La diffusione, soprattutto nel settore sanitario privato, di alcuni servizi on line rivolti ai pazienti è stata oggetto di una specifica regolamentazione da parte del Garante per la protezione dei dati personali, il quale nel provvedimento del 25 giugno 2009 ha dettato le regole per la c.d. “refertazione on line”. Quest’ultima consiste nella possibilità di accedere al proprio referto attraverso modalità e strumenti informatici, nonché nella facoltà di rendere disponibile il documento sanitario al medico di medicina generale o al pediatra di libera scelta (MMG/PLS).
Il paziente può visualizzare il referto mediante la ricezione dello stesso all’indirizzo di posta elettronica precedentemente fornito alla struttura erogatrice del servizio, oppure tramite il download del documento dall’area riservata del sito internet del Titolare, ovvero il laboratorio. In quest’ultima ipotesi l’assistito può anche essere avvisato della disponibilità del referto con l’invio di un SMS sul proprio telefono cellulare.
Il Garante per la protezione dei dati personali, nel citato provvedimento, sottolinea come il servizio debba considerarsi facoltativo e che pertanto non possa sostituire il ritiro del referto cartaceo: l’interessato può scegliere liberamente di avvalersene o meno e deve, a tal proposito, ricevere un’apposita informativa, ex art. 13 del D.Lgs. 196/2003 (Codice privacy), che definisca le finalità e le modalità di trattamento dei suoi dati personali e sensibili. Il Titolare, inoltre, deve acquisire il consenso scritto del paziente.
Con particolare riferimento ai due citati adempimenti, l’Autorità garante evidenzia alcune regole indefettibili alle quali ciascun ente, pubblico o privato che sia, è tenuto a conformarsi.
Per quanto riguarda l’informativa ex art. 13, la struttura sanitaria deve indicare in modo puntuale e con linguaggio semplice le caratteristiche del servizio di refertazione on line, la cui adesione è facoltativa, la finalità dello stesso, le modalità mediante le quali il Titolare tratterà i dati così raccolti, nonché gli strumenti attraverso i quali poter esercitare i diritti di cui all’art. 7 del citato Decreto. Dopo aver reso l’informativa, la struttura deve acquisire il consenso autonomo e specifico dell’interessato, relativo al trattamento dei suoi dati personali e sensibili tramite la suddetta modalità di refertazione.
Al fine di garantire la piena comprensione da parte del paziente delle prerogative di questo tipo di trattamento, il Titolare deve prevedere appositi eventi formativi per gli incaricati ed i responsabili, ovvero per tutti quei dipendenti che vengono in qualsiasi modo a contatto con le informazioni personali degli assistiti, ed aventi ad oggetto gli aspetti più rilevanti della disciplina sulla protezione dei dati personali. Ciò con lo scopo di fornire a questi ultimi ogni spiegazione utile sul trattamento, anche e soprattutto in considerazione della delicatezza dell’oggetto dello stesso, costituito dai dati relativi alla salute ed alla vita sessuale del paziente, espressamente annoverati dal Codice privacy tra quelli sensibili.