Il Garante della privacy ha sanzionato per ventimila euro un policlinico per aver violato la riservatezza dei referti online di alcuni utenti. La vicenda consente di approfondire la tematica relativa alla refertazione online, la cui regolamentazione a oggi sembra ancora carente di una forte disciplina di settore. L’auspicio è che il legislatore intervenga con forti strumenti normativi che tengano conto da un lato degli aspetti legali e dall’altro di quelli strettamente tecnici date le stringenti misure di sicurezza da adottare nel momento in cui una struttura sanitaria decida di ricorrere ad un sistema di refertazione online.
Indice degli argomenti
Il caso
Mentre consultavano le proprie radiografie, trentanove pazienti del policlinico avrebbero potuto avere accesso all’elenco alfabetico di settantaquattro altri assistiti. Collegandosi con lo smartphone attraverso le loro credenziali, essi potevano così visualizzare i referti radiologici e l’elenco degli esami degli altri pazienti. Venuto a conoscenza della violazione dei dati a seguito di una segnalazione, il policlinico aveva interrotto la procedura di consultazione dei referti online. Ovviamente si è provveduto anche a correggere il bug, onde evitare futuri accessi non autorizzati ai dati dei pazienti. Poi è stata inviata una segnalazione dell’incidente al fornitore del sistema.
Il policlinico aveva inoltre, come previsto dal Regolamento Ue, notificato il data breach al Garante. La spiegazione è stata che la causa della violazione era da attribuirsi ad un errore umano nell’integrazione di due sistemi informatici. La struttura ospedaliera avrebbe specificato di non aver ricevuto reclami dai pazienti o richieste di risarcimento dei danni in merito alla vicenda. Il Garante, alla luce dell’illecita comunicazione di dati sanitari causata dall’errore informatico, ha applicato una sanzione. Si è però tenuto conto dell’elevato livello di cooperazione dimostrato dal policlinico e della tempestiva risoluzione del problema.
Ricadute privacy dei referti online
Alla luce di ciò, va sottolineato che il processo di dematerializzazione della documentazione sanitaria ha indotto molte strutture sanitarie pubbliche e private ad offrire servizi telematici gratuiti generalmente riconducibili nell’espressione referti online, consistenti nell’opportunità per il paziente di accedere al suo referto, inteso come la relazione scritta rilasciata dal medico sullo stato clinico del paziente dopo un esame clinico o strumentale, con modalità informatica. Sul tema il Garante per la protezione dei dati personali è intervenuto con un provvedimento del 19 novembre 2009, “Linee guida in tema di referti online”, che intende fornire misure a protezione dei dati personali dei pazienti che si avvalgono di tale servizio.
Ad ogni modo, il paziente può scegliere se ricevere il suo referto online, nelle modalità di seguito descritte, oppure ricorrere al referto cartaceo, il quale rimanere sempre e comunque disponibile per il paziente. Il referto online viene generalmente reso fruibile attraverso due modalità:
- la ricezione del referto presso la casella di posta elettronica dell´interessato. Il referto dovrà essere spedito in allegato a un messaggio e-mail e non come testo compreso nel corpo del messaggio. Il file contenente il referto dovrà essere protetto, ad es. con una password.
- il collegamento al sito Internet della struttura sanitaria, ove è stato eseguito l’esame clinico, al fine di effettuare il download del referto. In quest´ultimo caso, la struttura sanitaria deve adottare misure di sicurezza tecniche come protocolli di comunicazione sicuri (https) e sistemi di autenticazione forte dell’interessato (strong authentication). Deve inoltre rendere disponibile il referto online sul proprio sito web per un massimo di 45 giorni e garantire all’utente la possibilità di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.
Inoltre, l’interessato può chiedere di essere avvisato tramite sms del fatto che il referto è disponibile, ma in questo caso nel messaggio inviato dalla struttura sanitaria deve essere data solo notizia della disponibilità del referto e non anche del dettaglio della tipologia degli accertamenti effettuati, del loro esito o delle credenziali di autenticazione assegnate all’interessato.
I compiti della struttura sanitaria
La struttura sanitaria, in qualità di titolare del trattamento, deve garantire all´interessato di decidere liberamente – sulla base di una specifica informativa e di un apposito consenso in ordine al trattamento dei dati personali connessi a tale servizio – di aderire o meno a tali servizi di refertazione, senza alcun pregiudizio sulla possibilità di usufruire delle prestazioni mediche richieste. Nello specifico, la struttura sanitaria deve fornire agli interessati un’apposita informativa, distinta rispetto a quella relativa al trattamento dei dati personali per finalità di cura, idonea e specifica che esponga, con un linguaggio chiaro e comprensibile, le caratteristiche del servizio di refertazione online in conformità agli artt. 13-14 del GDPR.
Come previsto dall’art.5 del DPCM dell’8 agosto 2013, relativo alle modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione del pagamento online delle prestazioni erogate, ai sensi dell’articolo 6, comma 2, lettera d), numeri 1) e 2) del decreto-legge 13 maggio 2011, n.70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106, recante «Semestre europeo – prime disposizioni urgenti per l’economia», al fine di consentire all’interessato di esprimere scelte consapevoli in relazione al trattamento dei propri dati personali nell’utilizzo dei servizi di refertazione online, la struttura sanitaria, oltre a fornire all’interessato un’ idonea informativa, acquisisce il consenso esplicito, libero, specifico e informato dell’interessato alla refertazione online. Il mancato consenso non deve precludere in alcun modo la possibilità di accedere alla prestazione medica richiesta.
Consenso e misure tecniche
Si specifica che vi sono particolari indagine cliniche i cui referti non possono essere comunicati all’interessato tramite modalità digitali, e questi riguardano accertamenti relativi ad indagini genetiche o all’HIV. Inoltre, come indicato dal Garante nel provvedimento del 7 marzo 2019, non è più necessario che il titolare (es. struttura sanitaria) raccolga il consenso dell’interessato per il trattamento dei dati necessario all’erogazione della prestazione sanitaria (art. 9, par. 2, lett. h), del GDPR). Sempre relativamente all’erogazione del consenso, l’interessato ha in ogni momento la facoltà, in relazione ai singoli esami clinici a cui si sottoporrà di volta in volta, di manifestare una volontà contraria ovvero che i relativi referti non siano oggetto del servizio di refertazione online precedentemente scelto.
La struttura sanitaria, in aggiunta, dovrà adottare specifiche misure e accorgimenti tecnici al fine di assicurare idonei livelli di protezione dei dati sia in base alle Linee Guida in materia di refertazione online del Garante che al DPCM dell’8 agosto 2013, su menzionato. Nello specifico, è necessario:
- prevedere idonei sistemi di autenticazione e autorizzazione per i soggetti autorizzati a seconda dei ruoli e delle finalità dei trattamenti;
- definire differenti livelli di protezione a seconda che la consultazione online dei referti avvenga tramite servizi Web, tramite posta elettronica anche certificata o supporto elettronico. Chiunque abbia accesso o tratti i dati dei referti online deve essere opportunamente formato.
Nel quadro normativo vigente in materia di protezione dei dati personali, che vanta tra i vari principi quello di accountability, la struttura sanitaria dovrà dimostrare ad esempio nella gestione di una violazione dei dati personali (cd data breach) di aver adottato un’apposita procedura, che consenta di intervenire tempestivamente in caso di violazione del sistema di refertazione online e di monitorarne costantemente la sicurezza. Mentre relativamente agli adempimenti previsti dal quadro normativo vigente in materia di protezione dei dati personali rispetto alla tenuta di un Registro dei trattamenti e alla valutazione d’impatto (DPIA), la refertazione online, con le sue specifiche caratteristiche e misure di sicurezza, deve essere inserita all’interno del Registro delle attività di trattamento, in base all’art. 30 del GDPR. Qualora la struttura sanitaria intenda implementare l’uso di nuove tecnologie per offrire su larga scala nuovi servizi digitali di refertazione deve effettuare, prima di procedere al trattamento, la valutazione d’impatto (cd. DPIA) secondo le regole previste dal GDPR.
