privacy e sicurezza

Giancarmine Russo

Segretario generale SIT Società Italiana Telemedicina e sanità

elettronica

UÀ

Chiara Rabbito

Coordinatrice nazione Gruppo di ricerca SIT "Sicurezza e Privacy"

Il Dossier sanitario: dalle Linee guida

del Garante al nuovo Regolamento UE sulla privacy

Il dossier sanitario è stato recentemente oggetto di apposite Linee guida

stabilite dall'Autorità Garante. Analizziamo

assieme ai nostri autori, Chiara Rabbito

e Giancarmine Russo, quali sono

i punti salienti della regolamentazione

e le motivazioni che hanno spinto anche il legislatore comunitario

a redìgere II nuovo regolamento europeo

in materia di privacy del dato sanitario

Nell'imminenza della emanazione del primo decreto attuati-vo sul Fascicolo Sanitario Elettronico, vale la pena ricorda­re e approfondire la conoscenza dell'altro importante stru­mento informatico-telematico di raccolta e richiamo delle informazioni sulla salute, il dossier sanitario, recentemente

fatto oggetto di apposite Linee guida da parte della nostra Autorità Garante per la privacy. Come si ricorderà, fin dalle Linee guida sul Fascicolo Sanitario, del lu­glio 2009, il Garante ha previsto e definito il dossier sanitario, indican­dolo come lo strumento che consente la consultazione dell'insieme dei dati sanitari del paziente, realizzato presso un organismo sanitario, in qualità di unico titolare del trattamento (es. ospedale o clinica priva­ta) al cui interno operino più professionisti. Le Linee guida ministeriali sul Fascicolo Sanitario Elettronico, datate 2010, in più punti richiamano le Linee guida del Garante dell'anno precedente, implicitamente includendo, accanto al FSE, il dossier sa­nitario. Nel giugno di quest'anno il Garante privacy, pur avendo già pubblicato le "Linee guida in tema di Fascicolo Sanitario Elettronico (FSE) e di dos­sier sanitario", è tornato sul tema, con apposite "Linee guida in materia di dossier sanitario", a sottolineare l'importanza di questo strumento, che, a detta dello stesso Garante, è stato oggetto, nel corso degli anni, di segnalazioni e richieste di informazioni da parte dei cittadini e di ac­certamenti da parte dell'Autorità, ed ha conseguentemente comporta-

e-Health - n. 44 marzo 2016

LEGISLAZ. & POLITICA SANITARIA

privacy e sicurezza

to l'emanazione di un certo numero di provvedimenti1. Ma partiamo da cosa debba intendersi con dossier sanitario. Il Garante riprende, ampliandola, la definizione del 2009: il dossier sanitario è lo strumento costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es. ospedale, azienda sani­taria, casa di cura) al cui interno operino più professionisti, attraverso il quale sono rese accessibili informazioni, inerenti allo stato di salute di un individuo, relative ad eventi clinici presenti e trascorsi (es. referti di laboratorio, documentazione relativa a ricoveri, accessi al pronto soccorso), volte a documentarne la storia clinica. Il dossier sanitario, dunque, raccoglie le informazioni relative agli even­ti clinici occorsi all'interessato esclusivamente presso un'unica struttu­ra sanitaria. Esso si differenzia pertanto dal FSE per la circostanza che i documenti e le informazioni sanitarie accessibili tramite tale strumento sono state generate e fanno capo a un solo titolare del trattamento e non a più strutture sanitarie in qualità di autonomi titolari, come avvie­ne nel caso del FSE.

Con le Linee guida il Garante intende fornire un quadro di riferimento unitario sulla cui base i titolari possano orientare le proprie scelte e conformare i trattamenti ai principi di legittimità stabiliti dal Codice. Data la delicatezza dei dati trattati, un aspetto di grande rilievo riguar­da la sicurezza tecnica del trattamento e la tutela nei confronti dei rischi di accesso non autorizzato o di trattamento non consentito. Il Garante denuncia nelle Linee guida quanto emerso nel corso delle sue attività istruttorie: accessi non leciti e trattamenti non consentiti da parte di personale amministrativo o sanitario che non era stato mai coinvolto nel processo di cura dell'interessato, insicurezza di sistemi e pericoli di violazioni o incidenti informatici. I descritti rischi, a giudizio dell'Autorità, sono principalmente deriva­ti dal fatto che la maggior parte dei dossier sono stati sviluppati in modo non strutturale e organizzato, bensì partendo da alcune iniziati­ve estemporanee di informatizzazione delle cartelle cliniche di reparto o di ambulatorio e, quindi, senza tener conto del fatto che si andava predisponendo un sistema informativo in grado di gestire potenzial­mente l'intera storia clinica di un individuo. Ne è derivata una grave approssimazione sotto il profilo sostanziale e formale: mancanza di certezza sull'autenticità delle informazioni pre­senti, possibilità che le stesse siano accessibili e modificabili da parte di soggetti non legittimati o, all'opposto, non disponibilità delle infor­mazioni sanitarie qualora esse siano necessarie per il processo di cura. Ecco dunque che per far fronte a tali gravi violazioni, il Garante si premu­ra innanzitutto di riconoscere espressamente all'assistito il diritto alla vi­sione (e quindi alla conoscenza) degli accessi effettuati al proprio dossier sanitario dal personale delle struttura sanitaria che ha costituito e cura il suo dossier (e quindi che ne è il titolare), al fine evidentemente di offrire

1 Nelle Linee guida vengono in particolare menzionati i provvedimenti nei confronti dell'Azienda ospedaliero-universitaria Ospedali Riuniti di Trieste e delle altre aziende sanitarie della regione Friuli Venezia Giulia (doc. web n. 2284708); dell'Azienda sanitaria dell'Alto Adige (doc. web n. 3325808); dell'Azienda ospedaliero-universitaria S. Orsola Malpighi di Bologna (doc. web n. 3570631), dell'Azienda Policlinico Umberto I di Roma (doc. web n. 3725976).

supporto e argomentazioni alle iniziative di tutela azionabili dall'assistito stesso. L'interessato ha dunque diritto di sapere chi e quando ha letto i suoi dati. Ma con quali modalità? In concreto, l'interessato deve avanzare una formale richiesta al titolare del trat­tamento, al fine di conoscere gli accessi eseguiti sul proprio dossier con l'indica­zione della struttura/reparto che ha ef­fettuato l'accesso, nonché della data e dell'ora dello stesso. Ne consegue quindi, dal lato opposto, un obbligo del titolare di predisporre il proprio sistema informatico-telematico in modo da mantenere puntuale e suffi­cientemente duratura memoria degli ac­cessi effettuati dai suoi utenti. Il titolare del trattamento deve fornire riscontro alla suddetta richiesta dell'in­teressato entro quindici giorni dal suo ricevimento.

Se le operazioni necessarie per un inte­grale riscontro alla richiesta sono di par­ticolare complessità, ovvero ricorre altro giustificato motivo, il titolare ne dovrà dare comunicazione all'interessato. In tal caso, il termine per l'integrale riscontro è di trenta giorni dal ricevimento della richiesta. Veniamo ora al caso potenzialmente più pericoloso di violazione dei diritti dell'in­teressato: il data breach. Il concetto di data breach è stato intro­dotto nel Codice della privacy a seguito delle modifiche introdotte dal decreto legislativo 28 maggio 2012, n. 692. Per esso si deve intendere la violazione della sicurezza che comporta anche ac-

2 Modifiche al decreto legislativo 30 giugno 2003, n. 196, recante codice in materia di protezione dei dati personali in attuazione delle direttive 2009/136/CE, in materia di trattamento dei dati personali e tutela della vita privata nel settore delle comunicazioni elettroniche, e 2009/140/CE in materia di reti e servizi di comunicazione elettronica e del regolamento (CE) n. 2006/2004 sulla cooperazione tra le autorità nazionali responsabili dell'esecuzione della normativa a tutela dei consumatori. (Gazzetta Ufficiale n. 126 del 31 maggio 2012)

e-Health - n. 44 marzo 2016 59

LEGISLAZ. & POLITICA SANITARIA

privacy e sicurezza

cidentalmente la distruzione, la perdita, la modifica, la rivelazione non autorizza­ta o l'accesso ai dati personali trasmessi, memorizzati o comunque elaborati nel contesto della fornitura di un servizio di comunicazione accessibile al pubblico (art. 4, comma 3, lett. g-bis), del Codice). In caso di data breach i titolari del dos­sier sanitario saranno tenuti obbliga­

le indicazioni del legislatore europeo sono state recepite

tramite decreto legislativo, n. 69

del 2012, apportando significative modifiche

al Codice privacy, tra cui quella

che prevede l'obbligo per i fornitori di servizi

di comunicazione elettronica

di comunicare senza indebiti ritardi al Garante e,

in alcuni casi, al contraente o ad altre

persone interessate, l'occorrenza di eventi dannosi per il sistema informatico-telematico

che abbiano determinato

"violazioni di dati personali"

toriamente a darne comunicazione al Garante: in particolare, entro quarantotto ore dalla conoscenza del fatto, i titolari del trattamento dovranno comunicare all'Autorità tutte le violazioni dei dati o gli in­cidenti informatici che possano avere un impatto significativo sui dati personali trattati attraverso il dossier sanitario. Tali comunicazioni dovranno essere redatte secondo lo schema ripor­tato nell"'Allegato B" delle Linee guida e inviate tramite posta elettro­nica o posta elettronica certificata all'indirizzo: databreach.dossier® pec.gpdp.it.

60 e-Health-n.44 marzo 2016

LEGISLAZ. & POLITICA SANITARIA

privacy e sicurezza

La mancata comunicazione al Garante configura un illecito ammini­strativo sanzionato ai sensi dell'art. 162, comma 2-ter del Codice. La previsione di un tale obbligo non è nuova in capo alla nostra Auto­rità garante. Si veda infatti il "Provvedimento in materia di attuazione della disci­plina sulla comunicazione delle violazioni di dati personali (ed. data breach)" del 4 aprile 2013, provvedimento che disciplina più dettaglia­tamente quanto previsto dall'art. 32-bis del Codice privacy, intitolato "Adempimenti conseguenti ad una violazione di dati personali". Il citato art. 32 bis e il relativo provvedimento del Garante sancisco­no e disciplinano l'obbligo, per i fornitori di servizi di comunicazione elettronica accessibili al pubblico (ovvero servizi telefonici e servizi te­lematici), di comunicare senza indebiti ritardi al Garante la violazione di dati personali da essi detenuti. Si tratta dunque di un obbligo cor­rispondente a quello previsto in capo al titolare del dossier sanitario. Nei casi in cui dalla violazione possa derivare pregiudizio ai dati perso­nali o alla riservatezza di un contraente o di altra persona, il fornitore dovrà comunicare l'avvenuta violazione anche a tali soggetti (art. 32-bis, comma 2). La previsione di un tale obbligo in capo ai fornitori dei servizi di comu­nicazione è frutto della sensibilità del legislatore europeo che già con la direttiva 2002/58/Ce (ed. direttiva e-Privacy) prescriveva ai fornito­

ri di servizi di comunicazione elettronica di adottare "appropriate misure tecniche e organizzative" per assicurare "un

livello di sicurezza adeguato al

1

rischio esistente" (art. 4, comma 1). Nella successiva direttiva 2009/136/Ce, modifi­catrice della prima direttiva citata, si sot­tolineava come un evento che coinvolga i dati personali, se non trattato in modo adeguato e tempestivo, possa provocare un grave danno economico e sociale al contraente (o alle altre persone interes­sate), tra cui l'usurpazione d'identità. Le suindicate indicazioni del legislatore europeo sono state recepite tramite il sopra menzionato decreto legislativo 28 maggio 2012, n. 69, apportando signi­ficative modifiche al Codice privacy, tra cui appunto quella che prevede l'obbli­go per i fornitori di servizi di comunica­zione elettronica di comunicare senza indebiti ritardi al Garante e, in alcuni casi, al contraente o ad altre persone in­teressate, l'occorrenza di eventi dannosi per il sistema informatico-telematico che abbiano determinato "violazioni di dati personali". Va sottolineato come la sensibilità del legislatore comunitario circa la necessi­tà della protezione dell'interessato nei confronti di tali gravi violazioni di dati personali non sia venuta meno, ma si sia al contrario accresciuta: le proposte di riforma della legislazione comunitaria in materia di protezione dei dati (si veda in particolare lo schema di Regolamento presentato dalla Commissione europea il 25 gennaio 2012) prevedono un'esten­sione generalizzata dell'obbligo di noti­fica delle violazioni dei dati personali a tutti i titolari pubblici e privati (ed data breach notification). In questa direzione e con questo sce­nario a fare da sfondo va interpretato il provvedimento del Garante oggetto della presente trattazione: una sempre maggiore consapevolezza della perico­losità del mezzo informatico-telematico se male utilizzato e il riconoscimento del­la necessità di una sempre più rafforzata protezione del interessato nei confronti di eventi potenzialmente catastrofici per la propria privacy e gravemente lesivi dei diritti della persona costituzionalmente riconosciuti.

e-Health - n. 44 marzo 2016 61

LEGISLAZ. & POLITICA SANITARIA