Dr. Pietro Cusati (Giurista – Giornalista)
Nei dati “sensibili” relativi alla salute,il regolamento UE 2016/679 ha incluso anche i dati genetici e biometrici. Titolare è la persona fisica, l’autorità pubblica, l’impresa, l’ente pubblico o privato, l’associazione, che adotta le decisioni sugli scopi e sulle modalità del trattamento .Il Garante per la protezione dei dati personali ha sanzionato per 20 mila euro un policlinico per aver violato la riservatezza dei referti on line di alcuni utenti. Mentre consultavano le proprie radiografie, collegandosi con lo smartphone attraverso le loro credenziali, i pazienti avevano potuto avere accesso all’elenco alfabetico di altri assistiti, visualizzare i loro referti radiologici e l’elenco degli esami. Venuto a conoscenza della violazione dei dati a seguito di una segnalazione, il policlinico aveva interrotto la procedura di consultazione dei referti online, corretto il bug, onde evitare futuri accessi non autorizzati ai dati dei pazienti e segnalato l’incidente al fornitore del sistema. Aveva poi, come previsto dal Regolamento Ue2016/679 e dal codice Privacy, notificato il data breach al Garante, spiegando che la causa della violazione era da attribuire ad un errore umano nell’integrazione di due sistemi informatici. La struttura ospedaliera aveva specificato di non aver ricevuto reclami o richieste di risarcimento dei danni in merito. Il Garanteper la Privacy, alla luce dell’illecita comunicazione di dati sanitari causata dall’errore informatico, ha applicato una sanzione di 20 mila euro, tenendo conto dell’elevato livello di cooperazione dimostrato dal policlinico e della tempestiva risoluzione del problema. Come è noto i dati relativi alla salute sono i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute. Nei dati personali relativi alla salute rientrano tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono qualsiasi informazione riguardante una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato. Da tener presente che il legislatore europeo ha prestato una specifica attenzione ai dati relativi alla salute e li ha inseriti tra le “categorie particolari di dati personali” del quale in linea di massima ne è vietato il trattamento. La trasparenza è un elemento fondamentale del trattamento dei dati personali e al fine di rendere consapevoli gli interessati è necessario offrire loro informazioni in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro.Il Garante per la Privacy ha ritenuto opportuno suggerire ai titolari operanti in ambito sanitario che effettuano una pluralità di trattamenti di particolare complessità , come le aziende sanitarie , di fornire all’interessato le informazioni in modo progressivo. Le strutture sanitarie potrebbero fornire alla generalità dei pazienti solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie. Laddove invece ci si trovi di fronte a trattamenti che rientrano in attività straordinarie e particolari di erogazione delle prestazioni sanitarie (es.: fornitura di presidi sanitari, modalità di consegna dei referti medici on-line, finalità di ricerca), le informazioni potrebbero essere rese in un secondo momento solo ai pazienti effettivamente interessati da tali servizi e ulteriori trattamenti. Un’azienda sanitaria appartenente al SSN deve obbligatoriamente designare un Responsabile della Protezione dei Dati, sia in relazione alla natura giuridica di “organismo pubblico”, sia in quanto le attività principali del titolare consistono nel trattamento su larga scala di dati relativi alla salute. Il Garante ritiene che anche gli ospedali privati, le case di cura o le residenze sanitarie assistenziali (RSA) possano generalmente rientrare nel concetto di larga scala e quindi obbligate alla nomina di un responsabile .Per “referto online” si intende la possibilità di accedere al referto tramite modalità digitali (Fascicolo sanitario elettronico, sito Web, posta elettronica anche certificata, supporto elettronico).La struttura sanitaria deve adottare protocolli di comunicazione sicuri (https) e sistemi di autenticazione forte dell’interessato (strong authentication). Deve inoltre rendere disponibile il referto online sul proprio sito web per un massimo di 45 gg. e garantire all’utente la possibilità di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.Il referto dovrà essere spedito in allegato a un messaggio e-mail e non come testo compreso nel corpo del messaggio. Il file contenente il referto dovrà essere protetto, ad es. con una password. L’interessato ha comunque il diritto di ottenere anche a domicilio copia cartacea del referto consegnato in modalità digitale. Il Titolare del trattamento deve fornire agli interessati un’informativa, distinta rispetto a quella relativa al trattamento dei dati personali per finalità di cura, idonea e specifica che esponga, con un linguaggio chiaro e comprensibile, le caratteristiche del servizio di refertazione online. L’interessato deve esprimere il proprio consenso esplicito, libero, specifico e informato alla refertazione online. Il mancato consenso non deve precludere in alcun modo la possibilità di accedere alla prestazione medica richiesta.. Anche se l’interessato ha scelto di aderire ai servizi di refertazione online, deve essergli concesso, in relazione ai singoli esami clinici a cui si sottoporrà di volta in volta, di manifestare una volontà contraria ovvero che i relativi referti non siano oggetto del servizio di refertazione online precedentemente scelto. L’interessato ha la possibilità di indicare un medico al quale consegnare il referto in modalità digitale.Vi sono particolari indagini cliniche i cui referti non possono essere comunicati all’interessato tramite modalità digitali,, quelle che riguardano accertamenti relativi ad indagini genetiche o all´HIV.
