IRENE PUCCIONI
Cronaca

Un caso all'Asl: ‘Gravi violazioni alla privacy dei pazienti’

Troppi accessi ai dati sensibili: parla il Garante

La Asl 11 ha 4 mesi per mettersi in regola

La Asl 11 ha 4 mesi per mettersi in regola

Empoli, 27 novembre 2015 - Il dossier sanitario elettronico non deve consentire l’accesso indiscriminato ai dati del paziente. Questi devono essere accessibili solo ai professionisti sanitari che assistono il paziente in quel momento e solo per il tempo necessario alla cura. Sono principi più volte affermati che il Garante Privacy ha ribadito in un provvedimento con cui ha dettato all’Azienda sanitaria 11 di Empoli una serie di misure per sanare gravi violazioni riscontrate nella gestione degli oltre 350mila dossier sanitari, relativi a persone che si sono rivolte alla struttura.

Nel corso di alcune ispezioni sono infatti emerse irregolarità nella gestione del dossier sanitario, uno strumento che contiene informazioni sullo stato di salute dell’assistito relative a eventi clinici presenti o passati, come referti, documentazione sui ricoveri o accessi al pronto soccorso. Le irregolarità contestate all’azienda sanitaria riguardano l’informativa (carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier) e la costituzione del dossier senza il consenso del paziente. Il paziente invece deve poter scegliere consapevolmente e liberamente se far costituire o meno il dossier.

Altra irregolarità contestata riguardava l’accesso indiscriminato al sistema informatico, che permetteva a ogni medico della struttura di consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l’azienda. Come spiega il Garante Privacy nell’ultima newsletter, l’azienda sanitaria empolese dovrà adottare entro il 31 marzo 2016 gli accorgimenti anche tecnici affinché i documenti sanitari di un individuo, contenuti nel dossier sanitario, siano disponibili solo al professionista che lo ha in cura in quel momento e non siano più condivisi con gli operatori degli altri reparti. Il medico potrà consultare anche altri dossier, motivando la richiesta sulla base di una casistica predeterminata dall’azienda, mentre il personale amministrativo potrà accedere solo ai dossier e ai dati indispensabili all’assolvimento delle sue funzioni.

L’azienda, infine, dovrà modificare l’informativa sulla privacy in modo da mettere in condizione il paziente di fare scelte consapevoli sulla costituzione del dossier, sui documenti sanitari da far inserire o escludere e sui diritti che può esercitare. In un provvedimento separato il Garante valuterà se contestare all’azienda l’applicazioni di sanzioni amministrative.

L’Asl 11 conferma l’avvenuta notifica dell’esito dell’ispezione, avvenuta nello scorso mese di marzo, relativa alla gestione dei dati sanitari mediante sistemi informatici. E in una nota motiva quanto contestato dal Garante. «L’accertamento – spiega – consiste nel fatto che dal 2010 questa azienda si avvale, tra le prime in Italia, di un sistema clinico informativo ospedaliero fortemente integrato, che costituisce la base per la completa digitalizzazione delle cartelle cliniche e che consente l’archiviazione, in una sorta di “inserto informatico personale”, di eventi clinici successivi riferiti alla medesima persona. Le informazioni in esso contenute sono selezionabili esclusivamente da parte del personale abilitato in occasione dell’accesso dell’utente interessato alle strutture sanitarie aziendali (per l’effettuazione di una visita ambulatoriale o per un ricovero programmato o urgente), personale peraltro vincolato anche da segreto d’ufficio e deontologico. Fermo restando l’impegno dell’azienda ad ottemperare alle prescrizioni dettate dall’Autorità Garante, si deve rilevare la complessità dell’argomento in ragione di alcuni aspetti assistenziali che si stanno evolvendo. Il modello organizzativo adottato, dell’Ospedale per “Intensità di Cura”, si fonda infatti su un’organizzazione interspecialistica, interprofessionale, intercompartimentale, modulata, più che sul posto letto (e quindi sullo spazio), sul paziente (e quindi sulla sua gravità). Il modello dell’Ospedale per Intensità di Cura supera pertanto i vincoli strutturali e logistici dell’ospedale originariamente inteso, per affermare invece una “comunità che cura”. Esso prevede la cooperazione, nella presa in carico dei pazienti, di professionisti afferenti a discipline diverse nello stesso ambito logistico. La strategia che questa azienda – si legge ancora nella nota – ha perseguito negli ultimi anni con il processo di informatizzazione si è incentrata sulla continuità, intesa sia come integrazione tra Ospedale e Territorio, che come sommatoria degli eventi che hanno riguardato nel tempo la stessa persona, ritenendo tali informazioni fondamentali per assicurare appropriatezza e tempestività dei processi di cura. Evidentemente questa impostazione, che pure ha delle tutele di accesso, tali da escluderne l’indiscriminabilità, deve trovare coerenza normativa e approcci tecnologici in grado di contemperare esigenze altrimenti apparentemente contrapposte».