Privacy: linee guida in tema di referti on-line

Il 15 dicembre 2009, il Garante per la protezione dei dati personali ha pubblicato le "Linee guida in tema di referti on-line - 19 novembre 2009" che intendono fornire indicazioni in merito all'utilizzo dei dati personali nell'ambito di alcune iniziative sorte nel processo di ammodernamento della sanità pubblica e privata che ha generato un maggiore sviluppo delle reti e una più ampia gestione informatica e telematica di atti, documenti e procedure.

Referti on-line

Con "referti on-line" si intende l'offerta di servizi gratuiti consistenti nella possibilità per l'assistito di accedere al "referto" –inteso come la relazione scritta rilasciata dal medico sullo stato clinico del paziente dopo un esame clinico o strumentale- con modalità informatica. Analogamente è concessa all'assistito la possibilità di decidere -di volta in volta o una tantum- di ricevere telematicamente i predetti esiti clinici direttamente attraverso il proprio medico curante o il medico di medicina generale/pediatra di libera scelta (MMG/PLS).
I servizi oggetto di tali linee guida sono da considerare del tutto distinti e autonomi dal Fascicolo sanitario elettronico (Fse) sul quale viceversa c’è uno specifico provvedimento del Garante del 16 luglio 2009 (Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario").
Di seguito una sintesi degli adempimenti principali richiesti dal Garante in relazione ai "referti on-line".
Fruizione facoltativa del servizio di refertazione on-line
Il Garante sottolinea che, in mancanza di specifiche disposizioni normative in merito a tali modalità di consegna dei referti, i servizi relativi ai "referti on-line" devono essere considerati facoltativi per l'interessato, ovvero offerti con modalità tali da rendere possibile a quest'ultimo di potere comunque scegliere di ritirare il referto in formato cartaceo.

Informativa e consenso

Per consentire all'interessato di esprimere scelte consapevoli in relazione al trattamento dei propri dati personali, il titolare del trattamento deve previamente fornirgli un'idonea informativa sulle caratteristiche del servizio di refertazione on-line (artt. 13, 79 e 80 del Codice). Tale informativa, che può essere resa anche unitamente a quella relativa al trattamento dei dati personali per finalità di cura ma distinta da essa, deve indicare, con linguaggio semplice, tutti gli elementi richiesti dall'art. 13 del Codice. In particolare, deve essere evidenziata la facoltatività dell'adesione a tali servizi, aventi la finalità di rendere più rapidamente conoscibile all'interessato il risultato dell'esame clinico effettuato.
L'informativa deve rendere note all'interessato anche le modalità attraverso le quali rivolgersi al titolare per esercitare i diritti di cui agli artt. 7 e ss. del Codice.
Al fine di assicurare una piena comprensione degli elementi indicati nell'informativa, il titolare deve formare adeguatamente il personale coinvolto sugli aspetti rilevanti della disciplina sulla protezione dei dati personali, anche ai fini di un più efficace rapporto con gli interessati.
Dopo aver fornito l'informativa, il titolare del trattamento deve acquisire un autonomo e specifico consenso dell'interessato a trattare i suoi dati personali, anche sanitari, attraverso le suddette modalità di refertazione.

Archivio dei referti

Se è offerto anche il servizio aggiuntivo consistente nella possibilità di archiviare, presso la struttura sanitaria, tutti i referti effettuati nei laboratori della stessa e di consultarli o scaricarli on-line va fornita una specifica informativa ed acquisito un autonomo consenso.
Tali archivi, raccogliendo tutti i referti effettuati nel tempo dall'interessato ed essendo realizzati presso un organismo sanitario in qualità di unico titolare del trattamento (es., laboratorio di analisi, clinica privata), ricadono nella definizione di dossier sanitario, secondo quanto indicato nel richiamato Provvedimento del Garante del 16 luglio 2009, recante "Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario". Ciò stante, il titolare del trattamento che intenda offrire all'interessato la possibilità di raccogliere i referti in tali archivi deve tenere conto delle garanzie –anche di sicurezza- individuate nel citato provvedimento per i dossier sanitari.

Comunicazione dei dati all'interessato

Secondo quanto previsto dall'art. 84 del Codice, i dati personali inerenti allo stato di salute devono essere resi noti all'interessato solo per il tramite di un medico designato dallo stesso o dal titolare. Il secondo comma di tale disposizione prevede che il titolare o il responsabile possano autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici, che nell'esercizio dei propri compiti intrattengono rapporti diretti con i pazienti e sono incaricati di trattare dati personali idonei a rivelare lo stato di salute, a rendere noti i medesimi dati all'interessato.
L'abilitazione all'accesso dei suddetti sistemi di refertazione deve, pertanto, essere consentita all'interessato nel rispetto delle cautele previste dalla disciplina di settore già applicabili anche per il cartaceo e richiamate dal Garante nel provvedimento generale del 2005 http://www.garanteprivacy.it/garante/doc.jsp?ID=1191411. In particolare, nel caso di specie, l'intermediazione può essere soddisfatta accompagnando la comunicazione del reperto con un giudizio scritto e la disponibilità del medico a fornire ulteriori indicazioni su richiesta dell'interessato.

Misure di sicurezza e tempi di conservazione dei dati

La particolare delicatezza dei dati personali trattati mediante i servizi di refertazione on-line impone l'adozione di specifici accorgimenti tecnici per assicurare idonei livelli di sicurezza ai sensi dell'art. 31 del Codice, ferme restando le misure minime che ciascun titolare del trattamento deve comunque adottare ai sensi del Codice (artt. 33 e ss.) e, in particolare, laddove applicabili, quelle richieste dalla regola 24 del Disciplinare tecnico in materia di misure minime di sicurezza, allegato B) al Codice, laddove per il trasferimento di dati idonei a rivelare l'identità genetica di un individuo viene richiesto il ricorso alla cifratura.
Le linee guida indicano infine le misure di sicurezza specifiche da adottare nel caso sia permessa la consultazione on-line dei referti tramite servizi web accessibili da Internet o al contrario la spedizione del referto sia effettuata tramite posta elettronica. Si rimanda alle "linee guida" per i dettagli tecnici.

Chi è Panfilo Marcelli?

L’ingegner Panfilo Marcelli ha lavorato per oltre vent’anni presso primarie aziende informatiche e di consulenza (IPACRI, Euros Consulting, OASI) con incarichi, anche direttivi, in ambito Information Technology, Privacy e Protezione dei dati personali, Qualità e Certificazione ISO9000 e ISO27001, Workflow Management e Business Process Reengineering, Internet, Intranet e gestione di siti con sistemi CMS. Attualmente é socio di CMa Consulting società specializzata in servizi, consulenza e formazione in ambito Compliance, Privacy, Qualità e Sicurezza.
Panfilo Marcelli cura gli articoli dedicati alla "Privacy" sul sito www.ComplianceNet.it ed è l’autore dell’ebook "Sei lezioni sulla privacy".

Ultimi articoli di Panfilo Marcelli

• Amministratori di sistema: precisazioni del Garante
• Privacy - Newsletter del Garante n.332 del 10 dicembre 2009
• Privacy e telemarketing : aggiornato il Codice in materia di protezione dei dati personali – cambia tutto
• Privacy e antiriciclaggio: provvedimento del Garante sulle comunicazioni infragruppo
• Telemarketing: su nuove norme il Garante privacy esprime perplessità e preoccupazione
• Acquista "Sei lezioni sulla privacy" su miolibro.it
• Privacy - Newsletter del Garante n. 331 del 17 novembre 2009
• Privacy - Newsletter del Garante n. 330 del 30 ottobre 2009
• Privacy: modello di "regolamento aziendale" sulla videosorveglianza (con licenza aperta)
• Privacy: modello di "analisi preliminare" sulla videosorveglianza (con licenza aperta)
• Sei lezioni sulla privacy – parte quarta (diritto d'accesso)
• Privacy - Newsletter del Garante n. 329 del 9 ottobre 2009 (anche la voce è un dato personale)
• Privacy - Newsletter del Garante n. 328 del 22 settembre 2009 (telecamere)
• TLC e profilazione: le regole del Garante privacy a tutela dei clienti
• Privacy: relazione 2009 del Garante (relativa al 2008)
• Privacy: modifica e proroga adempimenti per amministratore di sistema