Nello scorso mese di settembre l’Autorità Garante Privacy ha adottato tre nuovi provvedimenti, relativi a strutture sanitarie del Lazio, della Toscana e dell’Emilia Romagna, sul tema del dossier sanitario elettronico.
Un segnale chiaro: a distanza di anni dalle linee guida del 2015, l’adeguamento non è ancora pienamente garantito.
Indice degli argomenti
Quadro normativo e prime linee guida
A ben vedere il tema del dossier sanitario elettronico è un tema del quale si sente parlare già da diversi anni, soprattutto da parte di chi si occupa di misure di sicurezza nel settore sanitario.
La tematica di tale strumento è stata oggetto di più di 60 pronunciamenti dell’Autorità, ma questa è tornata ancora una volta all’attenzione di coloro che si occupano di misure di sicurezza nello specifico contesto sanitario.
Sono infatti trascorsi ormai 10 anni dalla pubblicazione delle “Linee guida in materia di Dossier sanitario – 4 giugno 2015”, poi pubblicate nella Gazzetta Ufficiale n. 164 del 17 luglio 2015, ma ben 16 anni dalla pubblicazione nella Gazzetta Ufficiale n. 178 del 3 agosto 2009 delle “Linee guida in tema di Fascicolo sanitario elettronico e di Dossier Sanitario – 16 luglio 2009”, primo documento ufficiale in cui viene utilizzato il termine Dossier Sanitario Elettronico o DSE.
Le Linee guida del 2009 tengono conto del già avviato processo di ammodernamento della sanità pubblica e privata e delle riscontrate numerose “..iniziative volte a migliorare l’efficienza del servizio sanitario attraverso un ulteriore sviluppo delle reti e una più ampia gestione informatica e telematica di atti, documenti e procedure”.
Le Linee guida del 2015, tra l’altro, al pari degli altri provvedimenti dell’Autorità, continuano ad applicarsi anche dopo la piena applicazione del Regolamento UE 2016/679, in quanto compatibili con lo stesso, e vanno a costituire, quale normativa di settore, la base giuridica che ne stabilisce limiti e presupposti del dossier sanitario stesso.
Con le stesse il Garante della Privacy individua una serie di misure tecniche e organizzative di sicurezza che devono essere adottate dai titolari del trattamento per “…la condivisione informatica, da parte di distinti organismi o professionisti, di dati e documenti sanitari che vengono formati, integrati e aggiornati nel tempo da più soggetti, al fine di documentare in modo unitario e in termini il più possibile completi un´intera gamma di diversi eventi sanitari riguardanti un medesimo individuo e, in prospettiva, l´intera sua storia clinica”.
Al fine di raggiungere tale obiettivo l’Autorità ha ravvisato innanzitutto la necessità di utilizzare una definizione convenzionale del fenomeno che trae spunto anche da quanto emerso in sede europea nel Gruppo che riunisce le autorità garanti di protezione dei dati (cd. Gruppo Art. 29) e ha portato alla enucleazione delle prime definizioni del Fascicolo sanitario elettronico (FSE) e del DSE.
Questa procede ravvisando l’urgenza di individuare un primo quadro di cautele, nelle more di un possibile intervento normativo, visto che il FSE e il DSE non risultavano al momento essere ancora stati definiti a livello nazionale da norme di carattere primario o secondario, così da delineare per tempo specifiche garanzie e responsabilità, nonché alcuni diritti.
Il ruolo del Garante e del dossier sanitario elettronico
Come noto successivamente il Legislatore ha disciplinato il solo FSE con una serie copiosa di provvedimenti normativi a partire dal Decreto Legge n. 179 del 18 ottobre 2012 “Ulteriori misure urgenti per la crescita del Paese”.
In tale Decreto l’articolo 12 “Fascicolo sanitario elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale” definisce il FSE come “l’insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito, riferiti anche alle prestazioni erogate al di fuori del Servizio sanitario nazionale”.
Il legislatore non si è invece, nonostante gli auspici dell’Autorità, mai occupato sino ad adesso di regolare il Dossier Sanitario Elettronico, nonostante la rilevanza della tematica, e la disciplina di tale strumento è stata lasciata al solo Garante della Privacy, che ha proceduto nel 2015 ad adottare le ulteriori Linee guida del 4 giugno.
Per verificarne l’osservanza l’Autorità ha inoltre inserito il dossier sanitario elettronico tra le attività di trattamento oggetto dei propri piani ispettivi per ben due anni consecutivi, sia nel 2015 che nel 2016.
Ma ancora oggi molte strutture sanitarie faticano ad applicare le Linee guida del 2015, o le hanno applicate non adeguandole alle misure previste dal Regolamento UE 2016/679, rischiando quindi ancora di incorrere in violazioni della normativa in materia di protezione dati personali e di essere oggetto di sanzioni da parte del Garante Privacy, come ad esempio nel recente Provvedimento n. 487 dell’11 settembre scorso.
A dimostrazione che l’argomento è ancora “caldo”, nel piano delle attività ispettive del Garante nel 2° semestre 2025 troviamo, tra le altre, la prosecuzione delle attività concernenti i trattamenti dei dati personali contenuti nel dossier sanitario, dalla cui maggior parte è purtroppo emerso non solo un generale mancato rispetto delle indicazioni delle Linee guida, ma anche, in generale, la violazione dei principi di base del trattamento di cui agli articoli 5, paragrafo 1, lettera a), b), c) e f), paragrafo 2 e articoli 9, 25 e 32 del Regolamento UE 2016/679 e dell’articolo 75 del Decreto Legislativo 196/2003.
Definizione di dossier sanitario elettronico e differenze rispetto al FSE
Ma andiamo a precisare che cos’è il DSE, che è individuato come lo strumento informatico che permette di raggruppare tutti i referti, le cartelle cliniche e in generale la documentazione sanitaria relativa agli accessi effettuati da un paziente nella stessa struttura sanitaria o titolare del trattamento.
Il Dossier Sanitario Elettronico è pertanto lo strumento informatico che permette di raggruppare tutti i referti, le cartelle cliniche e in generale la documentazione sanitaria relativa agli accessi effettuati da un paziente nella stessa struttura sanitaria.
Il titolare del trattamento del DSE è la struttura sanitaria, che deve osservare le citate Linee guida del 2015.
Il DSE si differenzia dal Fascicolo Sanitario Elettronico (FSE), che raccoglie referti e in generale documentazione sanitaria di ciascun paziente generata da eventi clinici trattati da strutture sanitarie, MMG e PLS presenti sul territorio in qualità di autonomi titolari, in conformità al citato DPCM n. 178 del 29/9/2015, la cui gestione è in capo alle Regioni/Province autonome e al Ministero della Salute.
Esiste una vasta letteratura sul Fascicolo Sanitario Elettronico, data la complessità di gestione che coinvolge numerose strutture e professionisti sanitari sul territorio regionale, mentre sul dossier sanitario c’è meno “rumore”, probabilmente perché la sua gestione è localizzata a livello di singola struttura sanitaria.
Quindi si parla di dossier sanitario qualora tale strumento sia costituito presso un organismo sanitario in qualità di unico titolare del trattamento, anche di natura privata, al cui interno operino più professionisti.
Riparliamone dunque, premettendo che quando si tratta di protezione dati personali gioca un ruolo fondamentale l’accountability del Titolare del trattamento, che deve comprendere appieno i punti chiave per una gestione dei dati adeguata; vediamo quali sono.
Dossier sanitario elettronico: informativa, consenso e diritti dell’interessato
Informativa all’interessato e raccolta del consenso. Il dossier sanitario è un trattamento dei dati facoltativo, seppur particolarmente utile in quanto, se utilizzato correttamente, permette al medico e al personale sanitario autorizzato di avere una visione più completa della storia clinica del paziente, interessato sotto il profilo della protezione dei dati personali, che accede alla struttura sanitaria per attività di diagnosi e cura.
Pertanto l’interessato deve essere preventivamente informato della possibilità del trattamento dei suoi dati personali attraverso il dossier, in quanto questo trattamento è ulteriore e facoltativo rispetto a quello per il quale si è rivolto alla struttura.
L’apposita informativa da somministrare all’interessato deve esplicitare il suo diritto di ottenere dal Titolare, su richiesta, l’elenco degli accessi al proprio dossier nonché la possibilità di esercitare il diritto di oscuramento su alcune delle informazioni raccolte nel dossier stesso.
Presa visione dell’informativa, dove si deve specificare che il suo consenso è revocabile in qualsiasi momento e che l’eventuale rifiuto non determinerà conseguenze pregiudizievoli rispetto all’erogazione della prestazione sanitaria, l’interessato dovrà manifestare esplicitamente il suo eventuale consenso al trattamento dei dati personali mediante il dossier sanitario.
In assenza del consenso, il medico che prende in cura il paziente potrà disporre solo delle informazioni raccolte in quel momento e di quelle relative alle precedenti prestazioni da lui stesso erogate.
Analogamente, senza consenso dell’interessato anche il personale sanitario di reparto e di ambulatorio potrà avere accesso solo alle informazioni relative all’episodio di diagnosi e cura attuale e alle altre informazioni relative alle eventuali prestazioni sanitarie erogate in passato a quel soggetto soltanto da quel reparto/ambulatorio.
Particolare attenzione va posta nella costituzione del DSE alla gestione dei dati pregressi, in quanto l’inserimento nel dossier delle informazioni relative a eventi sanitari pregressi all’istituzione del dossier stesso deve fondarsi su un ulteriore specifico consenso.
Analogamente, per l’inserimento nel dossier dei dati a maggior tutela, sia pregressi che futuri, va richiesto all’interessato un ulteriore specifico consenso.
Profili di autorizzazione, registrazione degli accessi e misure di sicurezza
Profili di autorizzazione. Il Titolare deve porre particolare attenzione nella definizione dei profili di autorizzazione per il personale della struttura sanitaria che dovrà accedere al DSE, accesso che dovrà essere modulato, seguendo i principi di privacy by design e privacy by default dell’articolo 25 del Regolamento succitato, sulla base della effettiva necessità e con possibile diversa profondità.
L’accesso al DSE deve rispettare il principio di minimizzazione dei dati, ovvero deve essere consentito solo al personale sanitario che interviene nel processo di cura del paziente e solo per il tempo necessario a svolgere tale processo.
Registrazione degli accessi. Ogni accesso al dossier sanitario elettronico da parte degli operatori della struttura sanitaria va registrato in un apposito file e deve riportare, per ogni accesso, almeno le seguenti informazioni: il codice identificativo del soggetto autorizzato che ha effettuato l’accesso, la data e l’ora di esecuzione, il codice della postazione di lavoro utilizzata, l’identificativo del paziente il cui dossier è interessato dall’operazione di accesso da parte dell’incaricato, la tipologia dell’operazione compiuta sui dati (consultazione, modifica, cancellazione).
Le registrazioni degli accessi devono essere conservate (e protette da eventuali modifiche) dal Titolare per un periodo non inferiore a 24 mesi dalla data dell’operazione registrata.
Su richiesta dell’interessato, il Titolare gli fornirà l’elenco degli accessi al suo dossier, secondo quanto stabilito dall’art. 15 del Regolamento.
Misure di sicurezza. Per quanto riguarda le misure di sicurezza che il Titolare deve adottare perché il proprio DSE sia compliant alle Linee guida del 2015, non basta registrare gli accessi, ma deve adottare anche misure specifiche, da considerarsi perciò obbligatorie e necessarie, individuate dall’Autorità.
Le Linee guida del 2015 stabiliscono a tal proposito che “il titolare del trattamento deve mettere in opera sistemi che:
- impediscano l’accesso al DSE dei pazienti che non risultano in carico alla specifica struttura al momento del tentativo di accesso;
- siano attivati degli indicatori di anomalie (c.d. alert) utili per orientare successivi interventi di audit per il controllo degli accessi anche al database e per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti.
Il titolare deve adottare alert che individuino comportamenti anomali o a rischio relativi alle operazioni eseguite dagli incaricati del trattamento (es. relativi al numero degli accessi eseguiti, alla tipologia o all’ambito temporale degli stessi)” (punto 7, lett. B delle Linee guida).
Tra tutti gli adempimenti da rispettare, sopra riportati sinteticamente, quello che appare più complesso è quello relativo alla gestione dei profili e degli accessi dei soggetti che possono operare sul dossier.
Più in generale, però, dall’analisi dei tre citati provvedimenti di settembre scorso emerge la necessità che ogni sistema di dossier sanitario elettronico sia oggetto di una periodica revisione, attraverso un apposito assessment del modello organizzativo e delle misure di sicurezza adottate, perché sia conforme alle prescrizioni del Regolamento.
Ciò per dare seguito al principio di responsabilizzazione (accountability) ed assicurare che le attività di trattamento si svolgano rispettandone i principi di base di cui all’articolo 5, paragrafi 1 e 2, in particolare quello di liceità, correttezza e trasparenza, per far sì che l’utilizzo del dossier sanitario, strumento di indubbio aiuto nella cura del paziente, avvenga nel pieno rispetto dei diritti e delle libertà dell’individuo, compreso quello alla protezione dei dati personali.
