Dossier sanitario: stop agli accessi indiscriminati ai dati dei pazienti

DSENo all’accesso indiscriminato al dossier sanitario elettronico. I dati devono essere accessibili solo ai professionisti sanitari che assistono in quel momento il paziente e solo per il tempo necessario alla cura.

I principi, già affermati in casi analoghi, sono stati ribaditi dal Garante privacy con un provvedimento [doc. web n. 4449114] in cui ha dettato all’Azienda Usl 11 di Empoli una serie di misure per sanare gravi violazioni riscontrate nella gestione degli oltre 350 mila dossier sanitari, relativi a persone che si sono rivolte alla struttura.

Il dossier è uno strumento costituito da un organismo sanitario (ospedale, clinica privata) contenente informazioni sullo stato di salute di un  assistito di quella struttura relative ad eventi clinici presenti e passati (es. referti, documentazione sui ricoveri, accessi al pronto soccorso).

Le irregolarità, emerse nel corso di accertamenti ispettivi, riguardavano, in particolare:

  • l’informativa (carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier) e
  • la costituzione del dossier senza il consenso del paziente, acquisito solo a partire dal 2015, cinque anni dopo l’introduzione del documento elettronico nell’Azienda.

Va ricordato infatti, che il  paziente deve poter scegliere in modo libero e consapevole se far costituire o meno il dossier.

Gli accessi indiscriminati al sistema informatico, inoltre, a differenza di quanto stabilito nelle Linee guida del 2015, permettevano ad ogni medico della struttura di consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l’Azienda.

L’Azienda – come prescritto dall’Autorità – entro il 31 marzo 2016 dovrà quindi adottare opportuni accorgimenti, anche tecnici, affinché i documenti sanitari di un individuo, contenuti nel dossier sanitario, siano disponibili solo al professionista che lo ha in cura in quel momento e non siano più condivisi con gli operatori degli altri reparti.

Il medico potrà consultare anche altri dossier, motivando la richiesta sulla base di una casistica predeterminata dall’Azienda (ad. es. trapianti, richiesta di consulenza, guardia medica).

Il personale amministrativo, invece, potrà accedere solo ai dossier e ai dati indispensabili all’assolvimento delle sue funzioni.

L’Azienda, infine, dovrà modificare l’informativa, integrandola con tutti gli elementi previsti dalla normativa, necessari per mettere in condizione il paziente di fare scelte consapevoli:

  • sulla costituzione del dossier,
  • sui documenti sanitari da far inserire o escludere e
  • sui diritti che può esercitare.

L’Autorità si è riservata di valutare, con separato provvedimento, gli estremi  per contestare all’Azienda  l’applicazione delle  sanzioni amministrative previste dal Codice privacy.

Annunci

Trasferimento dati in USA: decaduta l’autorizzazione “Approdo sicuro”

CALTECH-UVIC-100GB-Data-Transfer-NetworkLe imprese dovranno mettere in campo altri strumenti per tutelare i dati delle persone

Il Garante per la privacy ha dichiarato decaduta l’autorizzazione emanata a suo tempo con la quale si consentivano i trasferimenti di dati verso gli Stati Uniti sulla base del cosiddetto accordo “Safe Harbor”. Per poter trasferire dati oltreoceano, società multinazionali, organizzazioni e imprese italiane dovranno di conseguenza ricorrere alle altre possibilità previste dalla normativa sulla protezione dei dati personali.

Il provvedimento (in corso di pubblicazione sulla Gazzetta ufficiale) è stato adottato dal Garante a seguito della recente sentenza della Corte di Giustizia dell’Unione Europea, che ha dichiarato invalido il regime introdotto in virtù dell’accordo “Approdo sicuro” (Safe Harbor), facendo venire meno il presupposto di legittimità per il trasferimento negli Usa di dati personali dei cittadini europei per chi utilizzava questo strumento. La decisione presa dal Garante è in linea con quanto concordato nelle settimane scorse nell’ambito del Gruppo che riunisce le Autorità della privacy dell’Ue.

Strumenti alternativi per il trasferimento

In attesa delle prossime decisioni che verranno assunte in sede europea, le imprese potranno dunque trasferire lecitamente i dati delle persone solo avvalendosi di strumenti quali, ad esempio:

L’Autorità si è comunque riservata di effettuare controlli per verificare la liceità e la correttezza del trasferimento dei dati da parte di chi esporta i dati.

Diritto all’oblio: 50 i ricorsi definiti dal Garante dopo sentenza Google Spain

20150127155607-google-building-44Sono  circa cinquanta i ricorsi definiti dal Garante privacy relativi a persone comuni, figure pubbliche locali, professionisti che si sono rivolti all’Autorità dopo il mancato accoglimento delle richieste di deindicizzazione da parte di Google. Un’altra decina di ricorsi  sono in via di definizione.

E’ il bilancio dell’attività del Garante a quasi un anno e mezzo dalla cosiddetta sentenza “Google Spain” (C-131/12 ) della Corte di Giustizia dell’Unione Europea sul diritto all’oblio, che ha imposto a  Google di dare un riscontro alle richieste di rimozione, dai risultati della ricerca, dei link alle pagine web che contengono il nominativo del richiedente.

Di fronte al diniego di Google, gli utenti italiani possono rivolgersi in “appello” al Garante per la privacy o all’autorità giudiziaria. Una opportunità, quella del ricorso al Garante, sfruttata finora solo da un esiguo numero di persone a fronte delle migliaia di istanze rigettate dalla società di  Mountain View.

In circa un terzo dei casi definiti, il Garante ha accolto le richieste degli interessati ordinando a Google la  rimozione dei link a pagine presenti sul web che riportavano:

  • dati personali ritenuti non più di interesse pubblico,
  • informazioni spesso eccedenti, riferite anche a persone estranee alla vicenda giudiziaria narrata, o lesive della sfera privata.

In tutti gli altri casi, invece, l’Autorità ha respinto le richieste ritenendo che la posizione di Google fosse corretta, risultando prevalente l’interesse pubblico ad accedere alle informazioni tramite motori di ricerca. Si trattava, infatti, in prevalenza, di vicende processuali di sicuro interesse pubblico, anche a livello locale, spesso recenti o per le quali non erano ancora stati esperiti tutti i gradi di giudizio. I dati personali riportati, tra l’altro, risultavano trattati nel rispetto del principio di essenzialità dell’informazione.