Il regolamento europeo privacy (Regolamento (UE) 2016/679, GDPR) ha la finalità di proteggere i diritti e le libertà fondamentali delle persone fisiche, in particolare il diritto alla protezione dei dati personali (art. 1).Tale fine prende a oggetto la tutela di tutte le informazioni riferibili direttamente o indirettamente a un soggetto identificato o identificabile, ossia fa riferimento ai dati personali dell’individuo cosiddetti comuni, ordinari.
Appare evidente come l’esigenza e il grado di tutela da assicurare agli individui si renda più elevato nel caso in cui anziché i dati ordinari entrino in gioco i dati sanitari che, per loro natura, attengono alla sfera più intima e personale del soggetto.
Cosa sono i dati sanitari e perché sono particolari
I dati sanitari, che comprendono informazioni che possono rivelare lo stato di salute della persona, sono da inquadrare nella definizione di dati particolari di cui all’art. 9 GDPR (più spesso noti come “dati sensibili”), ossia quelle informazioni alle quali il legislatore europeo ha accordato una tutela rafforzata in ragione dell’aumento dei rischi per i diritti e le libertà degli interessati.I dati sanitari comprendono ad esempio tutte le informazioni relative allo stato di salute fisica o mentale di una persona, alle cure ricevute, alle diagnosi, alle prescrizioni mediche, a esami di laboratorio, ma anche a dati raccolti da dispositivi connessi o app sanitarie.
A differenza dei dati ordinari, la natura sensibile dei dati sanitari impone un meccanismo di tutela più forte, poiché una violazione potrebbe comportare gravi conseguenze discriminatorie o danni alla reputazione.
Proprio per questo, la legge prevede tutele specifiche e più stringenti rispetto ad altri tipi di dati.
Il quadro normativo di riferimento per la gestione dei dati sanitari
La regolamentazione inerente ai dati sanitari è affidata principalmente al menzionato regolamento europeo in materia di protezione dei dati personali, ma anche a norme nazionali come il Codice della privacy (D. Lgs. 196/2003, modificato dal D. Lgs. 101/2018), attraverso cui sono stati stabiliti principi e adempimenti necessari a garantire un trattamento sicuro dei dati, delineando un sistema rigoroso di tutela per i soggetti interessati che prevede, tra le altre, la richiesta del consenso dell’interessato per far sì che il titolare possa trattare tali informazioni o, comunque, in un’ottica di bilanciamento di interessi, la previsione da parte del legislatore europeo di altre specifiche eccezioni alla regola del consenso, elencate al secondo comma dell’articolo 9 GDPR al quale, per ragioni di sintesi, si rinvia.Il ruolo cruciale del GDPR e del Garante Privacy
Se il GDPR, entrato in vigore il 25 maggio 2018, costituisce senz’altro il riferimento normativo principale in materia di protezione dei dati personali, compresi quelli sanitari, è altresì fondamentale l’apporto della nostra Autorità Garante per la protezione dei dati personali.La normativa europea ha introdotto un approccio basato sulla responsabilizzazione del titolare del trattamento (accountability), che richiede a quest’ultimo non solo di garantire che i trattamenti siano svolti in conformità al GDPR, ma anche di poter dimostrare che ciò effettivamente avvenga.
Il Garante privacy, oltre a vigilare sulla corretta applicazione della normativa, risulta altresì fondamentale per l’emanazione di preziosi provvedimenti e linee guida che chiariscono ulteriormente l’applicazione della normativa o dettano regole di dettaglio per determinati contesti.
Gli obblighi specifici per strutture e professionisti
In ambito sanitario, un importante intervento del Garante è quello rappresentato dal provvedimento n. 55 del 7 marzo 2019 [doc. web n. 9091942], con cui sono stati forniti “chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”.In particolare, viene chiarito come il rilascio del consenso da parte dell’interessato al fine di trattare i propri dati, anche relativi alla salute, non sia necessario se il trattamento avviene per “finalità di cura” (ossia finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale, ovvero gestione dei sistemi e servizi sanitari o sociali).
Pertanto, non è richiesto il consenso all’interessato nel caso in cui ricorrano due condizioni:
- Il trattamento risulta essenziale per raggiungere una o più finalità determinate ed esplicitamente connesse alla cura della salute;
- Il trattamento viene effettuato da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.
- Consultazione del fascicolo sanitario elettronico (FSE);
- Consegna del referto online;
- Utilizzo di app mediche;
- Fidelizzazione della clientela (es. farmacie attraverso programmi di accumulo punti);
- Finalità promozionali o commerciali perseguite in campo sanitario da persone giuridiche private (es. promozioni su programmi di screening);
- Finalità elettorali perseguite da professionisti sanitari (cfr. provv. Garante privacy del 6 marzo 2014; doc. web n. 3013267).
Il GDPR e il Garante Privacy: cosa devi garantire ai pazienti e clienti
Senza poter esaurire in questa sede la descrizione di tutti gli adempimenti richiesti dalla normativa privacy, è utile sottolineare come a prescindere che si tratti di un paziente o di un cliente (es. farmacia), all’interessato di cui si trattano i dati sanitari deve essere senz’altro garantito il diritto all’informazione attraverso il rilascio di idonea informativa, redatta ai sensi dell’art. 12 e ss. GDPR, con linguaggio semplice e chiaro (soprattutto nel caso di soggetti vulnerabili o anziani). Occorre poi che siano assicurate modalità agevolate per consentire l’esercizio dei diritti di cui agli articoli da 15 a 22 GDPR.I trattamenti, inoltre, nel caso di dipendenti o collaboratori interni, devono essere effettuati da soggetti formalmente nominati quali designati o autorizzati al trattamento, adeguatamente formati da parte del titolare sul corretto svolgimento delle attività di trattamento.
Tutto ciò, oltre al diretto fine di rispondere agli obblighi normativi, ha anche quello di rafforzare il rapporto di fiducia tra medico e paziente, nonché di tutelare concretamente i diritti e le libertà dell’interessato.
Come prevenire i rischi: cyber security e best practice
Altro tema fondamentale, tanto più in ragione della tipologia dei dati in parola, è quello della sicurezza.Il GDPR all’articolo 5, comma 1, lett. f), richiede che le attività di trattamento avvengano “in maniera da garantire un’adeguata sicurezza dei dati personali, compresa la protezione, mediante misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti e dalla perdita, dalla distruzione o dal danno accidentali” (principio di “integrità e riservatezza”).
In particolare, l’articolo 32 sancisce per il titolare l’obbligo di attuare misure tecniche e organizzative adeguate per garantire la sicurezza dei dati personali.
L’attuale formulazione normativa non prevede, pertanto, un elenco definito di misure da attuare, la cui scelta ricadrà invece in capo al titolare del trattamento, in chiave di responsabilizzazione e accountability (cfr. artt. 5, comma 2 e 24, GDPR), nonché secondo i criteri richiamati allo stesso articolo 32 del regolamento europeo, al quale si rinvia.
La crescita dei processi di digitalizzazione, anche in ambito sanitario, pone al centro il tema della cybersicurezza, anche in considerazione del fatto che proprio questo settore è uno tra quelli maggiormente a rischio sotto questo profilo.
Appare, pertanto, essenziale l’implementazione di misure quali – tra le altre – la cifratura, l’autenticazione a più fattori (MFA), l’aggiornamento costante dei sistemi operativi e dei software, la previsione di backup e cambio di password periodici, l’autenticazione e il tracciamento degli accessi.
La gestione sicura dei dati: dalla raccolta alla conservazione
Come richiesto dal principio di “privacy by design” (o “privacy fin dalla progettazione”), di cui all’art. 25 GDPR, la privacy deve essere pensata e implementata dal titolare sia al momento di determinare i mezzi del trattamento, sia all’atto del trattamento stesso.Prima ancora che la raccolta delle informazioni avvenga, dunque, il titolare deve avere ben chiaro come intenderà procedere per la conservazione dei dati, quali misure di sicurezza applicare per la loro conservazione, i tempi di conservazione, chi saranno gli eventuali soggetti formalmente nominati, interni o esterni all’organizzazione, che potranno trattare i dati, e così via.
Anche la formazione di eventuali dipendenti e collaboratori interni risulta essenziale, nonché richiesta esplicitamente dalla normativa europea privacy (cfr. art. 32, comma 4).
L’adagio per cui “prevenire è meglio che curare” – oltre che adattarsi curiosamente all’ambito della nostra trattazione – calza perfettamente le intenzioni del legislatore europeo, che chiede ai titolari del trattamento di adottare un approccio basato sul rischio (c.d. “risk based approach”) e che ponga al centro una cultura della sicurezza, da diffondere all’interno dell’organizzazione.
Fascicolo sanitario elettronico e telemedicina: le nuove sfide digitali
L’adozione del fascicolo sanitario elettronico (FSE) e dei servizi di telemedicina hanno senza dubbio portato benefici, accelerando l’accesso e la condivisione delle informazioni, ma al contempo hanno ampliato il perimetro di rischio per i dati personali dei pazienti.Occorre che sia prestata particolare attenzione rispetto alla ponderazione dei rischi legati al trattamento dei dati sanitari: i vantaggi generati dal contesto digitale sono tanto potenti quanto pericolosi, se si considera la delicatezza dei dati a cui qui ci si riferisce.
È fondamentale garantire che le piattaforme e gli applicativi utilizzati rispettino criteri di interoperabilità, nonché garantiscano in maniera rigorosa sicurezza e trasparenza.
Le soluzioni per la sanità digitale: fse, telemedicina e app
Come sopra accennato, sono molteplici i vantaggi – tra i quali, rapidità di accesso alle informazioni, coordinamento tra medici e strutture sanitarie o tra medici e pazienti, sicurezza e tracciabilità – offerti dalle soluzioni per la sanità digitale.Il fascicolo sanitario elettronico (FSE) rappresenta un punto di accesso ai dati e ai documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici riguardanti l’assistito.
Ogni cittadino può consultare la propria storia sanitaria, condividendola con i professionisti sanitari e ottenendo così un servizio più efficiente ed efficace.
Attraverso la telemedicina, invece, l’assistito ha la possibilità di ottenere l’erogazione di servizi sanitari a distanza, attraverso il ricorso a tecnologie dell’informazione e comunicazione (ICT), nel caso in cui il medico non si trovi nello stesso luogo.
Attività come la prevenzione, la diagnosi, il trattamento e il monitoraggio dei pazienti possono avvenire, ad esempio, con significativa riduzione dei tempi di attesa e degli spostamenti.
Inoltre, possono trarre beneficio i pazienti fragili, quelli che abitano in zone remote o coloro affetti da malattie croniche che richiedono un monitoraggio continuo.
Infine, un maggiore coinvolgimento del paziente, una raccolta dati e una condivisione in tempo reale col medico dei parametri vitali del soggetto sono possibili grazie al ricorso ad app per il monitoraggio della salute o dispositivi indossabili.
In questo caso più che mai il principio di privacy by design richiede che tali strumenti siano progettati in modo conforme ai principi e agli obblighi normativi.
Il ruolo del Responsabile della Protezione dei Dati (DPO)
Nelle strutture sanitarie pubbliche (e in molte private) è presente obbligatoriamente il Data Protection Officer (DPO), ossia una figura chiave nella governance della protezione dei dati dell’organizzazione, in quanto è chiamato a informare e fornire consulenza al titolare del trattamento, sorvegliare l’osservanza delle regole, assistere il titolare nella valutazione dei rischi e cooperare con l’Autorità garante in caso di controllo (cfr. art. 39 GDPR).Il DPO non solo deve essere tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali che si verificano all’interno dell’organizzazione, ma deve godere di piena autonomia e indipendenza circa l’esecuzione dei propri compiti, interfacciandosi direttamente con il vertice gerarchico del titolare del trattamento, così come sancito dall’art. 38 GDPR.
Il valore della fiducia: la privacy come vantaggio competitivo
Al di là del dato normativo e della relativa necessità di conformarsi agli obblighi di legge, in un settore come quello sanitario la fiducia (e la salute) del paziente è tutto.Mettere al primo posto la trasparenza, la protezione del dato e garantire la riservatezza diventano senza dubbio elementi che portano a un vantaggio competitivo per strutture sanitarie e operatori.
Il paziente che si sente sicuro nel condividere le proprie informazioni sensibili sarà verosimilmente più propenso a utilizzare i servizi e le soluzioni offerte dalla sanità digitale.
La privacy, sotto questo profilo, non deve essere percepita come un ostacolo, ma come la chiave per aprire alle porte dell’innovazione e costruire una sanità ancora più digitale ed efficiente.
(Fonte: Lorenzo Giannini, https://www.agendadigitale.eu/)