Accesso a documenti sanitari nell'ambito della "medicina di iniziativa"
Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.
A seguito di una comunicazione di violazione di dati personali, cui è seguito un accertamento ispettivo, l’Ufficio si è occupato del trattamento dei dati personali effettuato attraverso un sistema informativo regionale di reportistica e visualizzazione a disposizione dei medici di assistenza primaria (Medico di medicina generale e Pediatra di libera scelta - Mmg/Pls) i quali, tramite una web application, erano abilitati ad accedere ad un portale sulla continuità delle cure per l’utilizzo di diversi servizi di prevenzione e per l’invio alla regione dei dati personali oggetto di specifici obblighi normativi.
Il tema oggetto del predetto accertamento ispettivo richiama la tematica relativa alla possibilità per il Mmg/Pls di accedere ai documenti sanitari dell’assistito nell’ambito della cd. “medicina di iniziativa”, ovvero un modello assistenziale orientato alla promozione attiva della salute dell’individuo, specie se affetto da malattie croniche o disabilità e alla responsabilizzazione delle persone nel proprio percorso di cura. Sul punto l’Ufficio in passato aveva già invitato il Ministero della salute a disciplinare quanto prima con un atto normativo un’attività così delicata, che presenta anche significativi risvolti etici (diritto di non sapere). È stato infatti evidenziato che non esiste nel nostro ordinamento giuridico una definizione e una disciplina specifica della cd. “medicina d’iniziativa” ancorché tale locuzione ricorra in numerosi atti di indirizzo e programmazione del Ministero della salute e delle regioni.
Nel corso dei predetti accertamenti è stato constatato che, con specifico riferimento ad alcune patologie croniche o a determinate malattie oncologiche, erano stati sviluppati, a livello regionale, strumenti di reportistica che, elaborando le informazioni oggetto dei flussi informativi verso la Regione mediante un algoritmo di calcolo che si basa su parametri statistici, mettono a disposizione dei Mmg/Pls un profilo sanitario di rischio dell’assistito, invitando il medico a proporre allo stesso specifici accertamenti diagnostici in chiave di prevenzione. Al riguardo, l’Ufficio ha evidenziato che l’adozione di tali sistemi determina la raccolta e l’elaborazione di dati sanitari al fine di realizzare, con riferimento a specifiche patologie, un profilo sanitario di rischio dell’interessato e configura quindi un trattamento autonomo e ulteriore rispetto a quello principale finalizzato alla cura dell’assistito (cfr. parere sullo schema di d.P.C.M. in materia di Fse, del 22 maggio 2014, doc. web n. 3230826, in merito alla realizzazione di “servizi di elaborazione di dati” per finalità di governo e di ricerca da parte delle regioni).
Ciò stante, l’Ufficio ha invitato la regione interessata, nel rispetto del principio di responsabilizzazione di cui al RGPD, a impostare l’attività sopra descritta nel rispetto dei presupposti di liceità (tra i quali il consenso informato dell’assistito), posto che lo stesso non risulta quale trattamento strettamente necessario per il perseguimento delle finalità di diagnosi e assistenza sanitaria perseguite dal Mmg/Pls. Agli enti coinvolti è stato ricordato che il titolare è tenuto ad effettuare una previa valutazione dell’impatto dei trattamenti previsti sul diritto alla protezione dei dati personali, quando gli stessi possono presentare rischi elevati per i diritti e le libertà delle persone fisiche, considerati la natura, l’oggetto, il contesto e le finalità del trattamento. Ove all’esito di tale valutazione risulti che i trattamenti presentino rischi elevati per i diritti e le libertà fondamentali degli interessati, in assenza di misure adottate dal titolare per attenuarli, il titolare è tenuto a consultare il Garante, prima di procedere al trattamento (artt. 35 e 36 del RGPD). Con specifico riferimento alla fattispecie oggetto di intervento, alla luce della natura dei dati trattati e della numerosità degli interessati, il trattamento in oggetto è stato considerato rientrante nei casi in cui il titolare non può prescindere da una valutazione di impatto sulla protezione dei dati, ai sensi di quanto previsto dal RGPD e dei criteri individuati dal Gruppo Art. 29 nelle Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del RGPD (WP 248 rev. 01 adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017).
Con riferimento, invece, all’aspetto che aveva determinato la comunicazione di violazione dei dati personali, a seguito dell’intervento dell’Ufficio, sono state adottate specifiche procedure per gestire gli eventi di data breach, consistenti nella rilevazione dell’evento di sicurezza, mitigazione, risoluzione, ripristino, analisi degli elementi per il miglioramento e reportistica. Al riguardo, la regione è stata sollecitata a verificare la corretta applicazione di quanto previsto dalle predette procedure, ad assicurarsi dell’effettiva de-indicizzazione dei contenuti riferibili a dati personali di assistiti e a prestare particolare attenzione, in occasione del rilascio di nuove funzionalità/migrazioni/aggiornamenti software e/o altri cambiamenti, al mantenimento delle corrette configurazioni dei permessi di accesso alle risorse (fisiche, logiche, etc.), in particolare, laddove siano presenti dati personali e dati relativi alla salute degli interessati (nota 9 luglio 2018).
Tra i casi sottoposti all’Ufficio relativi al trattamento dei dati personali connesso alle procedure amministrative, si evidenzia anche l’intervento nei confronti di un’azienda sanitaria affinché la stessa, su richiesta dell’interessato, fornisse una certificazione attestante l’invalidità civile di un minore, priva dell’indicazione degli estremi della sentenza del Tribunale dei minori di affidamento idonea a far desumere lo stato di adozione dello stesso. Sul punto l’azienda è stata, infatti, richiamata al rispetto delle specifiche garanzie di riservatezza previste dalla disciplina in materia di adozioni (cfr. art. 28, comma 3, legge n. 184/1983), relative al divieto per qualsiasi ente pubblico o privato, autorità o pubblico ufficio “di fornire notizie, informazioni, certificazioni, estratti o copie dai quali possa comunque risultare il rapporto di adozione” (nota 12 giugno 2018).
Fonte: Autorità Garante - Relazione 2018