Il Garante per la Privacy, con la delibera del 4 giugno 2015, adotta le nuove linee guida in materia di dossier sanitario elettronico (Pubblicato sulla Gazzetta Ufficiale n. 164 del 17 luglio 2015).
Con tali linee guida il Garante per la Privacy ha inteso definire le corrette modalità di trattamento dei dati sensibili raccolti nei dossier sanitari elettronici istituiti o che verranno istituiti dalle strutture sanitarie.
Nella suddetta delibera, nello specifico, si legge che il fine delle linee guida è quello “…di informare i titolari di trattamenti e gli interessati sui diversi aspetti connessi alla protezione dei dati personali, ivi compresi quelli relativi alla sicurezza, e sui presupposti di legittimità dei trattamenti dei dati personali effettuati attraverso il dossier sanitario…”.
Viene inoltre stabilito quanto segue:
- è diritto del paziente scegliere se far costituire o meno il dossier sanitario. Senza il consenso al dossier dell’interessato (paziente), il medico potrà basarsi unicamente su quanto appreso alla visita (ad es. raccolta dell’anamnesi e delle informazioni relative all’esame della documentazione diagnostica prodotta) ovvero su quanto eventualmente appreso in occasione di precedenti prestazioni rese dallo stesso medico.
- L’assenza del consenso non deve pregiudicare l’accesso del paziente alle cure.
- Per l’inserimento nel dossier di informazioni particolarmente “sensibili” come ad esempio dati riguardanti la positività per HIV, eventuali precedenti interruzioni volontarie di gravidanza e violenze sessuali, sarà necessario acquisire uno specifico consenso.
- È diritto del paziente conoscere chi avrà accesso ai suoi dati personali e come li stessi verranno trattati.
- E’ diritto del paziente decidere quali dati far confluire nel dossier elettronico.
- Tutti gli accessi al dossier sanitario, consentito solo al personale coinvolto nell’attività assistenziale del paziente, dovranno essere oggetto di registrazione automatica in appositi file che saranno conservati dalla struttura per almeno 24 mesi.
- Ogni “data breach” (violazione dei dati) o incidenti informatici (accessi abusivi, azione di malware…) dovranno essere comunicati al Garante entro 48 ore dalla conoscenza del fatto. La mancata comunicazione all’Autorità configura un illecito amministrativo sanzionato ai sensi dell’art. 162, comma 2-ter del Codice.
Con le Linee giuda in materia di dossier sanitario si cerca pertanto di aumentare la tutela della Privacy dei pazienti, garantendo maggior sicurezza e trasparenza nel trattamento dei dati sensibili quali quelli attinenti la salute.