Garante per la protezione
    dei dati personali

vedi: Newsletter del 28 novembre 2014

 

Dossier sanitario elettronico e privacy dei pazienti

PROVVEDIMENTO DEL 23 OTTOBRE 2014

Registrodei provvedimenti
 n. 468 del 23 ottobre 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTO ilCodice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n.196), di seguito "Codice";

VISTA lesegnalazioni ricevute concernenti il sistema informativo di archiviazione erefertazione delle prestazioni sanitarie erogate dall'Azienda ospedalierouniversitaria S. Orsola Malpighi di Bologna;

VISTIgli atti dell'accertamento ispettivo effettuato presso l'Azienda ospedalierouniversitaria S. Orsola Malpighi di Bologna il 27 e il 28 maggio 2014;

VISTA ladocumentazione inviata dall'Azienda ospedaliero Universitaria S. OrsolaMalpighi di Bologna a seguito del suddetto accertamento ispettivo;

VISTO le"Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossiersanitario" adottate dal Garante con Provvedimento del 16 luglio 2009 (G.U.n. 178 del 3 agosto 2009);

VISTOl'articolo 12 (Fascicolo sanitario elettronico e sistemi di sorveglianza nelsettore sanitario) del decreto legge 18 ottobre 2012 n. 179, convertito, conmodificazioni, dall'art. 1, comma 1, legge 17 dicembre 2012, n. 221;

VISTIgli atti d'Ufficio;

VISTE leosservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREla dott.ssa Augusta Iannini;

PREMESSO

Sonopervenute a questa Autorità alcune segnalazioni nelle quali si lamenta unpresunta violazione della disciplina in materia di protezione dei datipersonali relativamente alle modalità di funzionamento del sistema informativodi archiviazione e refertazione delle prestazioni sanitarie erogatedall'Azienda ospedaliero universitaria S. Orsola Malpighi di Bologna. Piùprecisamente, nelle segnalazioni si lamenta che l'applicativo in uso presso idiversi dipartimenti dell'Azienda sarebbe stato configurato in modo tale daconsentire a ogni medico di accedere non solo ai referti dei propri pazienti,ma anche a quelli di qualsiasi altra persona che abbia effettuato un esameclinico presso la struttura sanitaria. L'accesso del personale sanitarioautorizzato sarebbe, pertanto, indipendente dalla circostanza che leinformazioni che questi possono conoscere siano riferite a soggetti dagli stessiassistiti.

Inalcune delle segnalazioni ricevute, inoltre, si lamenta, più genericamente, cheapplicativi configurati in modo analogo a quello in uso presso l'Aziendaospedaliero universitaria S. Orsola Malpighi siano impiegati anche presso altrestrutture sanitarie del Servizio Sanitario della Regione Emilia Romagna.

Aseguito delle suddette segnalazioni, l'Ufficio ha effettuato in data 27 e 28maggio 2014 un accertamento ispettivo presso l'Azienda ospedalierouniversitaria S. Orsola Malpighi di Bologna (di seguito AOSP), volto averificare l'osservanza delle disposizioni in materia di protezione dei datipersonali, con particolare riferimento a quanto indicato nelle richiamate Lineeguida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario.

Nelcorso del suddetto accertamento ispettivo è stata verificata la riconducibilitàal concetto di "dossier sanitario" -definito nelle richiamate Lineeguida- dello strumento di raccolta e di gestione dei dati dei pazientiutilizzato dalla suddetta Azienda attraverso l'applicativo aziendale denominato"Galileo" e sono stati, quindi, acquisiti elementi in merito allaconformità dei trattamenti effettuati attraverso il dossier alla disciplina inmateria di protezione dei dati personali, con particolare riferimento alrispetto delle garanzie individuate nelle citate Linee guida.

Nelcorso del suddetto intervento ispettivo è stato accertato che il dossiersanitario aziendale è utilizzato esclusivamente quale repository unico,abilitato, in sola lettura, per la ricerca di informazioni sanitarie deipazienti ed alimentato dagli applicativi dipartimentali dell'Accettazione,Dimissioni e Trasferimenti (ADT a far data dal 2004), del laboratorio dianalisi (a far data dal 2000), dell'anatomia patologica (a far data dal 2000),della radiologia (a far data dal 2004), del laboratorio di emodinamica (a fardata dal 2013), della specialistica ambulatoriale (a far data dal 2013), delregistro operatorio (a far data dal 2013) e dei verbali di pronto soccorso (afar data dal 2013). Secondo quanto dichiarato in atti, il dossier sanitario ègestito dall'AOSP tramite l'applicativo Galileo, prodotto dalla societàNoemaLife S.p.A., scelto in via autonoma dall'Azienda a seguito di unaprocedura ad evidenza pubblica.

Durante ilsuddetto accertamento ispettivo è emerso che il trattamento di dati personalieffettuato mediante il dossier sanitario, di cui è titolare l'AOSP, perseguefinalità di cura e alcune finalità amministrative strettamente correlate allacura dell'interessato.

Secondoquanto dichiarato nel corso delle attività ispettive, l'interessato esprime unconsenso per i trattamenti di dati personali effettuati dall'AOSP per finalitàdi cura sulla base di una informativa che non contiene uno specificoriferimento al suddetto dossier sanitario. Dalla documentazione in atti risultache a tali dossier aziendali sono autorizzati ad accedere 1377 utenti circa,ovvero tutto il personale medico dell'AOSP ed alcuni infermieri didipartimento. L'Azienda, in sede di configurazione dell'applicativo Galileo, haprevisto nei confronti di tali utenti un unico profilo di autorizzazione.

All'attodegli accertamenti ispettivi non sono state riscontrate specifiche procedureinformatiche che consentissero al solo personale sanitario coinvolto nelprocesso di cura del paziente di accedere al relativo dossier per il tempostrettamente necessario alla cura. L'utente autorizzato può, infatti,consultare e stampare, senza alcuna limitazione, tutti i dati sanitari presentinel dossier, indipendentemente dal fatto che il paziente sia assistito dallostesso, ovvero stia, al momento dell'accesso, usufruendo di una prestazionesanitaria in regime ambulatoriale o di ricovero presso l'Azienda.

L'utenteper accedere all'applicativo Galileo deve inserire delle credenziali diautenticazione consistenti in un username e una password. L'applicativo in usopresso l'AOSP è stato configurato in modo tale che, una volta effettuatol'accesso, l'utente possa effettuare delle ricerche attraverso le funzioni"nuova ricerca" e "ricerca paziente". Per effettuare taliricerche non è necessario inserire il nome e il cognome del paziente; durantegli accertamenti ispettivi è stato constatato, infatti, che l'applicativo èstato configurato in modo tale che si possano interrogare i dossier aziendaliinserendo anche porzioni di nome e cognome, date di nascita ovvero solo un CAPdi residenza.

Secondoquanto dichiarato in atti, i dossier sanitari "inseriti in Galileo a decorreredal 2003" sono "n. 1.074.899"; in alcuni dossier sono presentiinformazioni cliniche relative a prestazioni sanitarie erogate dall'AOSP sindal 2000.

All'attodell'accertamento ispettivo, l'utente autorizzato poteva consultare, attraversoil dossier, anche informazioni relative ad aspetti molto delicati della sferaprivata dell'individuo, quali, ad esempio, quelle connesse agli accertamentisullo stato di sieropositività, sull'uso di sostanze stupefacenti, di sostanzepsicotrope e di alcool o agli interventi di interruzione volontaria dellagravidanza, in ordine alle quali il Garante ha posto -nelle citate Linee guida-specifiche disposizioni a tutela della riservatezza e della dignità personaledell'interessato (Cfr. punto 5 delle predette Linee Guida).

Daquanto dichiarato in atti è emerso, inoltre, che non essendo stato richiestouno specifico consenso all'interessato per la costituzione del relativo dossiersanitario non è stata comunicata allo stesso la possibilità di oscurare talunidati ivi presenti. L'applicativo Galileo, tuttavia, è stato correttamenteconfigurato in modo tale da consentire l'oscuramento del dato anche con modalitàtali da garantire che i soggetti abilitati all'accesso non possano venireautomaticamente a conoscenza di tale scelta (oscuramento dell'oscuramento; Cfr.punto 3 delle citate Linee guida).
Da alcune ricerche effettuatedall'Ufficio è emerso, poi, che anche presso altre aziende del ServizioSanitario della Regione Emilia Romagna i dossier sanitari aziendali sonogestiti attraverso l'applicativo Galileo.

Aseguito del richiamato accertamento ispettivo, l'AOSP ha inviato ulterioridocumenti e ha comunicato che, a seguito della suddetta attività ispettiva,l'Azienda ha subito intrapreso azioni "per l'adeguamento degli applicativiinformatici aziendali (compreso GALILEO) agli adempimenti in materia diprotezione dei dati personali" anche attraverso talune modificheconcordate con la ditta fornitrice. In particolare, subito dopo l'attivitàispettiva è stata introdotta una limitazione alla "possibilità di ricercapaziente" in Galileo. A seguito di tale modifica, l'AOSP ha ritenuto diorientare la propria scelta affinché la ricerca del paziente da partedell'operatore autorizzato non possa più essere effettuata con le modalitàrilevate durante l'ispezione, bensì "solamente inserendo i 3 campiobbligatori: nome, cognome e data di nascita" del paziente in cura.

Alriguardo, l'Azienda ha prodotto una relazione sulla "Gestione delletematiche relative alla privacy su Galileo" in cui evidenzia di aver giàprovveduto a modificare le categorie di soggetti che possono accedere aldossier, specificando altresì che, "entro marzo 2015", tale"abilitazione (Š) sarà data esclusivamente al personale medico". Aseguito dell'ispezione avvenuta sono stati disattivati tutti i profili diversida quello medico". È stato rappresentato, poi, che "l'accesso delpersonale con funzioni amministrative è strettamente limitato ai casi in cui illoro supporto è correlato ad attività di sola consultazione, indispensabile perrispondere ai vari adempimenti amministrativi/giudiziari in capo alle AziendeSanitarie (Š), curate dal personale afferente all'Ufficio Privacy. Taliabilitazioni saranno concesse per un periodo di tempo limitato e compatibilecon l'attività da svolgere (periodo massimo consentito 24 ore, eventualmenterinnovabile)" Tale ultima abilitazione è prevista comunque solo per"3 professionisti".

Secondoquanto dichiarato in atti, dopo "un'attenta analisi dei profiliabilitativi", l'Azienda ha ridotto il numero di soggetti autorizzati adaccedere all'applicativo Galileo "passando da n. 1377 utenti a n.1123" utenti medici.

Conriferimento all'acquisizione del consenso, nella documentazione inviata,l'Azienda ha rappresentato che "il consenso verrà acquisito tramite unamaschera dedicata che consentirà di esprimere i tre seguenti valori: NO: non siconcede il consenso alla costituzione del dossier; SI: si concede il consensoalla costituzione ed alla consultazione del dossier; SI CON PREGRESSO: siconcede il consenso alla costituzione ed alla consultazione del dossier ancheper lo storico". L'AOSP ha, inoltre, inviato una bozza del modello di"informativa e consenso in materia di protezione dei dati personalinell'ambito del dossier sanitario elettronico" che prevede di utilizzare apartire da "gennaio 2015".

Con lamedesima nota l'Azienda ha comunicato di aver migliorato le modalità per ilcorretto esercizio del diritto di oscuramento con riferimento ai dati personalipresenti nel dossier sanitario. Al riguardo, l'AOSP ha precisato che"l'oscuramento dell'evento e dei relativi referti (Š) viene esercitatodall'interessato all'atto della prestazione sanitaria ed quindi inserito dalmedico oppure successivamente mediante richiesta all'Ufficio Privacy. Alpaziente che ne fa richiesta si garantisce l'oscuramento della visualizzazionesia dei riferimenti dell'episodio, sia dei dati clinici relativi aquest'ultimo. L'oscuramento degli eventi e dei referti richiesto in fase dierogazione della prestazione sanitaria verrà registrato su ogni dipartimentaleed inviato a Galileo insieme ai referti/risultati. Galileo acquisirà leinformazioni, ma le renderà oscurate automaticamente". Secondo quantoaffermato dall'AOSP, tale garanzia sarà implementata "entro marzo2015".

L'Aziendaha, inoltre, rappresentato di aver deciso che i dati personali relativi agliaccertamenti dello stato di sieropositività, al parto in anonimato eall'interruzione volontaria di gravidanza e la relativa documentazione nonsaranno "inviat(i) a Galileo e su questo non sarà registrato l'eventorelativo". L'Azienda ha, poi, precisato che sarà "data facoltàall'interessato di decidere autonomamente con specifica manifestazione divolontà se inserire o meno" nel relativo dossier le informazioni raccoltein occasione di prestazioni sanitarie rese a "vittime di atti di violenzasessuale o pedofilia (Š) o di chi fa uso di sostanze stupefacenti, di sostanzepsicotrope e di alcool".

L'Azienda,nella documentazione in atti, ha rappresentato di aver già individuato lemodifiche necessarie per garantire che abbia accesso al dossier sanitario soloil personale medico che ha in cura l'interessato e che intende porle in essere"entro marzo 2015". In tal senso, l'AOSP ha dichiarato di averindividuato le tre seguenti ipotesi di accesso al dossier sanitario:

-      "Caso di accessoambulatoriale: il medico accede al dossier sanitario del paziente che ha incarico mediante un collegamento disponibile sugli applicativi ambulatoriali osui dipartimentali ad esso connesso. Tale link sarà attivo in base allo statodella richiesta che dovrà essere: accettato, in corso, refertatoprovvisoriamente. Il link a Galileo, e quindi l'accesso al dossier, saràdisabilitato all'atto della validazione del referto. L'accesso a Galileoconsentirà la visualizzazione della documentazione del solo paziente in carico,escludendo una visualizzazione totale sui pazienti;

-      Caso di paziente inregime di ricovero: il medico accede al dossier sanitario del paziente medianteun collegamento disponibile sull'applicativo di ricovero (ADT). Tale link saràattivo nelle fasi di pre-ricovero, ricovero e post ricovero (la durata delperiodo di post ricovero sarà definito sulla base della specialità clinica diinteresse);

-      Caso di accesso diretto:"dopo l'autenticazione, con la propria utenza, il medico può accedere aidati clinici del paziente solo tramite la maschera di ricerca anagrafica (nome –cognome – data di nascita obbligatori). Alla selezione del paziente eprima di aprire la posizione verrà richiesto all'utente di esprimere unamotivazione per la quale deve avere accesso alle informazioni cliniche. Lamaschera di accesso prevede le seguenti motivazioni: dichiaro sotto la miaresponsabilità di avere diritto a proseguire nella visualizzazione dei dati perattività di: Prevenzione/diagnosi/cura/riabilitazione su paziente in carico manon registrato nei percorsi informatizzati previsti; Critical review peranalisi ed eventuale miglioramento percorsi di cura; Processo diprelievi/trapianto".

L'Aziendaha, poi, previsto di definire "entro marzo 2015" l'implementazionedelle "attività di verifica e controllo accessi". In tal senso, entrotale data, "saranno tracciate le operazioni di: lettura; salvataggio;modifica; cancellazione delle entità base di Galileo (paziente, episodio,richiesta, documentoŠŠ) oltre al login degli utenti. Per ogni operazione vienegenerato un record contenente tutte le informazioni sull'utenza, sullapostazione dai cui si ha avuto accesso e tutte le operazioni eseguite. Verrannoeffettuate verifiche sull'accesso a Galileo in modalità diretta al fine divalutarne il corretto utilizzo. Inoltre l'attività di controllo e verifica (Š)che verrà svolta in modo sistematico sugli accessi e su tutte le operazionesvolte in Galileo consentirà una puntuale analisi delle eventuali anomaliesull'utilizzo con successivi provvedimenti disciplinari/sanzionatori in capo aiprofessionisti in caso di utilizzo improprio".

L'AOSPha, infine, illustrato di aver avviato un progetto formativo dedicato al temadel dossier sanitario, al fine di sensibilizzare tutto il personale ad uncorretta gestione dei dati personali dei pazienti.

OSSERVA

1.Premessa.

Latematica del trattamento di dati personali nell'ambito dei dossier istituitidalle strutture sanitarie è stata affrontata dall'Autorità sin dal 2009 con ilcitato provvedimento del 16 luglio adottato a seguito di una consultazionepubblica.
In tale provvedimento è stato individuato un quadro di cautele,al fine di delineare specifiche garanzie e responsabilità, nonché misure edaccorgimenti necessari ed opportuni che le strutture sanitarie devono porre atutela dei pazienti, in relazione ai trattamenti di dati sanitari che liriguardano effettuati mediante i dossier sanitari.
Nel suddetto provvedimento,in mancanza di una definizione a livello nazionale di dossier sanitario,l'Autorità ha descritto come tale quello strumento contenente informazioniinerenti allo stato di salute di un individuo relative ad eventi clinicipresenti e passati (es.: referti, documentazione relativa a ricoveri, accessial pronto soccorso), volto a documentarne la storia clinica. I dati personalisono collegati tra loro con modalità informatiche di vario tipo che ne rendono,comunque, possibile un'agevole consultazione unitaria da parte dei diversiprofessionisti che prendono nel tempo in cura l'interessato. Si intende,pertanto, per dossier sanitario lo strumento costituito presso un organismosanitario in qualità di unico titolare del trattamento (es. azienda sanitaria)utilizzato da parte dei professionisti operanti presso lo stesso.

Ildossier sanitario differisce dal Fascicolo sanitario elettronico (FSE) inquanto quest'ultimo, secondo la definizione recentemente resa dal legislatore, èl'insieme dei dati e documenti digitali di tipo sanitario e socio-sanitariogenerati da eventi clinici presenti e trascorsi relativi a prestazionisanitarie erogate non da un unico titolare del trattamento (ad es. aziendasanitaria, ospedale), bensì da tutte le strutture sanitarie del Serviziosanitario nazionale e dei servizi socio-sanitari regionali (Cfr. art. 12, D.L.18 ottobre 2012, n. 179, convertito, con modificazioni, dall'art. 1, comma 1,L. 17 dicembre 2012, n. 221).

Recentemente,l'Autorità ha adottato due provvedimenti in cui ha prescritto alle strutturesanitarie, in qualità di titolari del trattamento, di adottare una serie dimisure e accorgimenti necessari al fine di rendere conforme al Codice iltrattamento dei dati personali effettuato attraverso i dossier sanitariaziendali: provvedimenti del 10 gennaio 2013 e del 3 luglio 2014.

2.Profili di criticità.

In basea quanto emerso nel corso del richiamato accertamento ispettivo e dall'esamedella documentazione in atti, alcune delle specifiche garanzie previste dalCodice e individuate nelle citate Linee guida non trovano attuazione conriferimento al trattamento dei dati personali effettuato attraverso i dossiersanitari attualmente in uso presso l'AOSP. Tali criticità sono sinteticamentericonducibili ai seguenti profili: l'informativa al trattamento dei datipersonali effettuato tramite il dossier sanitario aziendale e il relativoconsenso dell'interessato, l'accesso al dossier sanitario solo da parte delpersonale sanitario che assiste l'interessato e il diritto di quest'ultimo arichiedere l'oscuramento dei dati personali relativi ad un evento clinicoconsultabile attraverso il dossier sanitario.

L'Autoritàprende atto, tuttavia, che subito dopo il predetto accertamento ispettivo,l'Azienda ha avviato un "processo organizzativo evolutivo di miglioramentonell'ambito del trattamento dei dati personali" effettuato tramite ildossier sanitario aziendale, al fine di renderlo conforme alla normativavigente, individuando anche una tempistica entro la quale porre in essere lefasi del suddetto processo.

2.1Informativa e consenso.

Come specificatoda questa Autorità nelle citate Linee guida del 2009, il trattamento dei datipersonali effettuato mediante il dossier, perseguendo le menzionate finalità diprevenzione, diagnosi, cura e riabilitazione, deve uniformarsi al principio diautodeterminazione (artt. 75 e ss. del Codice).

Alriguardo, l'Autorità ha stabilito che:

-       all'interessatodeve essere consentito di scegliere, in piena libertà, se far costituire o menoun dossier sanitario con le informazioni cliniche che lo riguardano;garantendogli anche la possibilità che i dati sanitari restino comunque sempredisponibili al professionista sanitario che li ha raccolti ed elaborati, senzala loro necessaria inclusione nel dossier sanitario (cfr. punti 3 e 8 dellecitate Linee guida);

-       il consenso,anche se manifestato unitamente a quello previsto per il trattamento dei dati afini di cura, deve essere autonomo e specifico (cfr. artt. 23, comma 3 e 81 delCodice). Ciò in quanto, il trattamento dei dati sanitari effettuato tramite ildossier costituisce un trattamento ulteriore e -come tale- facoltativo rispettoa quello effettuato dal professionista sanitario con le informazioni acquisitein occasione della cura del singolo evento clinico per il quale l'interessatosi rivolge ad esso. In assenza del dossier sanitario, infatti, ilprofessionista avrebbe accesso alle sole informazioni fornite dal paziente e aquelle elaborate in relazione all'evento clinico per il quale il paziente si èrecato presso di lui; attraverso l'uso del dossier sanitario, invece, ilprofessionista pone in essere un ulteriore trattamento di dati sanitarimediante la consultazione delle informazioni trattate nell'ambito dell'interastruttura sanitaria e non solo del suo reparto –da professionistidiversi- in occasione di altri eventi clinici occorsi in passatoall'interessato, anche riferiti a patologie differenti rispetto a quella inrelazione alla quale l'interessato si è rivolto al professionista che lo ha incura;

-       il titolare deltrattamento deve fornire previamente un'idonea informativa (artt. 13, 79 e 80del Codice), che deve contenere tutti gli elementi richiesti dall'art. 13 delCodice (cfr. punto 8 delle citate Linee guida). In particolare, deve essereevidenziata l'intenzione di costituire un dossier sanitario (il più possibilecompleto) che documenti la storia clinica dell'interessato per migliorare ilsuo processo di cura (cfr. art. 76, comma 1, lett. a) del Codice). Deve essereillustrato all'interessato, infatti, che tale strumento, una volta che siastato costituito con il suo consenso, potrà essere utilizzato da tutti iprofessionisti che lo prenderanno in cura all'interno della strutturasanitaria, al fine di valutare in modo più completo il suo stato di salute.Tale strumento potrà essere, infatti, consultato nella sua interezza da partedi tutto il personale sanitario che fornirà nel tempo assistenza allo stesso.L'interessato deve essere, poi, informato che l'eventuale mancato consenso allacostituzione del dossier non incide sulla possibilità di accedere alle curemediche richieste;

-       il titolare deverendere note all'interessato anche le modalità attraverso le quali rivolgersiallo stesso per esercitare i diritti di cui agli artt. 7 e ss. del Codice, comepure quelle per revocare il consenso espresso in merito alla costituzione deldossier o per esercitare la facoltà di oscurare alcuni eventi clinici che loriguardano (cfr. successivo punto 2.3); in caso di revoca del consenso(liberamente manifestabile in qualsiasi momento), il dossier non deve essereulteriormente alimentato. I documenti sanitari presenti restano disponibili alprofessionista o alla struttura interna al titolare che li ha raccolti odelaborati (es. informazioni relative a un ricovero utilizzabili solo dalreparto/dipartimento di degenza) e per eventuali conservazioni per obbligo dilegge (art. 22, comma 5, del Codice), ma non saranno più condivisi da partedegli altri professionisti degli altri reparti/dipartimenti che prenderanno incura l'interessato;

-       l'inserimentodelle informazioni relative ad eventi sanitari pregressi all'istituzione deldossier deve, inoltre, fondarsi sul consenso specifico ed informatodell'interessato, potendo quest'ultimo anche scegliere che le informazionisanitarie pregresse che lo riguardano non vi siano inserite;

-       qualora neldossier siano inserite anche informazioni relative a prestazioni sanitarieofferte a soggetti nei cui confronti l'ordinamento vigente ha posto specifichedisposizioni a tutela della loro riservatezza e dignità personale (atti diviolenza sessuale o di pedofilia, persone sieropositive o che fanno uso disostanze stupefacenti, di sostanze psicotrope e di alcool, interventi diinterruzione volontaria della gravidanza, parto in anonimato, servizi offertidai consultori familiari), il titolare del trattamento deve acquisire unaspecifica manifestazione di volontà dell'interessato, il quale potrebbe anchelegittimamente richiedere che tali informazioni siano consultabili solo daparte di alcuni soggetti dallo stesso individuati (ad es. solo dallospecialista presso cui è in cura) (punto 5 delle citate Linee guida).

Alladata degli accertamenti ispettivi -come risulta dal verbale delle operazionicompiute il 27 maggio u.s.- l'AOSP, in qualità di titolare del trattamento, nonha fornito agli interessati alcuna informativa e non ha acquisito uno specificoconsenso in merito al trattamento dei dati personali effettuato mediante ildossier sanitario in uso presso la stessa. L'informativa utilizzatadall'Azienda per il trattamento dei dati personali effettuato nell'ambito delleattività di cura prestate dalla stessa non contiene, infatti, alcun riferimentoal trattamento dei dati effettuato mediante il dossier sanitario.

Secondoquanto rappresentato dall'Azienda nella documentazione in atti, presso lastessa è in itinere un progetto di raccolta del consenso dell'interessato altrattamento dei dati personali -anche pregressi- effettuati mediante il dossierche potrebbe essere implementato, come descritto nelle premesse, a partire dagennaio 2015.

Pertanto,con riferimento al trattamento di dati personali effettuato dall'AOSP medianteil suddetto dossier, si rileva che lo stesso non è lecito in quanto non è statafornita l'informativa agli interessati e non è stato acquisito il loro consenso(art. 13, 23 e 76 e ss. del Codice) e che, di conseguenza, i dati personalitrattati dall'AOSP mediante il dossier sanitario aziendale non possono essereutilizzati (art. 11, comma 2, del Codice).

Ciòpremesso, il Garante, al fine di rendere conforme il trattamento dei datieffettuato dall'AOSP, in qualità di titolare del trattamento, attraverso lostrumento del dossier, tenuto conto di quanto dichiarato dall'AOSP in meritoalla predisposizione di un sistema di raccolta del consenso dell'interessatocon riferimento al trattamento dei dati personali effettuato mediante ildossier sanitario aziendali, ritiene necessario:

a)    vietare all'AOSP di effettuareulteriori trattamenti di dati personali dei pazienti mediante lo strumento deldossier, in quanto sono stati effettuati senza aver fornito agli interessatiun'idonea e preventiva informativa ai sensi dell'art. 13 del Codice e senzaaver acquisito uno specifico consenso ai sensi degli artt. 23 e 76 e ss. delCodice (artt. 143, comma 1, lett. c) e 154, comma 1, lett. d);

b)    prescrivere all'AOSP che i datipersonali relativi alle prestazioni sanitarie erogate dall'Azienda restinodisponibili solo al professionista o alla struttura interna al titolare che liha raccolti ed elaborati (es. informazioni relative a un ricovero utilizzabilidal reparto di degenza) e per eventuali conservazioni per obbligo di legge(art. 22, comma 5, del Codice), adottando idonei accorgimenti anche tecniciaffinché i medesimi dati personali non siano condivisi attraverso lo strumentodel dossier con altri professionisti che hanno in cura l'interessato pressoaltri reparti/dipartimenti, fino al momento in cui lo stesso esprima unospecifico e autonomo consenso informato in ordine al trattamento dei suoi datisanitari attraverso il dossier (artt. 13 e 76 e artt. 143, comma 1, lett. b) e154, comma 1, lett. c), del Codice);

c)    prescrivere all'AOSP di acquisireuno specifico e autonomo consenso informato dell'interessato per utilizzare-attraverso il dossier - anche le informazioni sanitarie relative a eventiclinici pregressi ovvero occorsi all'interessato in periodi precedenti rispettoal momento in cui lo stesso acconsente al trattamento dei suoi dati sanitariattraverso il dossier (gestione del pregresso). Tale consenso può essereraccolto anche unitamente a quello prescritto nella precedente lett. b) (artt.143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice);

d)     prescrivere all'AOSP diacquisire uno specifico e autonomo consenso informato dell'interessato per utilizzare-attraverso il dossier - anche le informazioni relative alle prestazionierogate dall'Azienda a seguito di atti di violenza sessuale o di pedofilia, inoccasione dell'accertamento dello stato di sieropositività, dell'uso disostanze stupefacenti, di sostanze psicotrope e di alcool, degli interventi diinterruzione volontaria della gravidanza o relativi al parto in anonimato,nonché con riferimento ai servizi offerti dai consultori familiari (artt. 143,comma 1, lett. b) e 154, comma 1, lett. c), del Codice).

Attesoquanto dichiarato dalla suddetta Azienda, in merito all'attuale processo diadeguamento alle indicazioni fornite dal Garante nelle citate Linee guida, gliaccorgimenti di cui alle precedenti lett. b), c) e d) devono essere completatientro il 31 marzo 2015 (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c),del Codice).
L'Autorità, in relazione agli aspetti sopra rappresentati,ritiene inoltre necessario riservarsi di verificare, con autonomo procedimento,la sussistenza dei presupposti per contestare all'AOSP le violazioni delledisposizioni di cui agli artt. 13 e 23, del Codice e la conseguenteapplicazione delle sanzioni di cui agli artt. 161 e 162, comma 2-bis delCodice.

2.2Accesso al dossier sanitario solo da parte del medico che ha in cural'interessato.

Nellecitate Linee guida del 2009 il Garante, con riferimento all'accesso ai daticontenuti nel dossier sanitario (cfr. punto 5 delle citate Linee guida), hastabilito che:

-      in relazione allefinalità perseguite con la costituzione del dossier, l'accesso a tale strumentodeve essere consentito solamente per fini di prevenzione, diagnosi e curadell'interessato e unicamente da parte di soggetti operanti in ambitosanitario, con conseguente esclusione di periti, compagnie di assicurazione,datori di lavoro, associazioni o organizzazioni scientifiche, organismiamministrativi anche operanti in ambito sanitario, nonché del personale medicoche agisca nell'esercizio di attività medico-legali;

-      debbano essereadottate modalità tecniche di autenticazione al dossier che consentano diautorizzare l'accesso a tale strumento solo da parte degli esercenti laprofessione sanitaria che a vario titolo prenderanno in cura l'interessato;

-      il personaleamministrativo operante all'interno della struttura sanitaria in cui vieneutilizzato il dossier sanitario può, pertanto, in qualità di incaricato deltrattamento, consultare solo le informazioni necessarie per assolvere allefunzioni amministrative cui è preposto e strettamente correlate all'erogazionedella prestazione sanitaria (ad es., il personale addetto alla prenotazione diesami diagnostici o visite specialistiche può consultare unicamente i soli datiindispensabili per la prenotazione stessa);

-      l'esercente laprofessione sanitaria che ha redatto uno o più documenti clinici presenti neldossier deve poter sempre consultare gli stessi;

-      l'accesso al dossiersanitario deve essere circoscritto al periodo di tempo indispensabile perespletare le operazioni di cura per le quali è autorizzato il soggetto cheaccede. Ciò, comporta che i soggetti autorizzati all'accesso devono poterconsultare esclusivamente i dossier sanitari riferiti ai pazienti che assistonoe per il periodo di tempo in cui si articola il percorso di cura per il qualel'interessato si è rivolto ad essi.

Alladata degli accertamenti ispettivi- come risulta dal verbale delle operazionicompiute il 27 maggio u.s.- l'AOSP non aveva messo in atto specifiche procedureche consentissero al solo personale sanitario coinvolto nel processo di curadel paziente di accedere al relativo dossier per il tempo strettamentenecessario alla cura.

Secondoquanto dichiarato in atti, tuttavia, subito dopo gli accertamenti ispettivi"sono stati disattivati tutti i profili diversi da quello medico".L'AOSP ha inoltre deciso che "entro marzo 2015" gli utentiautorizzati ad accedere al dossier saranno "esclusivamente i medici (Š)profilati sulla base del/i reparto/i di appartenenza", secondo le modalitàindicate in permessa.

Pertanto,al fine di rendere conforme il trattamento dei dati effettuato dall'AOSP, inqualità di titolare del trattamento, attraverso il dossier, il Garante ritienenecessario prescrivere alla predetta Azienda di completare la messa in atto dispecifici accorgimenti che consentano ai soli professionisti sanitari che hannoin cura il paziente (che abbia già manifestato un consenso informato allacostituzione del dossier) di accedere al relativo dossier per il tempo in cuisi articola il percorso di cura.

Attesoquanto dichiarato dalla suddetta Azienda, in merito all'attuale processo diadeguamento alle indicazioni fornite dal Garante nelle citate Linee guida, taliaccorgimenti devono essere completati entro il 31 marzo 2015 (artt. 143, comma1, lett. b) e 154, comma 1, lett. c), del Codice).

2.3Oscuramento

IlGarante, nelle citate Linee guida, ha previsto un'importante garanzia a tuteladella riservatezza dell'interessato che abbia scelto consapevolmente di farcostituire un dossier sanitario sulla propria storia clinica, consistente nellapossibilità di oscurare taluni eventi clinici ivi presenti (cfr. 3 delle citateLinee guida). Tale garanzia è stata riproposta dal legislatore anche conriferimento al FSE (citato art. 12, comma 3-bis D.L. 18 ottobre 2012, n. 179,convertito, con modificazioni, dall'art. 1, comma 1, L. 17 dicembre 2012, n.221). Ferma restando, infatti, l'indubbia utilità di un dossier sanitariocompleto, il titolare del trattamento deve garantire la possibilità perl'interessato di non far confluire in esso alcune informazioni sanitarie.

Alriguardo, nelle predette Linee guida il Garante ha stabilito che:

-      l'"oscuramento"dell'evento clinico (revocabile nel tempo) deve avvenire con modalità tali dagarantire che, almeno in prima battuta, i soggetti abilitati all'accesso nonpossano venire automaticamente a conoscenza del fatto che l'interessato haeffettuato tale scelta ("oscuramento dell'oscuramento");

-      il titolare deltrattamento è tenuto ad informare i soggetti abilitati ad accedere a talistrumenti in ordine alla possibilità che tutti i dossier sanitari possono nonessere completi, in quanto l'interessato potrebbe aver esercitato il suddettodiritto di oscuramento;

-      in caso di oscuramentole informazioni oscurate restano comunque disponibili al professionista o allastruttura interna al titolare che le ha raccolte o elaborate (es. refertoaccessibile tramite dossier da parte del professionista che lo ha redatto). Ladocumentazione clinica relativa all'evento oscurato deve essere comunqueconservata dal titolare del trattamento secondo la normativa di settore.

Conriferimento alla possibilità di richiedere l'oscuramento di uno o più eventiclinici da parte dell'interessato, come risulta dal verbale delle operazionicompiute del 27 maggio u.s.- l'AOSP, non richiedendo all'interessato unospecifico consenso per la costituzione del dossier, non ha mai comunicato allostesso la possibilità di esercitare nei confronti dei dati ivi trattati ilrichiamato diritto all'oscuramento. L'Azienda ha comunque rappresentato che inpassato, a seguito di specifica richiesta di alcuni pazienti, sono staticomunque oscurati i dati presenti nel dossier.
L'AOSP ha in seguitocomunicato di aver meglio definito le modalità attraverso le qualil'interessato potrà esercitare la facoltà di oscurare le informazioni personalipresenti nel dossier, e che "entro marzo 2015", sarà implementato"l'oscuramento della visualizzazione sia dei riferimenti dell'episodio,sia dei dati clinici relativi a quest'ultimo".

Pertanto,al fine di rendere conforme il trattamento dei dati effettuato dall'AOSP, inqualità di titolare del trattamento, attraverso il dossier sanitario, ilGarante ritiene necessario prescrivere alla predetta Azienda di completare lamessa in atto di specifici accorgimenti che consentano all'interessato di poteresprimere la volontà di oscurare nel proprio dossier sanitario i dati personalirelativi a singoli eventi clinici anche relativi al pregresso. Di tale dirittodeve essere fatta menzione nell'informativa resa ai sensi dell'art. 13 delCodice (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice).

Attesoquanto dichiarato dalla suddetta Azienda, in merito all'attuale processo diadeguamento alle indicazioni fornite dal Garante nelle citate Linee guida, taliaccorgimenti devono essere completati entro il 31 marzo 2015.

TUTTO CIÒ PREMESSO IL GARANTE

a)    rilevata l'illiceità deltrattamento effettuato dall'Azienda ospedaliero universitaria S. OrsolaMalpighi di Bologna con riferimento alla circostanza che non è stata resal'informativa e non è stato acquisito il consenso dell'interessato in relazioneal trattamento effettuato tramite il dossier sanitario aziendale (artt. 13, 23e 76 e ss. del Codice), ai sensi degli artt. 143, comma 1, lett. c) e 154, comma1, lett. d) del Codice, vieta all'Azienda ospedaliero universitaria S. OrsolaMalpighi di effettuare ulteriori trattamenti di dati personali dei pazientimediante lo strumento del dossier sanitario aziendale;

b)    ai sensi dell'art. 143, comma 1,lett. b) e 154, comma 1, lett. c) del Codice, prescrive all'Azienda ospedalierouniversitaria S. Orsola Malpighi, quali misure necessarie:

1.  che i dati personali relativi alleprestazioni sanitarie erogate dall'Azienda restino disponibili solo alprofessionista o alla struttura interna al titolare che li ha raccolti edelaborati (es. informazioni relative a un ricovero utilizzabili dalreparto/dipartimento di degenza) e per eventuali conservazioni per obbligo dilegge (art. 22, comma 5, del Codice), adottando idonei accorgimenti, anchetecnici, affinché i medesimi dati non siano più condivisi attraverso il dossiersanitario con altri professionisti che curino l'interessato presso altrireparti/dipartimenti, fino al momento in cui quest'ultimo esprima uno specificoconsenso informato alla costituzione del dossier (artt. 13 e 76 e ss. delCodice). Tali accorgimenti devono essere adottati nel più breve tempo possibilee comunque entro il 31 marzo 2015;

2.  di acquisire uno specifico consenso informatodell'interessato per utilizzare -attraverso il dossier sanitario- anche leinformazioni sanitarie relative a eventi clinici pregressi ovvero occorsiall'interessato in periodi precedenti rispetto al momento in cui lo stessoacconsente al trattamento dei suoi dati sanitari attraverso il dossiersanitario (gestione del pregresso). Tale consenso informato, che può essereraccolto anche unitamente a quello prescritto nel precedente punto sub 1, deveessere acquisito nel più breve tempo possibile e comunque entro il 31 marzo 2015;

3.  di acquisire uno specifico e autonomoconsenso informato dell'interessato per utilizzare -attraverso il dossiersanitario- anche le informazioni relative alle prestazioni erogate dall'Aziendaa seguito di atti di violenza sessuale o di pedofilia, in occasionedell'accertamento dello stato di sieropositività, dell'uso di sostanzestupefacenti, di sostanze psicotrope e di alcool, degli interventi diinterruzione volontaria della gravidanza o relativi al parto in anonimato,nonché con riferimento ai servizi offerti dai consultori familiari. Taleconsenso informato, che può essere raccolto anche unitamente a quelloprescritto nel precedente punto sub 1, deve essere acquisito nel più brevetempo possibile e comunque entro il 31 marzo 2015;

4.  di completare la messa in atto di specificiaccorgimenti che consentano ai soli professionisti sanitari che hanno in quelmomento in cura il paziente (che abbia già manifestato un consenso informatoalla costituzione del dossier) di accedere al relativo dossier sanitario per iltempo in cui si articola il percorso di cura. Tali accorgimenti devono essereadottati entro il 31 marzo 2015;

5.  di completare la messa in atto di specificiaccorgimenti che consentano all'interessato di poter esprimere la volontà dioscurare nel proprio dossier sanitario le informazioni relative a singolieventi clinici anche relativi al pregresso. Di tale diritto deve essere fattamenzione nell'informativa resa ai sensi dell'art. 13 del Codice. Taliaccorgimenti e la menzione nell'informativa devono essere messi in atto entroil 31 marzo 2015;

c) ai sensi dell'art. 157 del Codice, richiedeall'Azienda ospedaliero universitaria S. Orsola Malpighi, di comunicare, entroi dieci giorni successivi ai termini prescritti nella precedente lett. b), quali iniziative siano state intraprese al fine di dare attuazione al presenteprovvedimento;

d) ai sensi dell'art. 154, comma 1, lett. h) delCodice invia il presente provvedimento alla Regione Emilia Romagna, affinchéprovveda a rendere noto quanto ivi prescritto alle altre aziende sanitarie delServizio sanitario regionale in relazione ai trattamenti effettuati mediante idossier sanitari aziendali.

Aisensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso ilpresente provvedimento può essere proposta opposizione all'Autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 23 ottobre 2014

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia