Archiviazione delle cartelle cliniche in un cloud

Sempre più medici intendono archiviare i dati clinici relativi ai loro pazienti in un cloud. Questa pratica comporta da una parte molti vantaggi, ma dall’altra potrebbe rilevarsi problematica per i medici, a causa dell’obbligo del segreto professionale cui sottostanno in virtù del Codice penale. In particolare, nell’esternalizzazione dell’archiviazione delle cartelle cliniche occorre garantire che i dati dei pazienti non subiscano trattamenti illegali da parte di terzi.

Secondo la legge sulla protezione dei dati, il trattamento di dati personali - e quindi la gestione delle cartelle cliniche dei pazienti - può essere affidato a terzi. Tuttavia, questo trattamento è possibile solo se non diverge da quello che il mandante stesso (ovvero il medico) è autorizzato a esercitare e se nessun obbligo legale o contrattuale di mantenere il segreto lo vieta. In virtù del Codice penale, il medico sottostà al segreto professionale per quel che riguarda la documentazione contenuta nella cartella clinica del paziente. L'obbligo legale di mantenere il segreto non può essere trasmesso a terzi, o tutt'al più può esserlo solo mediante contratto. Ne consegue che il medico è l'unico responsabile del trattamento dei dati dei pazienti.

In risposta alle richieste che ci sono pervenute, abbiamo rimandato i medici e i fornitori di servizi di cloud alle nostre «Spiegazioni sul cloud computing» al fine di sensibilizzarli a questa problematica. Come abbiamo fatto notare ai richiedenti, il medico che trasmette le cartelle cliniche dei pazienti a terzi continua a essere responsabile della tutela del segreto. Pertanto, in virtù della legge sulla protezione dei dati, egli è tenuto a garantire la sicurezza dei dati affidati a terzi, nella fattispecie al servizio di cloud. Di conseguenza, i dati dei pazienti devono essere tutelati dai trattamenti non autorizzati mediante provvedimenti tecnici e organizzativi appropriati. Il medico deve poter controllare e verificare che vengano garantite la riservatezza, la disponibilità e l'integrità dei dati.

Per questo motivo riteniamo che per un medico che esercita la propria attività in Svizzera esista un'unica soluzione: il servizio di cloud computing ed anche il cloud devono trovarsi in Svizzera e garantire contrattualmente al medico che tutti i dati dei pazienti non usciranno dalla Svizzera. I dati dei pazienti devono inoltre essere rigorosamente criptati sulla base del client; ciò significa che il medico, in qualità di titolare dei dati, è l'unica persona ad avere la chiave d'accesso ai dati contenuti nel cloud. Neanche il servizio di cloud computing è autorizzato ad avere la chiave d'accesso. A fini statistici il titolare dei dati (il medico) può divulgare i dati purché siano stati completamente anonimizzati. Riteniamo che solo adottando queste misure il medico rispetti il suo obbligo legale di mantenere il segreto e garantisca al contempo che non si verifichino trattamenti illeciti dei dati dei pazienti.

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/22--rapporto-d-attivita-2014-2015/archiviazione-delle-cartelle-cliniche-in-un-cloud.html