SPEDIZIONE DELLE RICETTE
Con riferimento all’utilizzo dei servizi di short message service (sms) sul dispositivo indicato dall’interessato, è stato rappresentata la necessità che, attraverso tale modalità, sia inviato il solo numero di ricetta elettronica (NRE) e non anche le altre informazioni di dettaglio contenute nel promemoria.
Scenario 2 – spedizione del referto tramite posta elettronica.
Qualora il titolare del trattamento intenda inviare copia del referto alla casella di posta elettronica dell´interessato, a
seguito di sua richiesta, per il referto prodotto in formato digitale devono essere osservate le seguenti cautele:
1. spedizione del referto in forma di allegato a un messaggio e-mail e non come testo compreso nella body part del messaggio;
2. il file contenente il referto dovrà essere protetto con modalità idonee a impedire l´illecita o fortuita acquisizione delle informazioni
trasmesse da parte di soggetti diversi da quello cui sono destinati, che potranno consistere in una password per l´apertura del file o
in una chiave crittografica rese note agli interessati tramite canali di comunicazione differenti da quelli utilizzati per la spedizione dei
referti (Cfr. regola 24 del Disciplinare tecnico allegato B) al Codice). Tale cautela può non essere osservata qualora l´interessato ne
faccia espressa e consapevole richiesta, in quanto l´invio del referto alla casella di posta elettronica indicata dall´interessato non
configura un trasferimento di dati sanitari tra diversi titolari del trattamento, bensì una comunicazione di dati tra la struttura sanitaria
e l´interessato effettuata su specifica richiesta di quest´ultimo;
3. convalida degli indirizzi e-mail tramite apposita procedura di verifica on-line, in modo da evitare la spedizione di documenti
elettronici, pur protetti con tecniche di cifratura, verso soggetti diversi dall´utente richiedente il servizio.
In ogni caso, per il trattamento dei dati nell´ambito dell´erogazione del servizio on-line agli utenti deve essere garantita la
disponibilità di:
1. idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e
trattamento (ad es., in relazione alla possibilità di consultazione, modifica e integrazione dei dati), prevedendo il ricorso alla strong
authentication con utilizzo di caratteristiche biometriche nel caso del trattamento di dati idonei a rivelare l´identità genetica di un
individuo;
2. separazione fisica o logica dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali trattati per scopi
amministrativo-contabili.
Il titolare del trattamento deve, inoltre, prevedere apposite procedure che rendano immediatamente non disponibili per la
consultazione on-line o interrompano la procedura di spedizione per posta elettronica dei referti relativi a un interessato che abbia
comunicato il furto o lo smarrimento delle proprie credenziali di autenticazione all´accesso al sistema di consultazione on-line o
altre condizioni di possibile rischio per la riservatezza dei propri dati personali.
In ogni caso devono essere adottate tutte le misure di sicurezza necessarie per rispettare il divieto di diffusione dei dati sanitari
prescritto dal Codice (artt. 22, comma 8 e 26, comma 5).
