Agostino Ghiglia
La digitalizzazione dei dati sanitari aumenta i rischi di violazione e diffusione. C’è già una casistica di sanzioni comminate dal Garante della privacy. Il consenso per i dati finalizzati alla cura richiesta dal paziente non serve, nemmeno ai liberi professionisti
Il rapporto tra il diritto alla privacy di chi fruisce dei servizi sanitari pubblici e la necessità degli operatori sanitari di disporre di tutti i dati utili a svolgere nel migliore dei modi la propria attività di cura è sempre stato particolarmente problematico e oggetto di un bilanciamento molto delicato soprattutto in questi ultimi anni, caratterizzati da un incalzante sviluppo tecnologico che se da un lato ha consentito un trattamento più efficace, dall’altro li ha esposti a maggiori rischi di violazione.
Abbiamo fatto il punto con Agostino Ghiglia, componente del Garante per la protezione dei dati personali.
Dottor Ghiglia, quali sono state le difficoltà da parte delle strutture sanitarie nel garantire la riservatezza dei dati nell’ambito dei nuovi strumenti come dossier sanitario, fascicolo sanitario elettronico e referti online?
Negli anni sono state riscontrate numerose difficoltà da parte delle strutture; difficoltà non ancora superate viste le quotidiane segnalazioni di data breach, soprattutto a seguito delle novità introdotte dall’entrata in vigore del Regolamento generale Ue sulla protezione dei dati 2016/679 (Gdpr).
Al riguardo il Garante ha chiarito che, diversamente da quanto avveniva prima del Gdpr, non è più necessario che il professionista sanitario, soggetto al segreto professionale, richieda il consenso del paziente per il trattamento di dati finalizzati alla prestazione di cura richiesta, non rilevando neppure la circostanza che egli eserciti in qualità di libero professionista o all’interno di una struttura sanitaria pubblica o privata.
I trattamenti non strettamente necessari alla finalità di cura dovranno invece basarsi su altre basi di liceità e quindi, verosimilmente, sul consenso.
A livello di disciplina di diritto interno, il decreto legislativo nr. 101 del 10 agosto 2018, si è uniformato all’impostazione del Regolamento Ue superando, anche con riferimento ai dati relativi alla salute, la centralità del consenso.
I professionisti, il personale amministrativo e gli stessi pazienti sono consapevoli dei loro diritti e obblighi relativamente ai documenti in formato elettronico?
C’è ancora molto da lavorare sulla cultura della protezione dei dati e sul bilanciamento tra diritti costituzionalmente garantiti.
Nel mondo sanitario, infatti, l’evoluzione tecnologica e lo sviluppo dell’intelligenza artificiale hanno consentito nuove possibilità di interoperatività in tempo reale tra operatori specializzati nonché piena conoscenza di ogni aspetto clinicamente rilevante del paziente. Entrambe fino a poco tempo fa del tutto precluse, oggi sono possibili grazie alla velocità di comunicazione dei dati, messi a disposizione dell’intera comunità sanitaria.
È quindi sotto gli occhi di tutti il contributo che le nuove tecnologie sono in grado di apportare in campo medico ed è affascinante il pensiero di orizzonti sempre più ambiziosi. Tuttavia, come del resto accade anche in altri ambiti, le novità debbono essere inserite in un preesistente tessuto di diritti costituzionalmente riconosciuti, base ineludibile a tutela della libertà oltreché della riservatezza dei cittadini.
I professionisti, il personale amministrativo e gli stessi pazienti stanno lentamente maturando una maggiore consapevolezza in materia di privacy, sono più attenti ad alcuni aspetti prima trascurati e si preoccupano di avere nella tecnologia – ovviamente riferita al trattamento dei loro dati personali – un alleato piuttosto che un avversario.
Certo, con i nuovi strumenti tecnologici e le nuove modalità di rendere una prestazione medica, di refertarla, di archiviarla, aumentano anche i rischi per il trattamento dei dati sanitari; sarà compito del titolare del trattamento limitarli e fare in modo che il trattamento dei dati sanitari avvenga nel rispetto della privacy dell’interessato tramite una protezione a monte dei dati stessi (privacy by design).
Si possono segnalare violazioni o episodi che hanno portato a sanzioni?
Sì, ci sono molte violazioni o episodi che sono stati e sono oggetto di reclamo.
La normativa sul fascicolo sanitario elettronico prevede che l’interessato possa oscurare dati e documenti presenti nel fascicolo, che saranno così accessibili solo dallo stesso interessato e dal medico che li ha generati. Tale diritto è esercitabile al momento in cui sono generati i referti o anche successivamente.
A seguito del mancato rispetto della richiesta di oscuramento avanzata dai pazienti, il Garante di recente ha sanzionato due aziende sanitarie, rispettivamente per 120.000 e 150.000 euro. Nel primo caso l’Autorità è intervenuta a seguito una notifica di una Usl per aver trasmesso a un medico di famiglia il referto di una paziente la quale, al momento del ricovero per interruzione farmacologica della gravidanza, ne aveva richiesto l’oscuramento attraverso la compilazione di un apposito modulo. L’istruttoria del Garante ha accertato che la comunicazione dei dati era avvenuta accidentalmente a causa di un bug nel software che gestiva l’accettazione, la dimissione e il trasferimento degli assistiti. Il programma non aveva recepito la selezione del flag che indicava la volontà della paziente di non trasmettere il referto in questione al medico di medicina generale. La comunicazione illecita di dati sulla salute, contro la volontà espressa dai pazienti, aveva interessato 48 persone nell’arco temporale intercorrente tra il mese di aprile 2018 e l’agosto 2019. Il Garante ha così comminato la sanzione di 120.000 euro alla Usl.
Un caso analogo ha riguardato un’altra azienda provinciale per i servizi sanitari, che ha notificato al Garante una violazione di dati personali per aver messo a disposizione dei medici di famiglia, per errore, 293 referti di 175 pazienti, tra cui 2 minorenni e alcune donne sottoposte a interruzione di gravidanza, sebbene questi avessero esercitato il diritto di oscuramento nei confronti di tali documenti. Anche in questo caso la violazione è risultata imputabile esclusivamente a un errore del software, che non ha associato ai documenti la richiesta di oscuramento, correttamente inserita dagli operatori sanitari nel sistema informativo ospedaliero. In questo caso la sanzione è stata di 150.000 euro.
Nel definire gli importi il Garante ha tenuto conto, in entrambi i casi, di diversi elementi, come il carattere non episodico delle violazioni, il numero e le caratteristiche delle persone interessate, le precedenti violazioni compiute, ma anche il comportamento collaborativo delle due aziende sanitarie.
Renato Torlaschi
Giornalista Tabloid di Ortopedia
DATI SANITARI, LE TAPPE DELLA DIGITALIZZAZIONE_Fascicolo sanitario elettronico, dossier sanitario elettronico, referti online: sono i tre grandi capitoli a cui il Garante ha dedicato apposite linee guida e che hanno segnato il passaggio, tuttora in corso, verso la digitalizzazione dei dati sanitari.
«L’Autorità – dichiara Agostino Ghiglia, componente del Garante per la protezione dei dati personali – si è più volte interrogata sui limiti all’utilizzo dei dati sanitari, categoria peculiare di dati molto sensibili e quindi meritevoli di particolare protezione giuridica, da parte delle strutture sanitarie e ha inteso anche fornire alle stesse un ausilio per comprendere e attuare correttamente le operazioni di trattamento dei dati, con la predisposizione nel 2009 di apposite linee guida per l’implementazione e l’utilizzo del fascicolo sanitario elettronico (Fse)».
È stata poi la volta, nel 2015 delle linee guida sul dossier sanitario elettronico, lo strumento costituito presso un’unica struttura sanitaria (ospedale, azienda sanitaria, casa di cura) che raccoglie informazioni sulla salute di un paziente al fine di documentarne la storia clinica presso quella singola struttura e offrirgli un migliore processo di cura e che si differenzia dal fascicolo sanitario elettronico, nel quale invece confluisce l’intera storia clinica di una persona, generata da più strutture sanitarie.
«Nel corso degli anni – conclude Ghiglia – l’Autorità è intervenuta, inoltre, anche nei casi di consegna dei referti medici tramite web: nel 2009 il Garante emanò le proprie linee guida e nel 2011 introdusse la facoltà per le Asl di procedere alla consegna dei referti online».
