Un referto consegnato in formato cartaceo o una immagine diagnostica consegnata su dispositivo al diretto interessato deve avvenire in busta sigillata, la refertazione on line è invece più vulnerabile e a rischio privacy se non attivate le corrette misure di sicurezza, con questo articolo desideriamo fare chiarezza in merito. Con il termine "referto online" si intende la possibilità di accedere al referto tramite modalità digitali.

La struttura sanitaria deve adottare protocolli di comunicazione sicuri (https) e sistemi di autenticazione forte dell’interessato (strong authentication). Deve inoltre rendere disponibile il referto online sul proprio sito web per un massimo di 45 gg. e garantire all’utente la possibilità di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.

Il referto dovrà essere spedito in allegato a un messaggio e-mail e non come testo compreso nel corpo del messaggio. Il file contenente il referto dovrà essere protetto, ad es. con una password, ma esistendo un rischio di intercettazione, è preferibile applicare la crittografia, in quanto una password può essere comunque decifrata per quanto complessa, è solo questione di tempo.

L'interessato, in questo caso il paziente, deve sempre ricevere l'informativa dal Titolare del trattamento, ossia dalla struttura ospedaliera/casa di cura/poliambulatorio pubblico o privato, tale informativa deve essere però distinta rispetto a quella relativa al trattamento di dati personali che verrà ricevuta per finalità di cura, dovrà essere un'informativa specifica e scritta in linguaggio chiaro e comprensibile, descrivente le caratteristiche del servizio di refertazione on line in conformità alle disposizioni degli arti. 13 e 14 del GDPR. La manifestazione del consenso deve essere prevista: il DPCM dell'8 Agosto 2013 ha previsto infatti che l'interessato debba esprimere, un consenso esplicito, libero, specifico e informato alla refertazione on line e l'eventuale mancato consenso non deve in alcun modo precludere la possibilità di accedere alla prestazione medica richiesta.

Tale consenso invece non è più necessario, pertanto non va richiesto dal titolare del trattamento (struttura sanitaria) all'interessato (paziente), per l'erogazione della prestazione sanitaria, come chiarito dal Garante nel provvedimento del 7 marzo 2019.

Il consenso che il paziente ha concesso alla refezione on line può essere successivamente negato, infatti in relazione ai singoli esami clinici a cui si sottoporrà si volta in volta, potrà manifestare volontà contraria. 

L'interessato può scegliere di indicare un medico al quale consegnare il refero in modalità digitale.

Laddove l'interessato desideri essere avvisato tramite sms del fatto che il referto è disponibile, questo sarà possibile, ma l'sms dovrà solo informare circa la disponibilità del referto e non contenere informazioni relativi a patologia, accertamenti effettuati, esito o credenziali di autenticazione assegnate all'interessato.

Accertamenti relativi a indagini genetiche o all'HIV non possono in nessun caso essere comunicati attraverso modalità digitali.

 E’ necessario adottare specifiche misure e accorgimenti tecnici al fine di assicurare idonei livelli di protezione dei dati sia in base alle Linee Guida in materia di refertazione online del Garante che al DPCM 08/08/2013.

E’ necessario prevedere idonei sistemi di autenticazione e autorizzazione per i soggetti autorizzati a seconda dei ruoli e delle finalità dei trattamenti.

E’ necessario definire differenti livelli di protezione a seconda che la consultazione online dei referti avvenga tramite servizi Web, tramite posta elettronica anche certificata o supporto elettronico. Chiunque abbia accesso o tratti i dati dei referti online deve essere opportunamente formato.

E' necessario predisporre un’apposita procedura per la gestione dei data breach, che consenta di intervenire tempestivamente in caso di violazione del sistema di refertazione online e di monitorarne costantemente la sicurezza.

inoltre la refertazione online, con le sue specifiche caratteristiche e misure di sicurezza, deve essere inserita all’interno del Registro delle attività di trattamento in base all’art. 30 del GDPR ed effettuare la DPIA (valutazione di impatto) quando il trattamento avviene in larga scala.