Garante per la protezione
    dei dati personali


Linee guidain tema di referti on-line

PROVVEDIMENTODEL 25 GIUGNO 2009


(Avviso di avvio di consultazionepubblica sul documento adottato, in G.U. n. 162 del 15 luglio 2009)

Registro delledeliberazioni
 Del. n. 21 del 25 giugno 2009

IL GARANTE PERLA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, inpresenza del prof. Francesco Pizzetti, presidente, del dott. GiuseppeChiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,componenti, e del dott. Filippo Patroni Griffi, segretario generale;

Considerato che l'Autoritą hasvolto alcuni approfondimenti istruttori su numerose iniziative promosse daorganismi sanitari pubblici e privati relativi alla possibilitą per l’assistitodi accedere agli esiti degli esami clinici con modalitą informatica;

Rilevata l'esigenza diindividuare misure e accorgimenti necessari e opportuni da porre a garanzia deicittadini interessati, in relazione ai trattamenti di dati che li riguardano;

Rilevata l'opportunitą che laprescrizione di tali misure e accorgimenti, allo stato individuati dal Garantenell'unito documento, sia preceduta da una consultazione pubblica dei soggettie delle categorie interessate, in particolare degli organismi e professionistisanitari pubblici e privati e delle associazioni di pazienti interessati, ancheal fine di acquisire eventuali riscontri e osservazioni;

Visto il Codice in materia diprotezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Viste le osservazionidell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

Relatore il prof. FrancescoPizzetti;

DELIBERA:

a) di adottare l'unito documento cheforma parte integrante della presente deliberazione ("Linee guida intema di referti on-line");

b) di avviare una consultazione pubblica suldocumento di cui alla lettera a).

L'obiettivo dellaconsultazione Ź acquisire osservazioni e commenti, in particolare da parte diorganismi e professionisti sanitari pubblici e privati e di associazioni dipazienti interessati.

Osservazioni e commentipotranno pervenire entro il 30 settembre 2009 all'indirizzo dell'Autoritą diPiazza di Monte Citorio n. 121, 00186 Roma, ovvero all'indirizzo di postaelettronica:

refertionline@garanteprivacy.it

La presente deliberazioneverrą pubblicata sul sito web del Garante www.garanteprivacy.it e verrą inviato un avviso all'Ufficiopubblicazione leggi e decreti del Ministero della giustizia, affinché siariportato sulla Gazzetta Ufficiale della Repubblica italiana.

Roma, 25 giugno 2009

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
Patroni Griffi

 

 

Linee guidain materia di referti on-line

Sommario

1. Ambito diapplicazione delle linee guida 
2. Facoltativitą delservizio di refertazione on-line 
3. Informativa e consenso4. Archivio dei referti 5. Comunicazione dei datiall'interessato 
6. Misure di sicurezza etempi di conservazione dei dati

1. AMBITO DIAPPLICAZIONE DELLE LINEE GUIDA


L'Autoritą ritieneopportuno fornire alcune indicazioni in merito all'utilizzo dei dati personalinell'ambito di alcune iniziative sorte nel processo di ammodernamento dellasanitą pubblica e privata che ha generato un maggiore sviluppo delle reti e unapiĚ ampia gestione informatica e telematica di atti, documenti e procedure.

All'interno di taliiniziative Ź stato riscontrato essere di recente molto diffusa in numerosestrutture sanitarie, soprattutto private, l'offerta di servizi gratuitigeneralmente riconducibili all'espressione "referti on-line", consistenti nella possibilitą perl'assistito di accedere al "referto" –inteso come la relazione scrittarilasciata dal medico sullo stato clinico del paziente dopo un esame clinico ostrumentale- con modalitą informatica. Analogamente Ź concessa all'assistito lapossibilitą di decidere -di volta in volta o una tantum- di ricevere telematicamente i predettiesiti clinici direttamente attraverso il proprio medico curante o il medico dimedicina generale/pediatra di libera scelta (MMG/PLS).

Tale modalitą di conoscibilitądei referti viene generalmente realizzata attraverso due modalitą:

1) la ricezione delreferto presso la casella di posta elettronica dell'interessato;

2) il collegamento alsito Internet dellastruttura sanitaria ove Ź stato eseguito l'esame clinico, al fine di effettuareil download delreferto.

In quest'ultimo caso, chesembra essere il piĚ utilizzato, al paziente viene generalmente fornito un nomeutente ed una passwordall'atto della prenotazione o dell'effettuazione dell'esame.

In alcune delle iniziativeesaminate Ź anche possibile effettuare il download del "reperto" (inteso come il risultato dell'esameclinico o strumentale effettuato, come ad es. un'immagine radiografica,un'ecografica o un valore ematico) assieme al referto stilato dal medico.

Talvolta, il paziente vieneavvisato della possibilitą di visualizzare il referto attraverso una dellemodalitą sopra descritte mediante l'invio di uno short message service (sms) sul numero di telefono mobilefornito alla struttura sanitaria dallo stesso paziente all'atto dell'adesioneal servizio.

Allo stato delle notizieacquisite, non consta l'esistenza di una normativa in merito a tali modalitą diconsegna dei referti, essendo regolamentata dalla disciplina di settore solo lavaliditą legale della refertazione cartacea. Restano ovviamente ferme -oveapplicabili- le specifiche disposizioni in merito al documento informatico ealla firma elettronica con specifico riferimento alle metodologiedell'autenticazione informatica (d.lg. 7 marzo 2005, n. 82).

Ciė stante, si Ź osservatoche nella quasi totalitą delle iniziative esaminate, la refertazione on-line non sostituisce le normali procedure diconsegna dei referti, che restano, in ogni caso, disponibili in formatocartaceo -ai sensi e per gli effetti di legge- presso la struttura sanitariadove Ź stata erogata la prestazione. Il paziente, infatti, puė generalmenteritirare i referti in originale(1). Tali servizi, infatti, non sipropongono -di regola- di sostituire la refertazione cartacea, bensď dianticiparla, fornendo un'anteprima dei referti, attraverso la visualizzazione ela stampa dei documenti stessi non appena questi siano resi disponibili dallastruttura erogatrice della prestazione sanitaria.

2. FACOLTATIVITňDEL SERVIZIO DI REFERTAZIONE ON-LINE


In base alle disposizionicontenute nel Codice dell'amministrazione digitale, deve essere assicurata ladisponibilitą, la gestione, l'accesso, la trasmissione, la conservazione e lafruibilitą dell'informazione in modalitą digitale utilizzando le tecnologiedell'informazione e della comunicazione nel rispetto della disciplina rilevantein materia di trattamento dei dati personali e, in particolare, delledisposizioni del Codice in materia di protezione dei dati personali (art. 2,d.lg. 7 marzo 2005, n. 82).

Come gią anticipato, lamancanza di specifiche disposizioni normative in merito a tali modalitą diconsegna dei referti determina che tali servizi dovrebbero essere consideratifacoltativi per l'interessato, ovvero offerti con modalitą tali da renderepossibile a quest'ultimo di poter comunque scegliere di ritirare il referto informato cartaceo. All'interessato dovrebbe essere consentito, infatti, discegliere -in piena libertą- se accedere o meno al servizio di refertazione on-line, garantendogli in ogni caso lapossibilitą di continuare a ritirare i referti cartacei presso la strutturaerogatrice della prestazione.

La struttura sanitariadovrebbe, anche, garantire all'interessato di decidere liberamente -sulla basedi una specifica informativa e di un apposito consenso in ordine al trattamentodei dati personali connessi a tale servizio- di aderire o meno a tali servizidi refertazione, senza alcun pregiudizio sulla possibilitą di usufruire delleprestazioni mediche richieste.

Qualora l'interessato abbiascelto di aderire ai suddetti servizi di refertazione, dovrebbe essergli concesso-in relazione ai singoli esami clinici a cui si sottoporrą di volta in volta-di manifestare una volontą contraria, ovvero che i relativi referti non sianooggetto del servizio di refertazione on-line precedentemente scelto.

Anche nel caso di comunicazionedel referto presso l'indirizzo della casella di posta elettronica fornitodall'interessato, a quest'ultimo dovrebbe essere concessa la possibilitą diconfermare l'indirizzo di posta elettronica in cui ricevere tale comunicazionein occasione dei successivi accertamenti clinici. Resta ferma l'operativitą delsistema che verrą adottato ai sensi del d.P.C.M. 6 maggio 2009 in materia dirilascio e di uso della casella di posta elettronica certificata assegnata aicittadini.

Per quanto riguarda la possibilitąper l'interessato di acconsentire alla comunicazione dei risultati diagnosticial medico curante o al MMG/PLS dallo stesso indicato, tale volontą dovrebbeessere manifestata di volta in volta. All'interessato dovrebbe, infatti, essereconcesso il diritto di non comunicare sistematicamente al medico curante tuttii risultati delle indagini cliniche effettuate, lasciandogli la possibilitą discegliere, di volta in volta, quali referti mettere a disposizione del propriomedico. Tale garanzia deve intendersi operante sia nel caso piĚ frequente incui l'interessato autorizzi la comunicazione del referto presso la casella diposta elettronica del medico curante, sia in quello in cui autorizzi lastruttura sanitaria a fornire le credenziali di autenticazione direttamente almedico, affinché quest'ultimo effettui il download del suo referto.

Nel caso di utilizzazione delservizio di avviso tramite sms della disponibilitą alla consultazione deireferti attraverso le modalitą sopra descritte, nel messaggio inviato dovrebbeessere data solo notizia della disponibilitą del referto e non anche deldettaglio della tipologia di accertamenti effettuati, del loro esito o dellecredenziali di autenticazione assegnate all'interessato (Cfr. successivo punto 6).

3. INFORMATIVA ECONSENSO


Per consentireall'interessato di esprimere scelte consapevoli in relazione al trattamento deipropri dati personali, il titolare del trattamento deve previamente fornirgliun'idonea informativa sulle caratteristiche del servizio di refertazioneon-line (artt. 13, 79 e 80 del Codice). Tale informativa, che potrebbe essere resa ancheunitamente a quella relativa al trattamento dei dati personali per finalitą dicura ma distinta da essa, deve indicare, con linguaggio semplice, tutti glielementi richiesti dall'art. 13 del Codice. In particolare, dovrebbe essereevidenziata la facoltativitą dell'adesione a tali servizi, aventi la finalitądi rendere piĚ rapidamente conoscibile all'interessato il risultato dell'esameclinico effettuato.

L'informativa deve renderenote all'interessato anche le modalitą attraverso le quali rivolgersi altitolare per esercitare i diritti di cui agli artt. 7 e ss. del Codice.

Al fine di assicurare unapiena comprensione degli elementi indicati nell'informativa, il titolaredovrebbe formare adeguatamente il personale coinvolto sugli aspetti rilevantidella disciplina sulla protezione dei dati personali, anche ai fini di un piĚefficace rapporto con gli interessati.

Dopo aver fornitol'informativa, il titolare del trattamento deve acquisire un autonomo especifico consenso dell'interessato a trattare i suoi dati personali, anchesanitari, attraverso le suddette modalitą di refertazione.

4. ARCHIVIO DEI REFERTI


In alcune delle iniziative direfertazione on-linein essere, Ź offerto all'interessato anche un servizio aggiuntivo, solitamentegratuito, consistente nella possibilitą di archiviare, presso la strutturasanitaria, tutti i referti effettuati nei laboratori della stessa. Il suddettoarchivio Ź generalmente consultabile on-line dall'interessato, il quale puė ancheeffettuare il downloaddei referti ivi raccolti.

Il titolare del trattamentoche intenda offrire all'interessato tale servizio di archiviazione Ź tenuto afornire allo stesso una specifica informativa ed ad acquisire un autonomoconsenso.

Tali archivi, raccogliendotutti i referti effettuati nel tempo dall'interessato ed essendo realizzatipresso un organismo sanitario in qualitą di unico titolare del trattamento(es., laboratorio di analisi, clinica privata), ricadono nella definizione di dossier sanitario, secondo quanto indicato nelProvvedimento del Garante del 5 marzo 2009, recante "Linee guida intema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario"(2). Ciė stante, il titolare del trattamentoche intenda offrire all'interessato la possibilitą di raccogliere i referti intali archivi dovrą tener conto delle garanzie –anche di sicurezza-individuate nel citato provvedimento per i dossier sanitari.

5. COMUNICAZIONEDEI DATI ALL'INTERESSATO


Secondo quantoprevisto dall'art. 84 del Codice, i dati personali inerenti allo stato disalute devono essere resi noti all'interessato solo per il tramite di un medicodesignato dallo stesso o dal titolare. Il secondo comma di tale disposizioneprevede che il titolare o il responsabile possano autorizzare per iscrittoesercenti le professioni sanitarie diversi dai medici, che nell'esercizio deipropri compiti intrattengono rapporti diretti con i pazienti e sono incaricatidi trattare dati personali idonei a rivelare lo stato di salute, a rendere notii medesimi dati all'interessato.

L'abilitazione all'accessodei suddetti sistemi di refertazione deve, pertanto, essere consentitaall'interessato nel rispetto delle cautele previste dalla disciplina di settoregią applicabili anche per il cartaceo e richiamate dal Garante nelprovvedimento generale del 2005(3). In particolare, nel caso di specie,l'intermediazione potrebbe essere soddisfatta accompagnando la comunicazionedel reperto con un giudizio scritto e la disponibilitą del medico a fornireulteriori indicazioni su richiesta dell'interessato.

I titolari del trattamento,nell'offrire tali servizi, dovrebbero tener conto delle disposizioni di settoreche prevedono -nella comunicazione dei referti e nella illustrazione del lorosignificato diagnostico- una specifica attivitą di consulenza da parte delpersonale medico (ad esempio, nel caso di indagini cliniche volte a rivelaredirettamente o indirettamente l'infezione da HIV(4)). La necessitą di assicurare unaconsulenza genetica appropriata nell'effettuazione di test genetici -anche prenatali- sembrerebbe, poi, far escludere la possibilitą di offriretali servizi di refertazione nel caso in cui l'interessato si sottoponga a taliindagini cliniche.

6. MISURE DISICUREZZA E TEMPI DI CONSERVAZIONE DEI DATI


La particolaredelicatezza dei dati personali trattati mediante i servizi di refertazione on-line impone l'adozione di specificiaccorgimenti tecnici per assicurare idonei livelli di sicurezza ai sensidell'art. 31 del Codice, ferme restando le misure minime che ciascun titolaredel trattamento deve comunque adottare ai sensi del Codice (artt. 33 e ss.) e, in particolare, laddoveapplicabili, quelle richieste dalla regola 24 del Disciplinare tecnico inmateria di misure minime di sicurezza, allegato B) al Codice, laddove per il trasferimentodi dati idonei a rivelare l'identitą genetica di un individuo viene richiestoil ricorso alla cifratura.

Per la consegna degli esitidell'attivitą diagnostica e di analisi biomedica si prospettano attualmente idue diversi scenari sopra descritti che pongono problemi di protezione dei datida affrontare con differenti approcci.

Scenario 1 – consultazioneon-line dei refertitramite servizi Webaccessibili da Internet.

Nel caso in cui il servizioche si intenda offrire consti nella possibilitą per l'interessato di collegarsial sito Internetdella struttura sanitaria che ha eseguito l'esame clinico, al fine dieffettuare la copia locale (download) o la visualizzazione interattiva del referto, dovrebberoessere adottate delle specifiche cautele quali:

1. protocolli dicomunicazione sicuri, basati sull'utilizzo di standard crittografici per la comunicazioneelettronica dei dati, con la certificazione digitale dell'identitą dei sistemiche erogano il servizio in rete (protocolli https ssl – Secure SocketLayer);

2. tecniche idonee adevitare la possibile acquisizione delle informazioni contenute nel fileelettronico nel caso di sua memorizzazione intermedia in sistemi di caching, locali o centralizzati, a seguito dellasua consultazione on-line;

3. l'utilizzo di idoneisistemi di autenticazione dell'interessato attraverso ordinarie credenziali o,preferibilmente, tramite procedure di strong authentication;

4. disponibilitąlimitata nel tempo del referto on-line (massimo 30 gg.);

5. possibilitą da partedell'utente di sottrarre alla visibilitą in modalitą on-line o di cancellare dal sistema diconsultazione, in modo complessivo o selettivo, i referti che lo riguardano.

Scenario 2 – spedizionedel referto tramite posta elettronica.

Qualora il titolare deltrattamento intenda inviare copia del referto alla casella di posta elettronicadell'interessato, a seguito di sua richiesta, per il referto prodotto informato digitale dovranno essere osservate le seguenti cautele:

1. spedizione delreferto in forma di allegato a un messaggio e-mail e non come testo compreso nella bodypart del messaggio;

2. il file contenente ilreferto dovrą essere protetto con modalitą idonee a impedire l'illecita ofortuita acquisizione delle informazioni trasmesse da parte di soggetti diversida quello cui sono destinati, che potranno consistere in una password per l'apertura del file o in una chiavecrittografica rese note agli interessati tramite canali di comunicazionedifferenti da quelli utilizzati per la spedizione dei referti (Cfr. regola 24del Disciplinare tecnico allegato B) al Codice). Tale cautela puė non essereosservata qualora l'interessato ne faccia espressa e consapevole richiesta, inquanto l'invio del referto alla casella di posta elettronica indicatadall'interessato non configura un trasferimento di dati sanitari tra diversititolari del trattamento, bensď una comunicazione di dati tra la strutturasanitaria e l'interessato effettuata su specifica richiesta di quest'ultimo;

3. convalida degliindirizzi e-mailtramite apposita procedura di verifica on-line, in modo da evitare la spedizione didocumenti elettronici, pur protetti con tecniche di cifratura, verso soggettidiversi dall'utente richiedente il servizio.

In ogni caso, per iltrattamento dei dati nell'ambito dell'erogazione del servizio on-line agli utenti dovrą essere garantita ladisponibilitą di:

1. idonei sistemi diautenticazione e di autorizzazione per gli incaricati in funzione dei ruoli edelle esigenze di accesso e trattamento (ad es., in relazione alla possibilitądi consultazione, modifica e integrazione dei dati), prevedendo il ricorso allastrong authenticationcon utilizzo di caratteristiche biometriche nel caso del trattamento di datiidonei a rivelare l'identitą genetica di un individuo;

2. separazione fisica ologica dei dati idonei a rivelare lo stato di salute e la vita sessuale daglialtri dati personali trattati per scopi amministrativo-contabili.

Il titolare del trattamentodovrebbe, inoltre, prevedere apposite procedure che rendano immediatamente nondisponibili per la consultazione on-line o interrompano la procedura di spedizione per postaelettronica dei referti relativi a un interessato che abbia comunicato il furtoo lo smarrimento delle proprie credenziali di autenticazione all'accesso alsistema di consultazione on-line o altre condizioni di possibile rischio per la riservatezza deipropri dati personali.

In ogni caso dovrebberoessere adottate tutte le misure di sicurezza necessarie per rispettare ildivieto di diffusione dei dati sanitari prescritto dal Codice (artt. 22,comma 8 e 26, comma 5).

 

NOTE                                    

1 Al riguardo, cfr. art. 5, comma 8, legge29 dicembre 1990, n. 407 e art. 4, comma 18, legge 30 dicembre 1991, n. 412.

2 Provvedimento pubblicato in G.U. n. 71del 26 marzo 2009.

3 Cfr. punto 4 del provvedimento delGarante del 9 novembre 2005 "Strutture sanitarie: rispetto della dignitą".
Cfr. art. 5, l. 5 giugno 1990, n.135, Relazione al parlamento sullo stato di attuazione delle strategie attivateper fronteggiare l’infezione da HIV nell’anno 2006, Ministero della salute,Dipartimento della prevenzione e della comunicazione, Direzione generale dellaprevenzione sanitaria e Manuale di informazioni pro-positive, a cura dellaConsulta del volontariato per i problemi dell'AIDS presso il Ministero dellasalute, in merito all’assistenza psicologica e alla consulenza specialisticaalle persone che hanno effettuato il test HIV.


4 Cfr. art. 12, Convenzione sui dirittidell'uomo e sulla biomedicina, Oviedo il 4 aprile 1997 e Autorizzazione altrattamento dei dati genetici del 22 febbraio 2007, pubblicata in G.U. n. 65del 19 marzo 2007, la cui efficacia Ź stata differita con provvedimento del 19 dicembre 2008 pubblicato in G.U. n. 15 del 20 gennaio2009.