IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Transcript

1 [doc. web n ] Dossier sanitario elettronico e privacy dei pazienti- 23 ottobre 2014 Registro dei provvedimenti n. 468 del 23 ottobre 2014 IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale; VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196), di seguito "Codice"; VISTA le segnalazioni ricevute concernenti il sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate dall'azienda ospedaliero universitaria S. Orsola Malpighi di Bologna; VISTI gli atti dell'accertamento ispettivo effettuato presso l'azienda ospedaliero universitaria S. Orsola Malpighi di Bologna il 27 e il 28 maggio 2014; VISTA la documentazione inviata dall'azienda ospedaliero Universitaria S. Orsola Malpighi di Bologna a seguito del suddetto accertamento ispettivo; VISTO le "Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario" adottate dal Garante con Provvedimento del 16 luglio 2009 (G.U. n. 178 del 3 agosto 2009, consultabili sul sito doc. web n ); VISTO l'articolo 12 (Fascicolo sanitario elettronico e sistemi di sorveglianza nel settore sanitario) del decreto legge 18 ottobre 2012 n. 179, convertito, con modificazioni, dall'art. 1, comma 1, legge 17 dicembre 2012, n. 221; VISTI gli atti d'ufficio; VISTE le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; RELATORE la dott.ssa Augusta Iannini; PREMESSO Sono pervenute a questa Autorità alcune segnalazioni nelle quali si lamenta un presunta violazione della disciplina in materia di protezione dei dati personali relativamente alle modalità di funzionamento del sistema informativo di archiviazione e refertazione delle prestazioni sanitarie erogate dall'azienda ospedaliero universitaria S. Orsola Malpighi di Bologna. Più precisamente, nelle segnalazioni si lamenta che l'applicativo in uso presso i diversi dipartimenti dell'azienda sarebbe stato configurato in modo tale da consentire a ogni medico di accedere non solo ai referti dei propri pazienti, ma anche a quelli di qualsiasi altra persona che abbia effettuato un esame clinico presso la struttura sanitaria. L'accesso del personale sanitario autorizzato sarebbe, pertanto, indipendente dalla circostanza che le informazioni che questi possono conoscere siano riferite a soggetti dagli stessi assistiti. In alcune delle segnalazioni ricevute, inoltre, si lamenta, più genericamente, che applicativi configurati in modo analogo a quello in uso presso l'azienda ospedaliero universitaria S. Orsola Malpighi siano impiegati anche presso altre strutture sanitarie del Servizio Sanitario della Regione Emilia Romagna. A seguito delle suddette segnalazioni, l'ufficio ha effettuato in data 27 e 28 maggio 2014 un accertamento ispettivo presso l'azienda ospedaliero universitaria S. Orsola Malpighi di Bologna (di seguito AOSP), volto a verificare l'osservanza delle disposizioni in materia di protezione dei dati personali, con particolare riferimento a quanto indicato nelle richiamate Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario. Nel corso del suddetto accertamento ispettivo è stata verificata la riconducibilità al concetto di "dossier sanitario" -definito nelle richiamate Linee guida- dello strumento di raccolta e di gestione dei dati dei pazienti utilizzato dalla suddetta Azienda attraverso l'applicativo aziendale denominato "Galileo" e sono stati, quindi, acquisiti elementi in merito alla conformità dei trattamenti effettuati attraverso il dossier alla disciplina in materia di protezione dei dati personali, con particolare riferimento al rispetto delle garanzie individuate nelle citate Linee guida. Nel corso del suddetto intervento ispettivo è stato accertato che il dossier sanitario aziendale è utilizzato esclusivamente quale repository unico, abilitato, in sola lettura, per la ricerca di informazioni sanitarie dei pazienti ed alimentato dagli applicativi dipartimentali dell'accettazione, Dimissioni e Trasferimenti (ADT a far data dal 2004), del laboratorio di analisi

2 (a far data dal 2000), dell'anatomia patologica (a far data dal 2000), della radiologia (a far data dal 2004), del laboratorio di emodinamica (a far data dal 2013), della specialistica ambulatoriale (a far data dal 2013), del registro operatorio (a far data dal 2013) e dei verbali di pronto soccorso (a far data dal 2013). Secondo quanto dichiarato in atti, il dossier sanitario è gestito dall'aosp tramite l'applicativo Galileo, prodotto dalla società NoemaLife S.p.A., scelto in via autonoma dall'azienda a seguito di una procedura ad evidenza pubblica. Durante il suddetto accertamento ispettivo è emerso che il trattamento di dati personali effettuato mediante il dossier sanitario, di cui è titolare l'aosp, persegue finalità di cura e alcune finalità amministrative strettamente correlate alla cura dell'interessato. Secondo quanto dichiarato nel corso delle attività ispettive, l'interessato esprime un consenso per i trattamenti di dati personali effettuati dall'aosp per finalità di cura sulla base di una informativa che non contiene uno specifico riferimento al suddetto dossier sanitario. Dalla documentazione in atti risulta che a tali dossier aziendali sono autorizzati ad accedere 1377 utenti circa, ovvero tutto il personale medico dell'aosp ed alcuni infermieri di dipartimento. L'Azienda, in sede di configurazione dell'applicativo Galileo, ha previsto nei confronti di tali utenti un unico profilo di autorizzazione. All'atto degli accertamenti ispettivi non sono state riscontrate specifiche procedure informatiche che consentissero al solo personale sanitario coinvolto nel processo di cura del paziente di accedere al relativo dossier per il tempo strettamente necessario alla cura. L'utente autorizzato può, infatti, consultare e stampare, senza alcuna limitazione, tutti i dati sanitari presenti nel dossier, indipendentemente dal fatto che il paziente sia assistito dallo stesso, ovvero stia, al momento dell'accesso, usufruendo di una prestazione sanitaria in regime ambulatoriale o di ricovero presso l'azienda. L'utente per accedere all'applicativo Galileo deve inserire delle credenziali di autenticazione consistenti in un username e una password. L'applicativo in uso presso l'aosp è stato configurato in modo tale che, una volta effettuato l'accesso, l'utente possa effettuare delle ricerche attraverso le funzioni "nuova ricerca" e "ricerca paziente". Per effettuare tali ricerche non è necessario inserire il nome e il cognome del paziente; durante gli accertamenti ispettivi è stato constatato, infatti, che l'applicativo è stato configurato in modo tale che si possano interrogare i dossier aziendali inserendo anche porzioni di nome e cognome, date di nascita ovvero solo un CAP di residenza. Secondo quanto dichiarato in atti, i dossier sanitari "inseriti in Galileo a decorrere dal 2003" sono "n "; in alcuni dossier sono presenti informazioni cliniche relative a prestazioni sanitarie erogate dall'aosp sin dal All'atto dell'accertamento ispettivo, l'utente autorizzato poteva consultare, attraverso il dossier, anche informazioni relative ad aspetti molto delicati della sfera privata dell'individuo, quali, ad esempio, quelle connesse agli accertamenti sullo stato di sieropositività, sull'uso di sostanze stupefacenti, di sostanze psicotrope e di alcool o agli interventi di interruzione volontaria della gravidanza, in ordine alle quali il Garante ha posto -nelle citate Linee guida- specifiche disposizioni a tutela della riservatezza e della dignità personale dell'interessato (Cfr. punto 5 delle predette Linee Guida). Da quanto dichiarato in atti è emerso, inoltre, che non essendo stato richiesto uno specifico consenso all'interessato per la costituzione del relativo dossier sanitario non è stata comunicata allo stesso la possibilità di oscurare taluni dati ivi presenti. L'applicativo Galileo, tuttavia, è stato correttamente configurato in modo tale da consentire l'oscuramento del dato anche con modalità tali da garantire che i soggetti abilitati all'accesso non possano venire automaticamente a conoscenza di tale scelta (oscuramento dell'oscuramento; Cfr. punto 3 delle citate Linee guida). Da alcune ricerche effettuate dall'ufficio è emerso, poi, che anche presso altre aziende del Servizio Sanitario della Regione Emilia Romagna i dossier sanitari aziendali sono gestiti attraverso l'applicativo Galileo. A seguito del richiamato accertamento ispettivo, l'aosp ha inviato ulteriori documenti e ha comunicato che, a seguito della suddetta attività ispettiva, l'azienda ha subito intrapreso azioni "per l'adeguamento degli applicativi informatici aziendali (compreso GALILEO) agli adempimenti in materia di protezione dei dati personali" anche attraverso talune modifiche concordate con la ditta fornitrice. In particolare, subito dopo l'attività ispettiva è stata introdotta una limitazione alla "possibilità di ricerca paziente" in Galileo. A seguito di tale modifica, l'aosp ha ritenuto di orientare la propria scelta affinché la ricerca del paziente da parte dell'operatore autorizzato non possa più essere effettuata con le modalità rilevate durante l'ispezione, bensì "solamente inserendo i 3 campi obbligatori: nome, cognome e data di nascita" del paziente in cura. Al riguardo, l'azienda ha prodotto una relazione sulla "Gestione delle tematiche relative alla privacy su Galileo" in cui evidenzia di aver già provveduto a modificare le categorie di soggetti che possono accedere al dossier, specificando altresì che, "entro marzo 2015", tale "abilitazione ( ) sarà data esclusivamente al personale medico". A seguito dell'ispezione avvenuta sono stati disattivati tutti i profili diversi da quello medico". È stato rappresentato, poi, che "l'accesso del personale con funzioni amministrative è strettamente limitato ai casi in cui il loro supporto è correlato ad attività di sola consultazione, indispensabile per rispondere ai vari adempimenti amministrativi/giudiziari in capo alle Aziende Sanitarie ( ), curate dal personale afferente all'ufficio Privacy. Tali abilitazioni saranno concesse per un

3 periodo di tempo limitato e compatibile con l'attività da svolgere (periodo massimo consentito 24 ore, eventualmente rinnovabile)" Tale ultima abilitazione è prevista comunque solo per "3 professionisti". Secondo quanto dichiarato in atti, dopo "un'attenta analisi dei profili abilitativi", l'azienda ha ridotto il numero di soggetti autorizzati ad accedere all'applicativo Galileo "passando da n utenti a n. 1123" utenti medici. Con riferimento all'acquisizione del consenso, nella documentazione inviata, l'azienda ha rappresentato che "il consenso verrà acquisito tramite una maschera dedicata che consentirà di esprimere i tre seguenti valori: NO: non si concede il consenso alla costituzione del dossier; SI: si concede il consenso alla costituzione ed alla consultazione del dossier; SI CON PREGRESSO: si concede il consenso alla costituzione ed alla consultazione del dossier anche per lo storico". L'AOSP ha, inoltre, inviato una bozza del modello di "informativa e consenso in materia di protezione dei dati personali nell'ambito del dossier sanitario elettronico" che prevede di utilizzare a partire da "gennaio 2015". Con la medesima nota l'azienda ha comunicato di aver migliorato le modalità per il corretto esercizio del diritto di oscuramento con riferimento ai dati personali presenti nel dossier sanitario. Al riguardo, l'aosp ha precisato che "l'oscuramento dell'evento e dei relativi referti ( ) viene esercitato dall'interessato all'atto della prestazione sanitaria ed quindi inserito dal medico oppure successivamente mediante richiesta all'ufficio Privacy. Al paziente che ne fa richiesta si garantisce l'oscuramento della visualizzazione sia dei riferimenti dell'episodio, sia dei dati clinici relativi a quest'ultimo. L'oscuramento degli eventi e dei referti richiesto in fase di erogazione della prestazione sanitaria verrà registrato su ogni dipartimentale ed inviato a Galileo insieme ai referti/risultati. Galileo acquisirà le informazioni, ma le renderà oscurate automaticamente". Secondo quanto affermato dall'aosp, tale garanzia sarà implementata "entro marzo 2015". L'Azienda ha, inoltre, rappresentato di aver deciso che i dati personali relativi agli accertamenti dello stato di sieropositività, al parto in anonimato e all'interruzione volontaria di gravidanza e la relativa documentazione non saranno "inviat(i) a Galileo e su questo non sarà registrato l'evento relativo". L'Azienda ha, poi, precisato che sarà "data facoltà all'interessato di decidere autonomamente con specifica manifestazione di volontà se inserire o meno" nel relativo dossier le informazioni raccolte in occasione di prestazioni sanitarie rese a "vittime di atti di violenza sessuale o pedofilia ( ) o di chi fa uso di sostanze stupefacenti, di sostanze psicotrope e di alcool". L'Azienda, nella documentazione in atti, ha rappresentato di aver già individuato le modifiche necessarie per garantire che abbia accesso al dossier sanitario solo il personale medico che ha in cura l'interessato e che intende porle in essere "entro marzo 2015". In tal senso, l'aosp ha dichiarato di aver individuato le tre seguenti ipotesi di accesso al dossier sanitario: - "Caso di accesso ambulatoriale: il medico accede al dossier sanitario del paziente che ha in carico mediante un collegamento disponibile sugli applicativi ambulatoriali o sui dipartimentali ad esso connesso. Tale link sarà attivo in base allo stato della richiesta che dovrà essere: accettato, in corso, refertato provvisoriamente. Il link a Galileo, e quindi l'accesso al dossier, sarà disabilitato all'atto della validazione del referto. L'accesso a Galileo consentirà la visualizzazione della documentazione del solo paziente in carico, escludendo una visualizzazione totale sui pazienti; - Caso di paziente in regime di ricovero: il medico accede al dossier sanitario del paziente mediante un collegamento disponibile sull'applicativo di ricovero (ADT). Tale link sarà attivo nelle fasi di pre-ricovero, ricovero e post ricovero (la durata del periodo di post ricovero sarà definito sulla base della specialità clinica di interesse); - Caso di accesso diretto: "dopo l'autenticazione, con la propria utenza, il medico può accedere ai dati clinici del paziente solo tramite la maschera di ricerca anagrafica (nome cognome data di nascita obbligatori). Alla selezione del paziente e prima di aprire la posizione verrà richiesto all'utente di esprimere una motivazione per la quale deve avere accesso alle informazioni cliniche. La maschera di accesso prevede le seguenti motivazioni: dichiaro sotto la mia responsabilità di avere diritto a proseguire nella visualizzazione dei dati per attività di: Prevenzione/diagnosi/cura/riabilitazione su paziente in carico ma non registrato nei percorsi informatizzati previsti; Critical review per analisi ed eventuale miglioramento percorsi di cura; Processo di prelievi/trapianto". L'Azienda ha, poi, previsto di definire "entro marzo 2015" l'implementazione delle "attività di verifica e controllo accessi". In tal senso, entro tale data, "saranno tracciate le operazioni di: lettura; salvataggio; modifica; cancellazione delle entità base di Galileo (paziente, episodio, richiesta, documento ) oltre al login degli utenti. Per ogni operazione viene generato un record contenente tutte le informazioni sull'utenza, sulla postazione dai cui si ha avuto accesso e tutte le operazioni eseguite. Verranno effettuate verifiche sull'accesso a Galileo in modalità diretta al fine di valutarne il corretto utilizzo. Inoltre l'attività di controllo e verifica ( ) che verrà svolta in modo sistematico sugli accessi e su tutte le operazione svolte in Galileo consentirà una puntuale analisi delle eventuali anomalie sull'utilizzo con successivi provvedimenti disciplinari/sanzionatori in capo ai professionisti in caso di utilizzo improprio". L'AOSP ha, infine, illustrato di aver avviato un progetto formativo dedicato al tema del dossier sanitario, al fine di sensibilizzare tutto il personale ad un corretta gestione dei dati personali dei pazienti.

4 OSSERVA 1. Premessa. La tematica del trattamento di dati personali nell'ambito dei dossier istituiti dalle strutture sanitarie è stata affrontata dall'autorità sin dal 2009 con il citato provvedimento del 16 luglio adottato a seguito di una consultazione pubblica. In tale provvedimento è stato individuato un quadro di cautele, al fine di delineare specifiche garanzie e responsabilità, nonché misure ed accorgimenti necessari ed opportuni che le strutture sanitarie devono porre a tutela dei pazienti, in relazione ai trattamenti di dati sanitari che li riguardano effettuati mediante i dossier sanitari. Nel suddetto provvedimento, in mancanza di una definizione a livello nazionale di dossier sanitario, l'autorità ha descritto come tale quello strumento contenente informazioni inerenti allo stato di salute di un individuo relative ad eventi clinici presenti e passati (es.: referti, documentazione relativa a ricoveri, accessi al pronto soccorso), volto a documentarne la storia clinica. I dati personali sono collegati tra loro con modalità informatiche di vario tipo che ne rendono, comunque, possibile un'agevole consultazione unitaria da parte dei diversi professionisti che prendono nel tempo in cura l'interessato. Si intende, pertanto, per dossier sanitario lo strumento costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es. azienda sanitaria) utilizzato da parte dei professionisti operanti presso lo stesso. Il dossier sanitario differisce dal Fascicolo sanitario elettronico (FSE) in quanto quest'ultimo, secondo la definizione recentemente resa dal legislatore, è l'insieme dei dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi relativi a prestazioni sanitarie erogate non da un unico titolare del trattamento (ad es. azienda sanitaria, ospedale), bensì da tutte le strutture sanitarie del Servizio sanitario nazionale e dei servizi sociosanitari regionali (Cfr. art. 12, D.L. 18 ottobre 2012, n. 179, convertito, con modificazioni, dall'art. 1, comma 1, L. 17 dicembre 2012, n. 221). Recentemente, l'autorità ha adottato due provvedimenti in cui ha prescritto alle strutture sanitarie, in qualità di titolari del trattamento, di adottare una serie di misure e accorgimenti necessari al fine di rendere conforme al Codice il trattamento dei dati personali effettuato attraverso i dossier sanitari aziendali: provvedimenti del 10 gennaio 2013 (doc. web n ) e del 3 luglio 2014 (doc web n ). 2. Profili di criticità. In base a quanto emerso nel corso del richiamato accertamento ispettivo e dall'esame della documentazione in atti, alcune delle specifiche garanzie previste dal Codice e individuate nelle citate Linee guida non trovano attuazione con riferimento al trattamento dei dati personali effettuato attraverso i dossier sanitari attualmente in uso presso l'aosp. Tali criticità sono sinteticamente riconducibili ai seguenti profili: l'informativa al trattamento dei dati personali effettuato tramite il dossier sanitario aziendale e il relativo consenso dell'interessato, l'accesso al dossier sanitario solo da parte del personale sanitario che assiste l'interessato e il diritto di quest'ultimo a richiedere l'oscuramento dei dati personali relativi ad un evento clinico consultabile attraverso il dossier sanitario. L'Autorità prende atto, tuttavia, che subito dopo il predetto accertamento ispettivo, l'azienda ha avviato un "processo organizzativo evolutivo di miglioramento nell'ambito del trattamento dei dati personali" effettuato tramite il dossier sanitario aziendale, al fine di renderlo conforme alla normativa vigente, individuando anche una tempistica entro la quale porre in essere le fasi del suddetto processo. 2.1 Informativa e consenso. Come specificato da questa Autorità nelle citate Linee guida del 2009, il trattamento dei dati personali effettuato mediante il dossier, perseguendo le menzionate finalità di prevenzione, diagnosi, cura e riabilitazione, deve uniformarsi al principio di autodeterminazione (artt. 75 e ss. del Codice). Al riguardo, l'autorità ha stabilito che: - all'interessato deve essere consentito di scegliere, in piena libertà, se far costituire o meno un dossier sanitario con le informazioni cliniche che lo riguardano; garantendogli anche la possibilità che i dati sanitari restino comunque sempre disponibili al professionista sanitario che li ha raccolti ed elaborati, senza la loro necessaria inclusione nel dossier sanitario (cfr. punti 3 e 8 delle citate Linee guida); - il consenso, anche se manifestato unitamente a quello previsto per il trattamento dei dati a fini di cura, deve essere autonomo e specifico (cfr. artt. 23, comma 3 e 81 del Codice). Ciò in quanto, il trattamento dei dati sanitari effettuato tramite il dossier costituisce un trattamento ulteriore e -come tale- facoltativo rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico per il quale l'interessato si rivolge ad esso. In assenza del dossier sanitario, infatti, il professionista avrebbe accesso alle sole informazioni fornite dal paziente e a quelle elaborate in relazione all'evento clinico per il quale il paziente si è recato presso di lui; attraverso l'uso del dossier sanitario, invece, il professionista pone in essere un ulteriore

5 trattamento di dati sanitari mediante la consultazione delle informazioni trattate nell'ambito dell'intera struttura sanitaria e non solo del suo reparto da professionisti diversi- in occasione di altri eventi clinici occorsi in passato all'interessato, anche riferiti a patologie differenti rispetto a quella in relazione alla quale l'interessato si è rivolto al professionista che lo ha in cura; - il titolare del trattamento deve fornire previamente un'idonea informativa (artt. 13, 79 e 80 del Codice), che deve contenere tutti gli elementi richiesti dall'art. 13 del Codice (cfr. punto 8 delle citate Linee guida). In particolare, deve essere evidenziata l'intenzione di costituire un dossier sanitario (il più possibile completo) che documenti la storia clinica dell'interessato per migliorare il suo processo di cura (cfr. art. 76, comma 1, lett. a) del Codice). Deve essere illustrato all'interessato, infatti, che tale strumento, una volta che sia stato costituito con il suo consenso, potrà essere utilizzato da tutti i professionisti che lo prenderanno in cura all'interno della struttura sanitaria, al fine di valutare in modo più completo il suo stato di salute. Tale strumento potrà essere, infatti, consultato nella sua interezza da parte di tutto il personale sanitario che fornirà nel tempo assistenza allo stesso. L'interessato deve essere, poi, informato che l'eventuale mancato consenso alla costituzione del dossier non incide sulla possibilità di accedere alle cure mediche richieste; - il titolare deve rendere note all'interessato anche le modalità attraverso le quali rivolgersi allo stesso per esercitare i diritti di cui agli artt. 7 e ss. del Codice, come pure quelle per revocare il consenso espresso in merito alla costituzione del dossier o per esercitare la facoltà di oscurare alcuni eventi clinici che lo riguardano (cfr. successivo punto 2.3); in caso di revoca del consenso (liberamente manifestabile in qualsiasi momento), il dossier non deve essere ulteriormente alimentato. I documenti sanitari presenti restano disponibili al professionista o alla struttura interna al titolare che li ha raccolti od elaborati (es. informazioni relative a un ricovero utilizzabili solo dal reparto/dipartimento di degenza) e per eventuali conservazioni per obbligo di legge (art. 22, comma 5, del Codice), ma non saranno più condivisi da parte degli altri professionisti degli altri reparti/dipartimenti che prenderanno in cura l'interessato; - l'inserimento delle informazioni relative ad eventi sanitari pregressi all'istituzione del dossier deve, inoltre, fondarsi sul consenso specifico ed informato dell'interessato, potendo quest'ultimo anche scegliere che le informazioni sanitarie pregresse che lo riguardano non vi siano inserite; - qualora nel dossier siano inserite anche informazioni relative a prestazioni sanitarie offerte a soggetti nei cui confronti l'ordinamento vigente ha posto specifiche disposizioni a tutela della loro riservatezza e dignità personale (atti di violenza sessuale o di pedofilia, persone sieropositive o che fanno uso di sostanze stupefacenti, di sostanze psicotrope e di alcool, interventi di interruzione volontaria della gravidanza, parto in anonimato, servizi offerti dai consultori familiari), il titolare del trattamento deve acquisire una specifica manifestazione di volontà dell'interessato, il quale potrebbe anche legittimamente richiedere che tali informazioni siano consultabili solo da parte di alcuni soggetti dallo stesso individuati (ad es. solo dallo specialista presso cui è in cura) (punto 5 delle citate Linee guida). Alla data degli accertamenti ispettivi -come risulta dal verbale delle operazioni compiute il 27 maggio u.s.- l'aosp, in qualità di titolare del trattamento, non ha fornito agli interessati alcuna informativa e non ha acquisito uno specifico consenso in merito al trattamento dei dati personali effettuato mediante il dossier sanitario in uso presso la stessa. L'informativa utilizzata dall'azienda per il trattamento dei dati personali effettuato nell'ambito delle attività di cura prestate dalla stessa non contiene, infatti, alcun riferimento al trattamento dei dati effettuato mediante il dossier sanitario. Secondo quanto rappresentato dall'azienda nella documentazione in atti, presso la stessa è in itinere un progetto di raccolta del consenso dell'interessato al trattamento dei dati personali -anche pregressi- effettuati mediante il dossier che potrebbe essere implementato, come descritto nelle premesse, a partire da gennaio Pertanto, con riferimento al trattamento di dati personali effettuato dall'aosp mediante il suddetto dossier, si rileva che lo stesso non è lecito in quanto non è stata fornita l'informativa agli interessati e non è stato acquisito il loro consenso (art. 13, 23 e 76 e ss. del Codice) e che, di conseguenza, i dati personali trattati dall'aosp mediante il dossier sanitario aziendale non possono essere utilizzati (art. 11, comma 2, del Codice). Ciò premesso, il Garante, al fine di rendere conforme il trattamento dei dati effettuato dall'aosp, in qualità di titolare del trattamento, attraverso lo strumento del dossier, tenuto conto di quanto dichiarato dall'aosp in merito alla predisposizione di un sistema di raccolta del consenso dell'interessato con riferimento al trattamento dei dati personali effettuato mediante il dossier sanitario aziendali, ritiene necessario: a) vietare all'aosp di effettuare ulteriori trattamenti di dati personali dei pazienti mediante lo strumento del dossier, in quanto sono stati effettuati senza aver fornito agli interessati un'idonea e preventiva informativa ai sensi dell'art. 13 del Codice e senza aver acquisito uno specifico consenso ai sensi degli artt. 23 e 76 e ss. del Codice (artt. 143, comma 1, lett. c) e 154, comma 1, lett. d);

6 b) prescrivere all'aosp che i dati personali relativi alle prestazioni sanitarie erogate dall'azienda restino disponibili solo al professionista o alla struttura interna al titolare che li ha raccolti ed elaborati (es. informazioni relative a un ricovero utilizzabili dal reparto di degenza) e per eventuali conservazioni per obbligo di legge (art. 22, comma 5, del Codice), adottando idonei accorgimenti anche tecnici affinché i medesimi dati personali non siano condivisi attraverso lo strumento del dossier con altri professionisti che hanno in cura l'interessato presso altri reparti/dipartimenti, fino al momento in cui lo stesso esprima uno specifico e autonomo consenso informato in ordine al trattamento dei suoi dati sanitari attraverso il dossier (artt. 13 e 76 e artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice); c) prescrivere all'aosp di acquisire uno specifico e autonomo consenso informato dell'interessato per utilizzare - attraverso il dossier - anche le informazioni sanitarie relative a eventi clinici pregressi ovvero occorsi all'interessato in periodi precedenti rispetto al momento in cui lo stesso acconsente al trattamento dei suoi dati sanitari attraverso il dossier (gestione del pregresso). Tale consenso può essere raccolto anche unitamente a quello prescritto nella precedente lett. b) (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice); d) prescrivere all'aosp di acquisire uno specifico e autonomo consenso informato dell'interessato per utilizzare - attraverso il dossier - anche le informazioni relative alle prestazioni erogate dall'azienda a seguito di atti di violenza sessuale o di pedofilia, in occasione dell'accertamento dello stato di sieropositività, dell'uso di sostanze stupefacenti, di sostanze psicotrope e di alcool, degli interventi di interruzione volontaria della gravidanza o relativi al parto in anonimato, nonché con riferimento ai servizi offerti dai consultori familiari (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice). Atteso quanto dichiarato dalla suddetta Azienda, in merito all'attuale processo di adeguamento alle indicazioni fornite dal Garante nelle citate Linee guida, gli accorgimenti di cui alle precedenti lett. b), c) e d) devono essere completati entro il 31 marzo 2015 (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice). L'Autorità, in relazione agli aspetti sopra rappresentati, ritiene inoltre necessario riservarsi di verificare, con autonomo procedimento, la sussistenza dei presupposti per contestare all'aosp le violazioni delle disposizioni di cui agli artt. 13 e 23, del Codice e la conseguente applicazione delle sanzioni di cui agli artt. 161 e 162, comma 2-bis del Codice. 2.2 Accesso al dossier sanitario solo da parte del medico che ha in cura l'interessato. Nelle citate Linee guida del 2009 il Garante, con riferimento all'accesso ai dati contenuti nel dossier sanitario (cfr. punto 5 delle citate Linee guida), ha stabilito che: - in relazione alle finalità perseguite con la costituzione del dossier, l'accesso a tale strumento deve essere consentito solamente per fini di prevenzione, diagnosi e cura dell'interessato e unicamente da parte di soggetti operanti in ambito sanitario, con conseguente esclusione di periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, nonché del personale medico che agisca nell'esercizio di attività medico-legali; - debbano essere adottate modalità tecniche di autenticazione al dossier che consentano di autorizzare l'accesso a tale strumento solo da parte degli esercenti la professione sanitaria che a vario titolo prenderanno in cura l'interessato; - il personale amministrativo operante all'interno della struttura sanitaria in cui viene utilizzato il dossier sanitario può, pertanto, in qualità di incaricato del trattamento, consultare solo le informazioni necessarie per assolvere alle funzioni amministrative cui è preposto e strettamente correlate all'erogazione della prestazione sanitaria (ad es., il personale addetto alla prenotazione di esami diagnostici o visite specialistiche può consultare unicamente i soli dati indispensabili per la prenotazione stessa); - l'esercente la professione sanitaria che ha redatto uno o più documenti clinici presenti nel dossier deve poter sempre consultare gli stessi; - l'accesso al dossier sanitario deve essere circoscritto al periodo di tempo indispensabile per espletare le operazioni di cura per le quali è autorizzato il soggetto che accede. Ciò, comporta che i soggetti autorizzati all'accesso devono poter consultare esclusivamente i dossier sanitari riferiti ai pazienti che assistono e per il periodo di tempo in cui si articola il percorso di cura per il quale l'interessato si è rivolto ad essi. Alla data degli accertamenti ispettivi- come risulta dal verbale delle operazioni compiute il 27 maggio u.s.- l'aosp non aveva messo in atto specifiche procedure che consentissero al solo personale sanitario coinvolto nel processo di cura del paziente di accedere al relativo dossier per il tempo strettamente necessario alla cura. Secondo quanto dichiarato in atti, tuttavia, subito dopo gli accertamenti ispettivi "sono stati disattivati tutti i profili diversi da quello medico". L'AOSP ha inoltre deciso che "entro marzo 2015" gli utenti autorizzati ad accedere al dossier saranno

7 "esclusivamente i medici ( ) profilati sulla base del/i reparto/i di appartenenza", secondo le modalità indicate in permessa. Pertanto, al fine di rendere conforme il trattamento dei dati effettuato dall'aosp, in qualità di titolare del trattamento, attraverso il dossier, il Garante ritiene necessario prescrivere alla predetta Azienda di completare la messa in atto di specifici accorgimenti che consentano ai soli professionisti sanitari che hanno in cura il paziente (che abbia già manifestato un consenso informato alla costituzione del dossier) di accedere al relativo dossier per il tempo in cui si articola il percorso di cura. Atteso quanto dichiarato dalla suddetta Azienda, in merito all'attuale processo di adeguamento alle indicazioni fornite dal Garante nelle citate Linee guida, tali accorgimenti devono essere completati entro il 31 marzo 2015 (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice). 2.3 Oscuramento Il Garante, nelle citate Linee guida, ha previsto un'importante garanzia a tutela della riservatezza dell'interessato che abbia scelto consapevolmente di far costituire un dossier sanitario sulla propria storia clinica, consistente nella possibilità di oscurare taluni eventi clinici ivi presenti (cfr. 3 delle citate Linee guida). Tale garanzia è stata riproposta dal legislatore anche con riferimento al FSE (citato art. 12, comma 3-bis D.L. 18 ottobre 2012, n. 179, convertito, con modificazioni, dall'art. 1, comma 1, L. 17 dicembre 2012, n. 221). Ferma restando, infatti, l'indubbia utilità di un dossier sanitario completo, il titolare del trattamento deve garantire la possibilità per l'interessato di non far confluire in esso alcune informazioni sanitarie. Al riguardo, nelle predette Linee guida il Garante ha stabilito che: - l'"oscuramento" dell'evento clinico (revocabile nel tempo) deve avvenire con modalità tali da garantire che, almeno in prima battuta, i soggetti abilitati all'accesso non possano venire automaticamente a conoscenza del fatto che l'interessato ha effettuato tale scelta ("oscuramento dell'oscuramento"); - il titolare del trattamento è tenuto ad informare i soggetti abilitati ad accedere a tali strumenti in ordine alla possibilità che tutti i dossier sanitari possono non essere completi, in quanto l'interessato potrebbe aver esercitato il suddetto diritto di oscuramento; - in caso di oscuramento le informazioni oscurate restano comunque disponibili al professionista o alla struttura interna al titolare che le ha raccolte o elaborate (es. referto accessibile tramite dossier da parte del professionista che lo ha redatto). La documentazione clinica relativa all'evento oscurato deve essere comunque conservata dal titolare del trattamento secondo la normativa di settore. Con riferimento alla possibilità di richiedere l'oscuramento di uno o più eventi clinici da parte dell'interessato, come risulta dal verbale delle operazioni compiute del 27 maggio u.s.- l'aosp, non richiedendo all'interessato uno specifico consenso per la costituzione del dossier, non ha mai comunicato allo stesso la possibilità di esercitare nei confronti dei dati ivi trattati il richiamato diritto all'oscuramento. L'Azienda ha comunque rappresentato che in passato, a seguito di specifica richiesta di alcuni pazienti, sono stati comunque oscurati i dati presenti nel dossier. L'AOSP ha in seguito comunicato di aver meglio definito le modalità attraverso le quali l'interessato potrà esercitare la facoltà di oscurare le informazioni personali presenti nel dossier, e che "entro marzo 2015", sarà implementato "l'oscuramento della visualizzazione sia dei riferimenti dell'episodio, sia dei dati clinici relativi a quest'ultimo". Pertanto, al fine di rendere conforme il trattamento dei dati effettuato dall'aosp, in qualità di titolare del trattamento, attraverso il dossier sanitario, il Garante ritiene necessario prescrivere alla predetta Azienda di completare la messa in atto di specifici accorgimenti che consentano all'interessato di poter esprimere la volontà di oscurare nel proprio dossier sanitario i dati personali relativi a singoli eventi clinici anche relativi al pregresso. Di tale diritto deve essere fatta menzione nell'informativa resa ai sensi dell'art. 13 del Codice (artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice). Atteso quanto dichiarato dalla suddetta Azienda, in merito all'attuale processo di adeguamento alle indicazioni fornite dal Garante nelle citate Linee guida, tali accorgimenti devono essere completati entro il 31 marzo TUTTO CIÒ PREMESSO IL GARANTE a) rilevata l'illiceità del trattamento effettuato dall'azienda ospedaliero universitaria S. Orsola Malpighi di Bologna con riferimento alla circostanza che non è stata resa l'informativa e non è stato acquisito il consenso dell'interessato in relazione al trattamento effettuato tramite il dossier sanitario aziendale (artt. 13, 23 e 76 e ss.

8 del Codice), ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, vieta all'azienda ospedaliero universitaria S. Orsola Malpighi di effettuare ulteriori trattamenti di dati personali dei pazienti mediante lo strumento del dossier sanitario aziendale; b) ai sensi dell'art. 143, comma 1, lett. b) e 154, comma 1, lett. c) del Codice, prescrive all'azienda ospedaliero universitaria S. Orsola Malpighi, quali misure necessarie: 1. che i dati personali relativi alle prestazioni sanitarie erogate dall'azienda restino disponibili solo al professionista o alla struttura interna al titolare che li ha raccolti ed elaborati (es. informazioni relative a un ricovero utilizzabili dal reparto/dipartimento di degenza) e per eventuali conservazioni per obbligo di legge (art. 22, comma 5, del Codice), adottando idonei accorgimenti, anche tecnici, affinché i medesimi dati non siano più condivisi attraverso il dossier sanitario con altri professionisti che curino l'interessato presso altri reparti/dipartimenti, fino al momento in cui quest'ultimo esprima uno specifico consenso informato alla costituzione del dossier (artt. 13 e 76 e ss. del Codice). Tali accorgimenti devono essere adottati nel più breve tempo possibile e comunque entro il 31 marzo 2015; 2. di acquisire uno specifico consenso informato dell'interessato per utilizzare -attraverso il dossier sanitario- anche le informazioni sanitarie relative a eventi clinici pregressi ovvero occorsi all'interessato in periodi precedenti rispetto al momento in cui lo stesso acconsente al trattamento dei suoi dati sanitari attraverso il dossier sanitario (gestione del pregresso). Tale consenso informato, che può essere raccolto anche unitamente a quello prescritto nel precedente punto sub 1, deve essere acquisito nel più breve tempo possibile e comunque entro il 31 marzo 2015; 3. di acquisire uno specifico e autonomo consenso informato dell'interessato per utilizzare -attraverso il dossier sanitario- anche le informazioni relative alle prestazioni erogate dall'azienda a seguito di atti di violenza sessuale o di pedofilia, in occasione dell'accertamento dello stato di sieropositività, dell'uso di sostanze stupefacenti, di sostanze psicotrope e di alcool, degli interventi di interruzione volontaria della gravidanza o relativi al parto in anonimato, nonché con riferimento ai servizi offerti dai consultori familiari. Tale consenso informato, che può essere raccolto anche unitamente a quello prescritto nel precedente punto sub 1, deve essere acquisito nel più breve tempo possibile e comunque entro il 31 marzo 2015; 4. di completare la messa in atto di specifici accorgimenti che consentano ai soli professionisti sanitari che hanno in quel momento in cura il paziente (che abbia già manifestato un consenso informato alla costituzione del dossier) di accedere al relativo dossier sanitario per il tempo in cui si articola il percorso di cura. Tali accorgimenti devono essere adottati entro il 31 marzo 2015; 5. di completare la messa in atto di specifici accorgimenti che consentano all'interessato di poter esprimere la volontà di oscurare nel proprio dossier sanitario le informazioni relative a singoli eventi clinici anche relativi al pregresso. Di tale diritto deve essere fatta menzione nell'informativa resa ai sensi dell'art. 13 del Codice. Tali accorgimenti e la menzione nell'informativa devono essere messi in atto entro il 31 marzo 2015; c) ai sensi dell'art. 157 del Codice, richiede all'azienda ospedaliero universitaria S. Orsola Malpighi, di comunicare, entro i dieci giorni successivi ai termini prescritti nella precedente lett. b), quali iniziative siano state intraprese al fine di dare attuazione al presente provvedimento; d) ai sensi dell'art. 154, comma 1, lett. h) del Codice invia il presente provvedimento alla Regione Emilia Romagna, affinché provveda a rendere noto quanto ivi prescritto alle altre aziende sanitarie del Servizio sanitario regionale in relazione ai trattamenti effettuati mediante i dossier sanitari aziendali. Ai sensi degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero. Roma, 23 ottobre 2014