Blog

Una questione di rilevante importanza in ordine ai provvedimenti del Garante per la protezione dei dati personali ha preso avvio dalla lamentata violazione della disciplina derivante dalle modalità di consegna dei referti on line, da parte della Società Bios s.p.a.

L’importanza del provvedimento sta nel fatto di avere riassunto con particolare ricercatezza le regole sulla tutela del diritto alla riservatezza dei pazienti. Adempimenti siffatti hanno contribuito ad accrescere e diffondere l’evolversi mediatico della sanità; quest’ultima, infatti soprattutto negli ultimi anni si è progressivamente digitalizzata, aprendo così nuove possibilità all’efficienza e l’accessibilità dei servizi offerti. Tra le innovazioni più significative di questo servizio, ormai diffuso sia nella sanità pubblica che in quella privata, rileva appunto la refertazione online, ossia un sistema atto a consentire ai pazienti di ricevere i referti medici direttamente sul proprio dispositivo elettronico, senza necessità di recarsi fisicamente presso le strutture sanitarie.

Le colonne d’ercole: privacy e sicurezza

Ad onta della particolare delicatezza del tema, il trattamento dei dati sanitari suggerisce l’adozione di misure rigorose per prevenire accessi non autorizzati e garantire così la riservatezza. A tal fine i servizi di refertazione on line devono rispettare anzitutto il sistema della protezione dei dati: ogni referto, in particolare, deve essere trasmesso attraverso canali sicuri (come ad es. protocolli HTTPS) e, se inviato via mail, allegato in formato protetto da password o crittografia. In seguito si impone sia il rispetto dell’accesso controllato che quello del principio di trasparenza; con il primo sarà necessario implementare sistemi di autenticazione forte per garantire che solo il paziente od i soggetti autorizzati possano accedere ai referti, mentre con il secondo, invece, il paziente dovrà essere informato in modo chiaro sulle modalità di trattamento dei dati e sulle misure adottate per garantire la sicurezza.

In definitiva, pertanto, strumenti come la crittografia, la validazione preventiva degli indirizzi e mail per l’adozione del principio di “privacy by design”, sono essenziali per assicurare che la digitalizzazione non comporti rischi per i diritti dei pazienti. Ne risulta come in definitiva, la refertazione online miri ad un duplice risultato: da un lato migliorare l’esperienza del paziente, rendendo l’accesso ai referti clinici rapido e semplice, e garantire che ogni passaggio sia svolto in piena sicurezza, nel rispetto della normativa sulla protezione dei dati personali.

La quaestio facti

Ciò che si è rappresentato all’interno della censura è stato il rilievo secondo cui la medesima società, su richiesta di una signora che si era recata con le due figlie minorenni per esami presso una struttura sanitaria privata, inserendo un indirizzo di posta errato, ha diffuso il referto di esami diagnostici relativi alla (figlia) minore, che conteneva oltre ai dati sanitari di quest’ultima, altresì i dati anagrafici della stessa, evidenziando così che i referti erano “meramente allegati all’e mail senza richiedere per la loro visione una password di accesso”.

Una volta ricevuto la mail con il referto relativo ad una sola delle due bambine, la signora contattando telefonicamente la struttura per avere chiarimenti in merito, ha indotto l’operatore a verificare quanto avvenuto, procedendo sempre invano ad un secondo invio del referto mancante via mail. A seguito di questo monitoraggio indotto l’operatore, controllando in tempo reale la posta, dopo aver realizzato di avere inviato il referto ad un indirizzo e mail sbagliato, lo ha fatto subito presente all’interessata; il processo di sanatoria postuma si conclude così con il successivo avviso dell’erroneo destinatario tramite telefono, nonché con la segnalazione dell’errore e correlativa richiesta di cancellazione del messaggio.

Di seguito, la struttura sanitaria ha posto in essere una serie di azioni di mitigazione del rischio di diffusione dei dati dei pazienti, procedendo nello specifico ad una serie di incontri di formazione ed istruzione specifica dei propri incaricati, con richiamo ad una maggiore attenzione, altresì adottando un sistema di accesso alla refertazione online sicura, mediante password o codice criptato.

Ora e nonostante l’immediata reazione dell’operatore, la signora ha così presentato reclamo al Garante Privacy.

La messa a punto delle regole per l’invio di referti a mezzo mail: l’applicazione dei principi al caso concreto

Entrando nel merito della disciplina, l’attività di refertazione on line risulta disciplinata dalle linee guida in tema di referti on line del Garante Privacy del 19 novembre 2009, applicabili a qualsivoglia tipologia di struttura. In suddetto provvedimento, in particolare, si specifica che, qualora il titolare del trattamento intenda inviare copia del referto alla casella di posta elettronica dell’interessato, a seguito di sua richiesta, per il referto prodotto in formato digitale occorrerà anzitutto provvedere alla spedizione del referto in forma di allegato ad un messaggio e mail, nonché in subordine proteggere il file contenente il referto con modalità idonee ad impedire l’illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi da quelli cui sono destinati (password per l’apertura del file o chiave crittografata). Infine, bisognerà convalidare gli indirizzi e mail tramite apposita procedura di verifica on line, evitando così la spedizione di documenti elettronici nei confronti di soggetti diversi dall’utente richiedente il servizio.

L’applicazione dei suddetti principi al caso concreto è avvenuta sulla base di un iter articolato in cui il Garante, preso atto del tempestivo intervento dell’operatore per risolvere il problema e delle misure successivamente adottate dalla struttura interessata, ha considerato come anzitutto all’epoca dei fatti, la struttura sanitaria non avesse predisposto alcuna misura idonea ad impedire l’illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi dal destinatario (come ad esempio l’utilizzo di una password o di una chiave crittografata per l’apertura del file).

In subordine, l’acquisizione di un consenso degli interessati alla trasmissione via mail dei referti “in formato .pdf senza l’utilizzo di password” (che, in ogni caso, non può essere assimilata ad una espressa e consapevole richiesta degli stessi), non solleva il titolare della struttura dal dovere di valutare, nel corso del tempo, l’adeguatezza del livello di sicurezza dei sistemi, che tenga anche conto dello sviluppo tecnologico e dei nuovi rischi di volta in volta emergenti.

Sulla base di queste constatazioni, pertanto, il Garante ha concluso che la struttura, nonostante l’efficienza della sanatoria avvenuta de facto, abbia tuttavia mancato di ottemperare agli obblighi di adozioni delle misure tecniche ed organizzative idonee a garantire il livello di sicurezza adeguato ai rischi presentati dal trattamento, ed ha comminato alla stessa una sanzione amministrativa di Euro 7 000, 00 per la relativa violazione.

Hai bisogno di assistenza legale nella protezione dei dati sanitari o hai subito una violazione della privacy medica?

Il nostro team di avvocati esperti in diritto della privacy è al tuo fianco per tutelare i tuoi diritti.

Consulenza specializzata in privacy sanitaria e GDPR per:

• Strutture sanitarie e cliniche private
• Professionisti del settore medico
• Pazienti che hanno subito violazioni dei dati personali

Contattaci subito per una consulenza personalizzata.

(6 votes, average: 5,00 out of 5)
Loading...