Il dossier sanitario elettronico non deve consentire l’accesso indiscriminato ai dati del paziente. Questi devono essere accessibili solo ai professionisti sanitari che assistono il paziente in quel momento e solo per il tempo necessario alla cura. Sono principi più volte affermati che il Garante Privacy ha ribadito in un provvedimento con cui ha dettato all’Azienda Usl 11 di Empoli una serie di misure per sanare gravi violazioni riscontrate nella gestione degli oltre 350 mila dossier sanitari, relativi a persone che si sono rivolte alla struttura.
Nel corso di alcune ispezioni sono infatti emerse irregolarità nella gestione del dossier sanitario, uno strumento che contiene informazioni sullo stato di salute dell’assistito relative a eventi clinici presenti o passati, come referti, documentazione sui ricoveri o accessi al pronto soccorso. Le irregolarità contestata all’azienda sanitaria in questione riguardano l’informativa (carente e priva degli elementi essenziali per consentire una scelta consapevole sulla costituzione o meno del dossier) e la costituzione del dossier senza il consenso del paziente, acquisito solo a partire dal 2015, cinque anni dopo l’introduzione del documento elettronico nell’Azienda. Il paziente invece deve poter scegliere consapevolmente e liberamente se far costituire o meno il dossier.
Altra irregolarità contestata riguardava l’accesso indiscriminato al sistema informatico, che permetteva a ogni medico della struttura di consultare i referti sia dei propri pazienti sia di qualsiasi altra persona che avesse effettuato un esame clinico presso l’Azienda. Come spiega il Garante Privacy, l’Azienda dovrà adottare entro il 31 marzo 2016 gli accorgimenti anche tecnici affinché i documenti sanitari di un individuo, contenuti nel dossier sanitario, siano disponibili solo al professionista che lo ha in cura in quel momento e non siano più condivisi con gli operatori degli altri reparti. Il medico potrà consultare anche altri dossier, motivando la richiesta sulla base di una casistica predeterminata dall’Azienda, mentre il personale amministrativo potrà accedere solo ai dossier e ai dati indispensabili all’assolvimento delle sue funzioni. L’Azienda, infine, dovrà modificare l’informativa sulla privacy in modo da mettere in condizione il paziente di fare scelte consapevoli sulla costituzione del dossier, sui documenti sanitari da far inserire o escludere e sui diritti che può esercitare. In un provvedimento separato il Garante valuterà se contestare all’azienda l’applicazioni di sanzioni amministrative.