Nuove FAQ del Garante sui referti online

Lascia un commento / Di /

L’Autorità Garante per la protezione dei dati personali ha recentemente pubblicato un aggiornamento delle Faq (Frequently asked questions) sui Referti online integrando la precedente versione con alcune novità derivanti dagli adempimenti introdotti dal Reg. UE 679/2016.

Il nuovo intervento del Garante offre lo spunto per riflettere, ancora una volta, sui rischi connessi all’impianto di documenti sanitari elettronici e sulle connesse esigenze di adozione di misure di sicurezza adeguate.

Il referto online è ormai di uso comune, infatti, molte strutture sanitarie, anche di piccole dimensioni, offrono la possibilità di accedere ai risultati delle analisi online.

Il referto on line era stato già oggetto di attenzione da parte del Garante che, nel novembre 2009, aveva approvato specifiche Linee Guida (doc. web n. 1679033) a cui era seguita la pubblicazione della prima versione delle “domande frequenti” sulla materia.

Con la versione aggiornata l’Autorità, oltre a precisare che per tale trattamento è necessario fornire un’informativa distinta rispetto a quella relativa al trattamento dei dati personali per le semplici finalità di cura, richiama le importanti conseguenze che la refertazione on line ha su aspetti fondamentali della protezione dei dati personali come le misure di sicurezza, il data breach, il registro dei trattamenti e la valutazione di impatto.

Ecco i punti salienti del documento pubblicato dal Garante:

  1. Con “referto online” si intende quella particolare modalità di accesso al referto medico (intesa quest’ultima come la relazione scritta rilasciata dal medico che ha sottoposto un paziente ad un esame clinico o strumentale) che utilizza la modalità digitale (fascicolo sanitario elettronico, sito Web, posta elettronica, anche certificata, supporto elettronico). Generalmente il sistema più diffuso consiste nella trasmissione del referto presso la casella di posta elettronica dell’interessato o nel collegamento al sito Internet della struttura sanitaria, ove è stato eseguito l’esame clinico, al fine di effettuarne il download.
  2. Qualora i referti siano disponibili sul sito web è necessario che la struttura sanitaria protegga i dati personali degli utenti utilizzando protocolli di comunicazione sicuri (https) e sistemi di autenticazione forte dell’interessato (strong authentication). Il referto online può essere reso disponibile sul proprio sito web per un massimo di 45 gg. Il titolare del trattamento deve garantire all’utente la possibilità di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.
  3. Nel caso in cui venga il referto venga inoltrato tramite posta elettronica, il referto dovrà essere spedito in allegato a un messaggio e-mail e non come testo compreso nel corpo del messaggio ed il file che lo contiene dovrà essere protetto (ad es. con una password).
  4. Quale che sia la modalità digitale prescelta, l’interessato ha comunque il diritto anche di ottenere a domicilio copia cartacea del referto.
  5. Per tali servizi deve essere richiesto il consenso esplicito, libero, specifico dell’interessato, al quale, comunque, in caso di mancato consenso non deve essere preclusa in alcun modo la possibilità di accedere alla prestazione medica richiesta.
  6. Anche se l’interessato ha scelto di aderire ai servizi di refertazione online, deve essergli concesso, in relazione ai singoli esami clinici a cui si sottoporrà di volta in volta, la possibilità di manifestare una volontà contraria anche in caso di un’opzione diversa da quella precedentemente scelta.
  7. L’interessato ha, inoltre, la possibilità di indicare un medico al quale consegnare il referto in modalità digitale e può chiedere di essere avvisato tramite sms del fatto che il referto sia disponibile. In questo caso il messaggio inviato dovrà contenere solo la notizia della disponibilità del referto e non anche il dettaglio della tipologia degli accertamenti effettuati, del loro esito o delle credenziali di autenticazione assegnate all’interessato.
  8. I referti che riguardano accertamenti relativi ad indagini genetiche o all’HIV non potranno essere comunicati all’interessato tramite modalità digitali.

Le novità:

  1. Il principio che il titolare del trattamento debba fornire agli interessati un’informativa, distinta rispetto a quella relativa al trattamento dei dati personali per finalità di cura, idonea e specifica. Detta informativa deve esporre, con un linguaggio chiaro e comprensibile, le caratteristiche del servizio di refertazione online in conformità agli artt. 13-14 del GDPR .
  2. l’esigenza che vengano adottate misure di sicurezza adeguate e cioè:
    • specifiche misure e accorgimenti tecnici idonei ad assicurare livelli di protezione dei dati, sia in base alle Linee Guida in materia di refertazione online del Garante che in relazione al DPCM 8 agosto 2013 (Modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali);
    • idonei sistemi di autenticazione e autorizzazione per i soggetti autorizzati, in relazione ai ruoli e alle finalità dei trattamenti nonché dei differenti livelli di protezione a seconda che la consultazione online dei referti avvenga tramite servizi Web, tramite posta elettronica (anche certificata) o supporto elettronico. Analoghe e forse più puntuali raccomandazioni sono contenute anche nelle Linee Guida;
    • la formazione per coloro che accedono o trattano i dati dei referti online;
  3. la necessità di predisporre, in un’ottica di accountability, un’apposita procedura per la gestione dei data breach. La richiamata procedura consentirà di intervenire tempestivamente in caso di violazione del sistema di refertazione online e di monitorarne costantemente la sicurezza;
  4. la necessità che la refertazione online, con le sue specifiche caratteristiche e le relative misure di sicurezza, venga inserita all’interno del Registro delle attività di trattamento in base all’art. 30 del GDPR;
  5. l’esigenza che, ove il titolare intenda implementare l’uso di nuove tecnologie per offrire su larga scala nuovi servizi digitali di refertazione, venga effettuata, prima di procedere al trattamento, la valutazione d’impatto (cd. DPIA) secondo le regole previste dal GDPR.

Articoli correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *


Torna in alto