Consenso informato e specifico per dati sanitari particolarmente sensibili. Accessi tracciati e registrati. Immediata comunicazione all’Autorità garante di eventuali violazioni o incidenti informatici. Il Garante per la Privacy ha adottato le nuove linee guida sul dossier sanitario elettronico, il documento costituito presso un’unica struttura sanitaria (ospedale, azienda sanitaria, casa di cura), che raccoglie informazioni sulla salute di un paziente per documentarne la storia e offrirgli un migliore processo di cura.
Le linee guida sono in corso di pubblicazione sulla Gazzetta Ufficiale. Vertono sulla necessità di garantire un’adeguata protezione dei pazienti e prevedono maggiori tutele per i dati dei pazienti, più trasparenza e obbligo per le strutture sanitarie di comunicare immediatamente all’Autorità i cosiddetti data breach (violazioni o incidenti informatici, come attacchi, accessi abusivi, azioni di malware, perdita, furto), che possano avere un impatto significativo sui dati. Il paziente avrà la possibilità di conoscere gli accessi eseguiti sul proprio dossier.
Uno dei cardini del provvedimento è quello di stabilire che ai pazienti deve essere consentito di scegliere in piena libertà se far costituire o meno il dossier sanitario: la mancanza del consenso non deve pregiudicare l’accesso alle cure e in assenza del consenso il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista. Il Garante Privacy ha inoltre stabilito che per poter inserire nel dossier informazioni particolarmente delicate (infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia) sarà necessario un consenso specifico.
La struttura sanitaria dovrà informare in modo chiaro i pazienti e indicare chi avrà acceso ai dati e che tipo di operazioni potrà effettuare. Oltre a garantire l’accesso ai dati, l’integrazione, la rettifica, la struttura sanitaria dovrà garantire la conoscenza del reparto, della data e dell’orario in cui è avvenuta la consultazione del dossier sanitario; al paziente dovrà essere garantita anche la possibilità di “oscurare” alcuni dati o documenti sanitari che non intende far confluire nel dossier.
Il dossier andrà fatto adottando strette misure di sicurezza: i dati sulla salute dovranno essere separati dagli altri dati personali, e dovranno essere individuati criteri per la cifratura dei dati sensibili. L’accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura. Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, saranno tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi. Eventuali violazioni di dati o incidenti informatici dovranno essere comunicati all’Autorità entro quarantotto ore dalla conoscenza del fatto.