Con il provvedimento del 4 giugno 2015 n. 331, il Garante per la protezione dei dati personali ha varato le nuove Linee guida che puntano a definire un quadro di riferimento unitario per il corretto trattamento dei dati raccolti nei dossier, già istituiti o che si intendono istituire, da parte di strutture sanitarie pubbliche e private.
Il dossier sanitario elettronico è lo strumento costituito presso un'unica struttura sanitaria (ospedale, azienda sanitaria, casa di cura) che raccoglie informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso quella singola struttura e offrirgli un migliore processo di cura. Si differenzia dal fascicolo sanitario elettronico in cui invece confluisce l'intera storia clinica di una persona generata da più strutture sanitarie.
Secondo quanto previsto dal provvedimento, la struttura sanitaria deve:
-
garantire al paziente l'esercizio dei diritti riconosciuti dal Codice privacy (accesso ai dati, integrazione, rettifica, etc.) e la possibilità di conoscere il reparto, la data e l'orario in cui è avvenuta la consultazione del suo dossier.
-
garantire al paziente la possibilità di "oscurare" alcuni dati o documenti sanitari che non intende far confluire nel dossier.
-
adottare elevate misure di sicurezza. I dati sulla salute dovranno essere separati dagli altri dati personali, e dovranno essere individuati criteri per la cifratura dei dati sensibili. L'accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura. Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, saranno tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi.
-
comunicare al Garante eventuali violazioni di dati o incidenti informatici (data breach) entro 48 ore dalla conoscenza del fatto, tramite posta elettronica o posta elettronica certificata all'indirizzo: databreach.dossier@pec.gpdp.it. le violazioni dei dati personali (data breach) che si verificano nell’ambito delle proprie strutture (cfr. punto 7.1. delle predette Linee guida).
Tali comunicazioni devono essere redatte secondo lo schema riportato nell'“Allegato B" che qui alleghiamo.