PROBLEMI DELLA CARTELLA CLINICA INFORMATIZZATA / Rischi

 

L’informatizzazione della cartella clinica o della scheda sanitaria non è una innovazione banale e priva di rischi.
Infatti deve essere garantita la identificazione del compilatore, la sicurezza contro le manomissioni, la tutela alle intromissioni e alla violazione della segretezza.

In caso di supporto elettronico non vanno dimenticate le difficoltà per le sottoscrizioni del paziente a determinate procedure diagnostico-terapeu- tiche specialmente nel caso in cui siano obbligatoriamente previste per legge (non esiste ancora l'obbligo per tutti alla firma digitale certificata).

In caso di mancata competenza specifica sulla sicurezza, il titolare deve avvalersi di personale competente, il quale deve rilasciare certificazione sugli interventi effettuati a garanzia della sicurezza contro manomissioni, intromissioni o violazioni della segretezza della cartella clinica o della scheda sanitaria.
In particolare, il decreto legislativo 196/2003 (Codice in materia di protezione dei dati personali) al titolo V prevede che i dati personali oggetto di trattamento siano custoditi e controllati applicando le tecniche, relative a misure e organizzazione, più sicure e aggiornate atte a ridurre al minimo i rischi di accesso non autorizzato o di trattamento non consentito e non conforme alle finalità della raccolta, nonché di distruzione o perdita, seppur accidentale. Nell’Allegato B vengono esplicitate le modalità tecniche da adottare in caso di trattamento dei dati con strumenti elettronici.

Dunque, poichè i dati personali oggetti di trattamento vanno custoditi e controllati in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione e di perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, le misure sono diverse a seconda che si tratti di archivi cartacei o informatici.

In particolare:

1)per gli archivi cartacei può essere sufficiente:

Inoltre, i dati devono essere conservati in zone dello studio non accessibili ai non autorizzati e agli autorizzati devono essere impartite istruzioni scritte per le operazioni di controllo, custodia e trattamento.

2) per i trattamenti con strumenti elettronici, invece, è utile: L'adempimento in merito al documento programmatico sulla sicurezza (Dps) interessa ora tutti coloro (soggetti privati e pubblici) che trattano dati sensibili, mentre in precedenza l'obbligo riguardava solo la gestione di dati sensibili effettuati con elaboratori accessibili mediante una rete di telecomunicazioni.

Nella Newsletter numero 286 del 26 febbraio 2007 il Garante della Privacy, per una maggior tutela per i dati sanitari nella gestione delle Cartelle cliniche elettroniche, richiama il documento di lavoro approvato dai Garanti europei in data 14 febbraio e precisamente:
  1. la necessità di rispettare il principio di autodeterminazione del paziente nell'articolazione del sistema, e quindi di prevedere spazi e momenti diversi per esprimere tale autodeterminazione (attraverso il consenso vero e proprio (opt-in) ovvero forme di dissenso (opt-out);
  2. la definizione di garanzie rispetto all'accesso da parte di operatori sanitari, del paziente e di soggetti terzi (da fissare per legge, con riguardo anche alle misure di carattere tecnico quali identificazione/autenticazione/autorizzazione). A tale proposito, il documento esclude la possibilità di consentire un accesso diretto alla cartella sanitaria elettronica da parte di soggetti privati (ad es. compagnie assicurative);
  3. l'articolazione del sistema - centralizzato,decentralizzato, misto - e possibili benefici: sul punto, il Gruppo ha sottolineato che la scelta ultima spetta al legislatore nazionale, pur indicando i possibili rischi nei singoli casi;
  4. la struttura modulare delle cartelle elettroniche per garantire la separazione fra le diverse categorie di dati rispetto alle finalità del trattamento/ai soggetti che vi accedono (si pensi ai cosiddetti dati "supersensibili": HIV, aborti terapeutici, ecc.);
  5. la necessità di prevedere misure di identificazione, autenticazione, autorizzazione per l'accesso e la comunicazione dei dati;
  6. responsabilità, civile, penale, amministrativa, dei soggetti interessati;
  7. i meccanismi di "controllo" compresi meccanismi per la risoluzione di possibili controversie (ad esempio in merito all'accesso alle cartelle);
  8. le misure di sicurezza;
  9. il trasferimento dei dati verso Paesi terzi: il sottogruppo propone il trasferimento dei dati in forma anonimizzata o pseudonimizzata, senza rivelare l'identità del paziente se non quando assolutamente necessario, ad es. in caso di consulto;
  10. gli utilizzi secondari dei dati contenuti nelle cartelle elettroniche, ad esempio, per scopi di ricerca o di altro genere, dovranno essere regolamentati specificamente a livello nazionale;
  11. la trasparenza del trattamento: è un obiettivo primario, e comporta anche l'adempimento di eventuali obblighi di notificazione all'autorità nazionale.
Ricordiamo che per tutte le apparecchiature elettriche e elettroniche è necessaria la massima affidabilità, con progettazioni specifiche e cablaggi mirati, per ovviare a eventuali interferenze con gli elettromedicali in uso e abolire le dispersioni elettriche, tenendo presente l'alta vulnerabilità dei pazienti, soggetti per lo più deboli e defedati con scarsa reattività anche ai minimi insulti, sottoposti inoltre a tanti contatti esterni diretti non protetti (fleboclisi, cateteri, sondini, placche di monitoraggio, ecc.).

Torna all'indice