Garante per la protezione
    dei dati personali

Newsletter

Dossiersanitario elettronico e privacy dei pazienti

IlGarante chiede al S. Orsola Malpighi di migliorare le modalità di raccolta e diconsultazione dei dati sanitari

 

IlGarante privacy nell'ambito delle attività di controllo sui dossier sanitarielettronici ha prescritto all'Azienda ospedaliero universitaria S. OrsolaMalpighi di Bologna una serie di misure per mettersi in regola con le normesulla protezione di dati sanitari.

 

L'Aziendadovrà adottarle al più presto, e comunque non oltre il 31 marzo 2015. Dall'ispezione svolta dal Garante, a seguito delle segnalazioni di alcunipazienti, sono emerse infatti gravi violazioni da parte dell'Aziendaospedaliera. I dossier sanitari (le raccolte in formato digitale dei dati deipazienti in cura presso il presidio), oltre un milione, erano stati costituitisenza il consenso informato del paziente. Ed erano inoltre liberamenteconsultabili da più di mille operatori sanitari tramite il sistema informaticodi archiviazione e refertazione delle prestazioni sanitarie: bastava inserireanche solo porzioni di nome e cognome, date di nascita, o Cap di residenza peraccedervi.  Procedure del tutto in contrasto sia con  il Codice privacysia con le Linee guida del Garante che fin dal 2009 stabiliscono regole chiarein materia di dossier sanitario: al paziente deve essere consentito discegliere in piena libertà se far costituire o meno un dossier sanitario contutte o solo con alcune delle informazioni sanitarie che riguardano lo stesso;deve poter manifestare un consenso autonomo e specifico, distinto da quello chepresta a fini di cura; gli deve essere inoltre garantita la possibilità di"oscurare" la visibilità di alcuni eventi clinici.

 

Ilpaziente, inoltre, deve essere adeguatamente informato: con un linguaggiocomprensibile e dettagliato, l'informativa deve indicare chi  ha accessoai suoi dati e che tipo di operazioni può compiere.

 

IlGarante ha dunque prescritto all'Azienda sanitaria che, fin quando il pazientenon avrà espresso il consenso alla costituzione del dossier, i dati relativi alle prestazioni sanitarie erogate dall'Azienda siano resi disponibilisolo al medico e al reparto che lo ha in cura. L'Azienda, inoltre, dovràacquisire consensi ad hoc del paziente sia per far confluire nel dossiersanitario le informazioni relative a eventi clinici pregressi,  sia perinserire quelle relative alle prestazioni erogate a seguito di atti di violenza o di pedofilia, sieropositività, uso di sostanze stupefacenti,interruzione di gravidanza. L'Azienda, infine, dovrà garantire al paziente lapossibilità di oscurare eventi clinici, presenti nel dossier, che desidera nonsiano immediatamente visibili.

 

Ilprovvedimento del Garante è stato inviato alla Regione Emilia Romagna affinchélo renda noto alle altre aziende del servizio sanitario regionale.