Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario

Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario – 16 Luglio 2009

in G.U. n. 178 del 3 agosto 2009

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Giuseppe Fortunato, componente, e del dott. Filippo Patroni Griffi, segretario generale;

VISTA la deliberazione del 5 marzo 2009, n. 8, con la quale l’Autorità ha avviato una procedura di consultazione pubblica su un documento, adottato in pari data, contenente “Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario” e pubblicato, unitamente alla medesima deliberazione, sul sito web dell’Autorità e sulla Gazzetta Ufficiale n. 71 del 26 marzo 2009;

VISTE le osservazioni formulate dal gruppo di lavoro, costituito presso il Ministero del lavoro, della salute e delle politiche sociali, per l’istituzione di un sistema nazionale di Fascicolo sanitario elettronico;

VISTI i commenti e le osservazioni pervenuti a questa Autorità a seguito della consultazione pubblica per la quale era stato fissato il termine del 31 maggio 2009;

RITENUTO, in base agli approfondimenti svolti, di individuare un quadro unitario di misure e accorgimenti necessari e opportuni da porre a garanzia dei cittadini, in relazione ai trattamenti di dati che li riguardano;

VISTO il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

VISTA la documentazione in atti;

VISTE le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il dott. Giuseppe Fortunato;

DELIBERA:

a) di adottare in via definitiva le “Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario”, contenute nel documento allegato quale parte integrante della presente deliberazione (Allegato n. 1);

b) che copia della presente deliberazione, unitamente ai menzionati allegati, sia trasmessa al Ministero della giustizia-Ufficio pubblicazione leggi e decreti, per la sua pubblicazione sulla Gazzetta Ufficiale della Repubblica italiana, ai sensi dell’art. 143, comma 2, del Codice;

c) che copia del predetto documento sia, altresì, trasmessa, per opportuna conoscenza, al gruppo di lavoro, costituito presso il Ministero del lavoro, della salute e delle politiche sociali, per l’istituzione di un sistema nazionale di Fascicolo sanitario elettronico e alla Conferenza Stato-Regioni.

Roma, 16 luglio 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Patroni Griffi

 


Allegato n.1

 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario

Parte I: Il Fascicolo sanitario elettronico e il dossier sanitario
1. la sanità elettronica: profili generali;
2. ambito di applicazione delle Linee guida.

Parte II: Le garanzie per l’interessato
3. diritto alla costituzione di un Fascicolo sanitario elettronico e di un dossier sanitario;
4. individuazione dei soggetti che possono trattare i dati;
5. accesso ai dati personali contenuti nel Fascicolo sanitario elettronico e nel dossier sanitario;
6. diritti dell’interessato sui propri dati personali (art. 7 del Codice);
7. limiti alla diffusione e al trasferimento all’estero dei dati.
8. informativa e consenso;
9. comunicazione al Garante;
10. misure di sicurezza.

Parte I: Il Fascicolo sanitario elettronico e il dossier sanitario


1. la sanità elettronica: profili generali

Nel quadro del processo di ammodernamento della sanità pubblica e privata sono in atto numerose iniziative volte a migliorare l’efficienza del servizio sanitario attraverso un ulteriore sviluppo delle reti e una più ampia gestione informatica e telematica di atti, documenti e procedure.

In tale contesto si collocano alcune iniziative volte ad archiviare, mediante nuove tecniche, la svariata documentazione di cui gli organismi sanitari si avvalgono a diverso titolo nei processi di cura dei pazienti come, ad esempio, le più recenti esperienze di informatizzazione della cartella clinica, documento sanitario che pure è regolato da specifiche disposizioni normative. Il trattamento dei dati utilizzati nell’ambito di tali iniziative è regolato già dal Codice sulla protezione dei dati personali e non è oggetto delle presenti Linee guida (cfr., in particolare, artt. 75 e ss. e art. 20 del Codice).

Accanto a tali iniziative più generali emerge di recente un’attività diversa e più specifica che rientra anch’essa nel complesso delle azioni per modernizzare la realtà sanitaria, ma ha caratteristiche peculiari che ne rendono opportuna una considerazione in forma specifica.

La novità che si intende esaminare in questa sede in chiave autonoma riguarda la condivisione informatica, da parte di distinti organismi o professionisti, di dati e documenti sanitari che vengono formati, integrati e aggiornati nel tempo da più soggetti, al fine di documentare in modo unitario e in termini il più possibile completi un’intera gamma di diversi eventi sanitari riguardanti un medesimo individuo e, in prospettiva, l’intera sua storia clinica.

Questi dati e documenti possono presentare caratteristiche o sfumature diverse e sono da tempo oggetto di specifica attenzione nell’ambito della problematica del cosiddetto Fascicolo sanitario elettronico (di seguito Fse) e del c.d. dossier sanitario (di seguito dossier). Nelle presenti Linee guida per tali strumenti si ha riguardo all’insieme dei diversi eventi clinici occorsi ad un individuo, messo in condivisione logica dai professionisti o organismi sanitari che assistono l’interessato, al fine di offrirgli un migliore processo di cura.

La peculiarità della condivisione da parte di distinti soggetti delle delicate informazioni sanitarie che documentano un insieme di eventi di rilevanza medica occorsi a uno stesso individuo giustifica la formulazione di particolari considerazioni rispetto alla gestione cartacea di analoghi documenti e alla più generale tematica dell’informatizzazione sanitaria.

Nelle more di un possibile intervento normativo che regoli alcuni aspetti di fondo, il Garante ritiene pertanto opportuno individuare un primo quadro di cautele, al fine di delineare per tempo specifiche garanzie e responsabilità, nonché alcuni diritti.


2. ambito di applicazione delle Linee guida

Il Fse e i dossier non risultano essere definiti a livello nazionale da norme di carattere primario o secondario. Ciò, comporta la necessità di utilizzare una definizione convenzionale del fenomeno che trae spunto anche da quanto emerso in sede europea nel Gruppo che riunisce le autorità garanti di protezione dei dati (cd. Gruppo Art. 29)(1).

Le considerazioni sviluppate nelle presenti Linee guida sono applicabili al Fse e al dossier intesi, come detto, quali insieme di dati sanitari relativi di regola ad un medesimo soggetto e riportati in più documenti elettronici tra loro collegati, condivisibili da soggetti sanitari diversi, pubblici e privati.

Il Fse e il dossier contengono diverse informazioni inerenti allo stato di salute di un individuo relative ad eventi clinici presenti e trascorsi (es.: referti, documentazione relativa a ricoveri, accessi al pronto soccorso), volte a documentarne la storia clinica. I dati personali sono collegati tra loro con modalità informatiche di vario tipo che ne rendono, comunque, possibile un’agevole consultazione unitaria da parte dei diversi professionisti o organismi sanitari che prendono nel tempo in cura l’interessato.

Alla luce di quanto emerso a livello nazionale ed, in particolare, dalle osservazioni del gruppo di lavoro costituito presso il Ministero del lavoro, della salute e delle politiche sociali, per l’istituzione di un sistema nazionale di Fascicolo sanitario elettronico, nelle presenti Linee guida il suddetto insieme di dati sanitari risulta diversamente denominato in funzione del suo ambito di operatività. In particolare, si parla di dossier sanitario qualora tale strumento sia costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es., ospedale o clinica privata) al cui interno operino più professionisti(2). Si intende invece per Fse il fascicolo formato con riferimento a dati sanitari originati da diversi titolari del trattamento operanti più frequentemente, ma non esclusivamente, in un medesimo ambito territoriale (es., azienda sanitaria, laboratorio clinico privato operanti nella medesima regione o area vasta). I dossier sanitari possono anche costituire, ad esempio, l’insieme di informazioni sanitarie detenute dai singoli titolari coinvolti in una iniziativa di Fse regionale.

Il Fse deve essere costituito preferendo, di regola, soluzioni che non prevedano una duplicazione in una nuova banca dati delle informazioni sanitarie formate dai professionisti o organismi sanitari che hanno preso in cura l’interessato.

In secondo luogo, provenendo i dati sanitari e i documenti riuniti nel Fse da più soggetti, devono essere adottate idonee cautele per ricostruire, anche in termini di responsabilità, chi ha raccolto e generato i dati e li ha resi disponibili nell’ambito del Fse.

Nel caso di Fse, venendo poi in considerazione documenti sanitari del tutto distinti tra loro, deve essere assicurato che ciascun soggetto che li ha prodotti autonomamente ne rimanga di regola l’unico titolare, anche se le informazioni sono -come detto- disponibili agli altri soggetti abilitati all’accesso (ad esempio -come spesso accade-, attraverso la condivisione, da parte di tutti i soggetti che prendono in cura l’interessato, dell’elenco degli eventi sanitari occorsi, elenco strutturato anche sotto forma di indici o di puntatori logici dei singoli episodi clinici).

In assenza di una previsione legislativa che preveda l’istituzione di tali strumenti per il perseguimento di finalità amministrative proprie delle regioni o di organi centrali dello Stato, le finalità che possono essere perseguite attraverso la costituzione del Fse o del dossier possono essere ricondotte esclusivamente a finalità di cura dell’interessato, ovvero ad assicurare un migliore processo di cura dello stesso attraverso la ricostruzione di un insieme -di regola su base logica- il più possibile completo della cronistoria degli eventi di rilievo clinico occorsi a un interessato relativi a distinti interventi medici.

A garanzia dell’interessato, le finalità perseguite devono essere ricondotte quindi solo alla prevenzione, diagnosi, cura e riabilitazione dell’interessato medesimo, con esclusione di ogni altra finalità (in particolare, per le attività di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, che possono essere, peraltro, espletate in vari casi anche senza la disponibilità di dati personali), ferme restando eventuali esigenze in ambito penale.

Qualora attraverso il Fse o il dossier si intendano perseguire anche talune finalità amministrative strettamente connesse all’erogazione della prestazione sanitaria richiesta dall’interessato (es. prenotazione e pagamento di una prestazione), tali strumenti devono essere strutturati in modo tale che i dati amministrativi siano separati dalle informazioni sanitarie(3), prevedendo profili diversi di abilitazione degli aventi accesso agli stessi in funzione della differente tipologia di operazioni ad essi consentite.

Eventuali, future utilizzazioni anche parziali del Fse o del dossier per ulteriori fini di ricerca scientifica, epidemiologica o statistica non sono di per se precluse, ma possono avvenire solo in conformità alla normativa di settore ed essere oggetto di preventiva e specifica attenzione, anche nei casi in cui -come accade per taluni progetti di Fse esaminati- la tenuta dell’elenco degli eventi sanitari riguardante un determinato interessato sia demandata a un’infrastruttura regionale.

Parte II: Le garanzie per l’interessato


3. diritto alla costituzione di un Fascicolo sanitario elettronico o di un dossier sanitario

In base alle disposizioni contenute nel Codice dell’amministrazione digitale, deve essere assicurata la disponibilità, la gestione, l’accesso, la trasmissione, la conservazione e la fruibilità dell’informazione in modalità digitale utilizzando le tecnologie dell’informazione e della comunicazione nel rispetto della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, delle disposizioni del Codice dell’amministrazione digitale (d.lg. 7 marzo 2005, n. 82).

A ciò deve aggiungersi che allo stato delle notizie al momento acquisite dall’Autorità, non consta l’esistenza di una norma che obblighi gli organismi sanitari a costituire un Fse o un dossier, la cui introduzione deve ritenersi, pertanto, facoltativa.

Le finalità perseguite attraverso il Fse o il dossier, come sopra ricordato, sono generalmente riconducibili alla documentazione di una “memoria storica” degli eventi di rilievo sanitario relativi a un medesimo individuo consultabile dal medico curante.

Il trattamento dei dati personali effettuato mediante il Fse o il dossier, perseguendo le menzionate finalità di prevenzione, diagnosi, cura e riabilitazione, deve uniformarsi al principio di autodeterminazione (artt. 75 e ss. del Codice). All’interessato deve essere consentito di scegliere, in piena libertà, se far costituire o meno un Fse/dossier con le informazioni sanitarie che lo riguardano, garantendogli anche la possibilità che i dati sanitari restino disponibili solo al professionista o organismo sanitario che li ha redatti, senza la loro necessaria inclusione in tali strumenti.

Il diritto alla costituzione o meno del Fse/dossier si deve, quindi, tradurre nella garanzia di decidere liberamente, sulla base del consenso, se acconsentire o meno alla costituzione di un documento che, come si è detto, raccoglie un’ampia storia sanitaria.

Affinché tale scelta sia effettivamente libera, l’interessato che non desideri che sia costituito un Fse/dossier deve poter accedere comunque alle prestazioni del Servizio sanitario nazionale e non avere conseguenze negative sulla possibilità di usufruire di prestazioni mediche.

Il consenso, anche se manifestato unitamente a quello previsto per il trattamento dei dati a fini di cura (cfr. art. 81 del Codice), deve essere autonomo e specifico.

In ragione delle finalità perseguite attraverso il Fse/dossier, è opportuno che sia illustrata all’interessato l’utilità di costituire e disporre di un quadro il più possibile completo delle informazioni sanitarie che lo riguardano, in modo da poter offrire un migliore supporto all’organismo sanitario, al medico e all’interessato stesso. Una conoscenza approfondita dei dati clinici, relativi anche al passato, può infatti contribuire ad una più efficace ricognizione degli elementi utili alle valutazioni del caso.

Tuttavia, devono essere previsti momenti distinti in cui l’interessato possa esprimere la propria volontà, attraverso un consenso di carattere generale per la costituzione del Fse e di consensi specifici ai fini della sua consultazione o meno da parte dei singoli titolari del trattamento (es. medico di medicina generale, pediatra di libera scelta, farmacista, medico ospedaliero).

Ferma restando l’indubbia utilità di un Fse/dossier completo, deve essere garantita la possibilità di non far confluire in esso alcune informazioni sanitarie relative a singoli eventi clinici (ad es., con riferimento all’esito di una specifica visita specialistica o alla prescrizione di un farmaco). Ciò, analogamente a quanto avviene nel rapporto paziente-medico curante, nel quale il primo può addivenire a una determinazione consapevole di non informare il secondo di certi eventi.

L'”oscuramento” dell’evento clinico (revocabile nel tempo) deve peraltro avvenire con modalità tali da garantire che, almeno in prima battuta, tutti (o alcuni) soggetti abilitati all’accesso non possano venire automaticamente (anche temporaneamente) a conoscenza del fatto che l’interessato ha effettuato tale scelta (“oscuramento dell’oscuramento”).

In tale quadro, alcuni progetti di Fse esaminati garantiscono l’esercizio della “facoltà di oscuramento” mediante una “busta elettronica sigillata” non visibile, apribile di volta in volta solo con la collaborazione dell’interessato, ovvero utilizzando codici casuali relativi a singoli eventi che non consentono di collegare tra loro alcune informazioni contrassegnate.

Resta ferma la possibilità per il titolare del trattamento di informare i soggetti abilitati ad accedere a tali strumenti che tutti i fascicoli o i dossier cui hanno accesso possono non essere completi, in quanto l’interessato potrebbe aver esercitato il suddetto diritto di oscuramento.

Nulla osta, inoltre, che il titolare del trattamento possa prevedere che l’interessato eserciti tale facoltà in presenza del medico che ha eseguito la prestazione sanitaria, affinché quest’ultimo gli possa illustrare le conseguenze, da un punto di vista clinico, di tale scelta.

Il titolare del trattamento che intenda istituire il Fse/dossier anche con informazioni sanitarie relative a eventi clinici precedenti alla sua costituzione (es. referti relativi a prestazioni mediche pregresse) deve essere autorizzato preventivamente dall’interessato, lasciando libero quest’ultimo di esercitare la facoltà di “oscuramento”.

L’inserimento delle informazioni relative ad eventi sanitari pregressi all’istituzione del Fse/dossier deve fondarsi sul consenso specifico ed informato dell’interessato, potendo quest’ultimo anche scegliere che le informazioni sanitarie pregresse che lo riguardano non siano inserite nel Fascicolo.

In ogni caso, sia con riferimento alle informazioni sanitarie pregresse che a quelle attuali, il titolare del trattamento deve assicurare all’interessato di poter esercitare il diritto di oscuramento sia prima dell’inserimento delle informazioni sanitarie che successivamente.

In caso di incapacità di agire deve essere acquisito il consenso di chi esercita la potestà. Raggiunta la maggiore età, il titolare del trattamento deve provvedere ad acquisire una nuova ed espressa manifestazione di volontà del minore divenuto maggiorenne, non essendo sufficiente una mera o implicita conferma di quella prestata dai genitori (artt. 13 e 82, comma 4, del Codice). Tale consenso può essere espresso anche al primo contatto -relativo ad un evento di cura- tra il titolare e l’interessato divenuto maggiorenne. Restano ovviamente ferme le ipotesi di differimento del consenso in caso di emergenze o per la tutela della salute e dell’incolumità fisica (art. 82 del Codice).

In caso di revoca (liberamente manifestabile) del consenso, il Fse/dossier non deve essere ulteriormente implementato. I documenti sanitari presenti devono restare disponibili per l’organismo che li ha redatti (es. informazioni relative a un ricovero utilizzabili dalla struttura di degenza) e per eventuali conservazioni per obbligo di legge, ma non devono essere più condivisi da parte degli altri organismi o professionisti che curino l’interessato (art. 22, comma 5, del Codice).

Il trattamento di dati genetici eventualmente effettuato in relazione al Fse/dossier deve avvenire nel rispetto dell’apposita autorizzazione generale al trattamento dei dati genetici rilasciata dal Garante.


4. individuazione dei soggetti che possono trattare i dati

Il trattamento di dati personali effettuato attraverso il Fse/dossier, perseguendo esclusivamente fini di prevenzione, diagnosi e cura dell’interessato(4), deve essere posto in essere esclusivamente da parte di soggetti operanti in ambito sanitario, con esclusione di periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche e organismi amministrativi anche operanti in ambito sanitario. Analogamente, l’accesso è precluso anche al personale medico nell’esercizio di attività medico-legale (es. visite per l’accertamento dell’idoneità lavorativa o alla guida), in quanto, sebbene figure professionali di tipo sanitario, tali professionisti svolgono la loro attività professionale nell’ambito dell’accertamento di idoneità o status, e non anche all’interno di un processo di cura dell’interessato.

Il titolare del trattamento deve prevedere, inoltre, le modalità con cui consentire all’interessato una facile consultazione del proprio Fse/dossier, anche in merito alla facoltà riconoscibile a quest’ultimo di estrarne copia. In tale ottica, l’interessato potrà utilizzare le informazioni o i documenti a cui ha avuto accesso anche ai fini della messa a disposizione a terzi.

La titolarità del trattamento dei dati personali effettuato tramite il Fse/dossier deve essere di regola riconosciuta alla struttura o organismo sanitario inteso nel suo complesso e presso cui sono state redatte le informazioni sanitarie (es. azienda sanitaria o ospedale) (artt. 4 e 28, comma 1, lett. f) del Codice).

I titolari hanno la facoltà di designare gli eventuali soggetti responsabili del trattamento, mentre devono preporre in ogni caso le persone fisiche incaricate, le quali possono venire lecitamente a conoscenza dei dati personali trattati attraverso tali strumenti nell’ambito delle funzioni svolte e attenendosi alle istruzioni scritte impartite dal titolare o dal responsabile (artt. 4, comma 1, lett. g) e h), 29 e 30 del Codice).

Le persone fisiche legittimate a consultare il Fse/dossier devono essere adeguatamente edotte delle particolari modalità di creazione e utilizzazione di tali strumenti.

All’atto della designazione degli incaricati, il titolare o il responsabile devono indicare con chiarezza l’ambito delle operazioni consentite (operando, in particolare, le opportune distinzioni tra il personale con funzioni amministrative e quello con funzioni sanitarie), avendo cura di specificare se gli stessi abbiano solo la possibilità di consultare il Fascicolo/dossier o anche di integrarlo o modificarlo (cfr. punto 5 delle presenti Linee guida).


5. accesso ai dati personali contenuti nel Fascicolo sanitario elettronico e nel Dossier sanitario

Il titolare deve valutare attentamente quali dati pertinenti, non eccedenti e indispensabili inserire nel Fse/dossier in relazione alle necessità di prevenzione, diagnosi, cura e riabilitazione (artt. 11, comma 1, lett. d) e 22, comma 5 del Codice).

Devono essere, pertanto, preferite soluzioni che consentano un’organizzazione modulare di tali strumenti in modo da limitare l’accesso dei diversi soggetti abilitati alle sole informazioni (e, quindi, al modulo di dati) indispensabili.

In alcuni progetti di Fse esaminati tale organizzazione modulare permette, ad esempio, di selezionare le informazioni sanitarie accessibili ai diversi titolari abilitati in funzione del loro settore di specializzazione (es. rete oncologica composta da unità operative specializzate nella lotta ai tumori), garantendo così l’accesso alle sole informazioni correlate con la patologia in cura.

Analogamente, alcune categorie di soggetti quali i farmacisti, che svolgono la propria attività in uno specifico segmento del percorso di cura, possono accedere al Fse/dossier, ma limitatamente ai soli dati (o moduli di dati) indispensabili all’erogazione di farmaci (es. accesso limitato all’elenco dei farmaci già prescritti, al fine di valutare eventuali incompatibilità tra il farmaco vendibile senza obbligo di prescrizione medica (SOP) e altri farmaci precedentemente assunti).

A titolo esemplificativo si riporta che in alcuni progetti di dossier sanitario è stato affidato alla direzione sanitaria il compito di valutare l’indispensabilità delle informazioni mediche generate dai diversi reparti/strutture ai fini della loro consultabilità, nonché quello di decidere se autorizzare o meno l’accesso alle informazioni relative agli eventi clinici anche pregressi da parte del reparto/struttura che ha in cura l’interessato sulla base del tipo di intervento medico e delle argomentazioni poste alla base della richiesta.

I titolari del trattamento, nel costituire il Fse/dossier e nell’individuare la tipologia di informazioni che possono esservi anche successivamente riportate, devono rispettare le disposizioni normative a tutela dell’anonimato della persona tra cui quelle a tutela delle vittime di atti di violenza sessuale o di pedofilia (l. 15 febbraio 1996, n. 66; l. 3 agosto 1998, n. 269 e l. 6 febbraio 2006, n. 38), delle persone sieropositive (l. 5 giugno 1990, n. 135), di chi fa uso di sostanze stupefacenti, di sostanze psicotrope e di alcool (d.P.R. 9 ottobre 1990, n. 309), delle donne che si sottopongono a un intervento di interruzione volontaria della gravidanza o che decidono di partorire in anonimato (l. 22 maggio 1978, n. 194; d.m. 16 luglio 2001, n. 349), nonché con riferimento ai servizi offerti dai consultori familiari (l. 29 luglio 1975, n. 405). Il titolare del trattamento può, pertanto, decidere di non inserire tali informazioni nel Fse/dossier, ovvero di inserirle a fronte di una specifica manifestazione di volontà dell’interessato, il quale potrebbe anche legittimamente richiedere che tali informazioni siano consultabili solo da parte di alcuni soggetti dallo stesso individuati (ad es. specialista presso cui è in cura).

Nella maggior parte dei progetti di Fse/dossier esaminati il rispetto delle garanzie di anonimato e riservatezza previste dalle sopra richiamate disposizioni di legge è stato ad esempio assicurato prevedendo che le informazioni relative ai suddetti eventi clinici non siano documentabili all’interno di tali strumenti.

In alcuni progetti esaminati all’interno del Fse/dossier è stata poi individuata una sintesi di rilevanti dati clinici sul paziente, ovvero un insieme di informazioni la cui conoscenza può rivelarsi indispensabile per salvaguardare la vita dell’interessato (es., malattie croniche, reazioni allergiche, uso di dispositivi o farmaci salvavita, informazioni relative all’impiego di protesi o a trapianti). Tali informazioni –raccolte di regola in un modulo distinto- sono conoscibili da parte di tutti i soggetti che prendono in cura l’interessato; circostanza di cui l’interessato dovrebbe essere edotto nell’informativa di cui all’art. 13 del Codice.

Il titolare del trattamento può, inoltre, prevedere che l’interessato possa inserire o ottenere l’inserimento –anche in appositi moduli e secondo degli standard, anche di sicurezza, definiti dal titolare- talune informazioni sanitarie (es. autovalutazioni, referti emessi da strutture sanitarie di altre regioni o Stati) o amministrativo sanitarie (es. appuntamenti medici, periodicità dei controlli prescritti) che riterrà più opportune.

Tali informazioni devono essere distinguibili (da un punto di vista logico o organizzativo) da quelle inserite dagli operatori sanitari, in modo tale da rendere sempre evidente a chi accede la “paternità” dell’informazione, ovvero l’identità del soggetto che l’ha generata.

A garanzia del diritto all’autodeterminazione devono essere poi individuate modalità tali da favorire un accesso modulare al Fse/dossier con riferimento ai dati personali e ai soggetti abilitati a consultarli.

L’identificazione dei soggetti o delle categorie dei soggetti abilitati a consultare il Fse/dossier deve essere effettuata con chiarezza. In relazione alle finalità perseguite con la costituzione del Fascicolo/dossier, l’accesso deve essere consentito solamente per fini di prevenzione, diagnosi e cura dell’interessato e unicamente da parte di soggetti operanti in ambito sanitario, con conseguente esclusione –come anzidetto- di periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, nonché del personale medico che agisca nell’esercizio di attività medico-legali. Il Fse/dossier può essere, pertanto, consultato -salvo diversa volontà dell’interessato- da tutti quei professionisti che a vario titolo prenderanno in cura l’interessato, secondo modalità tecniche di autenticazione che consentano di autorizzare l’accesso al Fse/dossier da parte del medico curante.

Il personale amministrativo operante all’interno della struttura sanitaria in cui venga utilizzato il Fse/dossier può, in qualità di incaricato del trattamento, consultare solo le informazioni necessarie per assolvere alle funzioni amministrative cui è preposto e strettamente correlate all’erogazione della prestazione sanitaria (ad es., il personale addetto alla prenotazione di esami diagnostici o visite specialistiche può consultare unicamente i soli dati indispensabili per la prenotazione stessa).

L’abilitazione all’accesso deve essere consentita all’interessato nel rispetto delle cautele previste dall’art. 84 del Codice, secondo cui gli esercenti le professioni sanitarie e gli organismi sanitari possono comunicare all’interessato informazioni inerenti al suo stato di salute per il tramite di un medico -individuato dallo stesso interessato o dal titolare- o di un esercente le professioni sanitarie, che nello svolgimento dei propri compiti intrattiene rapporti diretti con il paziente. Tale intermediazione può essere soddisfatta accompagnando la messa a disposizione del reperto (inteso come il risultato dell’esame clinico o strumentale effettuato, come ad es. un’immagine radiografica, un’ecografica o un valore ematico) con un giudizio scritto e la disponibilità del medico a fornire ulteriori indicazioni su richiesta dell’interessato(5).

L’accesso al Fse/dossier deve essere sempre consentito al soggetto che ha redatto il documento con riferimento al documento medesimo. L’accesso deve essere permesso, inoltre, agli altri soggetti che abbiano in cura l’interessato, sempre che quest’ultimo ne abbia autorizzato l’accesso nei termini sopra indicati. In alcuni progetti di Fse esaminati, l’accesso da parte di alcune categorie di soggetti (es. medici specialisti) è ad esempio autorizzato di volta in volta dallo stesso interessato attraverso la consegna di una smart card.

Il professionista o l’organismo sanitario che ha in cura l’interessato deve poter accedere al Fse/dossier consultando i documenti sanitari dallo stesso redatti e quelli relativi ad altri eventi clinici eventualmente formati da reparti o strutture del medesimo titolare –nel caso di dossier-o da altri organismi o professionisti sanitari nel caso di Fse (es. ricovero pregresso, analisi cliniche antecedenti).

In ogni caso, l’accesso al Fse/dossier deve essere circoscritto al periodo di tempo indispensabile per espletare le operazioni di cura per le quali è abilitato il soggetto che accede. Ciò, comporta che i soggetti abilitati all’accesso devono poter consultare esclusivamente i fascicoli/dossier riferiti ai soggetti che assistono e per il periodo di tempo in cui si articola il percorso di cura per il quale l’interessato si è rivolto ad essi.

L’elencazione della tipologia di informazioni da ricondurre alla sintesi dei rilevanti dati clinici sul paziente, ove prevista, deve essere effettuata in modo esaustivo dal titolare del trattamento, il quale procede anche ad aggiornare tale elenco.

Resta ovviamente fermo l’esercizio del diritto di accesso ai documenti amministrativi (l. 7 agosto 1990, n. 241 e successive modificazioni e integrazioni artt. 59 e 60 del Codice).


6. diritti dell’interessato sui propri dati personali (art. 7 del Codice)

Rispetto ai dati personali trattati mediante il Fse/dossier deve essere garantita la possibilità di esercitare in ogni momento i diritti di cui all’art. 7 del Codice.

Come già precisato, all’interessato devono essere garantite facili modalità di consultazione del proprio Fse/dossier (Cfr. punto 4), nonché, ove previsto, di ottenerne copia, anche ai fini della messa disposizione a terzi (es. medico operante in un’altra regione o in un altro Stato).

Tali diritti, tra i quali quello di accedere ai dati contenuti nel Fse/dossier e di ottenerne la comunicazione in forma intelligibile, ovvero l’integrazione, l’aggiornamento o la rettifica, vanno esercitati direttamente nei confronti di ciascun organismo o professionista sanitario.

All’interessato deve essere fornito senza ritardo un riscontro compiuto e analitico in merito alle sue eventuali istanze (artt. 7, 8, 9, 10 e 146 del Codice). In particolare, deve essere fornito riscontro alle richieste di accesso ai dati personali estrapolando le informazioni oggetto dell’accesso e comunicandole all’interessato con modalità tali da renderne agevole la comprensione, se del caso trasponendole su supporto cartaceo o informatico; a tali istanze può essere opposto un rifiuto nei soli casi previsti dal Codice (art. 8). Trattandosi di documentazione medica, in analogia a quanto disposto dall’Autorità in tema di ricerche in ambito medico, biomedico ed epidemiologico(6), il riscontro a istanze di integrazione, aggiornamento e rettificazione dei dati può essere fornito annotando le modifiche richieste senza alterare necessariamente la documentazione di riferimento.


7. limiti alla diffusione e al trasferimento all’estero dei dati

I dati sanitari documentati nel Fse/dossier non devono essere in alcun modo diffusi. La circolazione indiscriminata delle informazioni idonee a rivelare lo stato di salute è infatti vietata espressamente dal Codice (artt. 22, comma 8 e 23, comma 5, del Codice). La violazione di tale divieto configura un trattamento illecito di dati personali sanzionato penalmente (art. 167 del Codice).

Anche il trasferimento all’estero dei dati sanitari documentati nel Fse/dossier per finalità di prevenzione, diagnosi e cura dell’interessato può avvenire esclusivamente con il suo consenso, salvo il caso in cui sia necessario per la salvaguardia della vita o della incolumità di un terzo (art. 43 del Codice). Non a caso, nell’ambito dei progetti esaminati, la necessità di comunicare all’estero informazioni sanitarie dell’interessato contenute in tali strumenti si verifica prevalentemente per consentire all’interessato di usufruire di cure mediche all’estero o per consultare un esperto straniero.


8. informativa e consenso

Per consentire all’interessato di esprimere scelte consapevoli, il titolare del trattamento deve fornire previamente un’idonea informativa (artt. 13, 79 e 80 del Codice).

L’informativa, da formulare con linguaggio chiaro, deve indicare tutti gli elementi richiesti dall’art. 13 del Codice. In particolare, deve essere evidenziata l’intenzione di costituire un Fascicolo/dossier il più possibile completo che documenti la storia sanitaria dell’interessato per migliorare il suo processo di cura e, quindi, per fini di prevenzione, diagnosi, cura e riabilitazione (cfr. art. 76, comma 1, lett. a) del Codice), spiegando in modo semplice le opportunità che offrono tali strumenti, ma, al tempo stesso, l’ampia sfera conoscitiva che essi possono avere.

A garanzia del diritto alla costituzione o meno del Fse/dossier, l’interessato deve essere -come detto- informato che il mancato consenso totale o parziale non incide sulla possibilità di accedere alle cure mediche richieste.

L’informativa, anche con formule sintetiche, ma agevolmente comprensibili, deve indicare in modo chiaro –nel caso di dossier– i soggetti (ad es., medici che operano in un reparto in cui è ricoverato l’interessato o che operano in strutture di pronto soccorso) e -nel caso di Fse- le categorie di soggetti diversi dal titolare (es., medico di medicina generale, farmacista) che, nel prendere in cura l’interessato, possono accedere a tali strumenti, nonché la connessa possibilità di acconsentire che solo alcuni di questi soggetti possano consultarlo.

Nel caso di Fse, l’informativa e la connessa manifestazione del consenso possono essere formulate distintamente per ciascuno dei titolari o, più opportunamente, in modo cumulativo, avendo comunque cura di indicare con chiarezza l’ambito entro il quale i singoli soggetti trattano i dati rispetto al Fse.

L’interessato deve essere informato anche della circostanza che il Fascicolo/dossier potrebbe essere consultato, anche senza il suo consenso, ma nel rispetto dell’autorizzazione generale del Garante, qualora sia indispensabile per la salvaguardia della salute di un terzo o della collettività (art. 76 del Codice e Autorizzazione generale del Garante n. 2/2008 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale del 19 giugno 2008).

L’informativa deve anche mettere in luce la circostanza che il consenso alla consultazione del Fascicolo/dossier da parte di un determinato soggetto (ad es., del medico di medicina generale o del medico di reparto in cui è avvenuto il ricovero) può essere riferito anche al suo sostituto.

L’informativa deve rendere note all’interessato anche le modalità attraverso le quali rivolgersi al titolare per esercitare i diritti di cui agli artt. 7 e ss. del Codice (cfr. punto 6), come pure per revocare il consenso all’implementazione del suo Fse/dossier o per esercitare la facoltà di oscurare alcuni eventi clinici (cfr. punto 3).

Al fine di assicurare una piena comprensione degli elementi indicati nell’informativa, il titolare deve formare adeguatamente il personale coinvolto sugli aspetti rilevanti della disciplina sulla protezione dei dati personali, anche ai fini di un più efficace rapporto con gli interessati.


9. comunicazione al Garante

Il Fse, costituendo un insieme logico di informazioni e documenti sanitari volto a documentare la storia clinica di un individuo condiviso da più titolari del trattamento, deve essere improntato a criteri di massima trasparenza nella sua strutturazione e nel suo funzionamento. A garanzia di tale evidenza i trattamenti di dati personali effettuati attraverso il Fse devono essere resi noti al Garante mediante una apposta comunicazione da effettuarsi secondo un modello che sarà adottato dall’Autorità con specifico provvedimento, ai sensi dell’art. 154, comma 1, lett. c) del Codice.

Con riferimento alle iniziative di Fse attualmente in corso, sarà indicato nel citato provvedimento il termine entro il quale dovrà essere effettuata la suddetta comunicazione.

In considerazione delle osservazioni ricevute a seguito della consultazione pubblica, nel suddetto provvedimento saranno anche indicate le modalità attraverso le quali le strutture coordinatrici di iniziative di Fse operanti in un circoscritto ambito territoriale possano, in modo cumulativo, procedere alla suddetta comunicazione in luogo dei singoli titolari del trattamento coinvolti.

La suddetta comunicazione non dovrà, invece, essere effettuata nel caso di dossier sanitari.


10. misure di sicurezza

La particolare delicatezza dei dati personali trattati mediante il Fse/dossier impone l’adozione di specifici accorgimenti tecnici per assicurare idonei livelli di sicurezza (art. 31 del Codice), ferme restando le misure minime che ciascun titolare del trattamento deve comunque adottare ai sensi del Codice (artt. 33 e ss.).

Nell’utilizzo di sistemi di memorizzazione o archiviazione dei dati devono essere utilizzati idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi (ad esempio, attraverso l’applicazione anche parziale di tecnologie crittografiche a file system o database, oppure tramite l’adozione di altre misure di protezione che rendano i dati inintelligibili ai soggetti non legittimati).

Devono essere, inoltre, assicurati:

• idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilità di consultazione, modifica e integrazione dei dati);

• procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati;

• individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali;

• tracciabilità degli accessi e delle operazioni effettuate;

• sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.

Nel caso di Fse, devono essere, poi, garantiti protocolli di comunicazione sicuri basati sull’utilizzo di standard crittografici per la comunicazione elettronica dei dati tra i diversi titolari coinvolti.


1 Documento di lavoro sul trattamento dei dati personali relativi alla salute contenuti nelle cartelle cliniche elettroniche (Cce) adottato il 15 febbraio 2007 consultabile sul sito http://ec.europa.eu/…

2 In tal senso, il dossier sanitario si distingue dalla cartella clinica, dalle schede individuali del medico di medicina generale/pediatra di libera scelta e da quelle eventualmente tenute da medici specialisti con riferimento ai pazienti in cura presso gli stessi, in quanto poste in essere da un singolo professionista in qualità di unico titolare del trattamento. Qualora tali schede siano integrate con quelle di altri professionisti si potrebbe configurare un Fse, laddove i professionisti agiscano in qualità di autonomi titolari, ovvero un dossier sanitario, laddove i singoli professionisti, agiscano all’interno della medesima struttura sanitaria unica titolare del trattamento.

3 Cfr. art. 22, comma 6, del Codice; regola 24 del Disciplinare tecnico in materia di misure minime di sicurezza di cui all’allegato B) al Codice.

4 Resta ferma la possibilità per il personale amministrativo operante all’interno della struttura sanitaria in cui è utilizzato il Fse/dossier di accedere alle informazioni necessarie per assolvere alle funzioni amministrative cui è preposto.

5 Cfr. Provvedimento del 9 novembre 2005 “Strutture sanitarie: rispetto della dignità” consultabile sul sito Internet [doc. web n. 1191411].

6 Provvedimento generale del 24 luglio 2008  “Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali” pubblicato in G.U. 14 agosto 2008, n. 190 e consultabile sul sito [doc. web n. 1533155].