trattamento dati in sanità

La privacy dei referti online: i paletti del Garante alla luce del Gdpr

Le Faq del Garante in tema di referti online fanno chiarezza in un settore, quello sanitario, sempre a rischio in materia di trattamento dati personali, ma più in generale rappresentano uno strumento indispensabile in materia di trattamento, data la gran quantità di temi rimasti ‘in sospeso’ nel passaggio al GDPR

30 Ott 2020
Salvatore Bella

Privacy Consultant Data Protection Officer

sanità ehealth

Il Garante per la protezione dei dati personali è da poco intervenuto sul tema della privacy dei referti online pubblicando delle Faq, nelle quali si affronta per la prima volta il tema alla luce del GDPR.

Il Regolamento europeo è infatti una normativa improntata sul principio dell’accountability, tendente quindi a fornire al Titolare i principi generali in materia di tutela del dato personale, ma lasciando allo stesso piena libertà sulle modalità con le quali metterli in pratica.

Per tale ragione è apparso chiaro fin dalla sua piena applicazione (maggio 2018) come fossero necessari e fortemente auspicabili interventi da parte del Garante, per affrontare tematiche di notevole importanza, sul merito delle quali il GDPR non entra.

Passiamo dunque a vedere in concreto cosa le Faq del Garante hanno ripreso dalle precedenti “Linee guida in tema di referti online”, risalenti al 2009, e cosa invece può considerarsi definitivamente superato.

Refertazione online: dalle linee guida del 2009 alle Faq del 2020

Le Faq del Garante ribadiscono l’obbligo per il Titolare di una struttura sanitaria di fornire un’informativa distinta da quella relativa al trattamento dei dati personali, che esponga, con un linguaggio chiaro e comprensibile, le caratteristiche del servizio di refertazione online in conformità agli artt. 13-14 del GDPR; il consenso dell’interessato alla refertazione online deve essere esplicito, libero, specifico e informato.

WEBINAR
23 Settembre 2022 - 10:00
DIGITAL360 Semestrale 2022: scopri tutte le novità
Acquisti/Procurement
Amministrazione/Finanza/Controllo

È interessante notare come il Garante colga l’occasione per confermare ulteriormente nelle Faq che non sia invece più necessario per il Titolare raccogliere il consenso dell’interessato per il trattamento dei dati necessario all’erogazione della prestazione sanitaria, questione ancora assai dibattuta, nonostante il provvedimento di chiarimenti del Garante in materia risalga a marzo 2019.

Facoltatività del servizio

Il servizio di refertazione online viene confermato come un servizio totalmente facoltativo; è ribadito infatti dalle Faq del Garante il diritto per il paziente di ottenere copia cartacea del referto digitale, e quindi l’obbligo per le strutture sanitarie rimane la consegna del referto in formato cartaceo, rappresentando la refertazione online solo un servizio ulteriore e facoltativo.

Misure di sicurezza

La tematica delle misure di sicurezza è particolarmente interessante, dal momento che per il principio dell’accountability spetta al Titolare determinare le misure di sicurezza più adeguate ai rischi afferenti alla sua struttura sanitaria, che deve preventivamente aver valutato.

Referti sul portale: protocolli https e strong authentication

Il primo passaggio riguarda le misure di sicurezza da applicare al sito web o al portale su quale vengono resi disponibili al paziente i referti in formato digitale.

Si richiede al riguardo che la struttura sanitaria adotti protocolli di comunicazione sicuri (https) e che richieda all’interessato di seguire una procedura di strong authentication per poter accedere al portale e scaricare il proprio referto.

Referti tramite posta elettronica

É importante sottolineare come non sia stato riportato il passaggio, presente invece nelle linee guida del 2009, secondo il quale il paziente poteva autorizzare l’invio di referti alla sua casella di posta elettronica anche senza password, trattandosi di comunicazione tra struttura sanitaria e interessato, effettuata su specifica richiesta di quest’ultimo.

L’invio di referti tramite posta elettronica dovrà dunque avvenire solo dopo che la struttura sanitaria abbia provveduto a proteggere il file tramite password e fornire all’interessato la stessa tramite diverso canale (es sms o telefonicamente).

Si trattava in ogni caso di una pratica da sconsigliare, seppur consentita dalle linee guida del 2009, perché un referto contenente dati sanitari, inviato senza alcuna misura di sicurezza atta a proteggerlo, avrebbe esposto la struttura sanitaria ad un rischio elevato di incorrere in una violazione.

Quali misure applicare in concreto alla refertazione online?

Il Garante, nelle Faq, richiama in maniera esplicita sia le misure di sicurezza previste nelle citate linee guida del 2009 sia quelle riportate nel DPCM 08/08/2013.

Possiamo quindi ritenere che le misure di sicurezza presenti nell’allegato B al D.Lgs. 196/2003 possano continuare a rappresentare un buon punto di partenza per assicurare la necessaria tutela del dato personale nel caso in cui si implementi un servizio di refertazione on-line.

Tra queste abbiamo già ricordato l’utilizzo di protocolli https e la necessità di ricorrere a procedure di strong authentication per il download dei referti, ma va citato anche il termine massimo di permanenza del referto sul portale (45 giorni) e la possibilità per l’interessato di sottrarre alla visibilità in modalità on-line o di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.

Tali misure, tuttavia, non possono ritenersi sufficienti, dal momento che, come già ricordato, il GDPR richiede che il Titolare valuti i rischi relativi ai trattamenti effettuati, e adotti le misure che garantiscono il maggior livello di sicurezza sulla base di tali rischi.

Il Garante a riguardo pone l’accento sulla necessità che siano previsti idonei sistemi di autenticazione e autorizzazione per i soggetti che lavorano all’interno della struttura sanitaria (soggetti autorizzati), differenziati sulla base della ‘sensibilità’ dei dati con cui vengono a contatto, e soprattutto viene ribadita, anche in questo contesto, la necessità di un’adeguata formazione, misura di sicurezza troppo spesso considerata di poco conto, ma invece in grado di prevenire le fattispecie più comuni di data breach.

Data Breach e valutazione d’impatto

L’implementazione e la gestione di un servizio di refertazione online porta inevitabilmente con sé il rischio di incorrere in un data breach, che nel caso specifico riguarderebbe dati particolarmente ‘sensibili’ quali quelli sanitari.

Il Garante al riguardo si limita a richiedere un’apposita procedura che permetta alla struttura sanitaria di intervenire in maniera tempestiva nel caso in cui la violazione si sia verificata e di tenere sempre sotto controllo la sicurezza dei dati personali.

È opportuno in ogni caso implementare un sistema di refertazione online che si ispiri al principio della privacy by design, richiamato dall’art 25 del GDPR, prevedendo delle misure di sicurezza che proteggano il dato fin dalla fase di progettazione del portale su cui verranno resi disponibili i referti degli interessati, come ad esempio la criptazione del database che contiene gli stessi, misura che li proteggerebbe anche nel caso in cui il portale subisse un attacco informatico.

Va ricordato infine che anche il servizio di refertazione on-line può richiedere una preventiva valutazione d’impatto. Il Garante specifica, infatti, che qualora il Titolare prevedesse l’impiego di nuove tecnologie per offrire su larga scala nuovi servizi digitali di refertazione deve effettuare, prima di procedere al trattamento, la valutazione d’impatto (DPIA) secondo le regole previste dal GDPR.

Il concetto di “nuove tecnologie”, è bene specificarlo, va sempre valutato sulla base delle singole realtà, e da questo punto di vista anche l’implementazione di un sistema di refertazione on-line per una struttura sanitaria che non è mai ricorsa all’utilizzo di strumenti informatici, se non in minima parte, può rappresentare un’attività altamente a rischio e, come tale, deve essere adeguatamente valutata in maniera preventiva.

Conclusioni

Le Faq del Garante in tema di referti online ci hanno quindi aiutato a fare chiarezza in un settore, come quello sanitario, sempre a rischio quando si parla di trattamento dati personali, ma più in generale gli interventi del Garante rappresentano uno strumento indispensabile in materia di trattamento dati personali, data la gran quantità di temi rimasti ‘in sospeso’ nel passaggio dal D.Lgs. 196/2003 al GDPR (vedi ad esempio la questione relativa alla figura dell’Amministratore di sistema).

ZeroCoda - Il servizio di prenotazione facile ed efficace

Digital event
Torna il Cybersecurity 360 Summit strategia nazionale di cybersicurezza. Online, 27 ottobre
Sicurezza
Sicurezza dei dati
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Analisi
PA
Salute digitale
News
Fondi
Formazione
Ecologia
Digital Economy
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Incentivi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articoli correlati