Fascicolo Sanitario Elettronico

Quale quadro regolatorio?

La smaterializzazione documentale attuata negli ultimi anni ha interessato
anche il settore sanitario laddove la cartella clinica elettronica (CCE)
– entrata in vigore l’11 Aprile 2014 – lascia il posto al Fascicolo Sanitario
Elettronico. Senza volerci addentrare nell’analisi dell’articolato processo
amministrativo di c.d. “smaterializzazione” , interessa qui porre l’attenzione
sull’adozione di misure di sicurezza che inevitabilmente interessano
il trattamento, la gestione, l’archiviazione e soprattutto la privacy
dei dati contenuti nelle cartelle stesse. Cosa accadrebbe infatti se abili
hacker informatici riuscissero ad accedere ai server delle strutture sanitarie
all’interno dei quali sono custodite le cartelle cliniche di migliaia di
pazienti, avendo quindi accesso a dati sensibili, attinenti al bene costituzionalmente
tutelato della Salute? Quali ripercussioni, in campo civilistico
e penalistico, vi sarebbero in capo ai titolari del trattamento, vale a dire
quei soggetti obbligati a garantirne l’inviolabilità?

Sappiamo che con la Circolare del Ministero
della Sanità n. 61 del 19 dicembre 1986 n.
900.2/AG 464/260 : “le cartelle cliniche,
unitamente ai relativi referti, vanno conservate
illimitatamente poiché rappresentano un atto ufficiale
indispensabile a garantire la certezza del diritto, oltre
che costituire preziosa fonte documentaria per le ricerche
di carattere storico sanitario”1. Affinché il fascicolo sanitario
elettronico mantenga nel tempo lo stesso valore
probatorio di quella cartacea, si rende necessario ed indispensabile
un corretto processo di conservazione digitale.
Mentre la Cartella Clinica Elettronica veniva utilizzata
per la gestione organizzata e strutturata dei dati riferiti ad
un paziente durante un ricovero o cura ambulatoriale, il
Fascicolo Sanitario Elettronico (in vigore con decreto dal
Novembre 2015) è quel fascicolo formato con riferimento
a dati sanitari da diversi titolari del trattamento che
contiene tutti i dati identificativi ed amministrativi dell’assistito,
quali referti, verbali di pronto soccorso, lettere di
dimissioni, consenso o diniego alla donazione degli organi
e tessuti e cartelle cliniche.

ATTIVITÀ PERICOLOSE

Tutta l’attività di gestione e trattamento dei dati personali,
con contenuti sanitari, risulta talmente delicata da
rientrare nella categoria delle c.d. “attività pericolose”: un
trattamento dei dati personali sanitari in violazione dei
precetti normativi può spingere l’interessato (paziente) a
chiedere il risarcimento dei danni subito a seguito di tale
inosservanza, ai sensi dell’art. 2050 codice civile2
Nel caso di richiesta di risarcimento danni da parte del
soggetto che ritiene leso il proprio diritto alla privacy, il
titolare del trattamento, se vuole evitare la condanna,
deve dimostrare di avere adottato tutte le misure idonee
a evitare il danno: la cosiddetta inversione dell’onere della
prova. Non è dunque il danneggiato (paziente) a dover
dimostrare che chi deteneva i dati (medico/struttura
ospedaliera) non è stato attento, ma è quest’ultimo a
dover dimostrare di aver fatto tutto il possibile per evitare
il danno. Garantire la privacy di simili dati significa porre
in essere non solo tutte le misure minime di sicurezza
necessarie (all.B 679/13) volte ad evitarne la distruzione
o la perdita (anche accidentale), ma anche negare l’accesso
da parte di soggetti non autorizzati, il trattamento
non consentito o non conforme alle finalità della raccolta.
Queste ovvie considerazioni appaiono di semplice e pronta
attuazione nell’ambito di strutture complesse, quali ad
esempio nosocomi, case di cure e ricoveri, dotati quasi
tutti di veri e propri manuali contenenti le linee guida per i
responsabili e gli incaricati del trattamento dei dati personali.
Ma cosa accade invece nel piccolo studio medico? I precetti

normativi sono scrupolosamente adottati nella
salvaguardia e nella cura della gestione dei dati?


DUE MISURE DI SICUREZZA


Il Codice in materia di trattamento dei dati personali individua
due tipi di misure di sicurezza, entrambi da adottare:


a. le misure minime di sicurezza – previste nell’allegato
B) del Codice medesimo, denominato “Disciplinare
Tecnico in materia di misure minime di sicurezza”
(artt. da 33 a 36), riguardano sia i trattamenti effettuati
con strumenti elettronici che quelli effettuati
senza strumenti elettronici;


b. le misure idonee di sicurezza (art. 31). Adottare misure
idonee di sicurezza significa migliorarle – annualmente
– in base al progresso della tecnologia, alla
natura dei dati trattati, alle caratteristiche dei trattamenti
nonché ai rischi nell’uso dei dati.


• idonei sistemi di autenticazione e di autorizzazione
per gli incaricati in funzione dei ruoli e delle esigenze
di accesso e trattamento (ad es., in relazione alla
possibilità di consultazione, modifica e integrazione
dei dati);
• procedure per la verifica periodica della qualità e coerenza
delle credenziali di autenticazione e dei profili di
autorizzazione assegnati agli incaricati;
• individuazione di criteri per la cifratura o per la separazione
dei dati idonei a rivelare lo stato di salute e la
vita sessuale dagli altri dati personali;
• tracciabilità degli accessi e delle operazioni effettuate;
• sistemi di audit log per il controllo degli accessi al
database e per il rilevamento di eventuali anomalie.
Nel caso di Fse, devono essere, poi, garantiti protocolli
di comunicazione sicuri basati sull’utilizzo di standard
crittografici per la comunicazione elettronica dei dati tra i
diversi titolari coinvolti.

ILLECITI PENALI

Oltre alla previsione normativa di cui all’art. 2050 codice
civile, è bene rammentare che il Testo Unico sulla Privacy
prevede anche illeciti penali e violazioni amministrative.
Nella finalità didascalica che questa trattazione si vuole
porre ci limiteremo a citarne solo alcuni, a titolo meramente
esemplificativo. Nell’ambito degli illeciti penali si
configura l’art. 167 del Codice Privacy, il c.d. “ trattamento
illecito dei dati”: “salvo che il fatto non costituisca più grave
reato, chiunque, al fine di trarne per sé o per altri profitto
o di recare ad altri un danno, procede al trattamento
di dati personali in violazione della normativa è punito, se
dal fatto deriva nocumento, con la reclusione da sei mesi
a tre anni”. Mentre all’art. 169 recita: “chiunque, essendovi
tenuto, omette di adottare le misure minime previste,
è punito con l’arresto sino a due anni o con l’ammenda
da 10.000 a 50.000 Euro. All’autore del reato, all’atto
dell’accertamento o, nei casi complessi, anche con successivo
atto del Garante, è impartita una prescrizione fissando
un termine per la regolarizzazione non eccedente il
periodo tecnicamente necessario. (…) Nei sessanta giorni
successivi allo scadere del termine, se risulta l’adempimento
alla prescrizione, l’autore del reato è ammesso dal
Garante a pagare una somma pari al quarto del massimo
dell’ammenda stabilita per la contravvenzione. L’adempimento
e il pagamento estinguono il reato”.

ESTOTE PARATI

Dalle brevi considerazioni svolte, appare quanto mai
importante far sì che tutte le realtà sanitarie (piccole o
grandi che siano) che trattano dati sensibili attinenti al
bene salute siano consapevoli della “granata pronta ad
esplodere” che hanno per le mani. Non trovarsi pronti a
fronteggiare l’abilità tecnologica di soggetti privi di scrupoli,
con adeguati sistemi antivirus, potrebbe nuocere
gravemente sia a livello di responsabilità professionale
che – ben peggio- a titolo di responsabilità penale e civile.

   Privacy Officer Feniva – Avv. Barbara Pandolfino

Vedi articolo originale in pdf ASItaly_n043-Feb-2017_FR_FSE_Fascicolo_Sanitario_Elettronico_Quadro_Regolatorio_OLIVA_PANDOLFINO 

Articolo pubblicato sul numero 43 della Rivista A&S ITALY -Tecnologie e Soluzioni per la Sicurezza Professionale.

 

Mostra
Nascondi

Questo sito utilizza cookie tecnici e di terze parti per fornire alcuni servizi. Continuando la navigazione ne consentirai l'utilizzo. maggiori informazioni

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi