|
Garante per la protezione dei dati personali Dematerializzazione della documentazione clinica PROVVEDIMENTO DEL 26 NOVEMBRE 2009 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale; Vista la richiesta di parere del Ministero del lavoro, della salute e delle politiche sociali; Visto l'art. 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); Vista la documentazione in atti; Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Giuseppe Fortunato; PREMESSO che: - il Ministero del lavoro, della salute e delle politiche sociali ha richiesto a questa Autorit il parere in ordine a uno schema di documento recante "Linee guida per la dematerializzazione della documentazione clinica in diagnostica per immagini" che ha l'obiettivo di fornire ai direttori generali, direttori sanitari, direttori/responsabili dei sistemi informativi e dei dipartimenti e U.O. di diagnostica per immagini, radiologia, medicina nucleare, le linee guida per poter gestire la documentazione clinica testuale e iconografica ottenuta direttamente in formato digitale, nel rispetto delle attuali normative; - nel documento sono analizzati i molteplici aspetti relativi alla de-materializzazione della documentazione clinica e individuate le soluzioni tecniche e organizzative ritenute pi idonee ad avviare tale processo in relazione alla diagnostica per immagini eseguita presso aziende sanitarie nell'ambito del Servizio sanitario nazionale; - nella descrizione delle peculiarit di tali soluzioni, il documento esamina in particolare i meccanismi realizzati al fine di garantire il rispetto dei requisiti di inalterabilit della documentazione clinica e di non ripudio della fonte; - la documentazione clinica prevalentemente costituita da referti medici, consistenti nella documentazione iconografica prodotta nell'ambito dell'indagine diagnostica e nei resoconti stilati da un medico specialista. Le due suddette componenti devono essere rese disponibili contestualmente, formando un'unica entit documentale; - sono distinte due modalit di conservazione: la prima, denominata archiviazione, effettuata per mezzo dei cosiddetti sistemi PACS (Picture Archiving and Communication Systems), ove la documentazione sottoposta ad un processo di classificazione mediante l'apposizione di un riferimento univoco generato dal sistema; la seconda, denominata di conservazione sostitutiva, pu essere effettuata mediante un sistema informatico o supporto fisico diverso dal PACS, al fine di arricchire il documento di informazioni di contesto attraverso l'uso di un titolario che consenta di garantire l'univoca identificazione del referto nel tempo, mediante un processo di protocollazione e fascicolazione in volumi che vengono firmati digitalmente. In questa seconda fase di archiviazione il documento non pertanto pi modificabile; - le modalit di conservazione individuate rispondono a due diverse finalit: una di carattere clinico e medico-legale, per consentire l'accesso a tutti gli approfondimenti diagnostici relativi a un paziente evitando di esporlo a ripetuti trattamenti sanitari o esposizioni radiologiche, e una di carattere storico, per effettuare analisi prevalentemente di tipo statistico. E' prevista una procedura di scarto dei documenti, qualora si verifichino due condizioni: l'esaurimento dell'utilit giuridico-amministrativa e la mancanza di un apprezzabile interesse ai fini della documentazione storica. Oggetto dello scarto non possono essere singoli documenti, ma loro aggregazioni, individuabili mediante il titolario con cui vengono creati i volumi di documenti nell'archivio storico; - al fine di garantire i requisiti di inalterabilit e di non ripudio realizzato un sistema articolato di firme digitali e marcature temporali, nel quale sono coinvolti diversi attori. Un primo controllo effettuato sulla validit del certificato contenuto nella smart card che abilita l'operatore sanitario alla firma digitale del referto. A seguito di questo controllo, una seconda autorit genera la chiave privata con cui verr firmato digitalmente il referto. Poich i due processi di verifica di validit del certificato e di generazione della chiave sono asincroni e indipendenti, per evitare che un certificato possa scadere o essere revocato mentre in corso la generazione della chiave privata di firma (processo che pu richiedere anche alcune ore), definito un ulteriore processo di verifica, detto di consolidamento, che effettua un controllo in ordine alla validit del certificato anche successivamente alla generazione della chiave privata, apponendo sul documento una marca temporale certa fornita da una Time Stamp Authority (TSA). Solo a seguito dell'esito positivo della fase di consolidamento, il documento memorizzato nel PACS; RILEVATO che: - le misure descritte nello schema di provvedimento offrono sufficienti garanzie per l'associazione di una fonte certa e di una marca temporale asseverabile al referto medico; inoltre, lo stesso meccanismo di firma digitale assicura l'inalterabilit nel tempo del referto. Tuttavia, con riferimento alle misure di sicurezza e pi in generale al rispetto delle norme del Codice in materia di protezione dei dati personali emergono talune criticit, che inducono a ritenere preferibile la previsione di taluni accorgimenti utili a garantire la massima sicurezza dei dati personali contenuti nella documentazione clinica; CONSIDERATO che: 1) definite le distinte finalit di natura clinica e medico-legale per il processo di archiviazione, e di natura storica per il processo di conservazione sostitutiva, si sottolinea la necessit di individuare distinte soluzioni tecniche anche per la memorizzazione dei dati. In particolare, venendo meno il requisito operativo corrente della fase clinica, e anche al fine di limitare i rischi di una diffusione incontrollata dei dati, pu essere indicata una conservazione in forma crittografata per la fase di archiviazione storica o, in alternativa, l'impiego in questa fase di forme di anonimizzazione dei dati identificativi. Inoltre, si richiama l'attenzione sulla creazione di profili differenziati per l'accesso ai due suddetti archivi e sulle necessarie procedure di autenticazione distinte per i vari profili individuati; 2) nei casi previsti in cui il procedimento di conservazione dei referti sia affidato da parte di un'azienda sanitaria ad un soggetto terzo, sia pubblico sia privato, quale responsabile del procedimento di conservazione sostitutiva (par. 8.2. penultimo periodo, del documento), si sottolinea la necessit di introdurre nelle linee-guida un richiamo all'esigenza di designare tale soggetto anche responsabile del trattamento dei dati specificando analiticamente, nell'atto di designazione, sia le modalit di conservazione dei documenti, sia le misure di sicurezza da adottare ai sensi del Codice e del relativo Disciplinare tecnico in materia di misure minime di sicurezza, di cui all'allegato B al medesimo Codice (art. 29 e artt. 31 e ss., d. lg. n. 196/2003); 3) opportuno evidenziare nelle linee-guida la necessit di sviluppare strumenti di audit ex post degli accessi agli archivi contenenti i referti, sia nella fase di memorizzazione PACS, sia in quella di archiviazione storica, definendo un processo di management dei log che sia in grado di rappresentare con completezza, per una determinata profondit temporale opportunamente commisurata alle esigenze di controllo sul corretto utilizzo della base di dati e degli accessi da parte del titolare del trattamento, l'insieme delle operazioni effettuate sui referti e di garantire l'inalterabilit dei log memorizzati; 4) appare utile individuare procedure tecnico-organizzative idonee a ridurre il pi possibile, nel processo di dematerializzazione dei referti, l'incidenza di operazioni manuali (es., l'associazione tra i resoconti del medico specialista e le immagini contenute nei referti, ovvero la titolazione dei volumi nella fase di archiviazione storica), in quanto caratterizzate da elevato tasso di errore; RITENUTO che: 5) per quanto concerne la previsione di un contributo a carico del richiedente copia di documentazione, nel caso di riversamento dei dati da supporto digitale a cartaceo, sia doveroso richiamare l'attenzione sul fatto che, in analoga materia, la normativa vigente non sembra ammettere tale possibilit. Il Codice in materia di protezione dei dati personali, infatti, nel disciplinare l'accesso ai dati personali, prevede un contributo solo quando i dati "figurano su uno speciale supporto del quale richiesta specificamente la riproduzione" sul presupposto che la soddisfazione di tale richiesta possa effettivamente comportare un costo considerevole per il titolare del trattamento (art. 10, commi 7 e 8 del Codice). Nel caso ipotizzato nelle linee guida, invece, il costo del supporto cartaceo evidentemente irrisorio come si ammette, peraltro, espressamente nello stesso documento (par. 9, penultimo periodo); IL GARANTE: per quanto sopra esposto, esprime parere favorevole sullo schema di documento recante "Linee guida per la dematerializzazione della documentazione clinica in diagnostica per immagini", alle seguenti condizioni: a) siano individuate, per la memorizzazione dei dati, distinte soluzioni tecniche in funzione delle peculiarit e delle esigenze di ciascuna fase operativa, indicando per la fase di archiviazione storica una conservazione in forma crittografata o, in alternativa, l'impiego di forme di anonimizzazione dei dati identificativi, e prevedendo altres la creazione di profili differenziati per l'accesso ai due suddetti archivi e le necessarie procedure di autenticazione distinte per i vari profili individuati (punto 1); b) nei casi in cui il procedimento di conservazione dei referti sia affidato da parte di un'azienda sanitaria a soggetti terzi, pubblici o privati, si preveda la necessit di specificare analiticamente, in sede di designazione del responsabile del trattamento, sia le modalit di conservazione dei documenti, sia le misure di sicurezza da adottare ai sensi del Codice (punto 2); c) si sancisca la necessit di sviluppare strumenti di audit ex post degli accessi agli archivi contenenti i referti, sia nella fase di memorizzazione PACS, sia in quella di archiviazione storica, definendo un processo di management dei log che sia in grado di rappresentare con completezza - per una determinata profondit temporale opportunamente commisurata alle esigenze di controllo sul corretto utilizzo della base di dati e degli accessi da parte del titolare del trattamento - l'insieme delle operazioni effettuate sui referti, nonch di garantire l'inalterabilit dei log memorizzati (punto 3); d) siano individuate procedure tecnico-organizzative idonee a ridurre il pi possibile, nel processo di dematerializzazione dei referti, l'incidenza di operazioni manuali, in quanto caratterizzate da elevato tasso di errore (punto 4); e con la seguente raccomandazione: e) valuti l'Amministrazione interessata l'opportunit di confermare o meno la previsione di un contributo a carico del richiedente copia di documentazione nel caso di riversamento dei dati da supporto digitale a cartaceo (punto 5). Roma, 26 novembre 2009 Il Presidente Il Relatore Il segretario generale |