Accertamento dei fatti presso il servizio dei medici di fiducia nell’ambito dell’assicurazione malattie obbligatoria

Nel corso del 2006 abbiamo proceduto a un accertamento dei fatti presso il servizio dei medici di fiducia dell'assicurazione malattia CSS che ha evidenziato lacune. Questo ci ha indotti a rivolgere sei raccomandazioni alla CSS nella primavera del 2007.

All’inizio del 2006, la stampa aveva riferito di possibili violazioni della protezione dei dati in seno alla CSS e in particolare nell’ambito del servizio dei medici di fiducia. Si affermava in sostanza che un numero spropositato di collaboratori della CSS – si parlava di circa 400 persone – avesse accesso a dati sensibili concernenti gli assicurati. Nel quadro delle nostre competenze di vigilanza, abbiamo disposto un accertamento dei fatti che ha effettivamente evidenziato lacune nella protezione dei dati in seno al servizio dei medici di fiducia della CSS. Sennonché, in assenza di una procedura standardizzata relativa al conferimento dei diritti di accesso a determinate informazioni, non è stato possibile stabilire a posteriori se anche persone non autorizzate abbiamo potuto accedere a dati sensibili del servizio in questione. Questo aspetto sarà da chiarire nell'ambito dell'azione penale promossa dall'Ufficio federale della sanità pubblica (UFSP) nel maggio 2006. Solo al termine, forse, si saprà anche se le persone aventi accesso ai dati del servizio dei medici di fiducia erano effettivamente 400.

Sulla scorta dei risultati dell’accertamento dei fatti, nella primavera del 2007 abbiamo dunque emanato sei raccomandazioni rivolte alla CSS per assicurare che il suo servizio dei medici di fiducia si adegui alle norme vigenti in materia di protezione dei dati.

La prima raccomandazione intende garantire una migliore protezione dei fascicoli dei pazienti. Questi vengono a tutt’oggi elaborati e conservati perlopiù su supporto cartaceo. Abbiamo potuto constatare che i collaboratori del servizio dei medici di fiducia operano negli stessi spazi fisici degli altri collaboratori della CSS; è pertanto impossibile effettuare un controllo sistematico delle persone che accedono ai documenti. Abbiamo raccomandato al servizio dei medici di fiducia di dotarsi di locali separati e delle necessarie infrastrutture nonché di vegliare sulla riservatezza dei dati del proprio servizio nei confronti dell’assicurazione e di terzi.

La seconda raccomandazione mira al rafforzamento dell’indipendenza del servizio dei medici di fiducia. Presso la CSS, detto servizio non interveniva esclusivamente, come prescrive la legge sull’assicurazione malattie (LaMal), nel quadro dell’assicurazione di base, bensì anche in quello delle assicurazioni complementari in qualità di servizio medico della società, ai sensi della legge sul contratto d’assicurazione (LCA). Ne scaturiva un chiaro conflitto d’interessi e, a nostro parere, l’indipendenza prescritta in ambito di assicurazione di base non era sufficientemente tutelata. Abbiamo pertanto sempre ritenuto indispensabile una rigorosa distinzione tra la figura del medico di fiducia competente per il settore LAMal e quella del medico della società preposto al settore disciplinato dalla LCA.

Anche la terza raccomandazione è intesa a rafforzare l’indipendenza del servizio dei medici di fiducia. Abbiamo quindi raccomandato che il direttore del servizio, in futuro, non debba più sottostare al responsabile del servizio Prestazioni bensì direttamente alla direzione generale.

La quarta e quinta raccomandazione si riferiscono al conferimento dei diritti di accesso al sistema elettronico di gestione delle richieste presso il servizio dei medici di fiducia. Mediante la quarta raccomandazione, abbiamo sollecitato garanzie affinché i collaboratori dei servizi amministrativi non possano avere accesso a informazioni sensibili relative agli assicurati in caso di rifiuto di una prestazione. Con la quinta raccomandazione abbiamo richiesto che i compiti e i doveri degli esperti in campo medico con accesso a dati sensibili vengano descritti il più minuziosamente possibile. Il numero delle persone con diritto di accesso ampliato deve rimanere il più possibile ridotto ed essere verificato periodicamente.

In conclusione, nella nostra sesta raccomandazione abbiamo invitato la CSS a sottoporre a audit esterno il proprio servizio dei medici di fiducia per verificare l’adeguatezza della prassi in materia di protezione dei dati. Il numero, avanzato dalla CSS, di 120 aventi diritto di accesso a dati sensibili ci sembrava troppo elevato. Il numero adeguato, tenuto conto di criteri di proporzionalità e finalità, deve sempre essere determinato in base a un’analisi approfondita e affidabile delle procedure interne. Nel corso dell’accertamento dei fatti, la CSS non è stata in grado di fornire dati precisi né sul numero effettivo né sul numero necessario di autorizzazioni d’accesso. Tale circostanza mette chiaramente in luce, a nostro parere, la necessità di ricorrere a un audit indipendente, esterno e sistematico. Abbiamo altresì difeso la tesi secondo cui un esame di questo tipo, per la complessità della materia, le possibili modifiche e l’entità del potenziale di rischio, dev’essere ripetuto a scadenze regolari.

La CSS ha prontamente accolto tutte le raccomandazioni. Come da noi suggerito, si è sottoposta a un audit esterno; ci ha addirittura informati, tramite l’invio di un rapporto, che l’audit è stato effettuato dall’Associazione Svizzera per Sistemi di Qualità e di Management (SQS). Ci sembra importante rilevare, in questo contesto, l’intenzione della CSS di sottoporsi a audit esterni a scadenze regolari. Salutiamo tale iniziativa della CSS e auspichiamo che altre imprese e istituzioni ne seguano l’esempio. A fine anno, la CSS ci ha quindi comunicato di aver attuato ciascuna delle nostre raccomandazioni.

L’accertamento dei fatti presso la CSS costituisce una svolta nella nostra collaborazione con l’UFSP. In particolare, l’indagine in corso sulla riorganizzazione del servizio dei medici di fiducia degli assicuratori malattia nel rispetto della protezione dei dati mira a far convergere, in futuro, i nostri rispettivi criteri in tema di protezione dei dati (vedi anche n. 1.6.5).

Ulteriori informazioni

Documenti

informations complémentaires

Ultima modifica 30.06.2008

Inizio pagina

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/vecchi-rapporti/15--rapporto-d-attivita-2007-2008/accertamento-dei-fatti-presso-il-servizio-dei-medici-di-fiducia-.html