PRIVACY. Garanti Ue fissano linee guida per la cartella clinica elettronica

Presto ogni Paese europeo avrà un sistema nazionale di sanità elettronica. Ma l’obiettivo deve essere realizzato nel rispetto della protezione dei dati personali. A tale proposito i Garanti europei hanno elaborato un documento di lavoro che fissa i i requisiti di legge e i parametri applicativi per la strutturazione e la gestione delle "cartelle cliniche elettroniche". Sul documento sarà aperta una consultazione pubblica per sollecitare contributi e commenti.

Il documento è composto da due parti. Nella prima sezione, a carattere generale, sono indicate le premesse per l’istituzione di un sistema nazionale di cartelle sanitarie elettroniche (EHR, Electronic Health Records); nella seconda sezione, più specifica, si provvede all’individuazione delle garanzie per la protezione dei dati. La prima parte contiene un’analisi approfondita dei requisiti previsti dalla direttiva europea sulla protezione dei dati (95/46/CE) per il trattamento dei dati sanitari. I Garanti ritengono che il fondamento per l’istituzione di un sistema di cartelle cliniche elettroniche, – centralizzato, decentralizzato o misto – sia offerto dall’articolo 8(4) della direttiva, che consente agli Stati membri di trattare i dati sensibili senza il consenso della persona, purché questo avvenga per motivi di "interesse pubblico rilevante" e siano fissate misure legislative che tutelino i principi di protezione dei dati. Ciò non significa che sia precluso agli Stati di fondare sistemi di sanità elettronica su altri presupposti giuridici.

La seconda parte del documento di lavoro approfondisce gli aspetti di garanzia della riservatezza tra cui:
– la necessità di rispettare il principio di autodeterminazione del paziente nell’articolazione del sistema, e quindi di prevedere spazi e momenti diversi per esprimere tale autodeterminazione (attraverso il consenso vero e proprio (opt-in) ovvero forme di dissenso (opt-out);
– la definizione di garanzie rispetto all’accesso da parte di operatori sanitari, del paziente e di soggetti terzi (da fissare per legge, con riguardo anche alle misure di carattere tecnico quali identificazione/autenticazione/autorizzazione). A tale proposito, il documento esclude la possibilità di consentire un accesso diretto alla cartella sanitaria elettronica da parte di soggetti privati (ad es. compagnie assicurative);
– l’articolazione del sistema – centralizzato,decentralizzato, misto – e possibili benefici: sul punto, il Gruppo ha sottolineato che la scelta ultima spetta al legislatore nazionale, pur indicando i possibili rischi nei singoli casi;
– la struttura modulare delle cartelle elettroniche per garantire la separazione fra le diverse categorie di dati rispetto alle finalità del trattamento/ai soggetti che vi accedono (si pensi ai cosiddetti dati "supersensibili": HIV, aborti terapeutici, ecc.);
– la necessità di prevedere misure di identificazione, autenticazione, autorizzazione per l’accesso e la comunicazione dei dati;
– responsabilità, civile, penale, amministrativa, dei soggetti interessati;
– i meccanismi di "controllo" compresi meccanismi per la risoluzione di possibili controversie (ad esempio in merito all’accesso alle cartelle);
– le misure di sicurezza;
– il trasferimento dei dati verso Paesi terzi: il sottogruppo propone il trasferimento dei dati in forma anonimizzata o pseudonimizzata, senza rivelare l’identità del paziente se non quando assolutamente necessario, ad es. in caso di consulto;
– gli utilizzi secondari dei dati contenuti nelle cartelle elettroniche, ad esempio, per scopi di ricerca o di altro genere, dovranno essere regolamentati specificamente a livello nazionale; la trasparenza del trattamento: è un obiettivo primario, e comporta anche l’adempimento di eventuali obblighi di notificazione all’autorità nazionale.

 

Comments are closed.