maggiori tutele per i dati dei pazienti

Con il Provvedimento n. 331 del 04 giugno 2015, pubblicato sulla Gazzetta ufficiale n. 164 del 17 luglio 2015, il Garante per la protezione dei dati personali ha adottato le nuove Linee Guida in materia di Dossier Sanitario Elettronico.

L’intento è quello di fornire un quadro di riferimento unitario per il corretto trattamento dei dati raccolti nei dossier da parte delle strutture sanitarie, in conformità ai principi generali dettati dal c.d. Codice Privacy e nel rispetto di elevati standard di sicurezza.

Symbole glossy vectoriel dossier mdical / rsultats d'analyses

Il dossier sanitario elettronico è lo strumento costituito presso un’unica struttura sanitaria (ospedale, azienda sanitaria, casa di cura o clinica privata), che raccoglie le informazioni sulla salute di un paziente, consentendo di documentarne la storia clinica (ovvero l’insieme dei dati personali generati da eventi clinici presenti e pregressi) presso quella singola struttura. Il dossier si distingue dal fascicolo sanitario elettronico, nel quale, invece, confluisce l’intera storia clinica di un paziente generata da diverse strutture sanitarie.

Il Provvedimento ha introdotto due importanti novità:

  • il diritto alla visione degli accessi al proprio dossier sanitario. Viene prescritto che le strutture sanitarie forniscano riscontro alle richieste dei pazienti (anche per il tramite di loro delegati) – entro quindici giorni, ovvero trenta nei casi di particolare complessità o quando ricorre altro giustificato motivo – volte a conoscere gli accessi eseguiti al proprio dossier, indicando il reparto, la data e l’ora in cui è avvenuta la consultazione;
  • l’obbligo per le strutture sanitarie di comunicare al Garante, entro quarantotto ore dalla conoscenza del fatto, le violazioni dei dati trattati attraverso i dossier (data breach) o incidenti informatici (accessi abusivi, azioni di malware, …), che possano avere un impatto significativo sui dati. Tali comunicazioni devono essere redatte secondo lo schema riportato all’Allegato B del Provvedimento e inviate tramite posta elettronica o posta elettronica certificata all’indirizzo dossier@pec.gpdp.itLa mancata comunicazione al Garante configura un illecito amministrativo sanzionato con una pena pecuniaria da € 30.000,00 ad € 180.000,00.

Privacy Concept with Word on Folder.

Si segnala, inoltre, che il Garante, anticipando quanto previsto nella bozza del nuovo Regolamento europeo sulla privacy, auspica che le strutture sanitarie individuino al loro interno una figura di responsabile della protezione dei dati che svolga il ruolo di referente con il Garante (DPO – data protection officer), anche in relazione ai casi di data breach.