DSE – Il Dossier Sanitario Elettronico

Il Dossier Sanitario Elettronico è lo strumento costituito presso un’unica struttura sanitaria (ospedale, azienda sanitaria, casa di cura, laboratorio di analisi, ecc.) che raccoglie informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso quella singola struttura e offrirgli un migliore processo di cura. 

Di seguito, le principali indicazioni fornite dal Garante a tutela dei pazienti:

– ai pazienti deve essere consentito di scegliere, in piena libertà, se far costituire o meno il dossier sanitario;

– in assenza del consenso il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista;

– la mancanza del consenso non deve incidere minimamente sulla possibilità di accedere alle cure richieste;

– per poter inserire nel dossier informazioni particolarmente delicate (infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia) sarà necessario un consenso specifico;

– per consentire al paziente di scegliere in maniera libera e consapevole, la struttura sanitaria dovrà informarlo in modo chiaro, indicando in particolare, chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere.

In termini di prescrizioni fissate dall’Autorità, la struttura sanitaria, pertanto, deve:

– garantire al paziente l’esercizio dei diritti riconosciuti dal GDPR (accesso ai dati, integrazione, rettifica, etc.) e la possibilità di conoscere il reparto, la data e l’orario in cui è avvenuta la consultazione del suo dossier;

– garantire al paziente la possibilità di “oscurare” alcuni dati o documenti sanitari che non intende far confluire nel dossier;

– adottare elevate misure di sicurezza. I dati sulla salute dovranno essere separati dagli altri dati personali, e dovranno essere individuati criteri per la cifratura dei dati sensibili. L’accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura. Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, saranno tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi;

– comunicare al Garante eventuali violazioni di dati o incidenti informatici (data breach) entro quarantotto ore dalla conoscenza del fatto.

Si parla di Dossier Sanitario Elettronico anche nell’ambito dell’iniziativa di refertazione on-line, dove vi è la possibilità di implementare un servizio aggiuntivo, consistente nella possibilità di archiviare, presso la struttura sanitaria, tutti i referti effettuati. Il suddetto archivio può essere consultato on-line dall’interessato, il quale può anche effettuare il download dei referti ivi raccolti.

Ciascuna organizzazione, in qualità di Titolare del trattamento, è tenuta a fornire all’interessato una specifica informativa e ad acquisire un autonomo consenso. Tali archivi, infatti, raccogliendo tutti i referti effettuati nel tempo dall’interessato ed essendo realizzati presso un organismo sanitario in qualità di unico Titolare del trattamento, ricadono nella definizione di Dossier Sanitario, secondo quanto indicato nel Provvedimento del Garante del 5 marzo 2009, recante “Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario“. Ciò stante, l’organizzazione dovrà tener conto delle garanzie – anche di sicurezza – individuate nel Provvedimento n. 331 del 4 giugno 2015, “Linee Guida sul Dossier Sanitario Elettronico”.

Il mancato adeguamento alle disposizioni del GDPR comporta sanzioni amministrative pecuniarie fino ad € 20.000.000 o pari al 4% del fatturato globale se superiore.