Il Garante chiude consultazione pubblica su servizio di refertazione online

Posted: under diritto delle nuove tecnologie, privacy, progetti di sicurezza organizzativa.
Tags: , , , , , , , , , , , , ,

 

 

 

Il Garante in data 15 luglio 2009 ha avviato la consultazione pubblica sul provvedimento a carattere generale sulla refertazione online.  Il provvedimento titolato linee guida in tema di referti online affronta molte delle problematiche organizzative e tecniche, indicando tutti i requisiti normativi per garantire la protezione dei durante tutto il ciclo di vita delle informazioni sanitarie, dalla fase di raccolta che deve essere preceduta dall’informativa, agli aspetti del consenso, alla archiviazione e comunicazione dei referti, quest’ultimo era stato uno degli aspetti che avevano portato ad un interpretazione diffusamente restrittiva e quindi in un certo modo “tecnofobica” del Codice della Privacy. Infatti, si riteneva erroneamente da parte di diverse strutture sanitarie e società di consulenza (soprattutto in realtà poco informate su progetti realizzati sul territorio nazionale) che il Codice della Privacy non consentisse una comunicazione (e gestione) dei dati sanitari contenuti nei referti tramite un sistema informatico (Art. 84 del Codice), ora anche questo aspetto è stato chiarito e a chiusura della consultazione si può immaginare che ci sarà una diffusione forte di soluzioni informatiche a questo riguardo. Alla luce di questi brevi rilievi, ci si augura che come è avvenuto nel recente passato si faccia una lettura attenta e specialistica del provvedimento del Garante e del Codice della Privacy per non incorrere in soluzioni poco compliance.Oltre a quanto stabilito dal disciplinare tecnico (Allegato B) regole 19.8 e 24, viene prescritta la separazione dei dati identificativi dai dati sanitari e l’utilizzazione delle tecniche di criptazione per la trasmissione dei dati genetici.

Si stabilisce inoltre un nuovo quadro di adempimenti a seconda che il sevizio dei refertazione online avvenga nella forma accesso tramite servizi web accessibili da Internet oppure spedizione del referto tramite posta elettronica. Nel caso consultazione tramite internet si devono utilizzare protocolli criptografici (SSL - Secure Socket Layer), sistemi idonei ad evitare la memorizzazione intermedia in sistemi di caching, locali o centralizzati, sistemi di autenticazione idonei (preferibilmente strong authetication), la disponibilità dei referti per massimo 30 gg., la possibilità da parte dell’utente di cancellare i referti in modo che non siano visibili a richiesta.

Nel caso di spedizione del referto, la spedizione deve innanzitutto avvenire con il referto inserito nell’allegato e non come body part del messaggio, la protezione del file spedito deve avvenire tramite password o protocollo di criptazione in modo da garantire la riservatezza del referto, devono essere implementare procedure di convalida delle email utilizzare per la spedizione. Si prevede poi un insieme di adempimenti per l’accesso ai referti da parte degli incaricati al trattamento, sistemi di autenticazione, sistemi di autorizzazione, separazione dei dati sensibili dagli identificativi e contabili-amministrativi.

Si riporta il link con il provvedimento del Garante: provv-garante-referti-online2

 

Si riporta anche il provvedimento definitivo di pubblicato in Gazzetta Ufficiale l’11 dicembre 2009:

http://www.garanteprivacy.it/garante/doc.jsp?ID=1679033

 

 

 

Comments (0) Dic 22 2009