Garante per la protezione
    dei dati personali


Dossier sanitario e trattamento deidati personali dei pazienti

PROVVEDIMENTO DEL 10 GENNAIO 2013

Registro dei provvedimenti
 n. 3 del 10 gennaio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

Vistala segnalazione anonima relativa al sistema informativo di archiviazione erefertazione delle prestazioni sanitarie erogate dagli ospedali della RegioneFriuli Venezia Giulia, denominato "G2";

Vistale richieste di informazioni in atti;

Vistigli atti dell'accertamento ispettivo effettuato presso l'Azienda ospedalierouniversitaria Ospedali Riuniti di Trieste il 29 e il 30 maggio 2012;

Vistala documentazione inviata dall'Azienda ospedaliero universitaria OspedaliRiuniti di Trieste;

Vistigli atti d'Ufficio;

Vistole "Linee guida in tema di Fascicolo sanitario elettronico (Fse) e didossier sanitario" adottate dal Garante con Provvedimento del 16 luglio2009 (G.U. n. 178 del 3 agosto 2009);

Vistele osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

Relatorela dott.ssa Augusta Iannini;

PREMESSO

E'pervenuta a questa Autorità una segnalazione nella quale si lamenta che ilsistema informativo di archiviazione e refertazione delle prestazioni sanitarieerogate dalle strutture sanitarie della Regione Friuli Venezia Giulia,denominato "G2", sarebbe stato strutturato in modo tale da consentirea ogni medico -inserendo un username ed una password- di accedere ai refertisia dei propri pazienti sia di qualsiasi altra persona che abbia effettuato unesame clinico presso la struttura sanitaria. L'accesso del medico sarebbepertanto indipendente dalla circostanza che le informazioni che può conosceresiano riferite a soggetti in cura presso lo stesso.

Aseguito della suddetta segnalazione, l'Ufficio ha richiesto informazioni allaAgenzia regionale di sanità con particolare riferimento alla possibilità diricondurre il suddetto sistema informativo "G2" al concetto di"Fascicolo sanitario elettronico (Fse)" indicato nel provvedimentodel Garante del 16 luglio 2009 concernente "Linee guida in tema diFascicolo sanitario elettronico (Fse) e di dossier sanitario" (di seguitoLinee guida Fse/dossier), e, conseguentemente, al rispetto nella suaimplementazione delle garanzie individuate nelle Linee guida citate.

Nellarisposta alla richiesta di informazioni, l'Agenzia ha affermato che nellaRegione Friuli Venezia Giulia non è stato ancora attivato il Fse e che tutte lestrutture sanitare regionali utilizzano un applicativo gestionaleinformatizzato denominato "G2". Da quanto emerge da tale risposta, ilsistema di gestione delle informazioni sanitarie dei pazienti gestito da taleapplicativo sarebbe riconducibile al concetto di dossier sanitario così comedescritto nelle citate Linee guida (nota n. sps/2012/0005435 del 19.3.2012).

L'AgenziaRegionale di Sanità nella suddetta risposta, fornendo solo brevi cenni diriscontro a quanto richiesto dall'Ufficio, riconosceva inoltre che "almomento i sistemi informatici già esistenti presentano alcune criticitàstrutturali".

Allaluce del suddetto riscontro fornito dall'Agenzia regionale di sanità, l'Ufficioprocedeva ad effettuare il 29 e il 30 maggio 2012 un accertamento ispettivopresso l'Azienda ospedaliero universitaria "Ospedali riuniti" diTrieste (di seguito AOUTS), volto a verificare se lo strumento di raccolta e digestione dei dati dei pazienti utilizzato dal suddetto Ospedale attraversol'applicativo "G2" -e riconducibile effettivamente al concetto di"dossier sanitario" secondo quanto indicato nelle richiamate Lineeguida- fosse conforme alla disciplina in materia di protezione dei datipersonali ed, in particolare, rispettasse le garanzie individuate nelle citateLinee guida.

Nelcorso dei suddetti accertamenti ispettivi è stato accertato che presso l'AOUTSsono in uso alcuni applicativi forniti da INSIEL -Informatica per il Sistemadegli Enti Locali S.p.A. (di seguito INSIEL) per la gestione amministrativa eclinica della documentazione sanitaria dei pazienti.

Inparticolare, è emerso che l'operatore sanitario, utilizzando gli applicativi"G2 clinico", "PSNET", "CARDIONET" ed altri, hala possibilità di accedere, con il profilo "operatore di repartoAORTS", alla documentazione clinica relativa a tutti gli episodi medicioccorsi ad un paziente all'interno del reparto in cui lo stesso svolge la suaattività professionale. Inoltre, l'operatore sanitario –attraverso l'usodi specifiche funzioni presenti in tali applicativi- ha la possibilità diaccedere anche ad un ulteriore applicativo denominato "Visualizzatorereferti" che consente allo stesso di visualizzare l'elenco di tutti gliepisodi medici occorsi allo stesso paziente all'interno dell'intera Aziendaospedaliera, nonché di tutti i relativi documenti clinici. Attraverso talesistema l'operatore sanitario ha inoltre la possibilità di visualizzare, e poiaccedere, alla documentazione clinica relativa a qualsiasi persona sia stata incura, anche in passato, presso l'AOUTS.

Comedescritto anche nel verbale delle operazioni compiute del 29 maggio u.s., isistemi sopra descritti costituiscono una implementazione di dossier sanitariosecondo la definizione resa nelle citate Linee guida Fse/dossier.

Nelcorso dei suddetti accertamenti è stato, inoltre, riscontrato che l'AOUTS nonha messo in atto specifiche procedure informatiche per limitare al solo medicoche ha in quel momento in cura il paziente l'accesso al dossier sanitario dellostesso per il tempo in cui si articola il percorso clinico (cfr. punto 5 dellecitate Linee guida). Tuttavia, l'AOUTS in passato ha dichiarato di aver fornitoistruzioni al personale affinché utilizzi tale strumento solo per porre inessere le necessarie attività di cura dei soggetti loro in carico (cfr. verbaledelle operazioni compiute il 29 maggio u.s.).

Nelcorso degli accertamenti ispettivi è emerso, inoltre, che, con delibera dellaGiunta regionale del Friuli Venezia Giulia n. 1259 del 7 aprile 2011, è statoapprovato il piano triennale regionale sull'informatica 2011-2013, in base alquale sono state predisposte delle bozze di informativa e di consensospecifiche sul dossier sanitario, così come previsto dalle citate Linee guidadel Garante. Tali modelli sarebbero dovuti essere utilizzati nei rapporti conl'utenza a partire dall'estate del 2012. Alla data degli accertamenti ispettiviè stato dichiarato che viene invece fornito agli interessati solo un modello diinformativa e di consenso predisposto dalla Regione Friuli Venezia Giulia sultrattamento dei dati sanitari effettuati dall'AOUTS che non contiene alcunriferimento al dossier sanitario (cfr. punto 8 delle citate Linee guida).

Nelcorso dei suddetti accertamenti ispettivi è risultato che tale dossiersanitario è stato realizzato per perseguire finalità di prevenzione, diagnosi ecura dell'interessato e quelle amministrative strettamente correlate alla cura.All'atto dell'accertamento ispettivo è stato dichiarato dal rappresentantedell'AOUTS che non vengono perseguite, attraverso tale strumento, finalità diricerca o di statistica.

Èpoi emerso che non sono previste specifiche modalità di oscuramento del datoclinico, come invece indicato dal Garante nelle citate Linee guida (cfr. punto3). Su richiesta dell'interessato può essere cancellato solo l'intero episodioclinico dal sistema, conservando il documento che lo contiene solo in formacartacea. Di tale opportunità non è fatta alcuna menzione nell'informativa resaall'interessato così come dichiarato all'atto degli accertamenti ispettivi.

E'stato riscontrato inoltre che, all'atto degli accertamenti ispettivi, ildossier sanitario viene alimentato automaticamente con tutte le informazionirelative anche agli episodi medici occorsi in passato all'interessato.

L'AOUTSha, inoltre, precisato che nel dossier sanitario non sono presenti datigenetici, informazioni relative all'eventuale stato di sieropositività,all'interruzione volontaria della gravidanza, alla circostanza che la donnaabbia scelto di partorire in anonimato, all'uso di sostanze stupefacenti e disostanze psicotrope, alle vittime di atti di violenza sessuale o di pedofilia,nonché a quelle attinenti ai servizi offerti dai consultori familiari. All'attodegli accertamenti ispettivi il suddetto dossier sanitario non contiene,inoltre, una sintesi dei rilevanti dati clinici dell'interessato da consultarein caso di emergenza.

Nelcorso dei suddetti accertamenti il rappresentante dell'AOUTS ha dichiarato che"un elemento di criticità nell'adeguamento alle linee guida del Garante(da parte dell'AOUTS) è legata alla presenza di diversi sistemi ed applicativiinformatici, sia di recente sviluppo ma prevalentemente rilasciati nel passato(anni '90), e sul ristretto margine di intervento di cui l'AOUTS disponerispetto all'aggiornamento ed allo sviluppo di tali applicativi" (v.verbale delle operazioni compiute del 29 maggio u.s.).

Altermine degli accertamenti ispettivi l'Ufficio ha, pertanto, ritenutonecessario acquisire ulteriori informazioni dalla Direzione centrale saluteintegrazione sociosanitaria e politiche sociali della Regione Friuli VeneziaGiulia e da INSIEL in ordine ai rapporti tra la AOUTS e le altre strutturesanitarie della Regione con INSIEL S.p.a. nella gestione della documentazioneclinica e amministrativa dei pazienti (v. la Deliberazione di generalità dellaGiunta regionale del 26 novembre 2008 n. 2623).

Dallarisposta fornita da INSIEL alla suddetta richiesta di informazioni è risultatoche detta società opera in qualità di società strumentale della Regionedeputata alle attività tecnologiche per il Sistema informativo elettronicoregionale (SIER). La società INSIEL è stata nominata dalle undici aziendesanitarie della Regione come responsabile del trattamento, ed in quanto tale"provvede ad eseguire le istruzioni che riceve espressamente dalle aziendesanitarie regionali" (cfr. risposta a richiesta di informazioni del 6luglio 2012). Nella suddetta risposta il Presidente di INSIEL dichiara inoltre che"è possibile apportare ai sistemi le modifiche necessarie per recepirequanto previsto nelle Linee guida del Garante privacy sia direttamente a curadelle Aziende sia tramite richiesta ad INSIEL", ricoprendo tale società"il ruolo di fornitore di manutenzione e assistenza sui propri prodottiimpiegati presso le strutture sanitarie regionali". In particolare, ilPresidente di INSIEL afferma che è possibile agire direttamente sugliapplicativi da parte delle aziende sanitarie "definendo i profili di autorizzazionee attribuendo le credenziali (Š), stabilendo le politiche di pubblicazione deidocumenti sul "visualizzatore referti"" scegliendo "il tipodi documenti da pubblicare (Š). Agendo mediante tali strumenti, le Aziendepossono operare in modo tale da consentire agli operatori sanitari lavisualizzazione dei soli documenti di stretta pertinenza del personale che hain cura il paziente (ad esempio, per i pazienti ricoverati è possibileimpostare dei percorsi di richiesta prestazioni e visualizzazione dei refertilimitati ai pazienti ricoverati in quel momento nel singolo reparto; è inoltre,possibile inserire dei filtri per non consentire la visualizzazione ad altrireparti o per non evidenziare particolari esami compiuti dal paziente, come adesempio gli accertamenti per l'HIV". Secondo quanto affermato dalPresidente di INSIEL "la decisione in ordine all'implementazione di talicriteri di autenticazione e autorizzazione per gli incaricati (Š) è lasciata adogni singola struttura sanitaria (Š). Il ruolo di INSIEL si configura qualesupporto nell'implementazione di tali scelte".

Inrelazione a quanto affermato dal Presidente di INSIEL, il Direttore centraledella Regione Friuli Venezia Giulia, con nota del 6 luglio 2012, in rispostaalla richiesta di informazioni dell'Ufficio, fa "proprie le risposteespresse da INSIEL", e fornisce ulteriori chiarimenti in ordine allemodalità di acquisizione del consenso informato da parte degli interessati. Inparticolare, il Direttore centrale della Regione ha dichiarato che, a seguitodell'approvazione del programma triennale per lo sviluppo dell'ICT,dell'e-goverment e delle infrastrutture telematiche 2012/2014, con delibere diGiunta regionale (n. 2178 del 18.11.2011 e n. 156 del 1.2.2012), la Direzioneregionale competente per la sanità ha delineato gli obiettivi prioritari disviluppo in ambito socio-sanitario tra i quali figura la previsione di"soluzioni informatiche per l'integrazione socio-sanitaria e la continuitàdella cura". Al fine di realizzare tale obiettivo, la Direzione competenteper la sanità si è prefissa come intento quello della "gestione delconsenso del cittadino e la conseguente visibilità del dato socio-sanitario suidiversi canali previsti". In attuazione di tale obiettivo, il Direttorecentrale della Regione dichiara che è stato "dato mandato di realizzare unnuovo strumento di raccolta del consenso strutturato, in sostituzionedell'attuale (Š) così come definito dalle Linee guida del Garante (Š).L'evoluzione di tale strumento prevede la gestione del consenso (compresol'oscuramento e l'oscuramento dell'oscuramento) fino al singolo episodio- cosìcome definito dal Garante della privacy. L'applicativo è al momento in collaudopresso l'Azienda ospedaliero universitaria di Trieste ed a breve verrà resodisponibile a tutte le aziende sanitarie pubbliche regionali". A tal fine,il 2 luglio 2012, la Regione Friuli Venezia Giulia ha predisposto per lestrutture sanitarie regionali delle "Linee generali di automazione-adeguamento Linee guida del Garante Privacy- gestione del consenso" in cuiè prevista la realizzazione del citato "nuovo strumento di raccolta delconsenso strutturato, in sostituzione dell'attuale".

Secondoquanto affermato dal Presidente di INSIEL e confermato dal Direttore centraledella Regione Friuli Venezia Giulia le strutture sanitarie regionali che hannoattualmente in uso i suddetti applicativi per l'accesso alla documentazioneclinica relativa agli episodi medici occorsi ad un paziente sono: l'Azienda peri servizi sanitari n. 1, l'Azienda per i servizi sanitari n. 2, l'Azienda per iservizi sanitari n. 3, l'Azienda per i servizi sanitari n. 4, l'Azienda per iservizi sanitari n. 5, l'Azienda per i servizi sanitari n. 6, l'Aziendaospedaliero universitaria S. Maria della Misericordia di Udine, l'Aziendaospedaliero universitaria ospedali riuniti di Trieste, l'Azienda ospedaliera S.Maria degli Angeli di Pordenone, l'IRCCS CRO di Aviano, l'IRCCS Burlo Garofalodi Trieste.

OSSERVA

1. Premessa.

Aseguito di consultazione pubblica, con provvedimento del 16 luglio 2009, ilGarante ha adottato le citate Linee guida FSe/dossier nelle quali è statoindividuato un quadro di cautele, al fine di delineare specifiche garanzie eresponsabilità, nonché misure ed accorgimenti necessari ed opportuni che lestrutture sanitarie devono porre a tutela dei cittadini, in relazione aitrattamenti di dati sanitari che li riguardano.

Nelsuddetto provvedimento, in mancanza allo stato di una definizione a livellonazionale di dossier sanitario, l'Autorità ha definito come tale quellostrumento contenente diverse informazioni inerenti allo stato di salute di unindividuo relative ad eventi clinici presenti e passati (es.: referti,documentazione relativa a ricoveri, accessi al pronto soccorso), volto adocumentarne la storia clinica. I dati personali sono collegati tra loro conmodalità informatiche di vario tipo che ne rendono, comunque, possibileun'agevole consultazione unitaria da parte dei diversi professionisti che prendononel tempo in cura l'interessato. Si intende, pertanto, per dossier sanitario lostrumento costituito presso un organismo sanitario in qualità di unico titolaredel trattamento (es. ospedale o clinica privata) utilizzato da parte deiprofessionisti operanti presso lo stesso.

2. Profili di criticità.

Diseguito sono indicate le specifiche garanzie previste dal Codice e individuatenelle citate Linee guida che, in base a quanto emerso dai descrittiaccertamenti ispettivi e dall'esame dei documenti in atti, non trovanoattuazione nel dossier sanitario in uso presso la AOUTS, sinteticamentericonducibili ai seguenti profili: l'informativa e il consensodell'interessato, l'accesso al dossier sanitario solo da parte del medico cheha in cura l'interessato, il diritto dell'interessato a richiederel'oscuramento di un singolo evento clinico presente nel dossier sanitario.

2.1 Informativa e consenso.

Comespecificato da questa Autorità nelle citate Linee guida Fse/dossier, iltrattamento dei dati personali effettuato mediante il dossier, perseguendo lemenzionate finalità di prevenzione, diagnosi, cura e riabilitazione, deveuniformarsi al principio di autodeterminazione (artt. 75 e ss. del Codice).All'interessato, infatti, deve essere consentito di scegliere, in piena libertà,se far costituire o meno un dossier sanitario con le informazioni cliniche chelo riguardano, garantendogli anche la possibilità che i dati sanitari restinodisponibili solo al professionista sanitario che li ha redatti, senza la loronecessaria inclusione in tale strumento (cfr. punti 3 e 8 delle citate Lineeguida).

Intale quadro il consenso, anche se manifestato unitamente a quello previsto peril trattamento dei dati a fini di cura, deve essere autonomo e specifico (cfr.artt. 23, comma 3  e 81 del Codice).

Ciòin quanto, il trattamento dei dati sanitari effettuato tramite il dossiercostituisce un trattamento ulteriore e -come tale- facoltativo rispetto a quelloeffettuato dal professionista sanitario con le informazioni acquisite inoccasione della cura del singolo evento clinico per il quale l'interessato sirivolge ad esso. In assenza del dossier sanitario, infatti, il professionistaavrebbe accesso alle sole informazioni fornite dal paziente e a quelleelaborate in relazione all'evento clinico per il quale il paziente si è recatopresso di lui; attraverso l'uso del dossier sanitario, invece, ilprofessionista pone in essere un ulteriore trattamento di dati sanitarimediante la consultazione delle informazioni elaborate nell'ambito dell'interastruttura sanitaria e non solo del suo reparto –da professionistidiversi- in occasione di altri eventi clinici occorsi in passatoall'interessato anche riferiti a patologie differenti rispetto a quella inrelazione alla quale l'interessato si è rivolto al professionista che effettual'accesso al dossier.

Essendola costituzione del dossier sanitario facoltativa per l'interessato, perconsentire a questo di esprimere scelte consapevoli, il titolare deltrattamento deve pertanto fornire previamente un'idonea informativa (artt. 13,79 e 80 del Codice), che deve contenere tutti gli elementi richiesti dall'art.13 del Codice (cfr. punto 8 delle citate Linee guida). In particolare, deveessere evidenziata l'intenzione di costituire un dossier sanitario il piùpossibile completo che documenti la storia sanitaria dell'interessato permigliorare il suo processo di cura (cfr. art. 76, comma 1, lett. a) delCodice). Deve essere illustrato all'interessato, infatti, che tale strumentopotrà essere utilizzato da tutti i professionisti che lo prenderanno in curaall'interno della struttura sanitaria al fine di valutare in modo più completoil suo stato di salute e, al tempo stesso, deve essere resa notaall'interessato anche l'ampia sfera conoscitiva che tale strumento può avere.L'interessato deve essere, poi, informato che l'eventuale mancato consensototale o parziale alla costituzione del dossier sanitario non incide sullapossibilità di accedere alle cure mediche richieste.

L'informativa,quindi, deve esplicitare all'interessato che, se acconsente al trattamento didati sanitari effettuato tramite il dossier, i professionisti sanitari (ad es.medici del reparto in cui è ricoverato, medici operanti in ambulatorio o alpronto soccorso) che lo prenderanno in cura possono accedere a tale strumento econsultare anche le informazioni sanitarie relative agli eventi clinici occorsiin passato allo stesso.

L'interessatodeve essere informato anche della circostanza che il dossier sanitario potrebbeessere consultato, anche senza il suo consenso, ma nel rispettodell'autorizzazione generale del Garante, qualora ciò sia ritenutoindispensabile per la salvaguardia della salute di un terzo o della collettività(art. 76 del Codice e Autorizzazione generale del Garante n. 2/2012 altrattamento dei dati idonei a rivelare lo stato di salute e la vita sessualedel 13 dicembre 2012).

L'informativadeve rendere note all'interessato anche le modalità attraverso le qualirivolgersi al titolare per esercitare i diritti di cui agli artt. 7 e ss. delCodice, come pure quelle per revocare il consenso all'implementazione del suodossier sanitario o per esercitare la facoltà di oscurare alcuni eventi cliniciche lo riguardano (cfr. successivo punto 2.3).

Incaso di revoca (liberamente manifestabile in qualsiasi momento) del consenso,il dossier sanitario non deve essere ulteriormente implementato. I documentisanitari presenti devono restare disponibili al professionista o alla strutturainterna al titolare che li ha redatti (es. informazioni relative a un ricoveroutilizzabili solo dal reparto di degenza) e per eventuali conservazioni perobbligo di legge (art. 22, comma 5, del Codice), ma non devono essere piùcondivisi da parte degli altri professionisti degli altri reparti cheprenderanno in cura l'interessato.

L'inserimentodelle informazioni relative ad eventi sanitari pregressi all'istituzione deldossier sanitario deve, inoltre, fondarsi sul consenso specifico ed informatodell'interessato, potendo quest'ultimo anche scegliere che le informazionisanitarie pregresse che lo riguardano non siano inserite in tale dossier.

Alladata degli accertamenti ispettivi- come risulta dal verbale delle operazionicompiute il 29 maggio u.s.- l'AOUTS, in qualità di titolare del trattamento,non ha fornito agli interessati alcuna informativa e non ha acquisito unospecifico consenso in merito al trattamento dei dati personali effettuatomediante il dossier sanitario in uso presso la stessa.

Secondoquanto indicato nel documento "Linee generali di automazione- adeguamentoLinee guida del Garante Privacy- gestione del consenso", emanato lo scorso2 luglio dalla Regione Friuli Venezia Giulia, è stata individuata una nuovaprocedura per la raccolta del consenso dell'interessato che prevede, tral'altro, una specifica manifestazione di volontà di questo con riferimento aldossier sanitario aziendale.

Pertanto,con riferimento ai trattamenti di dati personali effettuati dalla AOUTSmediante il suddetto dossier sanitario, si rileva che il trattamento non èlecito nella parte in cui prevede tale trattamento di dati senza aver fornitoagli interessati l'informativa e aver acquisito il loro consenso (art. 13, 23 e76 e ss. del Codice) e che, pertanto, i dati personali trattati dall'AOUTS contali strumenti non possono essere utilizzati (art. 11, comma 2, del Codice).

Pertanto,il Garante, al fine di rendere conforme il trattamento dei dati effettuatodall'AOUTS, in qualità di titolare del trattamento, attraverso lo strumento deldossier sanitario, ritiene necessario:

a)  vietarealla AOUTS di effettuare ulteriori trattamenti di dati personali dei pazientimediante lo strumento del dossier sanitario, in quanto tale trattamento è statoeffettuato senza aver fornito agli interessati un'idonea e preventivainformativa ai sensi dell'art. 13 del Codice e senza aver acquisito unospecifico consenso ai sensi degli artt. 23 e 76 e ss. del Codice (artt. 143,comma 1, lett. c) e 154, comma 1, lett. d);

b) prescriverealla AOUTS che i documenti sanitari attualmente trattati attraverso lostrumento del dossier sanitario restino disponibili solo al professionista oalla struttura interna al titolare che li ha redatti (es. informazioni relativea un ricovero utilizzabili dal reparto di degenza) e per eventualiconservazioni per obbligo di legge (art. 22, comma 5, del Codice), adottandoidonei accorgimenti anche tecnici affinché i medesimi documenti sanitari nonsiano più condivisi attraverso lo strumento del dossier sanitario con altriprofessionisti che hanno in cura l'interessato presso altri reparti, fino almomento in cui lo stesso esprima uno specifico consenso informato in ordine altrattamento dei suoi dati sanitari attraverso lo strumento del dossiersanitario (artt. 13 e 76 e artt. 143, comma 1, lett. b) e 154, comma 1, lett.c), del Codice);

c)  prescriverealla AOUTS di acquisire uno specifico consenso informato dell'interessato perutilizzare -attraverso lo strumento del dossier sanitario- anche leinformazioni sanitarie relative a eventi clinici pregressi ovvero occorsiall'interessato in periodi precedenti rispetto al momento in cui lostessoacconsente al trattamento dei suoi dati sanitari attraverso lo strumento deldossier sanitario (gestione del pregresso). Tale consenso può essere raccoltoanche unitamente a quello prescritto nella precedente lett. b) (artt. 143,comma 1, lett. b) e 154, comma 1, lett. c), del Codice).

L'Autoritàritiene inoltre necessario riservarsi di verificare, con autonomo procedimento,la sussistenza dei presupposti per contestare le violazioni delle disposizionidi cui agli artt. 13 e 23, del Codice e la conseguente applicazione dellesanzioni di cui agli artt. 161 e 162, comma 2-bis del Codice.

2.2 Accesso al dossier sanitario solo da parte del medico che hain cura l'interessato.

Nellecitate Linee guida Fse/dossier il Garante, con riferimento all'accesso ai daticontenuti nel dossier sanitario (cfr. punto 5 delle citate Linee guida), haritenuto che:

-   inrelazione alle finalità perseguite con la costituzione del dossier sanitario,l'accesso a tale strumento deve essere consentito solamente per fini diprevenzione, diagnosi e cura dell'interessato e unicamente da parte di soggettioperanti in ambito sanitario, con conseguente esclusione di periti, compagniedi assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche,organismi amministrativi anche operanti in ambito sanitario, nonché delpersonale medico che agisca nell'esercizio di attività medico-legali;

-   ildossier sanitario può essere consultato soltanto da tutti quegli esercenti laprofessione sanitaria che a vario titolo prenderanno in cura l'interessato,secondo modalità tecniche di autenticazione che consentano di autorizzarel'accesso al dossier sanitario da parte del medico che ha in cural'interessato;

-   ilpersonale amministrativo operante all'interno della struttura sanitaria in cuiviene utilizzato il dossier sanitario può, in qualità di incaricato deltrattamento, consultare solo le informazioni necessarie per assolvere allefunzioni amministrative cui è preposto e strettamente correlate all'erogazionedella prestazione sanitaria (ad es., il personale addetto alla prenotazione diesami diagnostici o visite specialistiche può consultare unicamente i soli datiindispensabili per la prenotazione stessa);

-   l'accessoal dossier sanitario deve essere sempre consentito al soggetto che ha redattoil documento con riferimento al documento medesimo;

-   l'accessoal dossier sanitario deve essere circoscritto al periodo di tempo indispensabileper espletare le operazioni di cura per le quali è abilitato il soggetto cheaccede. Ciò, comporta che i soggetti abilitati all'accesso devono poterconsultare esclusivamente i dossier sanitari riferiti alla persona cheassistono e per il periodo di tempo in cui si articola il percorso di cura peril quale l'interessato si è rivolto ad essi.

Dalladocumentazioni in atti risulta che tali cautele non siano state poste in esserenella loro interezza da parte dell'AOUTS. Infatti, alla data degli accertamentiispettivi- come risulta dal verbale delle operazioni compiute il 29 maggiou.s.- gli operatori sanitari dell'AOUTS, utilizzando alcuni applicativi in usopresso i reparti, avevano la possibilità di accedere alla documentazioneclinica relativa a tutti gli episodi medici occorsi ad un paziente all'internodel reparto in cui gli stessi svolgono la loro attività professionale, nonchéquella di accedere ad un ulteriore applicativo denominato "Visualizzatorereferti" che consente di visualizzare l'elenco di tutti gli episodi medicioccorsi al paziente all'interno dell'intera Azienda ospedaliera, nonché diprendere visione dei relativi documenti clinici. E' stato riscontrato inoltreche, attraverso tale sistema, l'operatore sanitario ha inoltre la possibilitàdi visualizzare, e poi accedere, alla documentazione clinica relativa aqualsiasi persona sia stata in cura, anche in passato, presso l'AOUTS.

Risulta,pertanto, che l'accesso al dossier sanitario dell'interessato non è limitato aisoli professionisti che hanno in cura l'interessato, potendo essere consultato,in ogni momento, da parte di tutti soggetti abilitati alla consultazione deidossier sanitari aziendali.

Secondoquanto affermato dal Presidente di INSIEL, e confermato dal Direttore centraledella Regione Friuli Venezia Giulia nella documentazione in atti, l'AOUTS, alpari delle altre strutture sanitarie che hanno i uso i suddetti applicativi, può"operare in modo tale da consentire agli operatori sanitari lavisualizzazione dei soli documenti di stretta pertinenza del personale che hain cura il paziente (ad esempio, per i pazienti ricoverati è possibileimpostare dei percorsi di richiesta prestazioni e visualizzazione dei refertilimitati ai pazienti ricoverati in quel momento nel singolo reparto)".

Pertanto,al fine di rendere conforme il trattamento dei dati effettuato dall'AOUTS, inqualità di titolare del trattamento, attraverso lo strumento del dossiersanitario, il Garante ritiene necessario prescrivere alla predetta Azienda dimettere in atto specifici accorgimenti –anche eventualmente avvalendosidel supporto tecnico fornito da INSIEL S.P.A.- che consentano ai soliprofessionisti sanitari che hanno in quel momento in cura il paziente (cheabbia già manifestato un consenso informato alla costituzione del dossier) diaccedere al suo dossier sanitario per il tempo in cui si articola il percorsodi cura. Tali accorgimenti devono essere adottati entro 6 mesi dalla data diricezione del presente provvedimento (artt. 143, comma 1, lett. b) e 154, comma1, lett. c), del Codice).

2.3 Oscuramento

IlGarante, nelle citate Linee guida Fse/dossier, ha ritenuto di dover introdurreun'importante garanzia a tutela della riservatezza dell'interessato che abbiascelto consapevolmente di far costituire un dossier sanitario sulla propriastoria clinica, consistente nella possibilità di oscurare alcuni eventi clinicipresenti in tale strumento (cfr. 3 delle citate Linee guida). Ferma restando,infatti, l'indubbia utilità di un dossier sanitario completo, il titolare deltrattamento deve garantire la possibilità per l'interessato di non farconfluire in esso alcune informazioni sanitarie relative a singoli eventiclinici (ad es., con riferimento all'esito di una specifica visitaspecialistica o alla prescrizione di un farmaco). Ciò, analogamente a quantoavviene nel rapporto paziente-medico curante, nel quale il primo può addivenirea una determinazione consapevole di non informare il secondo di certi eventi.

L'"oscuramento"dell'evento clinico (revocabile nel tempo) deve peraltro avvenire con modalitàtali da garantire che, almeno in prima battuta, tutti i soggetti abilitatiall'accesso non possano venire automaticamente a conoscenza del fatto chel'interessato ha effettuato tale scelta ("oscuramento dell'oscuramento").

Restaferma la possibilità per il titolare del trattamento di informare i soggettiabilitati ad accedere a tali strumenti che tutti i dossier sanitari cui hannoaccesso possono non essere completi, in quanto l'interessato potrebbe averesercitato il suddetto diritto di oscuramento.

Lapossibilità di richiedere l'oscuramento di uno o più eventi clinici da partedell'interessato non risulta essere consentita da parte dell'AOUTS neiconfronti dei dossier sanitari in uso presso l'Azienda.

Secondoquanto affermato dal Presidente di INSIEL, e confermato dal Direttore centraledella Regione Friuli Venezia Giulia nella documentazione in atti, è possibileinserire dei filtri nell'uso dei suddetti applicativi "per non consentirela visualizzazione ad altri reparti o per non evidenziare particolari esamicompiuti dal paziente, come ad esempio gli accertamenti per l'HIV". IlDirettore centrale della Regione Friuli Venezia Giulia ha poi confermato che"l'evoluzione (del nuovo strumento di raccolta del consenso) (Š) prevede la gestione del consenso (compreso l'oscuramento e l'oscuramentodell'oscuramento) fino al singolo episodio- così come definito dal Garantedella privacy.

Pertanto,al fine di rendere conforme il trattamento dei dati effettuato dall'AOUTS, inqualità di titolare del trattamento, attraverso lo strumento del dossiersanitario, il Garante ritiene necessario prescrivere alla predetta Azienda dimettere in atto specifici accorgimenti -anche eventualmente avvalendosi, anchein questo caso, del supporto tecnico fornito da INSIEL S.P.A.- che consentanoall'interessato di poter esprimere la volontà di oscurare nel proprio dossiersanitario singoli eventi clinici anche relativi al pregresso. Di tale dirittodeve essere fatta menzione nell'informativa resa ai sensi dell'art. 13 delCodice (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice).Tali accorgimenti devono essere messi in atto entro 3 mesi dalla data diricezione del predetto provvedimento.

TUTTO CIO' PREMESSO IL GARANTE

a)  rilevatal'illiceità del trattamento effettuato dall'AOUTS con riferimento alla mancanzadi non aver reso l'informativa e non aver acquisito il consensodell'interessato in relazione al trattamento effettuato tramite il dossiersanitario aziendale (artt. 13, 23 e 76 e ss. del Codice), vieta, ai sensi degliartt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, all'Aziendaospedaliero universitaria Ospedali Riuniti di Trieste di effettuare ulterioritrattamenti di dati personali dei pazienti mediante lo strumento del dossiersanitario aziendale;

b) aisensi dell'art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice,prescrive all'Azienda ospedaliero universitaria Ospedali Riuniti di Triestequali misure necessarie:

1.  chei documenti sanitari attualmente trattati attraverso lo strumento del dossiersanitario restino disponibili solo al professionista o alla struttura internaal titolare che li ha redatti (es. informazioni relative a un ricoveroutilizzabili dal reparto di degenza) e per eventuali conservazioni per obbligodi legge (art. 22, comma 5, del Codice), adottando idonei accorgimenti anchetecnici affinché i medesimi documenti sanitari non siano più condivisiattraverso lo strumento del dossier sanitario con altri professionisti checurino l'interessato presso altri reparti, fino al momento in cui lo stessoesprima uno specifico consenso (artt. 13 e 76 e ss. del Codice);

2.  diacquisire uno specifico consenso informato dell'interessato per utilizzare-attraverso lo strumento del dossier sanitario- anche le informazioni sanitarierelative a eventi clinici pregressi ovvero occorsi all'interessato in periodiprecedenti rispetto al momento in cui lo stesso acconsente al trattamento deisuoi dati sanitari attraverso lo strumento del dossier sanitario (gestione delpregresso). Tale consenso può essere raccolto anche unitamente a quelloprescritto nel precedente punto sub 1;

3.  dimettere in atto specifici accorgimenti –anche eventualmente avvalendosidel supporto tecnico fornito da INSIEL S.P.A.- che consentano ai soliprofessionisti sanitari che hanno in quel momento in cura il paziente (cheabbia già manifestato un consenso informato alla costituzione del dossier) diaccedere al suo dossier sanitario per il tempo in cui si articola il percorsodi cura. Tali accorgimenti devono essere adottati entro 6 mesi dalla data diricezione del predetto provvedimento;

4.  dimettere in atto specifici accorgimenti -anche eventualmente avvalendosi delsupporto tecnico fornito da INSIEL S.P.A.- che consentano all'interessato dipoter esprimere la volontà di oscurare nel proprio dossier sanitario singolieventi clinici anche relativi al pregresso. Di tale diritto deve essere fattamenzione nell'informativa resa ai sensi dell'art. 13 del Codice. Tali accorgimentidevono essere messi in atto entro 3 mesi dalla data di ricezione del predettoprovvedimento.

c)  aisensi dell'art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice,prescrive quale misura necessaria all'Azienda per i servizi sanitari n. 1,all'Azienda per i servizi sanitari n. 2, all'Azienda per i servizi sanitari n.3, all'Azienda per i servizi sanitari n. 4, all'Azienda per i servizi sanitarin. 5, all'Azienda per i servizi sanitari n. 6, all'Azienda ospedalierouniversitaria S. Maria della Misericordia di Udine, all'Azienda ospedaliera S.Maria degli Angeli di Pordenone, all'IRCCS CRO di Aviano, all'IRCCS BurloGarofalo di Trieste di rendere conforme -anche eventualmente avvalendosi delsupporto tecnico fornito da INSIEL S.P.A.- il trattamento dei dati personalieffettuato attraverso gli applicativi in uso presso gli stessi alle prescrizionicontenute nella lettera b) del presente provvedimento entro i termini indicatinella medesima lettera.

d) aisensi dell'art. 157 del Codice, prescrive all'Azienda ospedaliero universitariaOspedali Riuniti di Trieste, all'Azienda per i servizi sanitari n. 1,all'Azienda per i servizi sanitari n. 2, all'Azienda per i servizi sanitari n.3, all'Azienda per i servizi sanitari n. 4, all'Azienda per i servizi sanitarin. 5, all'Azienda per i servizi sanitari n. 6, all'Azienda ospedalierouniversitaria S. Maria della Misericordia di Udine, all'Azienda ospedaliera S.Maria degli Angeli di Pordenone, all'IRCCS CRO di Aviano, all'IRCCS BurloGarofalo di Trieste di dare riscontro a questa Autorità dell'avvenuta adozionedelle prescrizioni di cui alle lettere b) e c) del presente provvedimentocontestualmente alla loro adozione.

Aisensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'Autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 10 gennaio 2013

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia