Privacy e sanità: le regole del dossier sanitario elettronico
La corsa alla digitalizzazione è da tempo scattata – almeno formalmente – anche in ambito sanitario. Tuttavia nonostante gli sforzi per dotare il sistema di processi rapidi ed efficienti, finalizzati a colmare il gap tecnologico del sistema informativo, particolarmente sofferto in un segmento come quello sanitario che spesso non attribuisce adeguata considerazione all’elemento ICT, si assiste ancora a pericolose defaillance, soprattutto sul fronte privacy.
E’ notizia di pochi giorni fa la richiesta, mossa dal Garante per la protezione dei dati personali ad un’azienda ospedaliera bolognese, di adottare una serie di misure per far fronte alle gravi violazioni delle norme sulla privacy riscontrate a seguito di controlli condotti dall’Autorità. Le segnalazioni di alcuni pazienti avevano infatti evidenziato l’esistenza di un gran numero di dossier sanitari – relativi ai dati dei pazienti in cura presso la struttura e conservati in formato digitale- realizzati senza un consenso informato del paziente, come previsto dalla legge.
Ad aggravare il quadro si aggiungeva poi il fatto che le raccolte erano consultabili senza alcuna differenziazione dei livelli di autorizzazione da un migliaio di operatori attraverso il sistema informatico di refertazione ed archiviazione. L’inserimento di brevi porzioni di nome e cognome, il Cap di residenza o la semplice data di nascita erano dati sufficienti per effettuare l’accesso.
Ricordiamo che le Linee Guida del Garante prevedono norme assolutamente inequivocabili in materia, stabilendo l’obbligo di consentire al paziente una libera scelta in merito alla possibilità di far predisporre o meno un dossier sanitario con i dati sanitari – tutti o in parte – che lo riguardano. La legge sancisce inoltre che il paziente possa manifestare un consenso autonomo e specifico, diverso da quello prestato per la cura, e che abbia la facoltà di non rendere visibili alcuni eventi clinici. Ulteriore obbligo a carico della struttura è l’adeguata informazione del paziente – attraverso un linguaggio comprensibile e dettagliato – circa l’identità di coloro che hanno accesso ai suoi dati e la tipologia di operazioni che può compiere.
Dati disponibili solo al medico e al reparto di riferimento: queste, in sintesi, le disposizioni del Garante, valide fino a quando il paziente non esprima il consenso alla predisposizione del dossier sanitario. Sono previsti consensi specifici e mirati per autorizzare l’integrazione nella raccolta sopracitata di informazioni relative a eventi clinici pregressi, a prestazioni erogate a seguito di particolari condizioni (quali atti di violenza o di pedofilia, sieropositività, uso di sostanze stupefacenti o interruzione di gravidanza). Al paziente dovrà essere infine assicurata dalla struttura la possibilità di non rendere visibili eventi clinici.