AGGIORNATE LE FAQ DEL GARANTE SUI REFERTI ONLINE – Spunti di riflessione sui connessi rischi e misure di sicurezza

L’Autorità Garante per la protezione dei dati personali ha recentemente pubblicato un aggiornamento delle Faq (Frequently asked questions) sui Referti online integrando la precedente versione con alcune puntualizzazioni derivanti dagli adempimenti introdotti dal Reg. UE 679/2016. Il nuovo intervento del Garante offre lo spunto per riflettere ancora una volta sui rischi connessi all’impianto di documenti sanitari elettronici e sulle connesse esigenze di adozione di misure di sicurezza adeguate.

Sommario
• Le nuove FAQ
• Rischi connessi allo strumento elettronico
• Necessità di un adeguato controllo dei gestori delle piattaforme
• Conclusioni

Le nuove FAQ

Il referto online, probabilmente, costituisce il documento elettronico più conosciuto da parte dei pazienti poiché molte strutture sanitarie, anche di piccole dimensioni, ne prevedono l’utilizzo ed era stato già oggetto di attenzione da parte del Garante che nel novembre 2009, aveva approvato specifiche Linee Guida (doc. web n. 1679033) cui aveva fatto seguito la pubblicazione della prima versione delle “domande frequenti” sulla materia.
Con la versione aggiornata l’Autorità, oltre a precisare che per tale trattamento è necessario fornire un’informativa distinta rispetto a quella relativa al trattamento dei dati personali per finalità di cura, richiama le importanti conseguenze che la refertazione on line ha su aspetti fondamentali della protezione dei dati personali come le misure di sicurezza, il data breach, il registro dei trattamenti e la valutazione di impatto.
Ripercorriamo velocemente il contenuto dei chiarimenti del Garante.
Il “referto online” è la possibilità di accedere al referto medico (da intendersi come la relazione scritta rilasciata dal medico sullo stato clinico del paziente dopo un esame clinico o strumentale) tramite modalità digitali (Fascicolo Sanitario Elettronico, sito Web, posta elettronica, anche certificata, supporto elettronico) che, generalmente, si concretizzano nella sua ricezione presso la casella di posta elettronica dell´interessato o nel collegamento al sito Internet della struttura sanitaria ove è stato eseguito l ‘esame clinico, al fine di effettuarne il download.
Qualora i referti siano disponibili sul sito web è necessario che la struttura sanitaria protegga i dati personali degli utenti utilizzando protocolli di comunicazione sicuri (https) e sistemi di autenticazione forte dell’interessato (strong authentication). Il referto online può essere reso disponibile sul proprio sito web per un massimo di 45 gg. Occorre garantire all’utente la possibilità di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.
Nel caso in cui venga inoltrato tramite posta elettronica, il referto dovrà essere spedito in allegato a un messaggio e-mail e non come testo compreso nel corpo del messaggio ed il file che lo contiene dovrà essere protetto (ad es. con una password).
Quale che sia la modalità digitale prescelta, l’interessato ha comunque il diritto anche di ottenere a domicilio copia cartacea del referto.
Per tali servizi deve essere richiesto il consenso esplicito, libero, specifico dell’interessato, al quale, comunque, in caso di mancato consenso non deve essere preclusa in alcun modo la possibilità di accedere alla prestazione medica richiesta.
Anche se l’interessato ha scelto di aderire ai servizi di refertazione online, deve essergli concesso, in relazione ai singoli esami clinici a cui si sottoporrà di volta in volta, di manifestare una volontà contraria ovvero che i relativi referti non siano oggetto del servizio di refertazione online precedentemente scelto.
L’interessato ha, inoltre, la possibilità di indicare un medico al quale consegnare il referto in modalità digitale e può chiedere di essere avvisato tramite sms del fatto che il referto sia disponibile. In questo caso il messaggio inviato dovrà contenere solo la notizia della disponibilità del referto e non anche il dettaglio della tipologia degli accertamenti effettuati, del loro esito o delle credenziali di autenticazione assegnate all’interessato.
I referti che riguardano accertamenti relativi ad indagini genetiche o all´HIV non potranno essere comunicati all’interessato tramite modalità digitali.
Fin qui le precisazioni già contenute nelle Faq precedenti.
L’Autorità Garante ha peraltro ritenuto opportuno, poi, richiamare:
 Il principio che il Titolare del trattamento debba fornire agli interessati un’informativa, distinta rispetto a quella relativa al trattamento dei dati personali per finalità di cura, idonea e specifica. Detta informativa deve esporre, con un linguaggio chiaro e comprensibile, le caratteristiche del servizio di refertazione online in conformità agli artt. 13-14 del GDPR (v. ad es. i tempi di conservazione dei referti). Occorre ricordare, comunque, che anche le Linee Guida sui referti online forniscono un’indicazione in tal senso aggiungendo, peraltro, che deve essere evidenziata la facoltatività dell’adesione a tali servizi, aventi la finalità di rendere più rapidamente conoscibile all’interessato il risultato dell’esame clinico effettuato;
 l’esigenza che vengano adottate misure di sicurezza adeguate e cioè:
• specifiche misure e accorgimenti tecnici idonei ad assicurare livelli di protezione dei dati, sia in base alle Linee Guida in materia di refertazione online del Garante che in relazione al DPCM 08/08/2013 (Modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali);
• idonei sistemi di autenticazione e autorizzazione per i soggetti autorizzati, a seconda dei ruoli e delle finalità dei trattamenti e dei differenti livelli di protezione a seconda che la consultazione online dei referti avvenga tramite servizi Web, tramite posta elettronica anche certificata o supporto elettronico. Analoghe e più puntuali raccomandazioni sono contenute anche nelle Linee Guida;
• la formazione per coloro che accedono o trattano i dati dei referti online;
 la necessità di predisporre, in un’ottica di accountability, un’apposita procedura per la gestione dei data breach. La richiamata procedura consentirà di intervenire tempestivamente in caso di violazione del sistema di refertazione online e di monitorarne costantemente la sicurezza;
 la necessità che la refertazione online, con le sue specifiche caratteristiche e misure di sicurezza, venga inserita all’interno del Registro delle attività di trattamento in base all’art. 30 del GDPR;
 l’esigenza che, ove il titolare intenda implementare l’uso di nuove tecnologie per offrire su larga scala nuovi servizi digitali di refertazione, effettui, prima di procedere al trattamento, la valutazione d’impatto (cd. DPIA) secondo le regole previste dal GDPR.

Rischi connessi all’utilizzo del servizio di refertazione online

L’aggiornamento delle Faq sui referti online testimonia la costante attenzione del Garante verso tutti quegli strumenti che fanno parte della più ampia categoria della documentazione sanitaria elettronica, in cui rientrano anche il Fascicolo sanitario elettronico, il Dossier sanitario elettronico e la cartella clinica elettronica.
Non a caso le tecnologie informatiche nel mondo della sanità, e soprattutto la conservazione e la gestione in formato elettronico dei dati dei pazienti, se da un lato offrono notevoli opportunità sul piano di vantaggi clinici e operativi sostanziali, dall’altro introducono anche nuovi rischi.
Qualora i dati dei pazienti vengano violati, rubati o persi, ovvero diventino inaccessibili a causa di disastri naturali o azioni malevole verso i sistemi che li conservano e gestiscono, le conseguenze possono essere molto gravi. Secondo il rapporto Clusit 2020 il settore Healthcare ha visto crescere, nel 2019, del 17% gli attacchi gravi eseguiti prevalentemente con finalità cybercriminali, in particolare estorsioni (ransomware) e furti di dati personali, da utilizzare per compiere ulteriori attacchi (il trend appare in diminuzione nel primo semestre del corrente anno). È di settembre 2020 il caso di una clinica universitaria tedesca colpita da un attacco ransomware che ha gradatamente compromesso una trentina di server. Le operazioni chirurgiche sono state sospese quasi completamente ed una donna che doveva essere ricoverata con urgenza è stata dirottata verso una vicina città distante una trentina di chilometri. Tale ritardo non ha permesso di fornire alla donna le immediate e necessarie cure causandone la morte.
Anche le azioni dei soggetti autorizzati che intervengono nel processo di gestione dei nuovi documenti elettronici possono contribuire ad aumentare il livello di rischio laddove le misure tecniche ed organizzative, tra cui la formazione, risultino carenti.
Proprio su quest’ultimo aspetto l’Autorità Garante è più volte intervenuta rilevando anomalie nell’erogazione dei sevizi sanitari online consistenti soprattutto nella consegna di documentazione sanitaria (referti, cartelle cliniche, certificati medici) a soggetti diversi dall’interessato, tra le quali per l’appunto la consegna, da parte della struttura sanitaria, presso la quale il paziente si era recato per alcune analisi cliniche, di credenziali di accesso al servizio di ritiro dei referti online relative alla prestazione erogata in favore di un altro paziente (relazione annuale 2015).
Negli ultimi due anni le istruttorie a seguito di violazioni di dati personali effettuate da aziende e strutture sanitarie hanno rilevato che nel 70% dei casi sono nate da un’erronea comunicazione della documentazione clinica (es. referti, schede di dimissione ospedaliera, cartelle cliniche) a un soggetto diverso dall’interessato (relazione annuale 2019). In alcuni dei data breach notificati al Garante la violazione ha avuto ad oggetto il sistema di refertazione online.

Necessità di un adeguato controllo dei gestori delle piattaforme

Recentemente l’Autorità con provvedimento n.174 del 1° ottobre 2020 (doc. web n. 9469345) ha sanzionato un’università in ordine ad una violazione di dati personali relativa al servizio di consultazione on line dei referti a seguito della quale alcuni utenti avevano potuto visualizzare “dati relativi alla salute, in particolare immagini radiologiche associate a dati identificativi e referti clinici” di 74 altri utenti. L’attività istruttoria, nel caso in questione, ha accertato che l’evento era stato generato da un errore umano di configurazione nell’integrazione tra il sistema del fornitore del servizio ed il portale per i pazienti utilizzato dall’università.
Quest’ultimo provvedimento offre lo spunto per affrontare un ulteriore aspetto che, ancorché non delineato nell’ambito delle linee guida e delle Faq, assume rilevante importanza soprattutto per le strutture sanitarie che, per assicurare il servizio di consultazione dei referti, utilizzano soluzioni software di aziende informatiche specializzate. Tali soluzioni possono anche prevedere l’accesso a sistemi gestiti in cloud direttamente dal fornitore del servizio.
E’ evidente che le aziende che forniscono lo specifico servizio devono essere nominate responsabili del trattamento, con la conseguente redazione di un contratto o altro atto giuridico ex art. 28 del GDPR.
Che non si tratti soltanto di un adempimento formale è stato rimarcato in un recente provvedimento dell’Autorità Garante nei confronti di un’azienda sanitaria (n. 160 del 17 settembre 2020 – doc. web n. 9461168). In tale ambito è stato precisato, tra l’altro, che “…Il rapporto tra titolare e responsabile è regolato da un contratto o da altro atto giuridico, stipulato per iscritto che, oltre a vincolare reciprocamente le due figure, consente al titolare di impartire istruzioni al responsabile e prevede, in dettaglio, quale sia la materia disciplinata, la durata, la natura e le finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare. Il Responsabile del trattamento è, pertanto, legittimato a trattare i dati degli interessati “soltanto su istruzione documentata del titolare” (art. 28, par. 3, lett. a) del Regolamento) che è il soggetto sul quale ricadono le decisioni circa le finalità e le modalità del trattamento dei dati personali degli interessati nonché una “responsabilità generale” sui trattamenti posti in essere (v. art. 5, par. 2 c.d. “accountability” e 24 del Regolamento), anche quando questi siano effettuati da altri soggetti “per suo conto”. Spetta in primo luogo proprio al titolare del trattamento mettere in atto misure tecniche e organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al Regolamento. Dette misure devono inoltre essere riesaminate e aggiornate, qualora necessario.
Non basta, però, fornire solo istruzioni documentate al responsabile del trattamento. Nel definire l’assetto dei rapporti con quest’ultimo dovranno essere previste attività di revisione, comprese le ispezioni, realizzate dal titolare del trattamento o da un altro soggetto da questi incaricato affinché possa essere concretamente dimostrato il rispetto degli obblighi previsti dal GDPR.

Conclusioni

In conclusione il servizio di refertazione online, come gli altri documenti sanitari elettronici, presenta sicuramente concreti vantaggi, sia per l’operatività delle strutture sanitarie sia per i pazienti, ma anche dei rischi per la tutela dei dati personali trattati che, però, con l’adozione di misure tecniche ed organizzative possono essere adeguatamente mitigati.

 

Dott. Alfredo Sanfelice

Consulente privacy e antiriciclaggio, dpo

Dott. Gaetano Mastropierro

Consulente privacy e antiriciclaggio, dpo

 

Articolo pubblicato sul sito Altalex – quotidiano giuridico 

https://www.altalex.com/documents/news/2020/11/27/referti-online-faq-aggiornate-garante-privacy