Un ospedale pubblico e una clinica privata sono stati sanzionati dal Garante della Privacy (rispettivamente per 80.000 € e per 12.000 €) perché il loro dossier sanitario permetteva al personale di accedere indiscriminatamente alle cartelle cliniche, anche se gli operatori non erano direttamente coinvolti nella cura del paziente.
In sostanza i sistemi non avevano profilazione degli accessi, né avvisi di uso, né registrazione dei log delle operazioni eseguite e i pazienti nemmeno sapevano che fosse attivo un trattamento dati tramite quel dossier, per cui non potevano dare (o negare) consenso, né oscurare informazioni sensibili.
Il Garante ha ricordato che il dossier sanitario deve essere accessibile solo al personale che cura il paziente e che il paziente deve poter scegliere se i suoi dati siano inclusi o meno.
Insomma, dovrebbe essere una sorta di “scrigno blindato di dati sensibili”, ma la vicenda in oggetto mostra che può essere trattato come una dispensa aperta e c’è un’ulteriore cattiva notizia: le falle nella gestione dei dossier sanitari non sono rare. Molti ospedali e cliniche, infatti, hanno sistemi informatici vecchi, configurati male o senza controlli sugli accessi. Il che significa che chiunque tra il personale, anche se non coinvolto nella cura, può curiosare nelle cartelle cliniche.
E i pazienti?
Di solito non se ne accorgono mai e, comunque, restano quasi disarmati.
Ecco alcuni segnali concreti a cui fare attenzione per capire se la nostra privacy sanitaria è a rischio:
- Assenza di trasparenza. Nessuno ti informa che esiste un dossier sanitario centralizzato, né ti viene chiesto se vuoi aderire o meno.
- Mancanza di consenso esplicito. Non ti chiedono di firmare per autorizzare l’inclusione dei tuoi dati nel dossier, oppure il consenso è “automatico” e difficile da revocare.
- Nessuna possibilità di oscuramento: non ti viene data la possibilità di tenere riservate alcune informazioni sensibili (es. visite psichiatriche, ginecologiche, HIV test).
- Documentazione vaga: informative sulla privacy scritte in modo generico, senza dettagli su chi accede ai dati, per quanto tempo e con quali controlli.
Quali strumenti ha il paziente?
- Chiedere esplicitamente all’ospedale o alla clinica come funziona il dossier sanitario e quali garanzie offre.
- Esercitare il diritto di oscuramento selettivo dei dati previsto dal Garante. In sostanza si può decidere se oscurare taluni dati o documenti sanitari consultabili (e ciò anche nel rispetto della legittima volontà dell’interessato di richiedere il parere di un altro specialista senza che quest’ultimo possa essere influenzato da quanto già espresso da un collega).
- Richiedere al titolare del trattamento quali siano stati gli accessi al proprio dossier sanitario (in modo da conoscere gli accessi eseguiti sul proprio dossier con l’indicazione della struttura/reparto che ha effettuato l’accesso, nonché della data e dell’ora dello stesso).
- Revocare il consenso al dossier sanitario, se non si ha fiducia (la revoca del consenso disabilita l’accesso ai dati e ai documenti per i professionisti sanitari e socio‐sanitari precedentemente autorizzati che, solo in caso di eventuale nuova e successiva prestazione del consenso da parte dell’assistito, verranno riabilitati).
- Presentare un reclamo al Garante Privacy se si sospetta un abuso.
Sapere che le proprie informazioni cliniche restano riservate è parte integrante della cura. E se le strutture sanitarie non blindano i dati come dovrebbero, allora spetta ai cittadini pretendere trasparenza e rispetto perché un dossier sanitario sicuro non è un favore, è un diritto.
In gioco non c’è solo la burocrazia digitale, ma la dignità stessa del paziente.
QUI le linee guida del Garante per la Protezione dei dati personali in materia di dossier sanitario. Un documento utile da leggere e conservare.
___
