Garante per la protezione
    dei dati personali


vedi: Newsletter del 28 novembre 2014

 

Dossier sanitario elettronico e privacy dei pazienti

PROVVEDIMENTO DEL 23 OTTOBRE 2014

Registrodei provvedimenti
 n. 468 del 23 ottobre 2014

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLAriunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della prof.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale;

VISTO ilCodice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n.196), di seguito "Codice";

VISTA lesegnalazioni ricevute concernenti il sistema informativo di archiviazione erefertazione delle prestazioni sanitarie erogate dall'Azienda ospedalierouniversitaria S. Orsola Malpighi di Bologna;

VISTIgli atti dell'accertamento ispettivo effettuato presso l'Azienda ospedalierouniversitaria S. Orsola Malpighi di Bologna il 27 e il 28 maggio 2014;

VISTA ladocumentazione inviata dall'Azienda ospedaliero Universitaria S. OrsolaMalpighi di Bologna a seguito del suddetto accertamento ispettivo;

VISTO le"Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossiersanitario" adottate dal Garante con Provvedimento del 16 luglio 2009 (G.U.n. 178 del 3 agosto 2009);

VISTOl'articolo 12 (Fascicolo sanitario elettronico e sistemi di sorveglianza nelsettore sanitario) del decreto legge 18 ottobre 2012 n. 179, convertito, conmodificazioni, dall'art. 1, comma 1, legge 17 dicembre 2012, n. 221;

VISTIgli atti d'Ufficio;

VISTE leosservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

RELATOREla dott.ssa Augusta Iannini;

PREMESSO

Sonopervenute a questa Autorità alcune segnalazioni nelle quali si lamenta unpresunta violazione della disciplina in materia di protezione dei datipersonali relativamente alle modalità di funzionamento del sistema informativodi archiviazione e refertazione delle prestazioni sanitarie erogatedall'Azienda ospedaliero universitaria S. Orsola Malpighi di Bologna. Piùprecisamente, nelle segnalazioni si lamenta che l'applicativo in uso presso idiversi dipartimenti dell'Azienda sarebbe stato configurato in modo tale daconsentire a ogni medico di accedere non solo ai referti dei propri pazienti,ma anche a quelli di qualsiasi altra persona che abbia effettuato un esameclinico presso la struttura sanitaria. L'accesso del personale sanitarioautorizzato sarebbe, pertanto, indipendente dalla circostanza che leinformazioni che questi possono conoscere siano riferite a soggetti daglistessi assistiti.

Inalcune delle segnalazioni ricevute, inoltre, si lamenta, più genericamente, cheapplicativi configurati in modo analogo a quello in uso presso l'Aziendaospedaliero universitaria S. Orsola Malpighi siano impiegati anche presso altrestrutture sanitarie del Servizio Sanitario della Regione Emilia Romagna.

Aseguito delle suddette segnalazioni, l'Ufficio ha effettuato in data 27 e 28maggio 2014 un accertamento ispettivo presso l'Azienda ospedalierouniversitaria S. Orsola Malpighi di Bologna (di seguito AOSP), volto averificare l'osservanza delle disposizioni in materia di protezione dei datipersonali, con particolare riferimento a quanto indicato nelle richiamate Lineeguida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario.

Nelcorso del suddetto accertamento ispettivo è stata verificata la riconducibilitàal concetto di "dossier sanitario" -definito nelle richiamate Lineeguida- dello strumento di raccolta e di gestione dei dati dei pazientiutilizzato dalla suddetta Azienda attraverso l'applicativo aziendale denominato"Galileo" e sono stati, quindi, acquisiti elementi in merito allaconformità dei trattamenti effettuati attraverso il dossier alla disciplina inmateria di protezione dei dati personali, con particolare riferimento alrispetto delle garanzie individuate nelle citate Linee guida.

Nelcorso del suddetto intervento ispettivo è stato accertato che il dossiersanitario aziendale è utilizzato esclusivamente quale repository unico,abilitato, in sola lettura, per la ricerca di informazioni sanitarie deipazienti ed alimentato dagli applicativi dipartimentali dell'Accettazione,Dimissioni e Trasferimenti (ADT a far data dal 2004), del laboratorio dianalisi (a far data dal 2000), dell'anatomia patologica (a far data dal 2000),della radiologia (a far data dal 2004), del laboratorio di emodinamica (a fardata dal 2013), della specialistica ambulatoriale (a far data dal 2013), delregistro operatorio (a far data dal 2013) e dei verbali di pronto soccorso (afar data dal 2013). Secondo quanto dichiarato in atti, il dossier sanitario ègestito dall'AOSP tramite l'applicativo Galileo, prodotto dalla società NoemaLifeS.p.A., scelto in via autonoma dall'Azienda a seguito di una procedura adevidenza pubblica.

Duranteil suddetto accertamento ispettivo è emerso che il trattamento di datipersonali effettuato mediante il dossier sanitario, di cui è titolare l'AOSP,persegue finalità di cura e alcune finalità amministrative strettamentecorrelate alla cura dell'interessato.

Secondoquanto dichiarato nel corso delle attività ispettive, l'interessato esprime unconsenso per i trattamenti di dati personali effettuati dall'AOSP per finalitàdi cura sulla base di una informativa che non contiene uno specificoriferimento al suddetto dossier sanitario. Dalla documentazione in atti risultache a tali dossier aziendali sono autorizzati ad accedere 1377 utenti circa, ovverotutto il personale medico dell'AOSP ed alcuni infermieri di dipartimento.L'Azienda, in sede di configurazione dell'applicativo Galileo, ha previsto neiconfronti di tali utenti un unico profilo di autorizzazione.

All'attodegli accertamenti ispettivi non sono state riscontrate specifiche procedureinformatiche che consentissero al solo personale sanitario coinvolto nelprocesso di cura del paziente di accedere al relativo dossier per il tempostrettamente necessario alla cura. L'utente autorizzato può, infatti,consultare e stampare, senza alcuna limitazione, tutti i dati sanitari presentinel dossier, indipendentemente dal fatto che il paziente sia assistito dallo stesso,ovvero stia, al momento dell'accesso, usufruendo di una prestazione sanitariain regime ambulatoriale o di ricovero presso l'Azienda.

L'utenteper accedere all'applicativo Galileo deve inserire delle credenziali diautenticazione consistenti in un username e una password. L'applicativo in usopresso l'AOSP è stato configurato in modo tale che, una volta effettuatol'accesso, l'utente possa effettuare delle ricerche attraverso le funzioni"nuova ricerca" e "ricerca paziente". Per effettuare taliricerche non è necessario inserire il nome e il cognome del paziente; durante gliaccertamenti ispettivi è stato constatato, infatti, che l'applicativo è statoconfigurato in modo tale che si possano interrogare i dossier aziendaliinserendo anche porzioni di nome e cognome, date di nascita ovvero solo un CAPdi residenza.

Secondoquanto dichiarato in atti, i dossier sanitari "inseriti in Galileo adecorrere dal 2003" sono "n. 1.074.899"; in alcuni dossier sonopresenti informazioni cliniche relative a prestazioni sanitarie erogatedall'AOSP sin dal 2000.

All'attodell'accertamento ispettivo, l'utente autorizzato poteva consultare, attraversoil dossier, anche informazioni relative ad aspetti molto delicati della sferaprivata dell'individuo, quali, ad esempio, quelle connesse agli accertamentisullo stato di sieropositività, sull'uso di sostanze stupefacenti, di sostanzepsicotrope e di alcool o agli interventi di interruzione volontaria dellagravidanza, in ordine alle quali il Garante ha posto -nelle citate Linee guida-specifiche disposizioni a tutela della riservatezza e della dignità personaledell'interessato (Cfr. punto 5 delle predette Linee Guida).

Daquanto dichiarato in atti è emerso, inoltre, che non essendo stato richiestouno specifico consenso all'interessato per la costituzione del relativo dossiersanitario non è stata comunicata allo stesso la possibilità di oscurare talunidati ivi presenti. L'applicativo Galileo, tuttavia, è stato correttamenteconfigurato in modo tale da consentire l'oscuramento del dato anche con modalitàtali da garantire che i soggetti abilitati all'accesso non possano venireautomaticamente a conoscenza di tale scelta (oscuramento dell'oscuramento; Cfr.punto 3 delle citate Linee guida).
Da alcune ricerche effettuatedall'Ufficio è emerso, poi, che anche presso altre aziende del ServizioSanitario della Regione Emilia Romagna i dossier sanitari aziendali sonogestiti attraverso l'applicativo Galileo.

Aseguito del richiamato accertamento ispettivo, l'AOSP ha inviato ulterioridocumenti e ha comunicato che, a seguito della suddetta attività ispettiva,l'Azienda ha subito intrapreso azioni "per l'adeguamento degli applicativiinformatici aziendali (compreso GALILEO) agli adempimenti in materia diprotezione dei dati personali" anche attraverso talune modificheconcordate con la ditta fornitrice. In particolare, subito dopo l'attivitàispettiva è stata introdotta una limitazione alla "possibilità di ricercapaziente" in Galileo. A seguito di tale modifica, l'AOSP ha ritenuto diorientare la propria scelta affinché la ricerca del paziente da parte dell'operatoreautorizzato non possa più essere effettuata con le modalità rilevate durantel'ispezione, bensì "solamente inserendo i 3 campi obbligatori: nome,cognome e data di nascita" del paziente in cura.

Alriguardo, l'Azienda ha prodotto una relazione sulla "Gestione delle tematicherelative alla privacy su Galileo" in cui evidenzia di aver già provvedutoa modificare le categorie di soggetti che possono accedere al dossier,specificando altresì che, "entro marzo 2015", tale "abilitazione() sarà data esclusivamente al personale medico". A seguitodell'ispezione avvenuta sono stati disattivati tutti i profili diversi daquello medico". stato rappresentato, poi, che "l'accesso delpersonale con funzioni amministrative è strettamente limitato ai casi in cui illoro supporto è correlato ad attività di sola consultazione, indispensabile perrispondere ai vari adempimenti amministrativi/giudiziari in capo alle AziendeSanitarie (), curate dal personale afferente all'Ufficio Privacy. Taliabilitazioni saranno concesse per un periodo di tempo limitato e compatibilecon l'attività da svolgere (periodo massimo consentito 24 ore, eventualmenterinnovabile)" Tale ultima abilitazione è prevista comunque solo per"3 professionisti".

Secondoquanto dichiarato in atti, dopo "un'attenta analisi dei profiliabilitativi", l'Azienda ha ridotto il numero di soggetti autorizzati adaccedere all'applicativo Galileo "passando da n. 1377 utenti a n. 1123"utenti medici.

Conriferimento all'acquisizione del consenso, nella documentazione inviata,l'Azienda ha rappresentato che "il consenso verrà acquisito tramite unamaschera dedicata che consentirà di esprimere i tre seguenti valori: NO: non siconcede il consenso alla costituzione del dossier; SI: si concede il consensoalla costituzione ed alla consultazione del dossier; SI CON PREGRESSO: siconcede il consenso alla costituzione ed alla consultazione del dossier ancheper lo storico". L'AOSP ha, inoltre, inviato una bozza del modello di"informativa e consenso in materia di protezione dei dati personalinell'ambito del dossier sanitario elettronico" che prevede di utilizzare apartire da "gennaio 2015".

Con lamedesima nota l'Azienda ha comunicato di aver migliorato le modalità per ilcorretto esercizio del diritto di oscuramento con riferimento ai dati personalipresenti nel dossier sanitario. Al riguardo, l'AOSP ha precisato che"l'oscuramento dell'evento e dei relativi referti () viene esercitatodall'interessato all'atto della prestazione sanitaria ed quindi inserito dalmedico oppure successivamente mediante richiesta all'Ufficio Privacy. Alpaziente che ne fa richiesta si garantisce l'oscuramento della visualizzazionesia dei riferimenti dell'episodio, sia dei dati clinici relativi aquest'ultimo. L'oscuramento degli eventi e dei referti richiesto in fase dierogazione della prestazione sanitaria verrà registrato su ogni dipartimentaleed inviato a Galileo insieme ai referti/risultati. Galileo acquisirà leinformazioni, ma le renderà oscurate automaticamente". Secondo quanto affermatodall'AOSP, tale garanzia sarà implementata "entro marzo 2015".

L'Aziendaha, inoltre, rappresentato di aver deciso che i dati personali relativi agliaccertamenti dello stato di sieropositività, al parto in anonimato eall'interruzione volontaria di gravidanza e la relativa documentazione non saranno"inviat(i) a Galileo e su questo non sarà registrato l'eventorelativo". L'Azienda ha, poi, precisato che sarà "data facoltàall'interessato di decidere autonomamente con specifica manifestazione di volontàse inserire o meno" nel relativo dossier le informazioni raccolte inoccasione di prestazioni sanitarie rese a "vittime di atti di violenzasessuale o pedofilia () o di chi fa uso di sostanze stupefacenti, di sostanzepsicotrope e di alcool".

L'Azienda,nella documentazione in atti, ha rappresentato di aver già individuato lemodifiche necessarie per garantire che abbia accesso al dossier sanitario soloil personale medico che ha in cura l'interessato e che intende porle in essere"entro marzo 2015". In tal senso, l'AOSP ha dichiarato di averindividuato le tre seguenti ipotesi di accesso al dossier sanitario:

-    "Caso di accessoambulatoriale: il medico accede al dossier sanitario del paziente che ha incarico mediante un collegamento disponibile sugli applicativi ambulatoriali osui dipartimentali ad esso connesso. Tale link sarà attivo in base allo statodella richiesta che dovrà essere: accettato, in corso, refertatoprovvisoriamente. Il link a Galileo, e quindi l'accesso al dossier, saràdisabilitato all'atto della validazione del referto. L'accesso a Galileoconsentirà la visualizzazione della documentazione del solo paziente in carico,escludendo una visualizzazione totale sui pazienti;

-    Caso di paziente in regime diricovero: il medico accede al dossier sanitario del paziente mediante uncollegamento disponibile sull'applicativo di ricovero (ADT). Tale link saràattivo nelle fasi di pre-ricovero, ricovero e post ricovero (la durata delperiodo di post ricovero sarà definito sulla base della specialità clinica diinteresse);

-    Caso di accesso diretto: "dopol'autenticazione, con la propria utenza, il medico può accedere ai dati clinicidel paziente solo tramite la maschera di ricerca anagrafica (nome –cognome – data di nascita obbligatori). Alla selezione del paziente eprima di aprire la posizione verrà richiesto all'utente di esprimere unamotivazione per la quale deve avere accesso alle informazioni cliniche. Lamaschera di accesso prevede le seguenti motivazioni: dichiaro sotto la miaresponsabilità di avere diritto a proseguire nella visualizzazione dei dati perattività di: Prevenzione/diagnosi/cura/riabilitazione su paziente in carico manon registrato nei percorsi informatizzati previsti; Critical review peranalisi ed eventuale miglioramento percorsi di cura; Processo diprelievi/trapianto".

L'Aziendaha, poi, previsto di definire "entro marzo 2015" l'implementazionedelle "attività di verifica e controllo accessi". In tal senso, entrotale data, "saranno tracciate le operazioni di: lettura; salvataggio;modifica; cancellazione delle entità base di Galileo (paziente, episodio,richiesta, documento) oltre al login degli utenti. Per ogni operazione vienegenerato un record contenente tutte le informazioni sull'utenza, sullapostazione dai cui si ha avuto accesso e tutte le operazioni eseguite. Verrannoeffettuate verifiche sull'accesso a Galileo in modalità diretta al fine divalutarne il corretto utilizzo. Inoltre l'attività di controllo e verifica ()che verrà svolta in modo sistematico sugli accessi e su tutte le operazionesvolte in Galileo consentirà una puntuale analisi delle eventuali anomaliesull'utilizzo con successivi provvedimenti disciplinari/sanzionatori in capo aiprofessionisti in caso di utilizzo improprio".

L'AOSPha, infine, illustrato di aver avviato un progetto formativo dedicato al temadel dossier sanitario, al fine di sensibilizzare tutto il personale ad uncorretta gestione dei dati personali dei pazienti.

OSSERVA

1.Premessa.

La tematicadel trattamento di dati personali nell'ambito dei dossier istituiti dallestrutture sanitarie è stata affrontata dall'Autorità sin dal 2009 con il citatoprovvedimento del 16 luglio adottato a seguito di una consultazione pubblica.
Intale provvedimento è stato individuato un quadro di cautele, al fine didelineare specifiche garanzie e responsabilità, nonché misure ed accorgimentinecessari ed opportuni che le strutture sanitarie devono porre a tutela deipazienti, in relazione ai trattamenti di dati sanitari che li riguardanoeffettuati mediante i dossier sanitari.
Nel suddetto provvedimento, inmancanza di una definizione a livello nazionale di dossier sanitario, l'Autoritàha descritto come tale quello strumento contenente informazioni inerenti allostato di salute di un individuo relative ad eventi clinici presenti e passati(es.: referti, documentazione relativa a ricoveri, accessi al pronto soccorso),volto a documentarne la storia clinica. I dati personali sono collegati tra lorocon modalità informatiche di vario tipo che ne rendono, comunque, possibileun'agevole consultazione unitaria da parte dei diversi professionisti cheprendono nel tempo in cura l'interessato. Si intende, pertanto, per dossiersanitario lo strumento costituito presso un organismo sanitario in qualità diunico titolare del trattamento (es. azienda sanitaria) utilizzato da parte deiprofessionisti operanti presso lo stesso.

Ildossier sanitario differisce dal Fascicolo sanitario elettronico (FSE) inquanto quest'ultimo, secondo la definizione recentemente resa dal legislatore, èl'insieme dei dati e documenti digitali di tipo sanitario e socio-sanitariogenerati da eventi clinici presenti e trascorsi relativi a prestazionisanitarie erogate non da un unico titolare del trattamento (ad es. aziendasanitaria, ospedale), bensì da tutte le strutture sanitarie del Servizio sanitarionazionale e dei servizi socio-sanitari regionali (Cfr. art. 12, D.L. 18 ottobre2012, n. 179, convertito, con modificazioni, dall'art. 1, comma 1, L. 17dicembre 2012, n. 221).

Recentemente,l'Autorità ha adottato due provvedimenti in cui ha prescritto alle strutturesanitarie, in qualità di titolari del trattamento, di adottare una serie dimisure e accorgimenti necessari al fine di rendere conforme al Codice iltrattamento dei dati personali effettuato attraverso i dossier sanitariaziendali: provvedimenti del 10 gennaio 2013 e del 3 luglio 2014.

2.Profili di criticità.

In basea quanto emerso nel corso del richiamato accertamento ispettivo e dall'esamedella documentazione in atti, alcune delle specifiche garanzie previste dalCodice e individuate nelle citate Linee guida non trovano attuazione conriferimento al trattamento dei dati personali effettuato attraverso i dossiersanitari attualmente in uso presso l'AOSP. Tali criticità sono sinteticamentericonducibili ai seguenti profili: l'informativa al trattamento dei datipersonali effettuato tramite il dossier sanitario aziendale e il relativoconsenso dell'interessato, l'accesso al dossier sanitario solo da parte delpersonale sanitario che assiste l'interessato e il diritto di quest'ultimo arichiedere l'oscuramento dei dati personali relativi ad un evento clinicoconsultabile attraverso il dossier sanitario.

L'Autoritàprende atto, tuttavia, che subito dopo il predetto accertamento ispettivo,l'Azienda ha avviato un "processo organizzativo evolutivo di miglioramentonell'ambito del trattamento dei dati personali" effettuato tramite il dossiersanitario aziendale, al fine di renderlo conforme alla normativa vigente,individuando anche una tempistica entro la quale porre in essere le fasi delsuddetto processo.

2.1Informativa e consenso.

Comespecificato da questa Autorità nelle citate Linee guida del 2009, iltrattamento dei dati personali effettuato mediante il dossier, perseguendo lemenzionate finalità di prevenzione, diagnosi, cura e riabilitazione, deveuniformarsi al principio di autodeterminazione (artt. 75 e ss. del Codice).

Al riguardo,l'Autorità ha stabilito che:

-    all'interessato deve essereconsentito di scegliere, in piena libertà, se far costituire o meno un dossiersanitario con le informazioni cliniche che lo riguardano; garantendogli anchela possibilità che i dati sanitari restino comunque sempre disponibili alprofessionista sanitario che li ha raccolti ed elaborati, senza la loronecessaria inclusione nel dossier sanitario (cfr. punti 3 e 8 delle citateLinee guida);

-    il consenso, anche se manifestatounitamente a quello previsto per il trattamento dei dati a fini di cura, deveessere autonomo e specifico (cfr. artt. 23, comma 3 e 81 del Codice). Ciò inquanto, il trattamento dei dati sanitari effettuato tramite il dossiercostituisce un trattamento ulteriore e -come tale- facoltativo rispetto aquello effettuato dal professionista sanitario con le informazioni acquisite inoccasione della cura del singolo evento clinico per il quale l'interessato sirivolge ad esso. In assenza del dossier sanitario, infatti, il professionistaavrebbe accesso alle sole informazioni fornite dal paziente e a quelle elaboratein relazione all'evento clinico per il quale il paziente si è recato presso dilui; attraverso l'uso del dossier sanitario, invece, il professionista pone inessere un ulteriore trattamento di dati sanitari mediante la consultazionedelle informazioni trattate nell'ambito dell'intera struttura sanitaria e nonsolo del suo reparto –da professionisti diversi- in occasione di altrieventi clinici occorsi in passato all'interessato, anche riferiti a patologiedifferenti rispetto a quella in relazione alla quale l'interessato si è rivoltoal professionista che lo ha in cura;

-    il titolare del trattamento devefornire previamente un'idonea informativa (artt. 13, 79 e 80 del Codice), chedeve contenere tutti gli elementi richiesti dall'art. 13 del Codice (cfr. punto8 delle citate Linee guida). In particolare, deve essere evidenziatal'intenzione di costituire un dossier sanitario (il più possibile completo) chedocumenti la storia clinica dell'interessato per migliorare il suo processo di cura(cfr. art. 76, comma 1, lett. a) del Codice). Deve essere illustratoall'interessato, infatti, che tale strumento, una volta che sia statocostituito con il suo consenso, potrà essere utilizzato da tutti iprofessionisti che lo prenderanno in cura all'interno della strutturasanitaria, al fine di valutare in modo più completo il suo stato di salute.Tale strumento potrà essere, infatti, consultato nella sua interezza da partedi tutto il personale sanitario che fornirà nel tempo assistenza allo stesso.L'interessato deve essere, poi, informato che l'eventuale mancato consenso allacostituzione del dossier non incide sulla possibilità di accedere alle curemediche richieste;

-    il titolare deve rendere noteall'interessato anche le modalità attraverso le quali rivolgersi allo stessoper esercitare i diritti di cui agli artt. 7 e ss. del Codice, come pure quelleper revocare il consenso espresso in merito alla costituzione del dossier o peresercitare la facoltà di oscurare alcuni eventi clinici che lo riguardano (cfr.successivo punto 2.3); in caso di revoca del consenso (liberamentemanifestabile in qualsiasi momento), il dossier non deve essere ulteriormentealimentato. I documenti sanitari presenti restano disponibili al professionistao alla struttura interna al titolare che li ha raccolti od elaborati (es.informazioni relative a un ricovero utilizzabili solo dal reparto/dipartimentodi degenza) e per eventuali conservazioni per obbligo di legge (art. 22, comma 5,del Codice), ma non saranno più condivisi da parte degli altri professionistidegli altri reparti/dipartimenti che prenderanno in cura l'interessato;

-    l'inserimento delle informazionirelative ad eventi sanitari pregressi all'istituzione del dossier deve,inoltre, fondarsi sul consenso specifico ed informato dell'interessato, potendoquest'ultimo anche scegliere che le informazioni sanitarie pregresse che loriguardano non vi siano inserite;

-    qualora nel dossier siano inseriteanche informazioni relative a prestazioni sanitarie offerte a soggetti nei cuiconfronti l'ordinamento vigente ha posto specifiche disposizioni a tutela dellaloro riservatezza e dignità personale (atti di violenza sessuale o dipedofilia, persone sieropositive o che fanno uso di sostanze stupefacenti, disostanze psicotrope e di alcool, interventi di interruzione volontaria dellagravidanza, parto in anonimato, servizi offerti dai consultori familiari), iltitolare del trattamento deve acquisire una specifica manifestazione di volontàdell'interessato, il quale potrebbe anche legittimamente richiedere che taliinformazioni siano consultabili solo da parte di alcuni soggetti dallo stessoindividuati (ad es. solo dallo specialista presso cui è in cura) (punto 5 dellecitate Linee guida).

Alladata degli accertamenti ispettivi -come risulta dal verbale delle operazionicompiute il 27 maggio u.s.- l'AOSP, in qualità di titolare del trattamento, nonha fornito agli interessati alcuna informativa e non ha acquisito uno specificoconsenso in merito al trattamento dei dati personali effettuato mediante ildossier sanitario in uso presso la stessa. L'informativa utilizzatadall'Azienda per il trattamento dei dati personali effettuato nell'ambito delleattività di cura prestate dalla stessa non contiene, infatti, alcun riferimentoal trattamento dei dati effettuato mediante il dossier sanitario.

Secondoquanto rappresentato dall'Azienda nella documentazione in atti, presso lastessa è in itinere un progetto di raccolta del consenso dell'interessato altrattamento dei dati personali -anche pregressi- effettuati mediante il dossierche potrebbe essere implementato, come descritto nelle premesse, a partire dagennaio 2015.

Pertanto,con riferimento al trattamento di dati personali effettuato dall'AOSP medianteil suddetto dossier, si rileva che lo stesso non è lecito in quanto non è statafornita l'informativa agli interessati e non è stato acquisito il loro consenso(art. 13, 23 e 76 e ss. del Codice) e che, di conseguenza, i dati personalitrattati dall'AOSP mediante il dossier sanitario aziendale non possono essereutilizzati (art. 11, comma 2, del Codice).

Ciòpremesso, il Garante, al fine di rendere conforme il trattamento dei datieffettuato dall'AOSP, in qualità di titolare del trattamento, attraverso lostrumento del dossier, tenuto conto di quanto dichiarato dall'AOSP in meritoalla predisposizione di un sistema di raccolta del consenso dell'interessatocon riferimento al trattamento dei dati personali effettuato mediante ildossier sanitario aziendali, ritiene necessario:

a)     vietare all'AOSP dieffettuare ulteriori trattamenti di dati personali dei pazienti mediante lostrumento del dossier, in quanto sono stati effettuati senza aver fornito agliinteressati un'idonea e preventiva informativa ai sensi dell'art. 13 del Codicee senza aver acquisito uno specifico consenso ai sensi degli artt. 23 e 76 e ss.del Codice (artt. 143, comma 1, lett. c) e 154, comma 1, lett. d);

b)     prescrivere all'AOSP che idati personali relativi alle prestazioni sanitarie erogate dall'Azienda restinodisponibili solo al professionista o alla struttura interna al titolare che liha raccolti ed elaborati (es. informazioni relative a un ricovero utilizzabilidal reparto di degenza) e per eventuali conservazioni per obbligo di legge(art. 22, comma 5, del Codice), adottando idonei accorgimenti anche tecniciaffinché i medesimi dati personali non siano condivisi attraverso lo strumentodel dossier con altri professionisti che hanno in cura l'interessato pressoaltri reparti/dipartimenti, fino al momento in cui lo stesso esprima unospecifico e autonomo consenso informato in ordine al trattamento dei suoi datisanitari attraverso il dossier (artt. 13 e 76 e artt. 143, comma 1, lett. b) e154, comma 1, lett. c), del Codice);

c)     prescrivere all'AOSP diacquisire uno specifico e autonomo consenso informato dell'interessato perutilizzare -attraverso il dossier - anche le informazioni sanitarie relative aeventi clinici pregressi ovvero occorsi all'interessato in periodi precedentirispetto al momento in cui lo stesso acconsente al trattamento dei suoi datisanitari attraverso il dossier (gestione del pregresso). Tale consenso puòessere raccolto anche unitamente a quello prescritto nella precedente lett. b)(artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice);

d) prescrivere all'AOSP di acquisire uno specifico eautonomo consenso informato dell'interessato per utilizzare -attraverso ildossier - anche le informazioni relative alle prestazioni erogate dall'Aziendaa seguito di atti di violenza sessuale o di pedofilia, in occasionedell'accertamento dello stato di sieropositività, dell'uso di sostanzestupefacenti, di sostanze psicotrope e di alcool, degli interventi diinterruzione volontaria della gravidanza o relativi al parto in anonimato,nonché con riferimento ai servizi offerti dai consultori familiari (artt. 143,comma 1, lett. b) e 154, comma 1, lett. c), del Codice).

Attesoquanto dichiarato dalla suddetta Azienda, in merito all'attuale processo diadeguamento alle indicazioni fornite dal Garante nelle citate Linee guida, gliaccorgimenti di cui alle precedenti lett. b), c) e d) devono essere completatientro il 31 marzo 2015 (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c),del Codice).
L'Autorità, in relazione agli aspetti sopra rappresentati,ritiene inoltre necessario riservarsi di verificare, con autonomo procedimento,la sussistenza dei presupposti per contestare all'AOSP le violazioni delledisposizioni di cui agli artt. 13 e 23, del Codice e la conseguenteapplicazione delle sanzioni di cui agli artt. 161 e 162, comma 2-bis delCodice.

2.2Accesso al dossier sanitario solo da parte del medico che ha in cural'interessato.

Nellecitate Linee guida del 2009 il Garante, con riferimento all'accesso ai daticontenuti nel dossier sanitario (cfr. punto 5 delle citate Linee guida), hastabilito che:

-    in relazione alle finalitàperseguite con la costituzione del dossier, l'accesso a tale strumento deveessere consentito solamente per fini di prevenzione, diagnosi e curadell'interessato e unicamente da parte di soggetti operanti in ambitosanitario, con conseguente esclusione di periti, compagnie di assicurazione,datori di lavoro, associazioni o organizzazioni scientifiche, organismiamministrativi anche operanti in ambito sanitario, nonché del personale medicoche agisca nell'esercizio di attività medico-legali;

-    debbano essere adottate modalitàtecniche di autenticazione al dossier che consentano di autorizzare l'accesso atale strumento solo da parte degli esercenti la professione sanitaria che avario titolo prenderanno in cura l'interessato;

-    il personale amministrativooperante all'interno della struttura sanitaria in cui viene utilizzato ildossier sanitario può, pertanto, in qualità di incaricato del trattamento,consultare solo le informazioni necessarie per assolvere alle funzioniamministrative cui è preposto e strettamente correlate all'erogazione dellaprestazione sanitaria (ad es., il personale addetto alla prenotazione di esamidiagnostici o visite specialistiche può consultare unicamente i soli datiindispensabili per la prenotazione stessa);

-    l'esercente la professionesanitaria che ha redatto uno o più documenti clinici presenti nel dossier devepoter sempre consultare gli stessi;

-    l'accesso al dossier sanitariodeve essere circoscritto al periodo di tempo indispensabile per espletare leoperazioni di cura per le quali è autorizzato il soggetto che accede. Ciò,comporta che i soggetti autorizzati all'accesso devono poter consultareesclusivamente i dossier sanitari riferiti ai pazienti che assistono e per ilperiodo di tempo in cui si articola il percorso di cura per il qualel'interessato si è rivolto ad essi.

Alladata degli accertamenti ispettivi- come risulta dal verbale delle operazionicompiute il 27 maggio u.s.- l'AOSP non aveva messo in atto specifiche procedureche consentissero al solo personale sanitario coinvolto nel processo di curadel paziente di accedere al relativo dossier per il tempo strettamentenecessario alla cura.

Secondoquanto dichiarato in atti, tuttavia, subito dopo gli accertamenti ispettivi"sono stati disattivati tutti i profili diversi da quello medico".L'AOSP ha inoltre deciso che "entro marzo 2015" gli utentiautorizzati ad accedere al dossier saranno "esclusivamente i medici ()profilati sulla base del/i reparto/i di appartenenza", secondo le modalitàindicate in permessa.

Pertanto,al fine di rendere conforme il trattamento dei dati effettuato dall'AOSP, inqualità di titolare del trattamento, attraverso il dossier, il Garante ritienenecessario prescrivere alla predetta Azienda di completare la messa in atto dispecifici accorgimenti che consentano ai soli professionisti sanitari che hannoin cura il paziente (che abbia già manifestato un consenso informato allacostituzione del dossier) di accedere al relativo dossier per il tempo in cuisi articola il percorso di cura.

Attesoquanto dichiarato dalla suddetta Azienda, in merito all'attuale processo diadeguamento alle indicazioni fornite dal Garante nelle citate Linee guida, taliaccorgimenti devono essere completati entro il 31 marzo 2015 (artt. 143, comma1, lett. b) e 154, comma 1, lett. c), del Codice).

2.3Oscuramento

IlGarante, nelle citate Linee guida, ha previsto un'importante garanzia a tuteladella riservatezza dell'interessato che abbia scelto consapevolmente di farcostituire un dossier sanitario sulla propria storia clinica, consistente nellapossibilità di oscurare taluni eventi clinici ivi presenti (cfr. 3 delle citateLinee guida). Tale garanzia è stata riproposta dal legislatore anche conriferimento al FSE (citato art. 12, comma 3-bis D.L. 18 ottobre 2012, n. 179,convertito, con modificazioni, dall'art. 1, comma 1, L. 17 dicembre 2012, n.221). Ferma restando, infatti, l'indubbia utilità di un dossier sanitariocompleto, il titolare del trattamento deve garantire la possibilità perl'interessato di non far confluire in esso alcune informazioni sanitarie.

Alriguardo, nelle predette Linee guida il Garante ha stabilito che:

-    l'"oscuramento"dell'evento clinico (revocabile nel tempo) deve avvenire con modalità tali dagarantire che, almeno in prima battuta, i soggetti abilitati all'accesso nonpossano venire automaticamente a conoscenza del fatto che l'interessato haeffettuato tale scelta ("oscuramento dell'oscuramento");

-    il titolare del trattamento è tenutoad informare i soggetti abilitati ad accedere a tali strumenti in ordine allapossibilità che tutti i dossier sanitari possono non essere completi, in quantol'interessato potrebbe aver esercitato il suddetto diritto di oscuramento;

-    in caso di oscuramento leinformazioni oscurate restano comunque disponibili al professionista o allastruttura interna al titolare che le ha raccolte o elaborate (es. refertoaccessibile tramite dossier da parte del professionista che lo ha redatto). Ladocumentazione clinica relativa all'evento oscurato deve essere comunqueconservata dal titolare del trattamento secondo la normativa di settore.

Conriferimento alla possibilità di richiedere l'oscuramento di uno o più eventiclinici da parte dell'interessato, come risulta dal verbale delle operazionicompiute del 27 maggio u.s.- l'AOSP, non richiedendo all'interessato unospecifico consenso per la costituzione del dossier, non ha mai comunicato allostesso la possibilità di esercitare nei confronti dei dati ivi trattati il richiamatodiritto all'oscuramento. L'Azienda ha comunque rappresentato che in passato, aseguito di specifica richiesta di alcuni pazienti, sono stati comunque oscuratii dati presenti nel dossier.
L'AOSP ha in seguito comunicato di avermeglio definito le modalità attraverso le quali l'interessato potrà esercitarela facoltà di oscurare le informazioni personali presenti nel dossier, e che"entro marzo 2015", sarà implementato "l'oscuramento dellavisualizzazione sia dei riferimenti dell'episodio, sia dei dati clinicirelativi a quest'ultimo".

Pertanto,al fine di rendere conforme il trattamento dei dati effettuato dall'AOSP, inqualità di titolare del trattamento, attraverso il dossier sanitario, ilGarante ritiene necessario prescrivere alla predetta Azienda di completare lamessa in atto di specifici accorgimenti che consentano all'interessato di poteresprimere la volontà di oscurare nel proprio dossier sanitario i dati personalirelativi a singoli eventi clinici anche relativi al pregresso. Di tale dirittodeve essere fatta menzione nell'informativa resa ai sensi dell'art. 13 delCodice (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice).

Attesoquanto dichiarato dalla suddetta Azienda, in merito all'attuale processo diadeguamento alle indicazioni fornite dal Garante nelle citate Linee guida, taliaccorgimenti devono essere completati entro il 31 marzo 2015.

TUTTO CIO' PREMESSO IL GARANTE

a)     rilevata l'illiceità deltrattamento effettuato dall'Azienda ospedaliero universitaria S. Orsola Malpighidi Bologna con riferimento alla circostanza che non è stata resa l'informativae non è stato acquisito il consenso dell'interessato in relazione altrattamento effettuato tramite il dossier sanitario aziendale (artt. 13, 23 e76 e ss. del Codice), ai sensi degli artt. 143, comma 1, lett. c) e 154, comma1, lett. d) del Codice, vieta all'Azienda ospedaliero universitaria S. Orsola Malpighidi effettuare ulteriori trattamenti di dati personali dei pazienti mediante lostrumento del dossier sanitario aziendale;

b)     ai sensi dell'art. 143, comma1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive all'Aziendaospedaliero universitaria S. Orsola Malpighi, quali misure necessarie:

1.  che i dati personali relativi alleprestazioni sanitarie erogate dall'Azienda restino disponibili solo alprofessionista o alla struttura interna al titolare che li ha raccolti edelaborati (es. informazioni relative a un ricovero utilizzabili dalreparto/dipartimento di degenza) e per eventuali conservazioni per obbligo dilegge (art. 22, comma 5, del Codice), adottando idonei accorgimenti, anchetecnici, affinché i medesimi dati non siano più condivisi attraverso il dossiersanitario con altri professionisti che curino l'interessato presso altrireparti/dipartimenti, fino al momento in cui quest'ultimo esprima uno specificoconsenso informato alla costituzione del dossier (artt. 13 e 76 e ss. delCodice). Tali accorgimenti devono essere adottati nel più breve tempo possibilee comunque entro il 31 marzo 2015;

2.  di acquisire uno specifico consenso informatodell'interessato per utilizzare -attraverso il dossier sanitario- anche leinformazioni sanitarie relative a eventi clinici pregressi ovvero occorsiall'interessato in periodi precedenti rispetto al momento in cui lo stessoacconsente al trattamento dei suoi dati sanitari attraverso il dossiersanitario (gestione del pregresso). Tale consenso informato, che può essereraccolto anche unitamente a quello prescritto nel precedente punto sub 1, deveessere acquisito nel più breve tempo possibile e comunque entro il 31 marzo2015;

3.  di acquisire uno specifico e autonomoconsenso informato dell'interessato per utilizzare -attraverso il dossiersanitario- anche le informazioni relative alle prestazioni erogate dall'Aziendaa seguito di atti di violenza sessuale o di pedofilia, in occasionedell'accertamento dello stato di sieropositività, dell'uso di sostanzestupefacenti, di sostanze psicotrope e di alcool, degli interventi diinterruzione volontaria della gravidanza o relativi al parto in anonimato,nonché con riferimento ai servizi offerti dai consultori familiari. Taleconsenso informato, che può essere raccolto anche unitamente a quelloprescritto nel precedente punto sub 1, deve essere acquisito nel più brevetempo possibile e comunque entro il 31 marzo 2015;

4.  di completare la messa in atto di specificiaccorgimenti che consentano ai soli professionisti sanitari che hanno in quelmomento in cura il paziente (che abbia già manifestato un consenso informatoalla costituzione del dossier) di accedere al relativo dossier sanitario per iltempo in cui si articola il percorso di cura. Tali accorgimenti devono essereadottati entro il 31 marzo 2015;

5.  di completare la messa in atto di specificiaccorgimenti che consentano all'interessato di poter esprimere la volontà dioscurare nel proprio dossier sanitario le informazioni relative a singolieventi clinici anche relativi al pregresso. Di tale diritto deve essere fattamenzione nell'informativa resa ai sensi dell'art. 13 del Codice. Taliaccorgimenti e la menzione nell'informativa devono essere messi in atto entroil 31 marzo 2015;

c)     ai sensi dell'art. 157 delCodice, richiede all'Azienda ospedaliero universitaria S. Orsola Malpighi, dicomunicare, entro i dieci giorni successivi ai termini prescritti nella precedentelett. b),  quali iniziative siano state intraprese al fine di dareattuazione al presente provvedimento;

d)     ai sensi dell'art. 154, comma1, lett. h) del Codice invia il presente provvedimento alla Regione EmiliaRomagna, affinché provveda a rendere noto quanto ivi prescritto alle altreaziende sanitarie del Servizio sanitario regionale in relazione ai trattamentieffettuati mediante i dossier sanitari aziendali.

Ai sensidegli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'Autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 23 ottobre 2014

Il presidente
Soro

Il relatore
Iannini

Il segretario generale
Busia