Articolo pubblicato sul numero 45 – 2017 della Rivista A&S ITALY -Tecnologie e Soluzioni per la Sicurezza Professionale.
La smaterializzazione documentale attuata negli ultimi anni ha interessto anche il settore sanitario laddove la cartella clinica elettronica (CCE) – entrata in vigore l’11 Aprile 2014 – lascia il posto al Fascicolo Sanitario Elettronico. Senza volerci addentrare nell’analisi dell’articolato processo amministrativo di c.d. “smaterializzazione” , interessa qui porre l’attenzione sull’adozione di misure di sicurezza che inevitabilmente interessano il trattamento, la gestione, l’archiviazione e soprattutto la privacy dei dati contenuti nelle cartelle stesse. Cosa accadrebbe infatti se abili hacker informatici riuscissero ad accedere ai server delle strutture sanitarie all’interno dei quali sono custodite le cartelle cliniche di migliaia di pazienti, avendo quindi accesso a dati sensibili, attinenti al bene costituzionalmente tutelato della Salute? Quali ripercussioni, in campo civilistico e penalistico, vi sarebbero in capo ai titolari del trattamento, vale a dire quei soggetti obbligati a garantirne l’inviolabilità?
Vedi articolo originale in pdf
Sappiamo che con la Circolare del Ministero della Sanità n. 61 del 19 dicembre 1986 n. 900.2/AG 464/260 : “le cartelle cliniche, unitamente ai relativi referti, vanno conservate illimitatamente poiché rappresentano un atto ufficiale indispensabile a garantire la certezza del diritto, oltre che costituire preziosa fonte documentaria per le ricerche di carattere storico sanitario”1. Affinché il fascicolo sanitario elettronico mantenga nel tempo lo stesso valore probatorio di quella cartacea, si rende necessario ed indispensabile un corretto processo di conservazione digitale. Mentre la Cartella Clinica Elettronica veniva utilizzata per la gestione organizzata e strutturata dei dati riferiti ad un paziente durante un ricovero o cura ambulatoriale, il Fascicolo Sanitario Elettronico (in vigore con decreto dal Novembre 2015) è quel fascicolo formato con riferimento a dati sanitari da diversi titolari del trattamento che contiene tutti i dati identificativi ed amministrativi dell’assistito, quali referti, verbali di pronto soccorso, lettere di dimissioni, consenso o diniego alla donazione degli organi e tessuti e cartelle cliniche.
ATTIVITÀ PERICOLOSE
Tutta l’attività di gestione e trattamento dei dati personali, con contenuti sanitari, risulta talmente delicata da rientrare nella categoria delle c.d. “attività pericolose”: un trattamento dei dati personali sanitari in violazione dei precetti normativi può spingere l’interessato (paziente) a chiedere il risarcimento dei danni subito a seguito di tale inosservanza, ai sensi dell’art. 2050 codice civile2.
Nel caso di richiesta di risarcimento danni da parte del soggetto che ritiene leso il proprio diritto alla privacy, il titolare del trattamento, se vuole evitare la condanna, deve dimostrare di avere adottato tutte le misure idonee a evitare il danno: la cosiddetta inversione dell’onere della prova. Non è dunque il danneggiato (paziente) a dover dimostrare che chi deteneva i dati (medico/struttura ospedaliera) non è stato attento, ma è quest’ultimo a dover dimostrare di aver fatto tutto il possibile per evitare il danno. Garantire la privacy di simili dati significa porre in essere non solo tutte le misure minime di sicurezza necessarie (all.B 679/13) volte ad evitarne la distruzione o la perdita (anche accidentale), ma anche negare l’accesso da parte di soggetti non autorizzati, il trattamento non consentito o non conforme alle finalità della raccolta.
Queste ovvie considerazioni appaiono di semplice e pronta attuazione nell’ambito di strutture complesse, quali ad esempio nosocomi, case di cure e ricoveri, dotati quasi tutti di veri e propri manuali contenenti le linee guida per i responsabili e gli incaricati del trattamento dei dati personali. Ma cosa accade invece nel piccolo studio medico?
I precetti normativi sono scrupolosamente adottati nella salvaguardia e nella cura della gestione dei dati?
DUE MISURE DI SICUREZZA
Il Codice in materia di trattamento dei dati personali individua due tipi di misure di sicurezza, entrambi da adottare:
- le misure minime di sicurezza – previste nell’allegato B) del Codice medesimo, denominato “Disciplinare Tecnico in materia di misure minime di sicurezza” (artt. da 33 a 36), riguardano sia i trattamenti effettuati con strumenti elettronici che quelli effettuati senza strumenti elettronici;
- le misure idonee di sicurezza (art. 31). Adottare misure idonee di sicurezza significa migliorarle – annualmente – in base al progresso della tecnologia, alla natura dei dati trattati, alle caratteristiche dei trattamenti nonché ai rischi nell’uso dei dati.
- idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilità di consultazione, modifica e integrazione dei dati);
- procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati;
- individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali;
- tracciabilità degli accessi e delle operazioni effettuate;
- sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali anomalie.
Nel caso di Fse, devono essere, poi, garantiti protocolli di comunicazione sicuri basati sull’utilizzo di standard crittografici per la comunicazione elettronica dei dati tra i diversi titolari coinvolti.
ILLECITI PENALI
Oltre alla previsione normativa di cui all’art. 2050 codice civile, è bene rammentare che il Testo Unico sulla Privacy prevede anche illeciti penali e violazioni amministrative.
Nella finalità didascalica che questa trattazione si vuole porre ci limiteremo a citarne solo alcuni, a titolo meramente esemplificativo. Nell’ambito degli illeciti penali si configura l’art. 167 del Codice Privacy, il c.d. “ trattamento illecito dei dati”: “salvo che il fatto non costituisca più grave reato, chiunque, al fine di trarne per sé o per altri profitto o di recare ad altri un danno, procede al trattamento di dati personali in violazione della normativa è punito, se dal fatto deriva nocumento, con la reclusione da sei mesi a tre anni”. Mentre all’art. 169 recita: “chiunque, essendovi tenuto, omette di adottare le misure minime previste, è punito con l’arresto sino a due anni o con l’ammenda da 10.000 a 50.000 Euro. All’autore del reato, all’atto dell’accertamento o, nei casi complessi, anche con successivo atto del Garante, è impartita una prescrizione fissando un termine per la regolarizzazione non eccedente il periodo tecnicamente necessario. (…) Nei sessanta giorni successivi allo scadere del termine, se risulta l’adempimento alla prescrizione, l’autore del reato è ammesso dal Garante a pagare una somma pari al quarto del massimo dell’ammenda stabilita per la contravvenzione. L’adempimento e il pagamento estinguono il reato”.
ESTOTE PARATI
Dalle brevi considerazioni svolte, appare quanto mai importante far sì che tutte le realtà sanitarie (piccole o grandi che siano) che trattano dati sensibili attinenti al bene salute siano consapevoli della “granata pronta ad esplodere” che hanno per le mani. Non trovarsi pronti a fronteggiare l’abilità tecnologica di soggetti privi di scrupoli, con adeguati sistemi antivirus, potrebbe nuocere gravemente sia a livello di responsabilità professionale che – ben peggio- a titolo di responsabilità penale e civile.