L'attuale rivoluzione informatica, porta con sé una digital transformation che coinvolge anche il settore della sanità. In questo breve elaborato si illustrerà la tematica del dato sanitario alla luce della disciplina nazionale ed europea in tema di protezione dei dati personali.

A cura di Valentina Fragnan, partecipante dell'Executive Master in Giurista d'Impresa e General Counsel


La rivoluzione informatica che la nostra società sta attualmente vivendo, porta con sé una digital transformation che coinvolge necessariamente anche il settore della sanità. Tuttavia, se da una parte la crescita esponenziale dell’utilizzo delle tecnologie ICT porta con sé il logico consequenziale efficace aumento della performance aziendale consistente in: snellimento della burocrazia, innalzamento qualitativo dei servizi di cura e di assistenza sanitaria, riduzione del costo di sistema; dall’altra si innalza la consapevolezza di dover individuare e adottare strumenti idonei alla protezione dei dati che vengono trattati, aumentando, infatti, il rischio di distruzione, smarrimento, alterazione dei dati: è necessario perciò minimizzare al massimo tali rischi e le conseguenze derivanti della loro violazione o perdita, anche accidentale.

Essendo il dato sanitario un elemento particolarmente sensibile, poiché dotato della capacità di rivelare lo stato di salute del paziente, il suo trattamento gode di una disciplina speciale a cui devono uniformarsi non solo gli organismi sanitari pubblici che trattano tali dati, ma anche tutti coloro che esercitano una professione sanitaria.

Questo breve elaborato si propone dunque la finalità di illustrare la tematica del dato sanitario alla luce della disciplina nazionale ed europea in tema di protezione dei dati personali.

Definizione di dato sanitario

Il Codice della Privacy, all’art. 4 definisce come dato personale:

“Qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”

I dati personali in ambito sanitario sono quelli idonei a rivelare lo stato di salute, oltre che la vita sessuale; quei dati che contengono tutta una serie di informazioni attinenti alle condizioni fisiche e mentali di una persona, ma anche quelli genetici, ossia che riguardano i caratteri ereditari di un individuo.

I dati sanitari rientrano nella più ampia categoria dei dati sensibili qualificati dal legislatore nei seguenti termini:

“dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale.”

Sanità elettronica: il Fascicolo Sanitario Elettronico (FSE) e il Dossier Sanitario Elettronico (DSE)

Le piattaforme di e-Health hanno lo scopo di concepire l’infrastruttura conciliando non soltanto le esigenze dei professionisti che sono titolari del trattamento dei dati, ma anche quelle di cui i pazienti stessi sono portatori.

 

Il paziente può infatti direttamente gestire in autonomia quali informazioni immettere nel sistema informativo sanitario e deciderne il relativo livello di condivisione attraverso un importante strumento tecnico-giuridico: il consenso, il quale deve essere inequivocabile, specifico, libero e consapevole. Esso non sarà valido se fornito nel contesto di una dichiarazione scritta che tiene conto anche di altre materie. Attraverso questa libera manifestazione di volontà, l’utente potrà scegliere come e quali dati potranno essere trattati nei sistemi di gestione delle aziende sanitarie, cioè nel Fascicolo Sanitario Elettronico e nel Dossier Sanitario Elettronico. Sarà a carico del titolare del trattamento l’onere della prova circa la dimostrazione dell’avvenuta prestazione del consenso.

FSE Il FSE rappresenta un nuovo e importante strumento per gli operatori del mondo sanitario e ospedaliero. Il Ministero della Salute, nelle Linee guida nazionali sul Fascicolo Sanitario Elettronico, lo definisce come:

“l’insieme dei dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito”.

Esso viene istituito dalle Regioni e dalle Province Autonome nel rispetto della normativa prevista in materia di protezione dei dati personali, per diverse finalità: prevenzione, diagnosi, cura, riabilitazione; studio, ricerca scientifica in campo medico, biomedico, epidemiologico; programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria. Il suo obiettivo è quello di generare un unico cyber spazio in cui far convergere le diverse informazioni inerenti alla salute del paziente.

All’interno del FSE possiamo trovare: il c.d. Patient Summary e il taccuino personale dell’assistito. Il primo è un documento informatico compilato dal medico di base che, sintetizzando la storia clinica del paziente, favorisce un rapido inquadramento dell’assistito nel momento di contatto con il SSN; il secondo, invece, consiste in una sezione in cui è lo stesso assistito che inserisce “dati e documenti personali relativi ai propri percorsi di cura, anche effettuati presso strutture al di fuori del SSN”. (art4 reg.)

DSE

Il DSE viene definito dal Garante per la Protezione dei Dati Personali come:

“l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato, che vengono condivisi tra i professionisti sanitari che lo assistono presso un’unica struttura”.

Attraverso il DSE i professionisti sanitari che di volta in volta vengono chiamati ad intervenire e a prendere in cura l’utente, possono facilmente consultare le informazioni prodotte dall’ intera struttura sanitaria e non solo quelle prodotte all’interno del singolo reparto.

L’elemento distintivo rispetto al FSE è il carattere unitario: nel FSE confluisce infatti l’intera storia clinica di una persona generata da più strutture sanitarie con più titolari del trattamento (ognuno autonomo e responsabile per ciò che è di propria pertinenza), mentre nel DSE vi è un unico titolare del trattamento, cioè la struttura che esegue in quel momento quel determinato trattamento sanitario.

Quali adempimenti per l’azienda sanitaria?

L’Autorità Garante della Privacy, sebbene attribuisca un’ ingente importanza al DSE e al FSE nell’ambito dello sviluppo della sanità elettronica, ha sin da subito evidenziato le criticità di questi strumenti in tema di trattamento dei dati personali sensibili.

Infatti, assurge quale punto cardine la rivalutazione della sicurezza organizzativa, informatica e fisica delle strutture sanitarie: l’ottica è quella di dover affrontare il rischio utilizzando un approccio proattivo.

Tra gli adempimenti necessari e obbligatori, vi è quello per il titolare del trattamento dati di analizzare i rischi connessi ai trattamenti posti in essere, designando innanzitutto un responsabile della protezione dei dati personali (c.d. Data Protection Officer) il quale dovrà informare e consigliare i vari soggetti coinvolti nel trattamento, verificare l’esatta applicazione della disciplina in tema di protezione dei dati personali, fornire pareri in merito alla valutazione dell’impatto ed all’ottimizzazione delle misure adottate, fungere da contatto per gli interessati in materia. Al fine poter di operare efficacemente, tale figura professionale dovrà godere di una reale indipendenza e terzietà rispetto al titolare del trattamento.

La struttura sanitaria dovrà inoltre designare e qualificare tramite un’ apposita e specifica formazione sulle misure di sicurezza da adottare, tutti i soggetti che a vario titolo saranno coinvolti, autorizzati e incaricati al  trattamento dei dati personali sanitari presenti all’interno del FSE e del DSE.

L’inosservanza di tali adempimenti genera una condizione idonea a configurare una situazione non solo di illecito penale, ma rilevante anche dal punto di vista sanzionatorio amministrativo.

Due ulteriori compiti su cui la struttura è opportuno si focalizzi: garantire al paziente il diritto d’accesso ai propri dati personali e predisporre nei confronti di quest’ultimo un’ apposita informativa che renda chiara all’utente l’intenzione della struttura a generare uno scrigno digitale di informazioni sanitarie. Quanto al primo punto l’art. 7 Codice della Privacy afferma che l’interessato detiene il diritto ad ottenere la conferma dell’esistenza o meno dei dati personali che lo riguardano, e la loro comunicazione in forma intellegibile, indicando l’ origine, la finalità e le modalità del trattamento; l’interessato potrà in ogni momento richiedere la conoscenza degli accessi eseguiti sul proprio DSE: in questo caso la struttura sanitaria dovrà fornire un riscontro entro 15 o massimo 30 giorni dal ricevimento della richiesta qualora le operazioni siano di particolare complessità o ricorra un giustificato motivo. Circa l’informativa che la struttura sanitaria deve fornire all’utente, questa dovrà contenere una breve descrizione delle misure di sicurezza che sono state adottate per la protezione dei dati da specifici rischi e le modalità con cui l’utente potrà esprimere la revoca del consenso all’implementazione del DSE o per esercitare la facoltà di oscurare alcuni eventi clinici che lo riguardano; è inoltre fondamentale informare il paziente del fatto che il diniego al trattamento dei dati personali mediante DSE non inciderà sulla sua possibilità di accesso alle cure mediche.

Un ulteriore obbligo in capo alla struttura sanitaria riguarda la “notifica di una violazione dei dati personali all’autorità di controllo” c.d. data breach: in caso di violazione dei dati personali, il titolare del trattamento deve notificare, senza ingiustificato ritardo, la violazione all’autorità di controllo competente entro 72 ore dal momento in cui ne è venuto a conoscenza. Qualora vi siano rischi elevati per i diritti e le libertà dell’interessato, tale violazione dovrà essere notificata anche a quest’ultimo.


Bibliografia e sitografia

  • Paolo Guarda, I dati sanitari in “I dati personali nel Diritto europeo”, Milano, 2019, pp.591-626
  • Decreto legislativo 30 giugno 2003, n. 196
  • Regolamento n. 2016/679
  • Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario (DSE) – 16 luglio 2009
  • www.garanteprivacy.it/faq/fascicolo-sanitario

Ultima modifica il 22/03/2022