g-docweb-display Portlet

Provvedimento del 26 maggio 2022 [9791909]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE NEWSLETTER DEL 26 LUGLIO 2022

 

[doc. web n. 9777974]

Provvedimento del 26 maggio 2022

Registro dei provvedimenti
n. 210 del 26 maggio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

 

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE (di seguito “Codice”);

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n.9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante per la protezione dei dati personali, in www.gpdp.it, doc. web n.1098801;

Relatore il dott. Agostino Ghiglia;

PREMESSO

1. I procedimenti istruttori relativi al trattamento dei dati personali effettuato attraverso il dossier sanitario delle aziende sanitarie della Regione Friuli Venezia Giulia

Nel corso degli ultimi 18 mesi l’Autorità ha ricevuto notifiche di violazione e reclami in merito al trattamento di dati personali effettuato da alcune aziende sanitarie della Regione Friuli Venezia Giulia mediante il dossier sanitario aziendale (denominato “Visore referti”). In particolare, sono stati oggetto delle predette notifiche e dei reclami episodi di ripetuti accessi al dossier da parte di personale sanitario che, sebbene autorizzato al trattamento, non era coinvolto nel processo di cura dei soggetti a cui i dossier sanitari si riferivano.

Nell’ambito delle istruttorie avviate a seguito delle predette notifiche di violazione e dei richiamati reclami nei confronti di alcune aziende sanitarie della Regione Friuli Venezia Giulia è emerso che tutte le aziende sanitarie appartenenti al servizio sanitario regionale (SSR) hanno istituito il dossier sanitario aziendale mediante l’applicativo denominato “visore referti” messo a disposizione da Insiel S.p.A..

Secondo quanto dichiarato negli atti istruttori, la configurazione del dossier sanitario aziendale sarebbe stata effettuata secondo regole standard definite da Insiel sotto il coordinamento della predetta Regione, in un’ottica di uniformità e omogeneità a livello informativo del Servizio sanitario regionale. In particolare, la configurazione del dossier sanitario messa a disposizione da Insiel consentiva di fatto al personale sanitario di accedere al dossier relativo a qualunque paziente fosse in quel momento fisicamente presente nell’Azienda sanitaria e, dichiarando la sussistenza di una pluralità di casistiche preordinate, anche a quelli dei pazienti non presenti nell’Azienda sanitaria.

Ciò stante, l’Ufficio - con nota del XX (prot. n. XX) - ha evidenziato alla Regione Friuli Venezia Giulia e alle aziende sanitarie coinvolte gli aspetti di criticità ravvisati nell’attuale configurazione dei dossier sanitari, legati principalmente ai profili di autorizzazione previsti per l’accesso al dossier sanitari e ai sistemai di alert. In tale nota l’Ufficio ha proposto un incontro con i predetti Enti, al fine di approfondire le caratteristiche del sistema informativo messo a disposizione da Insiel alle aziende sanitarie regionale (“visore referti”) attraverso il quale le stesse hanno realizzato il dossier sanitario aziendale, nonché il margine di autonomia riconosciuto alle aziende sanitarie nell’implementazione delle misure ritenute dalle stesse necessarie, in qualità di titolari del trattamento, al fine di rendere conforme il trattamento alla disciplina sulla protezione dei dati personali.

A seguito del predetto incontro, svoltosi da remoto il XX, la predetta Regione ha inviato una nota nella quale sono stati riassunti gli “interventi adeguativi del sistema “Visore Referti”, al fine di eliminare o per lo meno minimizzare le criticità ravvisate” (nota del XX, prot. n. XX).

Nella suddetta nota è stata descritta la “situazione attuale”, ovvero le “regole generali, valide per tutta la Regione:

• Visualizzazione dei documenti sulla base dei consensi prestati dall’interessato, con esclusione: o dei documenti oscurati su base normativa (HIV, genetica, interruzioni di gravidanza, etc.) o oppure dei documenti oscurati puntualmente su richiesta del cittadino (a cura del medico, durante il processo di diagnosi e cura, ovvero su richiesta anche successiva da parte dell’interessato);

• In mancanza di una presa in carico amministrativa (per ricovero, accesso in pronto soccorso, o per erogazione di una prestazione ambulatoriale o di consulenza), i dati sono accessibili solo su esplicita autodichiarazione con motivazione (ad esempio, in caso di paziente cronico che contatta telefonicamente la struttura e necessita di un parere per il proseguimento di cure domiciliari).”

La Regione ha inoltre precisato che “a carico di ciascun titolare, è possibile, per il tramite dei suoi amministratori di sistema, intervenire sulle configurazioni del sistema per:

• Abilitare gli operatori all’accesso al sistema, assegnando loro ruoli specifici, tra quelli concordati tra gli enti operanti nel sistema sanitario regionale;

• Individuare le unità operative per le quali escludere completamente i documenti generati dalla visibilità (ad esempio, i referti del medico competente);

• Definire, per ciascuna unità operativa, il tipo di documento da visualizzare (referto, lettera di dimissione, lettera di trasferimento, verbale di Pronto Soccorso, …) e il suo stato (definitivo, firmato digitalmente, …);

• Operare l’oscuramento su singoli documenti, a cura del medico redattore”.

Con riferimento al sistema di accesso al “visore referti” la Regione ha precisato che “non sono previsti ruoli di tipo amministrativo, in quanto non pertinenti con le finalità del sistema”.

Nella predetta nota sono stati inoltre sommariamente descritti gli “adeguamenti previsti”. In particolare, con riferimento alla visibilità dei documenti accessibili attraverso il suddetto “visore referti” è stato dichiarato che:

“L’accesso senza autodichiarazione può essere ristretta alle sole unità operative per le quali è stata aperta un’accettazione amministrativa. Per gli episodi ambulatoriali o le richieste di consulenza, l’apertura ha validità per il giorno solare di apertura; per il pronto soccorso, fino alla dimissione; per i ricoveri, fino alla dimissione/trasferimento.

• Nel caso fosse necessario accedere al dossier di pazienti non presenti dal punto di vista amministrativo (ad esempio, per visualizzare referti pervenuti a seguito della dimissione ospedaliera), sarà necessario compilare l’autodichiarazione, motivando il motivo di accesso. In tutti i casi in cui il paziente non è presente amministrativamente nella struttura che accede al visore, è necessaria l’autodichiarazione”.

In merito alla tempistica della realizzazione dei suddetti adeguamenti, è stato dichiarato che gli stessi possono essere effettuati “in due fasi distinte:

• Prima fase (più restrittiva): tutti gli operatori accedono con autodichiarazione, indipendentemente dal fatto che il paziente sia presente amministrativamente nella specifica unità operativa. La soluzione è implementabile nell’arco di 10 giorni lavorativi dalla richiesta;

• A regime: consente alla struttura che ha il paziente presente per accettazione amministrativa (reparto, ambulatorio, PS, RSA, …) di accedere ai documenti senza autodichiarazione. Per tutte le altre strutture, l’autodichiarazione è obbligatoria. Implementazione graduale sui vari sistemi chiamanti il nuovo visore nell’arco di 6 mesi”.

In merito agli “Strumenti di alert” è stato rappresentato che “nell’arco di tre mesi, verranno rilasciate delle ulteriori funzioni di datawarehouse, consultabili e personalizzabili da ciascun titolare. Sarà possibile incrociare i dati degli accessi al sistema, delle autodichiarazioni compilate, dello status di dipendente dei pazienti. I cruscotti che saranno resi disponibili consentiranno di monitorare le casistiche di autodichiarazione, la frequenza di consultazione, etc. Oltre a un set di visualizzazioni e riepiloghi che verranno resi disponibili per tutte le aziende, ciascun titolare, per mezzo dei suoi amministratori di sistema, potrà definire autonomamente estrazioni e riepiloghi, per raffinare le azioni di monitoraggio e di rilevamento di eventuali anomalie”.

Preso atto di quanto dichiarato nella predetta nota, l’Ufficio, al fine di definire i procedimenti istruttori avviati nei confronti delle aziende sanitarie regionali con nota del XX (prot. n. XX), ha chiesto alla predetta Regione informazioni in merito all’attuale stato di implementazione degli “adeguamenti” sopra descritti; alle modalità di accesso al visore referti previste nell’ipotesi in cui l’interessato sia presente per accettazione amministrativa in una unità operativa diversa da quella che effettua l’accesso; al margine di autonomia riconosciuto alle aziende sanitarie nel chiedere, in qualità di titolari del trattamento, alla società Insiel, già designata dalle stesse aziende responsabile del trattamento, la modifica o la personalizzazione delle suddette misure di adeguamento, con particolare riguardo alle configurazioni relative all’acceso al dossier sanitario; alle fattispecie che possono essere oggetto della suddetta “autodichiarazione”, con particolare riferimento a quelle, sino ad ora consentite, relative alla “direzione sanitaria (supporto a processi organizzativi e adempimenti normativi)” e al “critical review, per analisi ed eventuale miglioramento dei percorsi di cura”, indicate nella documentazione in atti; alla tipologia di informazioni registrate nei file di log relative agli accessi e alle operazioni compiute; alle misure che si intendono adottare per assicurare che l’accesso al dossier sanitario mediante l’applicativo “visore referti”, quando effettuato da ambulatori esterni alle aziende, possa essere effettuato soltanto con riferimento ai dossier degli interessati in cura presso i suddetti ambulatori.

In risposta alla predetta richiesta di informazioni, la Regione Friuli Venezia Giulia ha risposto con nota del XX (prot. n. XX) dichiarando, in particolare, che “verrà attivato un percorso di verifica e analisi sui sistemi già in dotazione alle aziende sanitarie, al fine di valutare la loro possibile applicazione nell’ambito delle carceri/ambulatori esterni, nel rispetto della normativa relativa al trattamento dei dati personali”.

In allegato alla risposta la Regione ha fornito una nota di Insiel del XX (prot. n. XX) nella quale la Società ha rappresentato che:

- “L’adeguamento previsto nella prima fase è attivabile, a livello regionale e previa concertazione con i titolari del trattamento, entro 15 giorni dalla ricezione della richiesta”:

- Completamento della “fase a regime” entro il mese di giugno 2022. L’implementazione della fase a regime prevede che la presa in carico amministrativa del paziente avvenga a livello di singola unità operativa. L’attività prevede:

• una fase di analisi e progettazione degli sviluppi e la valutazione dell’impatto organizzativo sugli operatori delle aziende (entro il mese di febbraio/marzo 2022);

• l’adeguamento dei sistemi gestionali clinico-sanitari che invocano il Visore Referti e che indicano la presa in carico amministrativa del paziente per la specifica unità operativa; gli adeguamenti dovranno consentire l’attuale operatività fino al completamento dei rilasci (entro il mese di maggio 2022);

• l’adeguamento del visore Referti che recepisce l’informazione sulla presa in carico a livello di unità operativa per cui sia aperta una specifica accettazione amministrativa del paziente interessato e consente solo in questo contesto l’accesso al dossier del paziente stesso senza esprimere una autodichiarazione (entro la prima metà del mese di giugno 2022);

• l’attivazione degli adeguamenti sulle Aziende sanitarie, con contestuale formazione degli operatori sulle nuove modalità di utilizzo (entro il mese di giugno 2022).

• Si conferma, entro il mese di marzo 2022, il rilascio dei cruscotti di monitoraggio indicati nella sezione “Strumenti di alert”;

• In caso di unità operativa diversa da quella nella quale l’interessato è presente per accettazione amministrativa, l’accesso al Visore Referti potrà avvenire solo previa autodichiarazione dell’operatore, con indicazione della motivazione;

• Si riportano di seguito le attuali voci selezionabili nel form di autodichiarazione:

- Prevenzione/diagnosi/cura/riabilitazione su paziente in carico ma non registrato nei percorsi informatizzati previsti (ad esempio attività di pre/post ricovero o pre/post prestazione ambulatoriale, consulenza tra colleghi della stessa azienda).

- Critical review per analisi ed eventuale miglioramento dei percorsi di cura (ad esempio audit, RCA, eventi sentinella, ecc. come previsto dalla normativa). 
- Processo di prelievo/trapianto (ad esempio attività di prelievo d’organo in donatore cadavere a garanzia del migliore processo di cura).

- Direzione sanitaria: supporto ai processi organizzativi e adempimenti normativi (ad esempio attività di polizia mortuaria riscontro diagnostico, accertamento causa di morte, assenza di reato o di malattia infettiva). È anche previsto un campo note ove l’operatore può inserire un testo libero. E’ possibile modificare/estendere/eliminare le voci presenti in elenco in base alle specifiche esigenze o a diverse modalità organizzative che si potrebbero mettere in atto.

• particolari richieste di implementazione che modificano il funzionamento generale vengono valutate a livello regionale e proposte come evoluzione per tutte le Aziende

• Nelle tabelle di audit vengono registrati i dati dell’operatore che ha avuto accesso al Visore Referti, la sua struttura di appartenenza e, in caso di autodichiarazione, verrà registrata anche la specifica motivazione indicata. Per ciascun paziente, inoltre, vengono registrati i suoi estremi e se la visualizzazione si è limitata all’elenco dei suoi documenti, ovvero se l’operatore ha visualizzato anche il dettaglio dello specifico documento”.

2. Esito dell’attività istruttoria.

Con riferimento ai trattamenti oggetto delle predette notifiche di violazione e del citato reclamo, il Garante ha adottato le “Linee guida in materia di Dossier sanitario - 4 giugno 2015” (Provvedimento del 4.6.2015, pubblicato in G.U. 164 del 17 luglio 2015, consultabile su www.gpdp.it doc web n. 4084632), che, al pari degli altri provvedimenti dell’Autorità, continuano ad applicarsi anche dopo la piena applicazione del Regolamento, in quanto compatibili con lo stesso (art. 22, comma 4, d.lgs n. 101/2018).

Nelle predette Linee guida il Garante, al fine di scongiurare il rischio di un accesso alle informazioni trattate mediante il dossier sanitario da parte di soggetti non autorizzati o di comunicazione a terzi di dati sanitari da parte di soggetti a ciò abilitati, ha specificamente chiesto al titolare del trattamento di porre particolare attenzione nell’individuazione dei profili di autorizzazione e nella formazione dei soggetti abilitati, dovendo essere limitato l’accesso al dossier al solo personale sanitario che interviene nel processo di cura del paziente ed essere adottate modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso a tale strumento proprie di ciascuna struttura sanitaria. A tal fine, nelle predette Linee guida, il Garante ha indicato ai titolari del trattamento di effettuare un monitoraggio delle ipotesi in cui il relativo personale sanitario può avere necessità di consultare il dossier sanitario, per finalità di cura dell’interessato e, in base a tale ricognizione, individuare i diversi profili di autorizzazione all’accesso.

L’accesso al dossier deve essere, pertanto, limitato al solo personale sanitario che interviene nel tempo nel processo di cura del paziente. Ciò significa che deve essere consentito l’accesso solo al personale che a vario titolo interviene nel processo di cura. L’accesso al dossier deve essere limitato, poi, al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente al dossier qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all’interessato.

Con provvedimento del 10 gennaio 2013 (doc. web n. 2284708) l’Autorità era già intervenuta in merito al trattamento dei dati effettuati attraverso il sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate dalle strutture sanitarie della Regione Friuli Venezia Giulia, denominato "G2" riconducibile allo strumento del dossier sanitario. In tale provvedimento il Garante aveva ravvisato specifici profili di criticità relativi all’informativa e al consenso degli interessati, all’accesso al dossier sanitario e al diritto di oscuramento tali da rilevare l’illiceità del trattamento effettuato da un’azienda sanitaria regionale e prescrivendo alla stessa le misure necessarie per rendere il trattamento lecito.

In tale provvedimento, l’Autorità aveva inoltre prescritto alle aziende sanitarie e agli istituti di ricovero e cura a carattere scientifico della Regione che avevano in uso il medesimo sistema informativo di rendere conforme il trattamento dei dati personali effettuato attraverso i dossier sanitari aziendali alle prescrizioni dettate alla predetta azienda entro i medesimi termini.

Con specifico riferimento agli aspetti del trattamento oggetto del presente provvedimento, ovvero alla necessità che l’accesso al dossier sia consentito solo al personale che ha effettivamente in cura l’interessato, nel predetto provvedimento il Garante aveva ritenuto necessario prescrivere di mettere in atto specifici accorgimenti –anche eventualmente avvalendosi del supporto tecnico fornito da Insiel- che consentano ai soli professionisti sanitari che hanno in quel momento in cura il paziente (che abbia già manifestato un consenso informato alla costituzione del dossier) di accedere al suo dossier sanitario per il tempo in cui si articola il percorso di cura.

Successivamente all’adozione del citato provvedimento del 2013, il Garante ha adottato le linee guida in materia di dossier sanitario (2015). Con la piena applicazione del Regolamento i titolari del trattamento erano tenuti inoltre ad adeguare tale strumento informativo ai principi di protezione dei dati fin dalla progettazione e per impostazione predefinita di cui all’art. 25 del Regolamento.

Ciò premesso, preso atto di quanto rappresentato dalla Regione Friuli Venezia Giulia e dalle Aziende sanitarie nelle memorie difensive, si osserva che:

1. La configurazione del dossier sanitario predisposta da Insiel e attualmente utilizzata dalle aziende sanitarie della regione Friuli Venezia Giulia consente al personale sanitario di accedere a tale strumento informativo relativo a qualunque paziente sia in quel momento fisicamente presente in Azienda a prescindere dall’effettivo coinvolgimento nel percorso di cura dello stesso e, dichiarando la sussistenza di una pluralità di casistiche preordinate, anche ai pazienti non presenti in Azienda. Tale impostazione non assicura che al dossier aziendale possa accedere solo il personale sanitario che ha effettivamente in cura il paziente, stante il fatto che non tutti i professionisti sanitari intervengono nel processo di cura di tutti i pazienti ricoverati nei reparti dell’Azienda (compreso quello di emergenza e urgenza) o che usufruiscono di una prestazione sanitaria ambulatoriale. Come dimostrano i casi esaminati dall’Ufficio infatti, l’attuale configurazione del dossier ha reso possibile che personale sanitario operante presso alcune aziende sanitarie regionali potesse accedere senza restrizioni al dossier sanitario di colleghi ovvero di interessati che non erano -all’atto dell’accesso- in cura presso gli stessi, in violazione dei principi di base del trattamento di cui agli artt. 5, par. 1, lett. a) e f) e 9 del Regolamento, nonché dei principi di protezione dei dati fin dalla progettazione (privacy by design) e per impostazione predefinita (privacy by default) contemplati all’art. 25 del Regolamento;

2. La configurazione del dossier sanitario predisposta da Insiel e attualmente utilizzata dalle aziende sanitarie regionali -anche alla luce degli adeguamenti prospettati dalla Regione Friuli Venezia Giulia- consente l’accesso al dossier sanitario anche dal personale della Direzione sanitaria per attività di “supporto ai processi organizzativi e adempimenti normativi”, per “Critical review per analisi ed eventuale miglioramento dei percorsi di cura (ad esempio audit, RCA, eventi sentinella, ecc. come previsto dalla normativa)” e per “Processo di prelievo/trapianto (ad esempio attività di prelievo d’organo in donatore cadavere a garanzia del migliore processo di cura)”. Al riguardo, si evidenzia che, stante quanto già rappresentato dall’Autorità nelle citate Linee guida e in altri provvedimenti (cfr. provvedimento del 21 aprile 2021, n- 155), secondo cui, tenuto conto del diritto di oscuramento esercitabile dall’interessato ai dati accessibili attraverso il dossier sanitario e quindi la possibile incompletezza di tale strumento informativo, il titolare deve individuare, in relazione alle diverse funzioni a cui è adibito il personale, soluzioni tecniche organizzative che consentano agli organi amministrativi della direzione sanitaria di accedere, nei limiti delle attribuzioni previste per legge, a una base informativa più completa rispetto a quella presente nel dossier sanitario aziendale;

3. La configurazione del dossier sanitario predisposta da Insiel e attualmente utilizzata dalle aziende sanitarie regionali non rispetta inoltre il principio secondo cui l’accesso al dossier deve essere limitato al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente al dossier qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all’interessato. La circostanza rappresentata nell’ambito delle istruttorie secondo cui la diversità e la molteplicità di prestazioni sanitarie erogate non consentirebbe di stabilire a priori regole temporali sull'accessibilità ai dati non appare sufficiente per derogare alla necessaria individuazione temporale del periodo di validità del profilo di accesso al dossier, atteso che tali circostanze non costituiscono fattispecie esimente dall’applicazione dei principi generali del trattamento;

4. La configurazione del dossier sanitario predisposta da Insiel e attualmente utilizzata dalle aziende sanitarie regionali non prevede un sistema per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento (es. numero degli accessi eseguiti, tipologia o ambito temporale degli stessi), utili per orientare successivi interventi di audit in violazione dei principi di integrità e riservatezza dei dati personali (artt. 5, par. 1, lett. f) e 32 del Regolamento;

5. le richiamate notifiche di violazione e i reclami hanno permesso di evidenziare che le misure adottate con riferimento ai trattamenti effettuati attraverso il dossier sanitario delle strutture sanitarie regionali, non hanno permesso di evitare la possibilità che il personale sanitario abilitato accedesse alla documentazione clinica di pazienti non in cura presso gli stessi, determinando un trattamento illecito dei dati personali riguardanti gli interessati, in violazione degli artt. 5 par. 1, lett. a) e f) , 9 del Regolamento;

6. La circostanza di prestare servizio in una delle molte articolazioni funzionali afferenti alle aziende sanitarie regionali, quale le carceri o le strutture distrettuali, non può essere considerata una condizione sufficiente per consentire l’accesso ai dossier sanitari di tutti i pazienti presenti a vario titolo nelle diverse strutture sanitarie aziendali. Nel rispetto dei principi generali del trattamento, l’accesso deve essere infatti consentito solo al personale che, sulla base delle prestazioni erogate e dei percorsi clinici attivati, può effettivamente essere coinvolto nel percorso di cura del paziente, ferma restando la possibilità per lo stesso di accedere a dossier sanitari per i quali non è stata di default abilitato l’accesso al ricorre di specifici eventi (es. consulto) dichiarati dallo stesso professionista sanitario all’atto dell’accesso. La possibilità per gli operatori presenti nelle carceri o nei distretti di accedere ai dossier sanitari di tutti i pazienti della azienda sanitarie cui afferisce il carcere o il distretto e non solo a quelli dei detenuti o dei pazienti del distretto ha infatti consentito accessi illeciti contestati che non si sarebbero verificati qualora ci fosse stata una diversa configurazione del dossier sanitario. Al riguardo è necessario inoltre tener presente che l’ambito di accessibilità del dossier sanitario non deve essere parametrato alle aree funzionali del servizio sanitario regionale, bensì al concetto di titolarità del trattamento. Il dossier sanitario si configura infatti come lo strumento informativo costituito presso un organismo sanitario in qualità di unico titolare del trattamento (cfr. Linee guida del 2015). Lo strumento normativamente previsto per consentire la condivisione di dati e documenti sanitari tra distinti titolari del trattamento per finalità di cura dell’interessato è il Fascicolo sanitario elettronico disciplinato dall’art. 12 del d.l. n. 179 del 2012;

7. la Regione Friuli Venezia Giulia ha illustrato nelle note in atti il programma di un sommario processo di adeguamento dei sistemi informativi utilizzati dalle aziende sanitarie regionali e alle predette Linnee guida in funzione dei rilievi formulati dall’Ufficio con riferimento ai procedimenti istruttori in essere che indica un termine di adeguamento certo solo per alcuni degli adempimenti necessari. In particolare secondo quanto dichiarato è previsto entro:

a. 10/15 gg dalla richiesta dell’Azienda in qualità di titolare: “Prima fase (più restrittiva): tutti gli operatori accedono con autodichiarazione, indipendentemente dal fatto che il paziente sia presente amministrativamente nella specifica unità operativa”;

b. febbraio /marzo 2022: “una fase di analisi e progettazione degli sviluppi e la valutazione dell’impatto organizzativo sugli operatori delle aziende”;

c. maggio 2022: “l’adeguamento dei sistemi gestionali clinico-sanitari che invocano il Visore Referti e che indicano la presa in carico amministrativa del paziente per la specifica unità operativa”;

d. giugno 2022: “l’adeguamento del visore Referti che recepisce l’informazione sulla presa in carico a livello di unità operativa per cui sia aperta una specifica accettazione amministrativa del paziente interessato e consente solo in questo contesto l’accesso al dossier del paziente stesso senza esprimere una autodichiarazione”;

e. giugno 2022: “l’attivazione degli adeguamenti sulle Aziende sanitarie, con contestuale formazione degli operatori sulle nuove modalità di utilizzo”;

f. marzo 2022:”il rilascio dei cruscotti di monitoraggio indicati nella sezione “Strumenti di alert”;

g. un termine non definito: “verrà attivato un percorso di verifica e analisi sui sistemi già in dotazione alle aziende sanitarie, al fine di valutare la loro possibile applicazione nell’ambito delle carceri/ambulatori esterni, nel rispetto della normativa relativa al trattamento dei dati personali”.

3. Conclusioni.

Alla luce delle valutazioni sopra richiamate, il Garante ha adottato in pari data singoli procedimenti sanzionatori e correttivi nei confronti di alcune aziende sanitarie regionali in qualità di titolari dei trattamenti illeciti effettuati attraverso il dossier sanitario, nell’ambito dei quali ha tenuto conto che gli adeguamenti necessari a superare le criticità ivi descritte si collocano all’interno di un più generale ripensamento delle caratteristiche del dossier sanitario utilizzato dalle aziende sanitarie della Regione Friuli Venezia Giulia ad opera della stessa e della società Insiel S.P.A..

Ciò stante, si ritiene di dover ingiungere a Insiel s.p.a., in qualità di responsabile del trattamento della Regione Friuli Venezia Giulia e delle aziende sanitarie regionali, ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, le seguenti misure correttive:

- entro il termine di giorni 60 dalla notifica del presente provvedimento è necessario adottare soluzioni tecniche organizzative affinché siano attuate le disposizioni indicate dalla predetta Regione nella nota del XX, assicurando che:

1. possa accedere al dossier sanitario esclusivamente il personale sanitario che abbia effettivamente in cura il paziente;

2. l’accesso al dossier sia limitato al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente al dossier qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all’interessato;

3. gli organi amministrativi della direzione sanitaria non utilizzino il dossier sanitario per assolvere ai compiti agli stessi attribuiti dalla legge attesa la possibile incompletezza di tale strumento informativo derivante dall’esercizio del diritto di oscuramento da parte dell’interessato;

4. sia previsto un sistema per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento;

5. i dossier sanitari siano accessibili solo da parte delle articolazioni sanitarie che afferiscono allo stesso titolare del trattamento, garantendo in ogni caso che presso le carceri e gli ambulatori esterni alle aziende sia possibile accedere ai soli dossier sanitari degli interessati che afferiscono agli stessi.

Si rileva, infine, che ricorrono i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi dell’art. 58, par. 2, lett. d), del Regolamento, ingiunge a Insiel S.p.a. (codice fiscale e di partita iva 00118410323), in qualità di responsabile del trattamento della Regione Friuli Venezia Giulia e delle aziende sanitarie regionali, di adottare, entro il termine di giorni 60 dalla notifica del presente provvedimento, soluzioni tecniche organizzative affinché siano attuate le disposizioni indicate dalla predetta Regione nella nota del XX, assicurando che:

1. possa accedere al dossier sanitario esclusivamente il personale sanitario che abbia effettivamente in cura il paziente;

2. l’accesso al dossier sia limitato al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente al dossier qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all’interessato;

3. gli organi amministrativi della direzione sanitaria non utilizzino il dossier sanitario per assolvere ai compiti agli stessi attribuiti dalla legge attesa la possibile incompletezza di tale strumento informativo derivante dall’esercizio del diritto di oscuramento da parte dell’interessato;

4. sia previsto un sistema per il rilevamento di eventuali anomalie che possano configurare trattamenti illeciti, ovvero l’utilizzo di indicatori di anomalie (c.d. alert) volti ad individuare comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento;

5. i dossier sanitari siano accessibili solo da parte delle articolazioni sanitarie che afferiscono allo stesso titolare del trattamento, garantendo in ogni caso che presso le carceri e gli ambulatori esterni alle aziende sia possibile accedere ai soli dossier sanitari degli interessati che afferiscono agli stessi.

Al riguardo, si richiede a Insiel S.p.a. di comunicare quali iniziative siano state intraprese al fine di dare attuazione a quanto sopra ingiunto nel presente provvedimento e di fornire comunque riscontro adeguatamente documentato, ai sensi dell’art. 157 del Codice, entro il termine di giorni 15 dalla scadenza del termine sopra indicato; l’eventuale mancato riscontro può comportare l’applicazione della sanzione amministrativa pecuniaria prevista dall’art. 83, paragrafo 5, del Regolamento

DISPONE


ai sensi dell’art. 166, comma 7, del Codice, la pubblicazione per intero del presente provvedimento sul sito web del Garante e ritiene che ricorrano i presupposti di cui all’art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 26 maggio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

                                                       IL VICE SEGRETARIO GENERALE
Filippi