AGGIORNAMENTO:   i rimandi al sito del Garante comnprendono gli aggiornamenti successivi all'approvazione del GDPR 2016/679.

C’era una volta l’ultimo cassetto del comò dove si riponevano le “carte da far vedere al dottore”. Fogli, esami, radiografie, referti, un po’ di tutto… che veniva preso e messo in una busta di plastica in occasione di visite specialistiche.. e magari ci si dimenticava proprio l’ultimo esame, quello che serviva di più.

Nell’era dell’elettronica abbiamo il DOSSIER SANITARIO, un plico virtuale presso la struttura (ospedale, casa di cura, centro specialistico…) dove siamo in cura,  che contiene tutti i nostri dati e consente al medico di avere subito un quadro chiaro e preciso e a noi di… svuotare l’ultimo cassetto del comò.  E’ comodo, preciso, immediato. Avere una ”cartella clinica” on line con l’intero quadro del paziente in cura presso la struttura è un grande vantaggio per il paziente, che non dovrà portare con sé pacchi di documenti né compiere sforzi di memoria,  talvolta fallaci, per ricordare la sua storia clinica ed è un grande vantaggio per il medico, che avrà le informazioni che gli servono senza dover “scartabellare” fra le carte portate dal paziente: “Dottore, le ho portato tutto, qui nella busta!”

Tutti quei dati che ci riguardano, così personali e delicati, sono però in buone mani? Chi può venire a sapere la nostra storia di salute? Da questa preoccupazione sono scaturite le LINEE GUIDA del Garante per la protezione dei dati personali, disponibili sul sito dell’Autorità e numerosi essami di casi concreti, talvolta con esito di sanzioni per le strutture sanitarie che li hanno gestiti inmodo  inappropriato.  Una pagina recente del sito del Garante raccoglie  tutte le FAQ al riguardo, utili per  comprenderne meglio i limiti e le potenzialità. (vai alle FAQ del Garante sul dossier sanitario) e una  infografica ne semplifica i punti principali (infografica Garante-dossier).

Il dossier sanitario elettronico è lo strumento costituito presso un'unica struttura sanitaria (un ospedaomplele, un'azienda sanitaria, una casa di cura), che raccoglie informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso quella singola struttura e offrirgli un migliore processo di cura. Si differenzia dal fascicolo sanitario elettronico in cui invece confluisce l'intera storia clinica di una persona generata da più strutture sanitarie. E si differenzia dalla cartella clinica perchè è riferito a tutti i "passaggi" della persona presso la struttura e non solamente ai singoli ricoveri. Possono accedere alle informazioni sulla salute contenute nel dossier solamente i sanitari che hanno in cura il paziente in quel momento.

L'attivazione del dossier sanitario facilita il reperimento di informazioni da parte del personale  che ha incura  il paziente, ma la sua mancanza non deve incidere minimamente sulla possibilità di accedere alle cure richieste.

Considerati quanti dati diversi e particolari possono essere presenti in un dossier il Garante ha prescritto che per potervi inserire le informazioni più delicate (infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia) sarà necessario un consenso specifico e richiede l'adozione di elevate misure di sicurezza per evitare qualsiasi uso improprio dei dati: i dati sulla salute dovranno essere separati dagli altri dati personali, e dovranno essere individuati criteri per la cifratura dei dati sensibili. L'accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura. Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, saranno tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi. 

A questi accorgimenti, obbligatori per tutte le strutture sanitarie pubbliche e private, si aggiunge l’obbligo di comunicare all'Autorità Garante  eventuali incidenti informatici o violazioni di dati, entro quarantotto ore dalla conoscenza del fatto, attraverso un modulo specifico, (notifica di data breach).

Ma chi deve applicare le linee guida?  Tutte le strutture, pubbliche e private: ospedali, cliniche, case di cura, titolari del trattamento dei dati personali  per gli scopi di cura.

linee guida sul dossier sanitario - 4 luglio 2015