Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Dossier sanitario elettronico e trattamento di dati personali da parte di un'azienda ospedaliera - 22 giugno 2016 [5410033]

[doc. web n. 5410033]

vedi anche provvedimento del 2 febbraio 2017

Dossier sanitario elettronico e trattamento di dati personali da parte di un´azienda ospedaliera - 22 giugno 2016

Registro dei provvedimenti
n. 273 del 22 giugno 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), di seguito "Codice";

VISTA la segnalazione ricevuta concernente il sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate dall´Azienda Ospedaliera Sant´Andrea di Roma;

VISTA l´attività istruttoria avviata dall´Ufficio in merito al trattamento dei dati personali effettuato attraverso i dossier sanitari aziendali;

VISTE la richieste di informazioni in atti;

VISTI gli atti dell´accertamento ispettivo effettuato dall´Ufficio presso l´Azienda Ospedaliera Sant´Andrea di Roma il 23 e il 26 gennaio 2015;

VISTA la documentazione inviata dall´Azienda Ospedaliera Sant´Andrea di Roma a seguito del suddetto accertamento ispettivo e delle richieste di informazioni in atti;

VISTA la documentazione inviata dall´Azienda Ospedaliera Sant´Andrea di Roma nell´ambito del procedimento instaurato sulla base di quanto previsto dall´art. 169, comma 2 del Codice e le successive richieste di informazioni e documenti in atti;

VISTO le "Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario" adottate dal Garante con Provvedimento del 16 luglio 2009 (G.U. n. 178 del 3 agosto 2009, consultabili sul sito www.gpdp.it, doc. web n. 1634116);

VISTO l´articolo 12 (Fascicolo sanitario elettronico e sistemi di sorveglianza nel settore sanitario), del decreto legge 18 ottobre 2012 n. 179, convertito, con modificazioni, dall´art. 1, comma 1, legge 17 dicembre 2012, n. 221;

VISTE le "Linee guida in materia di Dossier sanitario" adottate dal Garante con Provvedimento del 4 giugno 2015 (G.U. n. 164 del 17 luglio 2015, doc. web n. 4084632);

VISTI gli atti d´Ufficio;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSO

E´ pervenuta a questa Autorità una segnalazione nella quale si lamentava una presunta violazione della disciplina in materia di protezione dei dati personali relativamente alle modalità di funzionamento del sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate dall´Azienda Ospedaliera Sant´Andrea di Roma. Più precisamente -secondo quanto segnalato- gli applicativi in uso presso i diversi reparti dell´Azienda sarebbero stati configurati in modo tale da consentire a ogni medico di accedere, non solo ai dati personali dei propri pazienti, ma anche a quelli di qualsiasi altra persona in cura presso la struttura sanitaria. Oggetto di segnalazione risultava poi l´assenza di informativa e di richiesta di consenso per tale trattamento di dati personali.

1.  Esiti dell´attività istruttoria.

A seguito di tale segnalazione, l´Ufficio, nell´ambito di una più generale istruttoria relativa al trattamento dei dati personali effettuato tramite i dossier sanitari aziendali, ha richiesto informazioni alla predetta Azienda con particolare riferimento alla possibilità di ricondurre il suddetto sistema informativo al concetto di dossier indicato nel provvedimento del Garante del 16 luglio 2009 concernente "Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario" e, conseguentemente, al rispetto, nella sua implementazione, delle garanzie individuate nelle Linee guida citate.

Nella risposta alla richiesta di informazioni, l´Azienda ha affermato "che le strutture aziendali competenti stanno acquisendo, tramite la sottoscrizione di un modulo autonomo rispetto alla semplice informativa, uno specifico consenso informato dei pazienti" e di stare per predisporre "specifici accorgimenti che consentano ai soli professionisti sanitari che hanno in cura il paziente" di accedere al dossier sanitario.

Alla luce del suddetto riscontro, l´Ufficio procedeva a effettuare, il 23 e il 26 gennaio 2015, un accertamento ispettivo presso l´Azienda Ospedaliera Sant´Andrea di Roma, volto a verificare l´osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento a quanto indicato nelle richiamate Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario.

Durante gli accertamenti ispettivi è stato verificato che il sistema informativo in uso presso tutti i reparti dell´Azienda (denominato Areas), finalizzato a gestire il percorso di cura dei pazienti che si rivolgevano alla stessa, poteva essere inquadrato nella definizione di dossier sanitario di cui alle menzionate Linee guida del Garante (limitatamente al Dipartimento di medicina di urgenza era invece in uso il sistema informativo regionale "GIPSE"). Il sistema informativo Areas conteneva i dati sanitari dei pazienti a partire dal 2001.

Il sistema, utilizzato nei reparti (ad esclusione come detto del Dipartimento di medicina di urgenza) e nella maggior parte delle strutture ambulatoriali, era implementato anche con i dati e i documenti provenienti dalla radiologia, dalla diagnostica di laboratorio, nonché dagli esami di laboratorio e strumentali effettuati in emergenza.

Il sistema Areas permetteva di definire, mediante configurazione, diversi profili di accesso a seconda delle funzionalità da abilitare; nel caso del personale sanitario la configurazione dei profili degli utenti era effettuata sulla base dei seguenti parametri: ufficio – ruolo (ad esempio primario, medico, anestesista etc.) – utenza. In linea generale, il personale sanitario aveva a disposizione la funzione "ricerca pazienti" che gli consentiva di accedere ai dossier sanitari dei soli pazienti in ricovero ordinario o in day hospital del proprio reparto. I medici di guardia e gli anestesisti avevano, invece, la possibilità di effettuare ricerche su pazienti degenti nei reparti nei quali gli stessi potevano intervenire. Il sistema consentiva, infatti, l´attribuzione, a uno stesso utente, di più ruoli (ad es. un medico di reparto che svolge anche servizio di guardia medica).

Il sistema era stato configurato in modo tale da selezionare le informazioni accessibili in funzione delle finalità perseguite; con specifico riferimento ai pazienti in lista di attesa, ad esempio, era possibile accedere ai soli dati anagrafici dei pazienti in lista e non anche ai relativi dossier sanitari. Analogamente, al personale appartenente all´Ufficio relazioni con il pubblico non era consentito accedere al dossier sanitario dei pazienti ricoverati, ma alle sole informazioni indispensabili a fornire notizie sui ricoveri a terzi, nel rispetto della manifestazione di volontà espressa al riguardo dal paziente.

Durante gli accertamenti ispettivi è, tuttavia, emerso che al personale della Direzione sanitaria erano stati attribuiti profili di acceso più ampi, che consentivano loro di consultare (mera visualizzazione), per lo svolgimento di finalità amministrative proprie di tali uffici, anche i dossier sanitari dei pazienti dimessi (ad esempio per assolvere al debito informativo nei confronti della Regione o per rispondere alle richieste dell´Autorità giudiziaria), senza alcuna limitazione temporale e restrizione in ordine alla profondità dell´accesso.

Nell´ambito dell´accertamento ispettivo è stato anche rilevato che, per ogni accesso, erano registrati il nome utente, il login, il logout, tutte le operazioni di inserimento e modifica dei dati e le operazioni di modifica di attribuzioni dei ruoli. Non erano, invece, registrate le operazioni di visualizzazione e stampa e non erano stati attivati alert per il rilevamento di eventuali anomalie negli accessi.

Il numero dei dossier sanitari presenti in Azienda, all´atto degli accertamenti ispettivi, era pari a 380.000, di cui 150.000 contenenti le informazioni relative ad un solo evento clinico (da quanto emerge nella documentazione acquista successivamente, l´Azienda dispone ora di oltre 473.000 dossier di cui 184.500 con informazioni relative ad un solo evento clinico).

In sede di accertamento ispettivo è stato rilevato che gli utenti dell´Azienda Ospedaliera Sant´Andrea, abilitati ad accedere al sistema Areas -mediante specifiche credenziali di autenticazione-, erano circa 1800 con diversi profili di accesso in relazione ai ruoli e alle funzioni attribuite.

Con riferimento al trattamento di dati personali effettuato tramite il dossier sanitario, in sede ispettiva, i rappresentanti dell´Azienda hanno evidenziato che ai pazienti veniva fornita una specifica informativa e acquisito uno specifico consenso solo a partire dal mese di ottobre 2014. Prima di tale data, l´Azienda forniva al paziente un´unica informativa e acquisiva un unico consenso con riferimento al trattamento dei dati personali, che non comprendeva alcuna specificazione con riferimento al trattamento effettuato attraverso il dossier sanitario.

Nell´ambito delle suddette verifiche ispettive è stato, inoltre, accertato che l´Azienda Ospedaliera Sant´Andrea di Roma non aveva provveduto a designare il proprio personale incaricato del trattamento (art. 30 del Codice e allegato B) al Codice).

2. L´attività di adeguamento posta in essere dall´Azienda dopo l´attività ispettiva

Successivamente alle verifiche ispettive l´Azienda ha posto in essere una serie di attività al fine di adeguare i trattamenti di dati personali alle prescrizioni del Codice.

In particolare, tali azioni hanno riguardato l´individuazione dei trattamenti autorizzati per singola struttura, la designazione di tutto il personale dell´Azienda a responsabile e incaricato del trattamento e l´aggiornamento dei modelli di informativa e consenso al trattamento dei dati personali effettuati.

Per avere un quadro complessivo e attuale, l´Ufficio ha richiesto ulteriori elementi di valutazione (da ultimo, nota del 29.4.2016, prot. n. 7357) in ordine alle modalità di accesso ai dati trattati mediante il dossier sanitario e alla tracciabilità di tali accessi.

OSSERVA

1. Premessa.

La tematica del trattamento di dati personali effettuato tramite il dossier sanitario utilizzato presso le strutture sanitarie, già affrontata dall´Autorità nel 2009, è stata oggetto di uno specifico intervento attraverso l´adozione delle "Linee guida in materia di dossier sanitario" (Provvedimento citato del 4 giugno 2015- di seguito Linee guida del 2015). Tali linee guida conseguono all´esperienza acquisita in occasione delle numerose attività ispettive in materia e dell´adozione dei relativi provvedimenti prescrittivi, nonché alla consapevolezza dell´incremento dell´uso di tali strumenti da parte delle strutture sanitarie.

Le valutazioni dell´Autorità di cui al presente provvedimento attengono sia a profili rilevati all´avvio dell´istruttoria che a profili successivi in relazione a quanto spontaneamente posto in essere dopo l´attività ispettiva e documentato in atti.

2. Profili di criticità.

In base a quanto emerso nel corso del richiamato accertamento ispettivo e dall´esame della documentazione in atti, alcune delle specifiche garanzie previste dal Codice (richiamate nelle Linee guida dell´Autorità) non sono state rispettate nel trattamento dei dati personali effettuato attraverso il dossier sanitario attualmente in uso presso l´Azienda Ospedaliera Sant´Andrea di Roma.

L´Autorità prende atto che dopo il predetto accertamento ispettivo l´Azienda ha posto in essere azioni migliorative dello stato degli adempimenti in materia di protezione dei dati personali, in particolare, in ordine alle designazioni a responsabile e incaricato del trattamento del personale, alla profilazione degli accessi, alla valutazione della profondità degli accessi consentiti agli operatori abilitati e alla scelta di specifiche misure di sicurezza.

Tali azioni, tuttavia, superano solo alcune delle criticità riscontrate in sede ispettiva e di esame documentale degli atti inviati all´Autorità successivamente agli accertamenti in loco. Il trattamento dei dati personali effettuato mediante il dossier sanitario aziendale presenta ancora profili di criticità -nei termini specificati in dettaglio in seguito- con riferimento: all´informativa al trattamento dei dati personali effettuato tramite il dossier sanitario aziendale; all´informativa al trattamento dei dati personali effettuato per finalità di cura; ai relativi modelli di acquisizione del consenso; all´accessibilità al dossier sanitario in caso di emergenza.

Specifiche ulteriori osservazioni si rendono, infine, necessarie – come di seguito specificato- con riferimento all´accesso al dossier sanitario da parte della Direzione sanitaria aziendale per finalità amministrative correlate alla cura, alla tracciabilità degli accessi, ai sistemi di verifica dei profili di abilitazione degli utenti e alle misure di sicurezza.

2.1 Informativa e consenso al trattamento dei dati personali.

Come specificato da questa Autorità nelle citate Linee guida del 2009 (e confermato nelle nuove Linee guida del 2015), il trattamento dei dati personali effettuato mediante il dossier, perseguendo le menzionate finalità di prevenzione, diagnosi, cura e riabilitazione, deve uniformarsi al principio di autodeterminazione (artt. 75 e ss. del Codice).

Nelle Linee guida del 2015, l´Autorità ha ribadito che il trattamento dei dati personali tramite il dossier costituisce un trattamento aggiuntivo rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico. In assenza del dossier sanitario, infatti, il professionista avrebbe accesso alle sole informazioni fornite in quel momento dal paziente e a quelle elaborate in relazione all´evento clinico per il quale ha richiesto una prestazione sanitaria; attraverso l´uso del dossier sanitario, invece, il professionista pone in essere un ulteriore trattamento di dati sanitari mediante la consultazione delle informazioni elaborate da professionisti diversi, in occasione di altri eventi clinici occorsi in passato all´interessato riferiti anche a patologie differenti rispetto all´evento clinico in relazione al quale l´interessato riceve la prestazione sanitaria (cfr. punto 2 delle citate Linee guida del 2015). In quanto tale, il trattamento dei dati personali effettuato mediante il dossier sanitario necessita, quindi, di una specifica informativa che contenga tutti gli elementi previsti dall´art. 13 del Codice.

Secondo quanto dichiarato in sede di accertamento ispettivo, l´Azienda Ospedaliera Sant´Andrea di Roma -in qualità di titolare del trattamento- ha iniziato a raccogliere il consenso informato degli interessati in merito al trattamento dei dati personali, effettuato mediante il dossier sanitario, solo dal mese di ottobre 2014, sebbene tale strumento fosse in uso presso la stessa già dal 2001. Secondo quanto dichiarato in atti, l´Azienda ha trattato, quindi, i dati personali degli interessati, mediante il dossier sanitario, dal 2001 all´ottobre 2014, senza aver acquisito il consenso informato degli stessi.

Dall´esame del modello di informativa acquisito in sede ispettiva e da quello inviato dall´Azienda in data 4 maggio 2016- e attualmente in uso- emergono, inoltre, alcune criticità riconducibili alla circostanza che all´interessato non sono stati forniti alcuni elementi previsti dall´art. 13 del Codice. Specifiche criticità sono state rinvenute anche nel modello di informativa per il trattamento dei dati personali per fini di cura in uso presso l´Azienda, come di seguito specificato.

a) nel modello di informativa relativo al trattamento dei dati personali effettuato tramite il dossier sanitario aziendale, nell´ultima versione inviata dall´Azienda Ospedaliera S. Andrea -e attualmente in uso-, è riportato che tale strumento "può essere consultato anche senza aver raccolto il consenso dell´utente nel rispetto di quanto previsto dall´art. 82 del Codice "emergenze e tutela della salute e dell´incolumità fisica". La disposizione richiamata prevede che l´informativa e il consenso al trattamento dei dati personali possano intervenire senza ritardo, successivamente alla prestazione, nel caso di emergenza sanitaria o di igiene pubblica, impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell´interessato (quando non sia possibile acquisire il consenso da chi esercita legalmente la potestà, da un prossimo congiunto, un familiare, un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l´interessato), rischio grave, imminente ed irreparabile per la salute o l´incolumità fisica dell´interessato e nel caso in cui la prestazione medica possa essere pregiudicata dall´acquisizione preventiva del consenso, in termini di tempestività o efficacia.

Tale fattispecie si riferisce al trattamento dei dati personali effettuato in occasione della prestazione resa in una condizione di emergenza per la salute pubblica o dell´interessato. In tali casi, infatti, non è necessario acquisire nell´immediato il consenso per trattare i dati personali che vengono acquisiti all´atto della prestazione in emergenza, potendolo acquisire anche successivamente. La suddetta fattispecie non opera, tuttavia, con riferimento al trattamento effettuato mediante il dossier sanitario, in quanto se esiste un dossier sanitario presso la struttura lo stesso sarà consultabile in tutti i reparti (anche in assenza di una condizione di emergenza). Il dossier, infatti, una volta costituito sulla base del consenso informato dell´interessato, può essere utilizzato dal personale sanitario senza chiedere di volta in volta uno specifica manifestazione di volontà. Diversamente, se l´interessato in passato non ha rilasciato il proprio consenso alla costituzione del dossier sanitario, tale strumento non sarà consultabile dall´Azienda, mancando la precondizione necessaria alla sua costituzione.

Nel predetto modello di informativa, inoltre, non sono state indicate compiutamente le finalità perseguite; l´Azienda ha dichiarato, infatti, di perseguire esclusivamente finalità di cura dell´interessato e non anche finalità amministrative correlate alla cura, la cui realizzazione è stata invece rilevata in sede ispettiva con riferimento all´accesso attribuito al personale della Direzione sanitaria di cui si è fatto cenni in premessa.

Il predetto modello di informativa, inoltre, non riporta l´indicazione dei responsabili del trattamento o delle modalità attraverso le quali è possibile conoscere, in modo agevole, l´elenco delle suddette designazioni effettuate dal titolare (art. 13, comma 1, lett. f) del Codice).

Nel suddetto modello di informativa non vengono poi fornite indicazioni in merito al diritto dell´interessato alla visione degli accessi al dossier sanitario. Ciò, nonostante il punto 3 del citato Provvedimento del 4 giugno 2015 abbia espressamente previsto, quale misura prescrittiva rivolta al titolare del trattamento e a garanzia dell´interessato, il diritto alla visione degli accessi che sono stati effettuati al dossier sanitario, e il punto 5 delle allegate Linee guida abbia inoltre previsto che nell´informativa devono essere illustrate le modalità attraverso le quali l´interessato possa esercitare tale diritto. Tale previsione non risulta rispettata nel modello di informativa in uso presso l´Azienda.

b) nel modello di informativa per il trattamento dei dati personali per fini di cura, nell´ultima versione inviata dall´Azienda Ospedaliera S. Andrea -e attualmente in uso-, emergono criticità riconducibili alla circostanza che all´interessato non sono stati forniti alcuni elementi previsti dall´art. 13 del Codice.

In particolare, nel predetto modello non sono state chiaramente indicate le finalità perseguite che devono essere ricondotte a quelle di prevenzione, diagnosi, cura e riabilitazione e a quelle amministrative alle stesse correlate (art. 85, comma 1, lett. a), del Codice). Al riguardo, il Garante ha più volte evidenziato che per il perseguimento di tali finalità è sempre necessario fornire all´interessato un´informativa completa, mentre il consenso deve essere acquisito solo per il perseguimento delle finalità di prevenzione, diagnosi, cura e riabilitazione. Per il perseguimento delle finalità amministrative correlate alle finalità di cura (e quindi anche per le comunicazioni di dati effettuate in tal senso) non deve essere acquisito il consenso dell´interessato, bensì è necessario rispettare i limiti e le garanzie individuate nei regolamenti regionali adottati in conformità allo schema-tipo di regolamento per i trattamenti dei dati sensibili e giudiziari di competenza delle regioni e delle province autonome, delle aziende sanitarie, su cui il Garante ha espresso parere favorevole (Provv. del 13/4/2006-doc web n. 1272225 e Provv. del 26/7/2012- doc web n. 1915390). Tale diversa disciplina deve essere tenuta in considerazione anche ai fini dell´individuazione dell´obbligatorietà o della facoltatività del trattamento e dell´indicazione delle relative conseguenze in ordine al mancato conferimento dei dati personali.

Ulteriore criticità si ravvisa con riferimento agli elementi dell´informativa riguardanti i trattamenti di dati personali effettuati per finalità di ricerca. Al riguardo, è necessario che siano ben distinti i trattamenti effettuati a fini di ricerca medica, biomedica ed epidemiologica relativi anche alla sperimentazione clinica (art. 110 del Codice) da quelli effettuati per fini di cura (art. 78, comma 5 del Codice). Ciò, con particolare riferimento alle indicazioni relative alla facoltatività del conferimento dei dati personali a fini di ricerca e a quelle relative alle conseguenze in ordine al mancato conferimento dei dati personali.

Sempre con riferimento alle attività di ricerca scientifica e statistica, si evidenzia la necessità di valutare, nel modello di informativa e di consenso, la coerenza delle indicazioni relative alle garanzie riguardanti "il rispetto assoluto dell´anonimato". In proposito, si rammenta che il dato personale può ritenersi anonimo soltanto quando "in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile" (art. 4, comma 1, lett. n) del Codice) e che il trattamento dei dati identificativi degli interessati è consentito, nell´ambito delle suddette attività, qualora l´abbinamento al materiale di ricerca dei dati identificativi dell´interessato sia temporaneo ed essenziale per il risultato della ricerca e sia motivato per iscritto nel progetto di ricerca. Sotto altro profilo si precisa poi che i risultati della ricerca non possono essere diffusi se non in forma anonima.

Nel predetto modello di informativa, inoltre, non è riportata l´indicazione dei responsabili del trattamento o delle modalità attraverso le quali è possibile conoscere, in modo agevole, l´elenco delle suddette designazioni effettuate dal titolare (art. 13, comma 1, lett. f) del Codice).

Con riferimento al predetto testo dell´informativa, infine, è opportuno precisare che la messa a disposizione dei dati personali a soggetti designati incaricati e responsabili del trattamento (artt. 28 e ss. del Codice) non configura una comunicazione di dati personali (art. 4, comma1, lett. l) del Codice).

Alla luce di quanto sopra i modelli di informativa e consenso esaminati nell´ambito dell´istruttoria presentano diversi profili di criticità in relazione ai quali, nel dispositivo, sono riportate specifiche prescrizioni per rendere il trattamento dei dati effettuato dall´Azienda Ospedaliera Sant´Andrea di Roma conforme alla legge. Tali accorgimenti devono essere completati entro il 31 ottobre 2016 (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice).

In relazione agli aspetti sopra rappresentati, saranno verificati i requisiti per avviare un autonomo procedimento per le violazioni delle disposizioni di cui agli artt. 13 e 23 del Codice e la conseguente applicazione della sanzione di cui agli artt. 161 e 162, comma 2-bis del Codice.

2.2 Accesso al dossier sanitario da parte del personale che svolge funzioni amministrative correlate alla cura.

Nelle Linee guida del 2015 il Garante ha meglio evidenziato rispetto alle Linee guida del 2009 che qualora il titolare del trattamento intenda utilizzare lo strumento del dossier sanitario, anche per svolgere delle funzioni amministrative strettamente connesse con il percorso di cura del paziente (ad es., prenotazione di esami clinici; richiesta di copia delle cartelle cliniche; indicazione a terzi legittimati della presenza in reparto di un degente; gestione dei posti letto), deve prevedere delle limitazioni alla "profondità di accesso" al dossier da parte del personale preposto a tali funzioni, consentendo allo stesso di accedere ai soli dati indispensabili per svolgere i compiti ad esso demandati (cfr. punto 6 delle Linee guida del 2015 e punto 4 delle Linee guida del 2009).

Dalla documentazione in atti, è emerso che l´Azienda Ospedaliera S. Andrea di Roma utilizza il dossier sanitario aziendale per l´acquisizione dei dati necessari per assolvere al debito informativo verso la Regione Lazio e il Ministero della Salute (flusso schede di dimissione ospedaliera -SDO) e per rispondere alle richieste dell´Autorità giudiziaria (Ruolo direzione sanitaria) senza alcuna limitazione temporale e restrizione in ordine alla profondità di accesso.

Con riferimento alla gestione dei flussi amministrativi previsti dalla legge, si rileva che i soggetti preposti all´assolvimento di tali compiti devono avere accesso ai soli dati personali indispensabili ad assolvere a tali obblighi normativi. Inoltre, si rappresenta che l´utilizzo di tali strumenti per tali scopi può portare al paradosso secondo cui, laddove l´interessato non abbia manifestato il proprio consenso al dossier sanitario o abbia esercitato l´oscuramento di alcuni dati o documenti, la struttura sanitaria non è in condizione di assolvere al debito informativo previsto dalla legge (a titolo esemplificativo si richiama quanto previsto dal decreto del Ministro della sanità 27 ottobre 2000, n. 380, e successive modificazioni, concernente l´aggiornamento della disciplina del flusso informativo sui dimessi dagli istituti di ricovero pubblici e privati).

Per quanto riguarda invece le richieste dell´Autorità giudiziaria, si evidenzia che tali eventuali istanze non possono costituire un´idonea fonte legittimante la raccolta di dati personali dell´interessato. A fronte di una richiesta dell´Autorità giudiziaria, infatti, il titolare è tenuto a fornire le informazioni di cui è legittimamente in possesso, non risultando invece previsto che a tal fine il titolare debba istituire apposite banche dati.

Al fine di rendere conforme il trattamento dei dati effettuato dall´Azienda Ospedaliera S. Andrea di Roma, in qualità di titolare del trattamento, attraverso il dossier, il Garante rappresenta la necessità di valutare l´opportunità di utilizzare tale strumento per il perseguimento delle finalità amministrative sopra evidenziate e prescrive alla predetta Azienda di mettere in atto di specifici accorgimenti che consentano al personale amministrativo di accedere alle sole informazioni indispensabili per assolvere alle funzioni amministrative cui sono preposti. L´accesso deve essere limitato al tempo strettamente necessario per perseguire l´attività cui è preposto il soggetto che effettua l´accesso.

Tali accorgimenti devono essere completati entro il 31 dicembre 2016 (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice).

2.3 Sistemi di autenticazione e di autorizzazione e di audit log.

Nelle Linee guida del 2015 il Garante ha ribadito la necessità che il titolare del trattamento metta in opera sistemi per il controllo degli accessi anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, attraverso l´utilizzo di indicatori (c.d. alert) utili per orientare successivi interventi di audit (Cfr. punto 7, lett. c) delle Linee guida del 2015).

Devono essere prefigurati, in particolare, specifici alert che individuino comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati del trattamento (relativi, ad es., al numero degli accessi eseguiti, alla tipologia o all´ambito temporale degli stessi).

In tal senso, la gestione dei dati personali effettuata attraverso il dossier sanitario deve essere oggetto di una periodica attività di controllo interno da parte del titolare del trattamento, che consenta di verificare in concreto l´adeguatezza delle misure di sicurezza, sia di tipo organizzativo, sia di tipo tecnico, riguardanti i trattamenti dei dati personali, e la loro rispondenza alle disposizioni vigenti.

Con riferimento a quanto affermato dall´Azienda Ospedaliera Sant´Andrea nella documentazione in atti, si rappresenta la necessità che sia effettuata una verifica periodica circa la sussistenza dei presupposti che hanno originato l´abilitazione degli incaricati e che questa sia posta in essere -in ogni caso- a fronte di cambiamenti organizzativi e/o di eventi anomali. Ove dalle predette verifiche emergessero delle criticità è necessario prevedere un´immediata analisi, seguita da provvedimenti volti alla revisione/disabilitazione delle credenziali di accesso o del profilo di autorizzazione.

Si ritiene necessario, inoltre, che nei manuali adottati dal titolare su tali procedure siano richiamati i sistemi di audit log adottati dall´Azienda sulla base delle Linee Guida del 2015.

Tali accorgimenti devono essere completati entro il 31 dicembre 2016 (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice).

2.4 Tracciabilità degli accessi e delle operazioni effettuate.

Pur in assenza di disposizioni normative recanti obblighi in materia di tracciabilità delle operazioni con riguardo sia all´an sia al quantum, le strutture sanitarie, nell´ambito della discrezionalità riconosciuta nell´organizzare la funzione di compliance, devono realizzare sistemi di controllo delle operazioni effettuate sul dossier sanitario, mediante procedure che prevedano la registrazione automatica in appositi file di log degli accessi e delle operazioni compiute.

Nelle citate Linee guida del 2015 il Garante ha previsto che i file di log debbano registrare per ogni operazione di accesso al dossier effettuata da un incaricato, almeno le seguenti informazioni: il codice identificativo del soggetto incaricato che ha posto in essere l´operazione di accesso; la data e l´ora di esecuzione; il codice della postazione di lavoro utilizzata; l´identificativo del paziente il cui dossier è interessato dall´operazione di accesso da parte dell´incaricato e la tipologia dell´operazione compiuta sui dati.

In ragione della particolare delicatezza del trattamento dei dati personali effettuato mediante il dossier è necessario che siano tracciate anche le operazioni di semplice consultazione (inquiry).

Al riguardo, si rappresenta che dalla documentazione in atti risulta che attualmente non sono registrate le operazioni di consultazione dei dati trattati mediante il dossier. Secondo quanto dichiarato, tali operazioni verranno registrate a seguito della migrazione alla versione più aggiornata del Software di gestione della base dati (Oracle), che coinvolge tutte le strutture del servizio sanitario della Regione Lazio; tale versione, infatti, disporrà di funzionalità utili alla suddetta registrazione.

Al riguardo, con specifico riferimento alla versione attualmente utilizzata del Software di gestione della base dati (Oracle) si richiama quanto prescritto nella regola n. 17 dell´Allegato B al Codice, secondo cui "gli aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l´aggiornamento è almeno semestrale".

Si ritiene, infine, necessario che nei manuali adottati dal titolare su tali procedure siano meglio indicate le informazioni registrate nei file di log quali l´identificativo della postazione di lavoro utilizzata e quello del paziente il cui dossier è interessato dall´operazione di accesso.

Tali accorgimenti devono essere completati entro il 31 dicembre 2016 (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice).

Si ricorda che, ai sensi dell´articolo 162, comma 2-ter del Codice, in caso di inosservanza del provvedimento, è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila a centottantamila euro.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell´art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive all´Azienda Ospedaliera Sant´Andrea di Roma, quali misure necessarie, di:

1. modificare i modelli di informativa e consenso previsti dall´art.13 del Codice in uso per i trattamenti di dati personali effettati mediante il dossier sanitario e per i trattamenti dei dati personali effettuati per fini di cura con quanto indicato nel paragrafo 2.1 del presente provvedimento ed, in particolare:

- il modello di informativa e di consenso al trattamento dei dati personali mediante il dossier sanitario attraverso:

a) la rimozione del riferimento alla consultazione del dossier in assenza del consenso dell´interessato;

b) l´inserimento di tutte le finalità perseguite attraverso il trattamento dei dati personali effettuato mediante il dossier sanitario, avendo cura di precisare che l´Azienda persegue anche finalità amministrative correlate alla cura mediante il trattamento delle sole informazioni a ciò indispensabili;

c) l´inserimento degli estremi identificativi dei responsabili del trattamento anche indicando il sito Internet o le ulteriori modalità attraverso le quali sia conoscibile, in modo agevole, l´elenco aggiornato dei responsabili;

d) l´inserimento del diritto alla visione degli accessi al dossier individuato dal Garante con il Provvedimento del 4 giugno 2015 (Linee guida in materia di dossier sanitario);

- il modello di informativa e di consenso al trattamento dei dati personali per fini di cura attraverso:

a) la riformulazione delle finalità del trattamento con riferimento a quelle di prevenzione, diagnosi, cura e riabilitazione, a quelle amministrative correlate e a quelle relative alla ricerca scientifica;

b) la riformulazione della natura obbligatoria e facoltativa del conferimento dei dati personali in relazione alle diverse finalità perseguite;

c) la riformulazione delle conseguenze del mancato conferimento dei dati personali in relazione alle diverse finalità perseguite;

d) la riformulazione del consenso al trattamento dei dati personali "per scopi di ricerca clinica, epidemiologica, formazione e studio di patologie" con specifico riferimento alle garanzie dell´anonimato;

e) la rimozione, nell´ambito di comunicazione dei dati personali della messa a disposizione degli stessi ai soggetti designati incaricati e responsabili del trattamento;

f) l´inserimento degli estremi identificativi dei responsabili del trattamento anche indicando il sito Internet o le ulteriori modalità attraverso le quali sia conoscibile, in modo agevole, l´elenco aggiornato dei responsabili;

2. mettere in atto, secondo quanto indicato nel paragrafo 2.2, specifici accorgimenti che consentano al personale amministrativo di accedere alle sole informazioni indispensabili per assolvere alle funzioni amministrative cui sono preposti. L´accesso deve essere, inoltre, limitato al tempo strettamente necessario per perseguire l´attività cui è preposto il soggetto abilitato;

3. effettuare, secondo quanto indicato nel paragrafo 2.3, verifiche periodiche circa la sussistenza dei presupposti che hanno originato l´abilitazione degli incaricati e che queste siano posta in essere -in ogni caso- a fronte di cambiamenti organizzativi e/o di eventi anomali, nonché di specificare meglio i sistemi di audit log adottati dall´Azienda sulla base delle Linee Guida del 2015 nei manuali adottati dal titolare su tali procedure;

4. eseguire, secondo quanto indicato nel paragrafo 2.4, la registrazione delle operazioni di consultazione dei dati trattati mediante il dossier.

Il Garante fissa nel 31 ottobre 2016 il termine per l´osservanza delle prescrizioni di cui al punto 1 del dispositivo e nel 31 dicembre 2016 il termine per l´osservanza di quanto prescritto ai punti 2, 3 e 4.

Ai sensi dell´art. 157 del Codice, richiede all´Azienda Ospedaliera Sant´Andrea di Roma, di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto previsto nelle precedenti numeri 1, 2, 3 e 4 del presente provvedimento e di fornire comunque riscontro entro trenta giorni dalla ricezione dello stesso. Si ricorda che il mancato riscontro alla richiesta ex art. 157 è punito con la sanzione amministrativa di cui all´art. 164 del Codice.

Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all´Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 22 giugno 2016

IL PRESIDENTE
SORO

IL RELATORE
CALIFANO

IL SEGRETARIO GENERALE
BUSIA