Oltre un milione di dossier sanitari costituiti senza il consenso informato del paziente e liberamente consultabili da più di mille operatori sanitari tramite il sistema informatico di archiviazione e refertazione delle prestazioni sanitarie.
Per queste gravi violazioni, il Garante privacy ha prescritto all’Azienda ospedaliero universitaria S. Orsola Malpighi di Bologna una serie di misure per mettersi in regola con le norme sulla protezione di dati sanitari. In seguito alle segnalazioni di alcuni pazienti, il Garante ha potuto appurare che agli operatori sanitari del S. Orsola bastava inserire anche solo porzioni di nome e cognome, date di nascita, o Cap di residenza per accedere alla informazioni sui pazienti tramite il sistema informatico di archiviazione e refertazione delle prestazioni sanitarie.
Una situazione del tutto in contrasto sia con il Codice privacy sia con le Linee guida del Garante che fin dal 2009 stabiliscono regole chiare in materia di dossier sanitario: al paziente deve essere consentito di scegliere in piena libertà se far costituire o meno un dossier sanitario con tutte o solo con alcune delle informazioni sanitarie che riguardano lo stesso; deve poter manifestare un consenso autonomo e specifico, distinto da quello che presta a fini di cura; gli deve essere inoltre garantita la possibilità di “oscurare” la visibilità di alcuni eventi clinici.
Il paziente, inoltre, deve essere adeguatamente informato: con un linguaggio comprensibile e dettagliato, l’informativa deve indicare chi ha accesso ai suoi dati e che tipo di operazioni può compiere.
Il Garante ha dunque prescritto all’Azienda sanitaria che, fin quando il paziente non avrà espresso il consenso alla costituzione del dossier, i dati relativi alle prestazioni sanitarie erogate dall’Azienda siano resi disponibili solo al medico e al reparto che lo ha in cura.
L’Azienda, inoltre, dovrà acquisire consensi ad hoc del paziente sia per far confluire nel dossier sanitario le informazioni relative a eventi clinici pregressi, sia per inserire quelle relative alle prestazioni erogate a seguito di atti di violenza o di pedofilia, sieropositività, uso di sostanze stupefacenti, interruzione di gravidanza. L’Azienda, infine, dovrà garantire al paziente la possibilità di oscurare eventi clinici, presenti nel dossier, che desidera non siano immediatamente visibili.
Il provvedimento del Garante è stato inviato alla Regione Emilia Romagna affinché lo renda noto alle altre aziende del servizio sanitario regionale.
