consenso informato deve essere acquisito nel più breve tempo possibile e comunque entro il 30 giugno 2015;

3. di completare la messa in atto di specifici accorgimenti che consentano all´interessato di poter esprimere la volontà di oscurare nel proprio dossier sanitario anche le informazioni relative a singoli eventi clinici relativi al pregresso. Di tale diritto deve essere fatta menzione nell´informativa resa ai sensi dell´art. 13 del Codice. Tali accorgimenti e la menzione nell´informativa devono essere messi in atto entro il 30 giugno 2015;

c) ai sensi dell´art. 157 del Codice, richiede all´Azienda Policlinico Umberto I di Roma di comunicare, entro i dieci giorni successivi ai termini prescritti nella precedente lett. b), quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento;

d) ai sensi dell´art. 157 del Codice, richiede all´Azienda Policlinico Umberto I di Roma di comunicare, entro il 28 febbraio 2015 le modalità attraverso le quali l´accesso al dossier è limitato al solo personale sanitario che ha in cura il paziente;

e) ai sensi dell´art. 154, comma 1, lett. h) del Codice invia il presente provvedimento alla Regione Lazio, affinché provveda a rendere noto quanto ivi prescritto alle altre aziende sanitarie del Servizio sanitario regionale in relazione ai trattamenti effettuati mediante i dossier sanitari aziendali;

f) ai sensi dell´art. 157 del Codice, richiede alla Regione Lazio di comunicare, entro il 28 febbraio 2015 le azioni che sono state intraprese al fine di realizzare le modifiche ai sistemi informativi utilizzati dall´ Azienda Policlinico Umberto I di Roma dichiarate all´Autorità con nota del 10 gennaio 2014 (prot. n. 15183).

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 18 dicembre 2014

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia