INVIO REFERTI DIGITALI VIA MAIL: FACCIAMO CHIAREZZA
E' possibile inviare i referti in formato digitale senza che si rischi la violazione della privacy?
Trattasi di un episodio realmente accaduto e che di sovente vede coinvolti spesso i professionisti sanitari per i quali ciò rappresenta un vero e proprio "impasse" giuridico, la domanda che il professionista in questi casi si pone, in assenza nei "policy aziendali" è, posso inviare il referto all'utente senza che violi normative o regolamenti? del resto gli sto facendo un favore e gli evito di perdere un giorno di ferie o di fare ore di fila in automobile.
Infatti, molto spesso l'utente medio, ancorché non più giovane, chiede insistentemente agli operatori della sanità se è possibile inviargli i referti che lo riguardano per mezzo mail, un canale sicuramente smart e snello e che impedisce all'utente di dover tornare fisicamente nell'ambulatorio a ritirarlo in modalità cartacea dopo aver atteso magari anche un mese, con tutto quello che comporta poi il dover sprecare un ulteriore giorno di ferie o di permesso per il ritiro.
Questo problema poi, si pone soprattutto per quei referti che contengono dati particolarmente rilevanti come ad esempio referti anatomia patologica, esiti di biopsie ed asportazioni.
COSA DICE LA NORMATIVA IN MERITO
Sul punto, esiste già una norma ad hoc appositamente emanata la fine di consentire alle aziende sanitarie pubbliche e private, ed è il Decreto della Presidenza del Consiglio 8 dell'agosto 2013, "Modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione del pagamento online delle prestazioni erogate, ai sensi dell'articolo 6, comma 2, lettera d) , numeri 1) e 2) del decreto-legge 13 maggio 2011, n.70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106, recante «Semestre europeo - prime disposizioni urgenti per l'economia».
Il decreto in questione, non mira solo a normare le modalità di invio dei referti clinici, ma nell'ottica di una pubblica amministrazione sempre più vicino al cittadino, anche la modalità di pagamento online o con QR code delle prestazioni sanitarie da effettuare.
Un passo avanti significativo verso la digitalizzazione completa della pubblica amministrazione.
Ora, tralasciando la parte del decreto che interessa i pagamenti online, della quale si dovrebbe occupare un collega esperto tributarista, ci soffermeremo più in dettaglio solo sulla parte della norma che riguarda la modalità ed il rispetto di alcuni requisiti specifici al fine di invio del referto in modalità digitale.
La norma, dopo aver dato delle definizioni precise e puntuali sul significato di termini oramai divenuti di "uso comune" nella società digitalizzata di oggi, come "referto medico, referto digitale, reperto digitale, copia informatica del referto digitale, copia cartacea del referto, interessato, titolare del trattamento dei dati, firma digitale, firma elettronica qualificata, firma elettronica avanzata, PEC, domicilio digitale, autenticazione forte, PaDes ed altro ancora" ma ancora non ben compresi purtroppo da tutti, neanche dagli operatori del settore - intendendo con questi avvocati e professionisti sanitari - che spesso fanno una gran confusione tra i termini, entra finalmente nel vivo della questione all'art. 3, rubricato come "Consegna del referto in modalità digitale" indicando alle aziende sanitarie quali comportamenti e quali mezzi adottare per l'invio "legale" dei referti all'utente.
L'invio può avvenire attraverso varie modalità, definite nello stesso articolo come "modalità digitali di consegna" tra le quali abbiamo
a) l'inserimento nel fascicolo elettronico
b) la consegna tramite web
c) la consegna tramite posta elettronica
d) la consegna tramite posta elettronica certificata PEC
e) la consegna tramite supporto elettronico (il famoso dischetto cd.)
Tutte le modalità su elencate devono essere ovviamente accettate dall'utente previo esplicito consenso, il tutto, non esclude ovviamente la vecchia modalità di consegna a mano del referto cartaceo all'utente, previa identificazione per mezzo di un documento valido.
Al successivo art. 6 poi, si menzionano i requisiti di sicurezza aziendali che devono necessariamente rispettare la normativa sulla privacy dell'utente e per questo, analizzeremo il provvedimento del garante della privacy sul tema, ma prima vediamo il "casus belli"
IL CASO
L'episodio preso come spunto dal Garante della Protezione dei Dati Personali per emanare il provvedimento, riguarda una signora che recatasi con le due figlie minorenni per esami di sangue presso una struttura sanitaria privata, acconsentiva poi all'invio dei relativi referti via email, senza l'utilizzo di password.
Qualche giorno più tardi la stessa signora riceveva quindi una email con il referto, ma relativo solo ad una sola delle due bambine, contattava quindi telefonicamente la struttura e l'operatore dopo una verifica preliminare, nel corso della medesima chiamata, procedeva all'invio del referto mancante via email. Sempre nella medesima giornata la signora richiamava l'operatore lamentando il fatto di non aver ricevuto il referto.
L'operatore ricontrollando in tempo reale la posta si rendeva conto di aver inviato il referto ad un indirizzo e-mail sbagliato facendolo presente subito alla signora e contattando immediatamente l'intestatario della mail errata, segnalando e chiedendone la cancellazione. Solo a seguito dell'episodio, la struttura sanitaria decideva di adottare una serie di azioni di mitigazione del rischio di diffusione dei dati sensibili dei pazienti, nello specifico:
– procede ad incontri di formazione ed istruzione specifica dei propri incaricati, con richiamo ad una maggiore attenzione
– adotta un sistema di accesso alla refertazione online sicuro, mediante password o codice criptato.
Sebbene l'operatore avesse nell'immediato rimediato all'errore, la signora presentava comunque un reclamo al Garante Privacy.
IL PROVVEDIMENTO DEL GARANTE
Tenendo bene a mente quali sono i principi base in materia di privacy e trattamento dei dati sensibili, il responsabile del trattamento, in questo caso l'operatore, ovvero, la stessa struttura, sono tenuti a rispettare il principio di "integrità e riservatezza" dei dati, secondo il quale i dati personali dei pazienti devono essere
"trattati in maniera da garantire un'adeguata sicurezza (…), compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali" (art. 5, par. 1, lett. f) del Regolamento).
Infine, il titolare del trattamento è tenuto ad adottare le misure tecniche e organizzative adeguate – considerati sia il cd. "stato dell'arte" sia i costi di attuazione a garantire un livello di sicurezza dei dati appropriato rispetto ai rischi cui sono esposti, in particolare i rischi di distruzione, perdita, modifica, divulgazione non autorizzata, accesso accidentale o illegale.
QUALI SONO QUINDI LE REGOLE PER L'INVIO DI UNA MAIL CONTENENTE UN REFERTO
Il Garante a tal proposito ha emanato delle linee guida nel novembre 2019 applicabili a tutti i contesti sanitari pubblici e privati e che consentono una adeguata modalità di invio senza incorrere in inutili rischi. In particolare, nel suddetto provvedimento viene precisato che, qualora il titolare del trattamento intenda inviare copia del referto alla casella di posta elettronica dell'interessato, cosa che capita spessissimo a seguito di richiesta degli utenti, al referto così prodotto in formato digitale, devono essere osservate le seguenti cautele:
1. spedizione del referto in forma di allegato a un messaggio e-mail, e non come testo inserito nel corpo del messaggio.
2. il file contenente il referto dovrà essere protetto con modalità idonee per impedire l'illecita o fortuita acquisizione delle informazioni trasmesse da parte di soggetti diversi da quello cui sono destinati (password per l'apertura del file o chiave crittografica) rese note agli interessati tramite diversi canali di comunicazione da quelli utilizzati per la spedizione dei referti (tale cautela, può essere disattesa qualora l'interessato ne faccia espressa e consapevole richiesta attraverso lo stesso mezzo).
3. Convalida degli indirizzi e-mail tramite apposita procedura di verifica on-line, in modo da evitare la spedizione di documenti elettronici, pur protetti con tecniche di cifratura, verso soggetti diversi dall'utente richiedente il servizio.
Un vademecum abbastanza esaustivo che tenta di limitare il più possibile la divulgazione di dati sensibili a terzi.
Nel caso in esame però, sebbene ci sia stata da parte dell'operatore una tempestiva presa d'atto ed una azione diretta con la richiesta di cancellazione dei dati non di pertinenza dell'intestatario errato della mail, il Garante ha comunque provveduto a sanzionare l'azienda ritenendola responsabile per la mancanza dei requisiti di legge previsti nel caso di invio di referti in formato digitale e, tra i questi a) una password da applicare all'allegato inviato per mezzo mail b) un consenso scritto degli interessati all'invio in formato .pdf del referto, anche senza la fornitura di una password o un sistema di crittografia da inserire dall'utente ricevente ed inviato attraverso canali diversi.
A ciò, aggiungerei che sarebbe bastato utilizzare un indirizzo mail certificato (PEC) nei casi nei quali ci sia un indirizzo digitale, a garantire quindi all'operatore che il destinatario così identificato corrispondesse in realtà al richiedente.
Tali mancanze, sono state ritenute dal garante sufficienti a che l'azienda venisse sanzionata con bene 7.000,00 euro "...per aver mancato di ottemperare agli obblighi di adozione delle misure tecniche e organizzative idonee a garantire il livello di sicurezza adeguato ai rischi presentati dal trattamento".
Autore: Carlo Pisaniello