La consegna online dei referti sanitari

In un recente provvedimento sanzionatorio, l’Autorità Garante per la protezione dei dati personali ha ripreso e ricordato che la consegna dei referti sanitari in modalità elettronica, cioè remotamente attraverso internet, deve garantire la sicurezza, in particolare rispetto alla riservatezza: in sostanza, è indispensabile garantire che solo la persona autorizzata (che sia il paziente a cui si riferisce il referto stesso, o un suo delegato) sia in grado di leggerne il contenuto.

Le modalità corrette

In particolare, il Garante ha ricordato che rimangono in vigore le Linee guida in tema di referti on-line del 2009, che prevedono:

che la consegna online è facoltativa, e come tale deve essere soggetta a consenso (che può essere permanente o specifico per il singolo referto);
che se si utilizza un servizio web, deve essere attiva la crittografia della comunicazione (tipicamente HTTPS), autenticazione personale e preferibilmente “forte” (autenticazione multifattore), conservazione limitata a 45 giorni e possibilità per il paziente di cancellare i referti;
che se si utilizza l’invio tramite posta elettronica (vale anche per la PEC), l’indirizzo fornito deve essere verificato preventivamente, il referto deve essere in allegato al messaggio, il file allegato deve essere leggibile solo tramite una password o altre chiave crittografica (che vanno comunicate tramite un altro canale di segnalazione).

Il fatto che i referti online siano soggetti a consenso implica ovviamente che sia predisposta un’informativa da mettere a disposizione prima della raccolta del consenso, che il consenso sia revocabile, e che non ci deve essere nessuna conseguenza rispetto alla fruizione dei servizi sanitari in caso di revoca o mancata concessione del suddetto consenso.

Riguardo alla modalità via posta elettronica, anche se non presente nelle linee guida ma essendo l’oggetto della violazione sanzionata, va sottolineata la necessità di evitare, anche per disattenzione, l’invio ad indirizzi diversi da quello comunicato (e verificato) dal paziente.

L’archiviazione

Nelle stesse linee guida, viene affrontato il tema dell’archiviazione degli stessi referti per conto del paziente, che può consultarli e scaricarli autonomamente (attenzione: non si tratta dell’archiviazione interna dei dati e dei referti cartacei, soggetti ad altre norme di legge): anche in questo caso, è necessario un consenso a fronte di un’informativa (entrambi separati dai precedenti). Tuttavia, in questo caso va sottolineato che tale archivio ha tutte le caratteristiche di un dossier sanitario, per il quale esistono delle altre linee guida dedicate.

Il fascicolo sanitario elettronico

Lo strumento principe per rispettare le indicazioni appena ricordate (sia per la consegna che per l’archiviazione) è il Fascicolo Sanitario Elettronico (FSE), per il quale, non a caso, la normativa che lo regola è stata oggetto delle valutazioni del Garante. In sostanza, se il soggetto che genera il referto già è attrezzato per l’invio obbligatorio al FSE, il paziente sarà in grado di recuperarlo facilmente accedendo al servizio, autenticandosi con le credenziali SPID, CIE o CNS, senza che sia necessaria la creazione e l’invio protetto di ulteriori password. Bisogna però ricordare che il FSE è regionale, per cui potrebbe essere necessario accedere al servizio di un’altra regione rispetto a quella di residenza (ma, di nuovo, sempre con le stesse credenziali).

Al momento sono obbligati ad “alimentare” il FSE i soggetti del Servizio Sanitario Nazionale (anche se al momento non si è raggiunta ancora la totalità), mentre per i soggetti non appartenenti al SSN si è molto più indietro.

I referti non sanitari

Quanto sopra riguarda espressamente i dati sanitari, notoriamente quelli considerati a rischio più alto; ciò nonostante, le indicazioni possono risultare utili anche in altri casi. Infatti, nel caso di referti (o qualsiasi altro tipo di documento) contenente dati personali appartenenti alle categorie particolari o giudiziari, per cui è ovviamente previsto di effettuare la valutazione del rischio rispetto ai trattamenti (probabilmente in una Valutazione di Impatto), qualora il livello di rischio risulti non basso è comunque necessario prevedere delle misure di mitigazione del rischio, ed ecco che le citate linee guida rappresentano un utile compendio di misure che il Garante ritiene corrette e necessarie per garantire la riservatezza.

LabPrivacy RIPRODUZIONE RISERVATA. Ne è consentito un uso parziale, previa citazione della fonte.

La consegna online dei referti sanitari

Condividilo nel tuo Social

Post correlati

Disciplina del safeguarding, aspetti privacy

La gestione privacy delle web agency

Copie dei documenti d’identità: si possono richiedere?

Quando il rischio diventa realtà: le conseguenze degli incidenti informatici

La salute informatica è un obbligo per tutti