Diritti interna

Doveri interna

ricerca avanzata

Parere alla Regione Lazio sullo “Schema tipo di Regolamento aziendale sul trattamento dei dati nei processi di diagnosi e cura” - 12 maggio 2016 [5177496]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
5177496
Data:
12/05/16
Argomenti:
Particolari categorie di dati , Aziende sanitarie
Tipologia:
Parere del Garante

VEDI ANCHE NEWSLETTER DEL 21 GIUGNO 2016

 

[doc. web n. 5177496]

Parere alla Regione Lazio sullo "Schema tipo di Regolamento aziendale sul trattamento dei dati nei processi di diagnosi e cura" - 12 maggio 2016

Registro dei provvedimenti
n. 218 del 12 maggio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente, e del dott. Giuseppe Busia, segretario generale;

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

VISTE le "Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario" adottate dal Garante con Provvedimento del 16 luglio 2009 (G.U. n. 178 del 3 agosto 2009, consultabili sul sito www.gpdp.it, doc. web n. 1634116);

VISTO l´art. 12 (Fascicolo sanitario elettronico e sistemi di sorveglianza nel settore sanitario) del decreto legge 18 ottobre 2012 n. 179, convertito con modificazioni, dalla legge 17 dicembre 2012, n. 221, e successive modificazioni, e dall´art. 13, comma 2-quater, del decreto-legge 21 giugno 2013, n. 69, convertito dalla legge 9 agosto 2013, n. 98;

VISTO il parere del Garante su uno schema di decreto del Presidente del Consiglio dei ministri in materia di Fascicolo sanitario elettronico del 22 maggio 2014 (doc. web n. 3230826);

VISTE le "Linee guida in materia di Dossier sanitario" adottate dal Garante con Provvedimento del 4 giugno 2015 (G.U. n. 164 del 17 luglio 2015, doc. web n. 4084632);

VISTE le osservazioni dell´Ufficio formulate dal Segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Licia Califano;

PREMESSA

La Regione Lazio, nella persona del Direttore della Direzione regionale salute e integrazione sociosanitaria, ha chiesto un parere sul documento denominato "Schema tipo di Regolamento aziendale sul trattamento dei dati nei processi di diagnosi e cura", che è stato elaborato a seguito dell´adozione da parte di questa Autorità delle Linee guida in tema di dossier sanitario del 4 giugno 2015.

Secondo quanto rappresentato a questa Autorità, tale schema-tipo di regolamento verrà sottoposto all´approvazione della Giunta regionale, affinché possa essere "utilizzato dalle aziende sanitarie pubbliche e private operanti nel Lazio come riferimento per la stesura del proprio regolamento aziendale".

Attesa la rilevanza dello stesso, in quanto adottato con atto da parte della Giunta regionale e destinato a costituire uno schema-tipo da utilizzare in tutte le strutture sanitarie di codesta Regione, il Garante ritiene opportuno esprimere il proprio avviso sugli aspetti relativi alla disciplina sulla protezione dei dati personali.

OSSERVA

In primo luogo, si osserva che il predetto schema tipo nasce dallo studio effettuato dal Policlinico Umberto I di Roma nell´adempiere alle prescrizioni dettate dall´Autorità con il provvedimento del 18 dicembre 2014 (doc. web n. 3725976). Con il suddetto provvedimento, infatti, l´Autorità ha prescritto al predetto Policlinico una serie di misure e accorgimenti necessari, al fine di rendere conforme al Codice il trattamento dei dati personali effettuato attraverso gli applicativi in uso presso lo stesso. Nel mettere in atto tali misure, il Policlinico ha provveduto a censire tutti i trattamenti di dati personali effettuati al suo interno indicandone i relativi presupposti di liceità.

Lo schema tipo in esame, prendendo le mosse dal suddetto studio, censisce le finalità istituzionali perseguite dalle strutture sanitarie e specifica, per ogni finalità perseguita, i dati personali indispensabili al suo perseguimento. A quest´ultimo proposito, si invita la Regione Lazio a specificare, al par. 4 del predetto schema, che le definizioni ivi riportate costituiscono una ricognizione di quanto stabilito in via generale dal Codice. Ciò in quanto, non potrebbe trovare alcuna giustificazione il trattamento, a fini diagnostici e di cura, di dati idonei a rivelare, ad esempio,  le opinioni politiche, l´adesione a partiti ovvero ad organizzazioni a carattere politico.

L´analisi tiene conto anche dei trattamenti effettuati per fini di ricerca scientifica e per fini amministrativi strettamente correlati alla cura.

Lo schema individua, inoltre, le responsabilità nel trattamento dei dati attraverso l´illustrazione delle figure del titolare, del responsabile e dell´incaricato del trattamento, suggerendo indicazioni operative sulle modalità di designazione, sul contenuto delle nomine e sulla vigilanza circa l´operato dei soggetti designati. Con riferimento alla figura del responsabile esterno del trattamento, opportunamente prevista, si raccomanda alla Regione Lazio di perfezionare il par. 8 del predetto schema tipo nella parte in cui si contempla l´eventualità che tale figura effettui alcuni trattamenti in qualità di autonomo titolare. Ad ogni modo, l´Autorità prende atto dell´analisi puntuale sulla molteplicità delle figure professionali operanti nelle strutture sanitarie e delle scelte suggerite in merito alle relative designazioni. Si consideri, peraltro, che le modalità organizzative attraverso cui dare attuazione agli adempimenti in materia di protezione dei dati personali dovrebbero opportunamente tenere conto di fattori quali la dimensione, l´organigramma e la tipologia dei processi di diagnosi e cura di ciascuna singola struttura sanitaria.

Occorre altresì sottolineare che la gestione dei servizi informatici attraverso il cloud computing di cui al par. 23 dello schema tipo di regolamento - attesa la particolare delicatezza dei dati oggetto di trattamento e delle operazioni su di essi eseguibili, nonché la vastità della platea di interessati e di titolari che dovrebbero adottare tale schema - richiede l´attuazione di specifiche misure al fine di tutelare le informazioni trattate. Pertanto, si richiamano al riguardo le indicazioni fornite in proposito da questa Autorità con la scheda di documentazione su "Cloud computing: indicazioni per l´utilizzo consapevole dei servizi" (disponibile in www.gpdp.it, doc. web n. 1819933), nonché le cautele individuate dal Gruppo art. 29 dei Garanti europei nel "Parere 05/2012 sul cloud computing", WP 196 del 1° luglio 2012 (doc. web n. 2133003).

Significativo appare, in ogni caso, lo sforzo di censire tutte le professioni sanitarie operanti all´interno delle strutture sanitarie- anche di tipo universitario- individuando per ogni categoria i presupposti normativi del trattamento dei dati, le finalità perseguite e i processi di diagnosi e cura in cui tali soggetti sono coinvolti. Tale analisi rappresenta un presupposto metodologico idoneo ad una corretta attribuzione dei profili per l´accesso agli strumenti informatici- ivi compreso il dossier sanitario- in uso presso le strutture sanitarie. Si rileva inoltre che, in tale analisi, particolare attenzione è stata rivolta alle figure professionali presenti nelle strutture universitarie (tirocinanti, specializzandi, dottorandi), in cui le finalità di formazione e di assistenza si devono necessariamente integrare, e alle associazioni di volontariato che sempre più frequentemente operano in campo sanitario.

Lo schema effettua poi un censimento degli strumenti informatici con i quali sono trattati i dati personali dei pazienti, riassumendo gli obblighi in materia di sicurezza ed evidenziando rischi e responsabilità.

Il documento si propone, pertanto, di illustrare le regole previste nel Codice e gli orientamenti espressi nel tempo dall´Autorità, con riferimento al trattamento dei dati personali effettuato in ambito sanitario, sia con modalità cartacee che informatizzate. In particolare, lo schema si sofferma sui principi e gli adempimenti connessi al trattamento dei dati personali effettuato tramite il dossier sanitario rappresentati dall´Autorità nelle citate Linee guida di giugno 2015, nonché a quanto previsto in materia di FSE: a quest´ultimo proposito, e con riferimento al par. 34 del predetto schema, si raccomanda alla Regione Lazio di tenere presente quanto disciplinato nel "Regolamento in materia di fascicolo sanitario elettronico", adottato con d.P.C.M. 29 settembre 2015, n. 178, su cui questa Autorità aveva espresso parere favorevole in data 22 maggio 2014.

In tale quadro, il documento rileva i numerosi processi di diagnosi e cura presenti in una struttura sanitaria (es. accesso in pronto soccorso, ricovero ordinario, ricovero in day surgery); ciò anche in riferimento alle forme di assistenza previste in relazione a particolari patologie (ad es. le cronicità, prestazioni peculiari come la consegna diretta dei farmaci) in cui il rapporto tra la struttura sanitaria e il paziente è continuo. Tale censimento rende evidente come solo a seguito di una concreta e attenta analisi dei processi possano essere attribuiti, anche attraverso soluzioni informatiche e organizzative, i diversi profili e livelli di accesso alle banche dati in uso presso le strutture sanitarie e i tempi di apertura e chiusura del processo stesso.

Lo schema evidenzia, inoltre, l´importanza, ai fini diagnostici e terapeutici, della cooperazione operativa e tempestiva tra i diversi professionisti sanitari che si fonda sempre più sulla conoscenza condivisa delle informazioni sullo stato di salute del paziente e, quindi, su un continuo scambio di dati. Ai fini della realizzazione di tale sinergia, fondata sull´integrazione delle banche dati e sul coordinamento delle procedure, l´analisi dei trattamenti, dei flussi di dati e dei soggetti chiamati ad accedervi rappresenta, da un lato, un presupposto logico e, dall´altro, una garanzia per assicurare la correttezza e l´integrità dei dati clinici indispensabili per garantire la qualità delle informazioni sulla base delle quali verranno effettuate scelte significative per la cura della salute del paziente.

Lo schema tipo evidenzia, pertanto, come l´analisi delle finalità, dei processi e degli strumenti sia il primo passo per individuare gli adempimenti necessari in materia di protezione dei dati personali e conseguentemente soluzioni operative rispettose dei diritti alla cura e alla riservatezza.

Al riguardo, fermo restando che permane comunque in capo al titolare del trattamento l´obbligo di osservare le specifiche disposizioni di settore ovvero le prescrizioni impartite da questa Autorità con propri provvedimenti, si rileva come il percorso seguito dall´Ente nello schema di regolamento sottoposto alla valutazione dell´Autorità si muova nella direzione sempre auspicata dall´Autorità medesima di contemperare l´efficacia dell´intervento diagnostico e terapeutico con la protezione dei dati, assicurando, in ogni caso, il rispetto del diritto alla salute e alla riservatezza e dignità dei pazienti, valori imprescindibili in ogni percorso che miri a salvaguardare la vita umana.

TUTTO CIÒ PREMESSO IL GARANTE

esprime il proprio avviso, nei termini sopra esposti, in merito allo "Schema tipo di Regolamento aziendale sul trattamento dei dati nei processi di diagnosi e cura" sottoposto all´Autorità dalla Direzione regionale salute e integrazione sociosanitaria della Regione Lazio ed in corso di approvazione da parte della Giunta regionale.

Roma, 12 maggio 2016

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia