Sì all'uso di defibrillatori a distanza per pazienti cardiopatici, ma nel rispetto della privacy degli interessati. Lo ha stabilito il Garante con un provvedimento di rilevanza generale con il quale ha prescritto precise e rigorose misure a protezione dei dati dei pazienti a un'Azienda ospedaliera lombarda e a una società francese produttrice di apparecchiature medicali che avevano chiesto all'Autorità di potersi avvalere di un sistema a radiofrequenza (Rfid)  per il monitoraggio remoto dei pazienti mediante defibrillatori cardiaci impiantati sotto pelle. L'uso di sistemi a radiofrequenza destinati all'impianto sottocutaneo attraverso "etichette intelligenti" solleva, infatti, questioni estremamente delicate e presenta rischi potenziali, sia per la sicurezza dei dati personali trattati, particolarmente delicati, sia sotto il profilo della salute.

Il sistema che intende adottare l'Azienda ospedaliera prevede l'inserimento nel microchip, inserito nel defibrillatore impiantato sotto la cute del paziente, di dati clinici. Tali informazioni sono trasmesse in modalità wireless ad un monitor installato in casa del paziente e dal monitor al server situato presso l'azienda ospedaliera mediante linea telefonica. Scopo del sistema è quello di consentire ai medici di monitorare costantemente via web il paziente, evitando la tradizionale visita ospedaliera, rilevare eventuali anomalie cardiache e nel caso effettuare con tempestività la defibrillazione.

L'Autorità ha ribadito che per fornire il servizio è necessario il consenso informato dei pazienti. Ma ha soprattutto stabilito che il paziente dovrà poter ottenere in modo agevole la disattivazione sia del sistema remoto sia del funzionamento dell'etichetta Rfid contenuta nel dispositivo impiantato.

Una delle criticità rilevate dal Garante riguarda il fatto che la società produttrice del sistema, designata dall'ospedale quale responsabile del trattamento, si avvale di operatori esterni in subappalto, a cui sono delegate alcune attività di manutenzione e sicurezza del sistema. Considerata la delicatezza dei dati ai quali gli operatori esterni possono avere accesso, il Garante ha disposto che la società possa avvalersi di terzi soltanto previo accordo con l'ospedale. I soggetti terzi che accedono ai dati devono essere sottoposti ai medesimi obblighi a cui è tenuta la società fornitrice come responsabile del trattamento.

Qualora i dati clinici memorizzati nel sistema vengano messi a disposizione anche di altri operatori sanitari che abbiano in cura il paziente, questi ultimi, quali titolari autonomi del trattamento, sono obbligati a raccogliere preventivamente il libero e specifico consenso del paziente.

Il Garante ha prescritto che tutte le operazioni di trattamento dei dati effettuate dall'Azienda ospedaliera, dal fornitore del servizio o dagli operatori esterni coinvolti debbano essere registrate.

Le informazioni sugli accessi devono essere fornite al paziente su sua richiesta.

L'Autorità ha inoltre prescritto rigorose misure di sicurezza a protezione dei dati sanitari: in particolare, credenziali di autenticazione del sistema remoto e strumenti di gestione delle utenze che prevedano la possibilità di effettuare controlli degli accessi con l'attivazione di sistemi di alert.
    

Fonte Garante Privacy