App sanitarie nell'emergenza coronavirus: fra privacy e interesse pubblico | Agenda Digitale

REGOLAMENTI

App sanitarie nell’emergenza coronavirus: fra privacy e interesse pubblico

Dai tablet ai braccialetti per il monitoraggio delle malattie croniche, la mobile health sta ritagliandosi un ruolo sempre più rilevante nella Sanità digitale. Ma il punto d’equilibrio fra protezione dei dati e difesa del bene comune è complesso da trovare. Il quadro pratico e giuridico

30 Apr 2020
Anna Clementi

Consulente Privacy e Data Protection Officer DPO


Oggi l’e-Health è sempre più oggetto di interesse nell’ambito privato, dove società informatiche si stanno specializzando nell’ingegneria biomedicale. Il fenomeno ha assunto una valenza particolarmente versatile e globale essendo diventato fruibile un valido servizio a contenuto medico, tramite il semplice ricorso a dispositivi non invasivi, come braccialetti, orologi, dispositivi collegati ad una piattaforma, semplici tablet computer e cellulari.

Wearable e salute: vantaggi e punti critici

Per comprendere le potenzialità dell’e-Health basta pensare al programma Philips SUITE Platform che riguarda l’impiego di un famoso elaboratore dotato di intelligenza artificiale, che usa degli algoritmi molto complessi per giungere a delle soluzioni di problemi sanitari delle persone a volte articolati e molteplici. Con tale programma i dati vengono visionati e valutati a distanza da un team di medici che segue i pazienti, che devono monitorare i valori e controllare l’evoluzione della malattia su dispositivi con porte usb come cellulari, tablet, computer ecc,. In questo modo si rende possibile somministrare cure e consigli. Quello del digital Health è, quindi, un settore pervasivo e destinato a svilupparsi sia in termini funzionali che in termine di numeri di utenti che se ne serviranno.

Le previsioni, basate sulla crescita esponenziale del fatturato degli ultimi anni, lasciano intravedere uno sviluppo soprattutto dell’ambito mobile, che si tradurrà in un nuovo modus vivendi. Il digital Health fornirà, in tal senso, sicurezza e supporto continuo consentendo anche un contributo agli studi medici, grazie alla numerosità dei dati elaborati.

Emergenza e tutela dei dati

Già oggi, sono scaricabili varie App che rimandano al calcolo dei passi o al tempo di percorrenza di determinate tratte, soddisfacendo così esigenze di valutazione delle proprie abitudini con uno scopo comune: il miglioramento delle condizioni di vita.

La tecnologia è, quindi, sempre più in armonia con il sistema sanitario, che è diventato flessibile, personale ed efficiente ma i dati della nostra salute possono essere seriamente compromessi rispetto al nostro diritto alla protezione dei dati personali. E che succede in tempo di emergenza sanitaria?

Il tema è stato dibattuto alla fine del 2019 in alcuni seminari organizzati dall’Istituto Superiore di Sanità nonché alla presenza di Funzionari dell’Autorità Garante e di studiosi di elevato standing in materia di protezione dei dati di cui si riporta sintesi contenutistica degli atti.

Il ministero della Salute definisce e-Health (sanità in rete) “l’utilizzo di strumenti basati sulle tecnologie dell’informazione e della comunicazione per sostenere e promuovere la prevenzione, la diagnosi, il trattamento e il monitoraggio delle malattie e la gestione della salute e dello stile di vita”.

Rientra nell’e-Health:

Ma anche:

  • la chirurgia robotica. i micro-sensori, soluzioni basate su blockchain;
  • l’uso di tecnologie di ultima generazione, come tecnologie di intelligenza artificiale;
  • i portali medici e i siti di teleconsulto;
  • gli strumenti informatici per la gestione delle procedure mediche in cliniche e ospedali;
  • i Wearables, come gli smartwatch, i fitness trackers, i sensori indossabili per il monitoraggio di vari parametri fisiologici;
  • le mobile app su dispositivi smartphones e tablets.

Le caratteristiche di salute digitale sono:

  • la connettività (con internet, con la rete vocale, con le reti aziendali, ecc.);
  • l’accessibilità (per tutte le fasce della popolazione come per le app per smartphone);
  • la mobilità e portabilità (computer portatili ultraleggeri, tablet, smartphone, ecc.);
  • le tecnologie di comunicazione con il proprio medico (messaggistica testuale, voce e video per comunicare con operatori sanitari o con Whatsapp);
  • l’indossabilità;
  • lo scambio di dati.

La normativa dell’e-Health

Le principali tappe della normativa che si sono susseguite anche per dare attuazione alla normativa europea sono:

  • Agenda europea per il digitale COM/2010/0245 f/2;
  • Agenda Digitale Italiana D.L. 83/2012;
  • Fascicolo sanitario elettronico D.L. 179/2012 art.12;
  • Prescrizione medica e cartella clinica digitale D.L. 179/2012 art.13;
  • Patto per la Salute 2014-2016;
  • Conferenza Stato-Regioni 10 luglio 2014;
  • Patto per la Sanità Digitale 7 luglio 2016: Ministero della Salute • Regioni • ASL, Aziende Ospedaliere, Aziende Ospedaliere Universitarie, IRCCS • Case di cura, centri di riabilitazione e RSA • Medici di Medicina Generale e Pediatri di Libera Scelta • Farmacisti • Produttori, distributori e grossisti di farmaci • Fornitori di soluzioni e servizi ICT in ambito Sanità • Fornitori di dispositivi elettromedicali e di apparati e soluzioni per la telemedicina;
  • Master Plan Ottobre 2016;
  • Trasferimento dati sanitari Regolamento UE n.2016/679 (GDPR).

Le app per la salute: la mobile health

L’utilizzo della tecnologia mobile in campo sanitario da parte di medici e pazienti è in costante crescita. L’m-Health comprende tutti quegli strumenti portabili che, attraverso specifici software, permettono di misurare i livelli vitali come il battito del cuore, la pressione sanguigna, la temperatura corporea oppure di valutare una prestazione sportiva in termini di calorie consumate. In particolare, la app medica è un software regolamentato.

In modo particolare le app e le potenzialità legate al trattamento dei dati raccolti in ambito sanitario stanno portando anche ad un sostanziale cambiamento dell’organizzazione del nostro servizio sanitario, pubblico e privato. Nell’m-Health rientrano certamente le app per il benessere e per lo stile di vita che possono connettersi a dispositivi medici o sensori (esempio: braccialetti e orologi), i sistemi di consulenza personalizzata, gli SMS con informazioni sanitarie e promemoria dei farmaci da assumere e la telemedicina attraverso comunicazioni senza fili, etc… .

La sanità mobile va in sostanza intesa come “la pratica della medicina e della sanità pubblica supportata da dispositivi mobili, quali telefoni cellulari, dispositivi per il monitoraggio dei pazienti, computer palmari e altri dispositivi senza fili”.

Le app sono direttamente installate sul dispositivo mobile (smartphone, tablet, ecc…) oppure in Web APP reperibili negli app store. Tutte, comunque, si scaricano in forma gratuita od a pagamento. L’accesso è possibile anche dal PC ma per l’utilizzo è richiesta la preventiva registrazione dell’utente e l’accettazione delle condizioni contrattuali.

In particolare, le app più utilizzate in Italia in ambito sanitario, che nel dettaglio esamineremo nel prosieguo, sono software destinati alle piattaforme mobili progettate per consentire di interagire con le informazioni in ambito sanitario. Sono state sviluppate proprio con l’obiettivo di ottenere software leggeri e responsivi e per superare i limiti di energia dei dispositivi mobili. Uno strumento prezioso, sempre a portata di mano, per prendersi cura della propria salute, ma le informazioni disponibili non possono sostituire in alcun modo il rapporto diretto medico paziente!

Funzioni e obiettivi della app medica

L’app medica è una tipologia di app per la salute progettata e realizzata con finalità di:

  • diagnosi;
  • cura;
  • attenuazione, trattamento o prevenzione di una malattia.

Ci sono app mediche che:

  • forniscono informazioni o linee guida sulla salute, video o messaggi motivazionali, fattori di rischio, sintomi e malattie correlate, incoraggiando stili di vita salutari;
  • memorizzano gli stati di salute e permettono il monitoraggio delle terapie seguite;
  • aiutano a smettere di fumare;
  • vengono utilizzate per screening e per identificazione di fattori di rischio;
  • consentono di effettuare automaticamente chiamate di emergenza preimpostate;
  • utilizzano formule o algoritmi, trasformano informazioni derivanti da singoli pazienti in risultati o raccomandazioni utili alla diagnosi o trattamento del paziente e utilizzati in assistenza o per decisioni cliniche.

Presumibilmente da maggio 2024 tutti i dispositivi medici dovranno essere conformi a tale normativa.

Definizione giuridica di “dispositivo medico”

In questi anni abbiamo assistito ad un aumento smodato del numero di app che non sempre si possono ricondurre nella nozione di dispositivo medico. Tanti sono, infatti, i software che vanno a monitorare processi fisiologici o che comunque forniscono al medico informazioni utilizzate per prendere decisioni diagnostiche o terapeutiche.

Ma quali sono le differenze in ambito sanitario fra app medica e app non medica? Una app è un dispositivo medico solo quando il software è conforme al Regolamento del 25 maggio 2017. A tale riguardo il Considerando 19 stabilisce che “è necessario precisare che il software destinato dal fabbricante ad essere impiegato per una o più delle destinazioni d’uso mediche si considera un dispositivo medico, mentre il software destinato a finalità generali, anche se utilizzato in un contesto sanitario, o il software per fini associati allo stile di vita e al benessere, non è un dispositivo medico”.

Relativamente ai criteri per stabilire se una app rientra o meno nella definizione di dispositivo medico, la Commissione UE ha emanato apposite Linee Guida: Meddev Guidelines on the qualification and classification of stand alone software in healthcare within the regulatory framework of medical devices. Successivamente, la Corte di Giustizia del 7 dicembre 2017 – C 329/16, riprendendo gli stessi concetti delle Linee Guida in una importante sentenza, ha tracciato i requisiti dell’app medicale quando cioè quest’ultima deve essere effettivamente ricondotta a “dispositivo medico”.

In sintesi nella sentenza si afferma, secondo il dettato delle linee guida sopra richiamate, che quando la app presenta “una funzionalità che consente l’utilizzo dei dati personali di un paziente e aiuta il medico nella predisposizione della sua prescrizione con controindicazioni, interazioni con altri medicinali e posologie eccessive”, in tal caso è certamente un dispositivo medico.

La conditio della finalità terapeutiche

Nel caso prospettato all’interno della sentenza app non rientrava nella definizione di dispositivo medico in ragione del fatto che il software non aveva “finalità terapeutiche”. Infatti, la Corte di Giustizia ha dichiarato che la finalità medica è fondamentale per l’individuazione della app, perché quando si ha una destinazione terapeutica essa assume i connotati di dispositivo medico.

Sempre secondo la sentenza “… il fatto che un software agisca direttamente o non agisca direttamente sul corpo umano non è rilevante, essendo invece fondamentale che la finalità indicata dal fabbricante sia una di quelle previste per la definizione stessa di dispositivo”. E la Corte, dopo aver richiamato ulteriormente la precedente Corte Giustizia Comunità Europea 22 novembre 2012 C-219/11, ha precisato che il software app per essere dispositivo medico non deve essere destinato ad uno scopo di ricerca. Viene poi confermato che anche un software stand alone per finalità generali, utilizzato in ambiente medico, non è da considerare dispositivo medico.

Ecco, quindi, l’attribuzione giuridica: quando l’app è destinata dal produttore ad essere utilizzata per uno o più scopi medici si qualifica come dispositivo medico. Vieppiù il soprarichiamato Regolamento chiarisce che le cd lifestyle e well-being app (esempio: le app contapassi) non sono dispositivi medici.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

I produttori di app mobili devono conformarsi al “Quality System Regulation” (che comprende le buone pratiche di fabbricazione – GMP) nella progettazione e nello sviluppo delle loro applicazioni mediche mobili ponendo in essere azioni per evitare danni ai pazienti ed agli utenti.

Molti sono i guasti correlati al software dei dispositivi dovuti ad errori di progettazione quali ad esempio la mancata validazione del software ancor prima della manutenzione del dispositivo (superiore al 90% dei casi). Il fabbricante deve progettare l’applicazione in modo che l’utente debba solo seguire le istruzioni logiche e opzioni visualizzate sullo schermo del dispositivo mobile e nella destinazione d’uso il produttore nell’etichettatura deve necessariamente rendere informazioni e dichiarazioni a ciò conformi.

App mediche, come evitare il malfunzionamento

Se le app vengono utilizzate in modo difforme dalla destinazione d’uso assegnata dal fabbricante, esiste un ovvio rischio di malfunzionamento e di possibile danno in capo al paziente. Il rischio che l’utente interferisca sul corretto uso del dispositivo non può escludersi ma va limitato. Serve quindi predisporre processi atti a garantire la sicurezza e l’affidabilità di questi strumenti con una precisa definizione delle responsabilità in caso di malfunzionamenti o “errori”.

Le applicazioni medicali per mobile, infine, non devono però essere mai utilizzate su pazienti che hanno malattie, per cui il fattore tempo è rilevante in quanto sono sempre possibili problemi di accesso al sistema che non ausilierebbero pazienti critici.

La app che rientra nella qualificazione di dispositivo medico dovrà seguire l’iter per la marcatura CE prevista dalla direttiva 2007/47/CE e, conseguentemente, procedere alla classificazione del dispositivo con un iter ben definito di certificazione.

Sono anche riconducibili a dispositivo medico:

  • le app per monitoraggio dati EGG;
  • le estensioni che hanno la finalità di controllare il dispositivo medico;
  • le app che hanno la finalità di visualizzare, memorizzare, analizzare o trasmettere dati del dispositivo medico.

App non considerate medicali

Le app non mediche sono:

  • le Enciclopedie e i dizionari medici, le copie elettroniche di articoli scientifici, traduttori, glossari;
  • le app per la formazione dei medici, quiz, video formativi, simulazioni;
  • le app per la formazione alla salute dei pazienti, i portali sulla corretta alimentazione o sugli alimenti (ad esempio: “senza glutine”), i video e i corsi sul primo soccorso, i sistemi di localizzazione di ospedali o farmacie;
  • le app ospedaliere gestionali, per la gestione dei turni, monitoraggio dei pagamenti e gestione delle liste di attesa;
  • le app di supporto generico usate come ingranditori, registratori audio, sistemi di comunicazione e di localizzazione.

Di recente è stato pubblicato sul sito della DG Health and Consumer della Comunità Europea l’upgrade del Manuale Bordeline, il quale contiene un capitolo sui criteri di qualificazione delle app e dei Software.

Dopo aver ripreso i criteri generali della MED DEV, si stabilisce che non sono dispositivi medici:

  • le app finalizzate solo alla conservazione dei dati ed alla comunicazione degli stessi tra medico e paziente;
  • le app che servono solo ad illustrare l’anatomia del corpo umano;
  • le copie elettroniche di testi e materiale medico non contenente informazioni di specifici pazienti ma per uso esclusivo finalizzato ad accedere, registrare, tracciare suggerimenti correlati allo stato generale di salute o di benessere ma non destinate a cure, trattamenti, diagnosi, ecc…);
  • le app di automazione di procedure di contabilità, gestione appuntamenti, ecc…;
  • le app per la realizzazione della funzione di cartella clinica elettronica (EHR) o cartella clinica personale.

Classificazione delle app mediche secondo l’Iss

  • app wellness o Diary app per il tracciamento della pressione, dell’attività fisica, delle calorie ingerite, per fitness, per registrare dati su corsa, passeggiate, giri in bici;
  • app per smettere di fumare;
  • app informative:
  • per accedere ad informazioni mediche in ogni luogo e momento, database di farmaci, manuali, riviste, atlanti medici, schemi terapeutici oncologici;
  • per la formazione continua dei medici: Test di valutazione, condivisione di case studies, e-learning, simulazioni chirurgiche

Sono app per la gestione della cronicità quelle che contengono:

  • reminder app che segnalano quando prendere medicine, fare visite di controllo, ecc…;
  • app per gestire le malattie croniche (per esempio nella gestione diabete, demenza, Alzheimer);
  • app con monitoraggio a distanza:
  • per consultazione e implementazione in remoto di dati clinici, cartella clinica, elettronica, risultati degli esami di laboratorio, immagini radiologiche;
  • per il monitoraggio in remoto del paziente;
  • per telemedicina applicata al controllo delle funzioni cardiache;
  • per registrare i movimenti di paziente con epilessia;

Si definiscono app gestionali quelle che puntano a:

  • gestione e il monitoraggio delle informazioni;
  • scrivere o dettare appunti, organizzare immagini e informazioni;
  • gestire l’agenda delle visite, delle riunioni;
  • comunicazione e consulenza (rubrica contatti, messaggi, e-mail, video conferenze, social network);
  • accedere ai servizi sanitari o interagire con le strutture sanitarie:  prenotare visite, per la geolocalizzazione di servizi e di professionisti in ambito sanitari;

Si definiscono “di cura” le app:

  • per la gestione di patologie specifiche, collegate a dispositivi esterni quali glucometri, bracciali per la misurazione della pressione arteriosa;
  • per il calcolo del rischio di malattie cardiovascolari, di melanoma (esempio per l’autodiagnosi e per la misurazione della vista e dell’udito);
  • per funzionalità alla diagnosi (linee guida sulla terapia, supporti per la diagnosi differenziale, per l’interpretazione dei risultati di test di laboratorio);
  • per la condivisione medico-medico dei dati clinici/immagini radiologiche all’interno di una struttura sanitaria;
  • per la trasmissione paziente-medico/struttura dei dati di misurazione di parametri fisiologici (telemedicina).

Consenso informato trattamento dati

I trattamenti dei dati sanitari connessi all’utilizzo di app mediche non sono soggetti alla necessità di acquisizione del consenso, purché l’app medica sia finalizzata all’erogazione di servizi sanitari a distanza (cioè per utilizzo della “telemedicina, telesorveglianza o monitoraggio”) e sempre che i dati siano accessibili soltanto a professionisti sanitari o altri soggetti tenuti al segreto professionale.

Si possono considerare equiparate ai trattamenti per finalità di cura le app di telemonitoraggio dei pazienti classificati “a rischio” o affetti da patologie croniche come diabete o malattie cardiovascolari, che possono essere controllate a distanza attraverso la misurazione di parametri vitali quali l’indice glicemico, frequenza cardiaca o respiratoria, saturazione di ossigeno nel sangue.

Questi parametri possono essere misurati da sensori all’avanguardia, collegati a loro volta a dispositivi mobili (smartphone o tablet) in dotazione al paziente e trasmessi via internet al professionista sanitario che si curerà di controllare i dati ed eventualmente intervenire con prontezza in caso di bisogno. L’esempio più noto di queste app è senza dubbio quello che riguarda il monitoraggio remoto dei dispositivi pacemaker.

Invece, le applicazioni para-mediche che installiamo nei nostri smartphone o che ci vengono comunemente offerte negli app store (ad esempio le applicazioni per il monitoraggio del sonno, del ciclo mestruale o delle fasi della gravidanza) non hanno mai vere e proprie finalità di telemedicina (cioè ad esempio l’assistenza virtuale a casa). Pertanto, il trattamento dei dati personali acquisiti con queste app richiede il consenso esplicito dell’interessato.

Il confine tra privacy e interesse pubblico

L’art. 76 del Decreto Cura Italia, approvato il 17 marzo 2020, prevede che la Presidenza del Consiglio dei Ministri o il Ministro delegato nomini un contingente di esperti per studiare soluzioni innovative, tecnologiche e di digitalizzazione al fine di contrastare e contenere il diffondersi del coronavirus. È chiaro che l’obiettivo è dotare anche lo Stato italiano di “armi” elettroniche per il contact tracing, cioè per individuare e perimetrare con più precisione contatti, spostamenti di soggetti contagiati o ad elevato rischio di contagio. In questi giorni ci si pongono, quindi, molti quesiti sull’uso di tecnologie cosiddette di contact tracing, degli strumenti e specialmente sulle app  per tracciare la pandemia in corso.

Ma la rilevazione della temperatura dei dipendenti sul luogo di lavoro è ammissibile in un momento di emergenza? La comunicazione dei nomi di chi è obbligato alla quarantena è ammissibile seguendo i principi della protezione dei dati? E, restando alle app per tracciare i contagiati dal coronavirus, le informazioni raccolte possono essere utilizzate alla stregua di quelle utilizzate in Corea del Sud? L’attuale situazione esige una risposta immediata e concreta e non è più possibile aspettare.

In Corea del Sud sono state pubblicate app che permettono a chiunque di ricostruire i movimenti di un paziente infetto, visualizzare le zone infette e ricevere alert quando ci si avvicina a una zona dove sono stati rilevati casi di contagio. Inoltre, hanno monitorato i pazienti in quarantena a casa e controllato la comunicazione giornaliera dei sintomi usando anche i dati della carta di credito e del telefono, integrando i dati sugli spostamenti degli interessati.

In nome del virus e quindi dell’emergenza possiamo o meno legittimare certe restrizioni previste relativamente al diritto alla protezione dei dati per contrastare la diffusione dei contagi e per salvaguardare la salute dei cittadini? E’ legittimo installare da parte dello Stato una app sul telefonino delle persone che ci avvisi del rischio nel caso in cui ci si trovi a 100 metri di distanza da un contagiato?

Con un’app in Lombardia in 170 mila hanno accettato la condivisione dei loro dati di localizzazione per tenere monitorati i movimenti e le uscite da casa dei medesimi calcolando così – su base assolutamente anonima – la percentuale degli spostamenti di quanti dovrebbero, invece, rimanere a casa.

Dati personali e geolocalizzazione

A questo proposito si richiama quanto previsto dall’art. 9 comma 2, lettera j) del GDPR, secondo il quale il divieto di trattare dati relativi alla salute senza il consenso dell’interessato non si applica quando il trattamento “è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali gravi minacce per la salute a carattere transfrontaliero”.

E l’art. 23 del Regolamento UE 2016/679 ammette deroghe all’applicazione di parti importanti della disciplina in materia di protezione di dati personali, in molti casi di interesse pubblico essenziale; tra questi, rientra certamente un’emergenza di sanità pubblica.

Ma il Comitato europeo per la protezione dei dati anche in queste circostanze evidenti raccomanda che i dati personali debbano essere utilizzati in forma anonima e aggregata e chiede di accertarsi sempre che le restrizioni alla privacy siano adeguate e proporzionali, tenendo conto, che la nostra Costituzione sancisce all’art. 15 il principio di segretezza di ogni forma di comunicazione.

In questo contesto, Antonello Soro, Presidente dell’Autorità Garante Privacy, ha precisato che “anche l’art. 15 della direttiva e-privacy potrebbe contribuire a fornire maggiore spazio di manovra in situazioni di emergenza nazionale nei limiti di una «misura necessaria, opportuna e proporzionata all’interno di una società democratica». Quindi, afferma “… nel caso presente può certamente essere analizzata la proposta del contact tracing dei contagiati per meglio monitorare l’andamento epidemiologico o per ricostruire la catena dei contagi. Ma i Governi dal canto loro dovrebbero anche orientarsi secondo un criterio di gradualità e, dunque, valutare se le misure meno invasive possano essere ugualmente sufficienti a fini di prevenzione”.

Ad esempio, apparirebbe sproporzionata la geolocalizzazione di tutti i cittadini italiani, 24 ore su 24: non soltanto per la massività della misura ma anche perché non esiste un divieto assoluto di spostamento e la mole di dati così acquisiti non avrebbe un’effettiva utilità.

Anche il considerando 16 esclude dall’ambito di applicazione del regolamento le attività riguardanti la sicurezza nazionale e gli artt. 6 e 9 lasciando agli Stati Membri margini di discrezionalità per motivi legati a misure nazionali eccezionali. Quindi lo Stato, per esigenze di limitare la pandemia, può monitorare e geolocalizzare con le app tutti coloro i quali sono a rischio o possono esserlo nel tempo?

Lo Stato laddove intendesse acquisire dati identificativi, dice Soro, dovrebbe porre in essere garanzie per gli interessati, conformemente al principio di proporzionalità, che impone anzitutto un’analisi sullo scopo della raccolta dei dati.

Già con la relazione annuale per il 2019 il Garante Europeo richiamava il principio di necessità, combinando l’applicazione delle Linee Guida per bilanciare le opposte esigenze (salute e sicurezza pubblica da un lato, riservatezza individuale e protezione dei dati dall’altro) con una valutazione di impatto privacy sull’effettiva idoneità della misura finalizzata a conseguire risultati utili nell’azione di contrasto proporzionale alle esigenze perseguite. Ad oggi la normativa vigente, seppure emergenziale, non autorizza provvedimenti invasivi con restrizioni e vincoli al di fuori dei principi di proporzionalità e necessità.

Tracing via app, limiti e cautele

Il decreto legge del 9 marzo 2020 non consente il trattamento dei dati di traffico (celle telefoniche o georeferenziazione) dai privati perché per i tabulati c’è la norma speciale dell’art. 132 codice privacy, che non può essere derogata dal comma 2 del richiamato decreto in quanto essa è speciale e non derogabile da una norma generale che non richiama affatto l’art. 132, pertanto non può derogarvi.

Inoltre il tracciamento del cellulare, anche con l’app, permette solo l’individuazione dell’intestatario o del nome/email fornito con l’app stessa. Ma non tutti i possessori di cellulari sono reali intestatari pertanto non si avrebbe possibilità di verificare con esattezza da remoto se chi scarica l’app è l’utente reale dello smartphone. E comunque anche in base al GDPR per il tracciamento digitale sui movimenti delle persone contagiate da coronavirus devono sussistere limiti e cautele precise: i dati relativi allo stato di salute non possono essere diffusi.

I dati devono essere:

  • trattati esclusivamente da soggetti istituzionalmente deputati alla gestione dell’emergenza;
  • raccolti e poi cancellati;
  • acquisiti in modo anonimo.

Covid-19, tutela dati personali e app

Se da una parte la m-Health può essere un’opportunità per migliorare l’assistenza sanitaria con maggiore qualità ed efficienza, dall’altra parte è indubbio l’interesse che questo settore suscita anche da un punto di vista giuridico soprattutto alla luce dei rischi del Covid 19.

Quindi, quando si parla di app in ambito sanitario dobbiamo innanzitutto focalizzare l’attenzione sugli aspetti di protezione dei dati personali delle persone, dal momento che i dati rappresentano il combustibile che consente il funzionamento di questi sistemi.

Le linee guida e provvedimenti da parte dell’Autorità Garante sono stati finora in grado di accompagnare la crescita del settore delle app, non rischiando al contempo di frenare il loro sviluppo in ambito sanitario. Ma ora con l’emergenza Covid 19 gli impatti sulla protezione dei dati ed i rischi che si possono correre sono certamente differenti. Una pandemia globale sembrerebbe dunque proprio una situazione di estrema gravità atta a giustificare limitazioni del diritto alla privacy.

E in questa direzione si indirizza anche l’art 14 del già citato decreto legge n. 14 del 9 marzo 2020, che prevede la possibilità, proprio in ragione dell’emergenza sanitaria, di comunicazioni a soggetti diversi rispetto a quelli identificati dal regolamento. Ma la richiamata norma non consente assolutamente un’autorizzazione illimitata al tracciamento prima ipotizzato in assenza di una specifica base giuridica – al momento mancante – e che, se presente, sarebbe probabilmente in contrasto con i principi europei e costituzionali se non fosse ispirata a restrizioni e vincoli al di fuori dei principi di proporzionalità, necessità e accessorietà al carattere dell’emergenza.

Come sostiene il Presidente Istituto Italiano Privacy, Luca Bolognini “l’installazione della app potrebbe avvenire se fosse prevista, in base all’art. 14 DL 14/2020 e all’art. 25 del Codice della Protezione Civile (D.Lgs. 1/2018), con ordinanza della Protezione Civile, per esempio. Solo in questo caso la norma emergenziale, derivante dai Decreti Legge per il contrasto al coronavirus, prevarrebbe sulla norma speciale di cui all’art. 132 del Codice Privacy”.

Trasferimento dei dati sanitari e sicurezza

Il trasferimento dei dati sanitari è stato oggetto di un ampio dibattito in conseguenza all’introduzione del Regolamento UE n.2016/679 (GDPR) emanato il 27 aprile 2016 dal Parlamento Europeo e del Consiglio. Il regolamento è divenuto obbligatorio dal 25 maggio 2018 e riguarda la protezione delle persone fisiche con riguardo al trattamento dei dati personali. Il GDPR stabilisce che i dati personali attinenti alla salute fisica o mentale di una persona fisica vanno protetti, compresa la prestazione di servizi di assistenza sanitaria che rivelano informazioni relative allo stato di salute di una persona.

Tali dati sono ritenuti sensibili e, quindi, meritevoli di una protezione specifica sotto il profilo dei diritti e delle libertà fondamentali. Oltre ai dati afferenti alla salute vengono considerati sensibili anche quelli genetici e biometrici.

L’art. 12 del Regolamento stabilisce che il titolare del trattamento debba adottare misure appropriate per fornire all’interessato ogni informazione utile, oltre alle comunicazioni riguardanti il trattamento dei dati personali, in forma concisa, intelligibile e facilmente accessibile, usando un linguaggio semplice e chiaro. Se richiesto dall’interessato, le informazioni possono essere fornite oralmente, purché venga comprovata con altri mezzi l’identità dell’interessato. Se il trattamento dei dati sanitari è necessario con finalità di ricerca scientifica, il GDPR prevede l’adozione da parte del Titolare delle misure di sicurezza idonee ad assicurare la minimizzazione dei dati.

In tale ottica è possibile ricorrere alla pseudonimizzazione dei dati che impedisce di ricondurre l’informazione al singolo interessato. Poiché il GDPR non individua l’ammontare minimo di dati che possono esser trattati lecitamente, esiste ampio spazio di manovra per includere diverse attività svolte in ambito sanitario (ad esempio, tutte le ricerche a contenuto scientifico perseguite con finalità di beneficienza farmaceutiche ed accademiche).

Considerando, inoltre, il tenore degli articoli 47 e 157 e l’articolo 6, par.1 let. f del GDPR, i ricercatori e le organizzazioni possono fare ricerca scientifica senza chiedere il consenso dell’interessato.

Alla luce del dispositivo del nuovo Regolamento trovano applicazione nel settore della “sanità elettronica” principi come:

  • il principio della ‘trasparenza’ (che comporta la resa dell’informativa ed il relativo consenso);
  • il principio dell’accountability che sancisce che il titolare del trattamento metta in atto misure tecniche ed organizzative adeguate a garantire, ed essere in grado di dimostrare, che il trattamento è effettuato conformemente al GDPR;
  • il principio della privacy by design e by default per il quale si prevede che la tutela dei diritti e delle libertà degli interessati, con riguardo al trattamento dei dati personali, comporti l’attuazione di adeguate misure tecniche ed organizzative sia della progettazione che dell’esecuzione del trattamento stesso, onde garantire il rispetto delle disposizioni del regolamento UE 2016/679.

Per garantire il corretto uso dei dati personali sono stati introdotti vari ulteriori accorgimenti tra cui il DPIA (Data Protection Impact Assessment), un protocollo che prevede l’impiego di nuove tecnologie, considerati la natura, l’oggetto, il contesto e le finalità del trattamento, destinato ad evitare il rischio elevato per i diritti e le libertà delle persone fisiche. Inoltre, per la tracciabilità delle operazioni compiute, è stato introdotto il Registro delle attività di trattamento.

E-health, importanza della formazione 

Le questioni legate all’e-Health, come abbiamo visto, sono molteplici e complesse. Sarebbe auspicabile un profondo percorso di formazione sui temi della digital Health, a cominciare dalle facoltà di medicina e di quelle che formano altri operatori sanitari, per continuare con medici e operatori sanitari già in attività. Il coinvolgimento delle società scientifiche e di quelle di categoria potrebbe aiutare tale percorso. La formazione dovrebbe riguardare anche il cittadino e il paziente. Anche in questo caso potrebbe essere utile il coinvolgimento delle Associazioni di pazienti e quelle dei consumatori.

Numerosi studi dimostrano che gli strumenti di digital Health falliscono perché non incontrano i bisogni degli utenti. Il coinvolgimento di pazienti esperti, società scientifiche, Ordini dei medici, Associazioni di infermieri e di altre categorie di operatori sanitari nella co-creazioni di app sanitarie, tecnologia indossabile, sistemi di e-Health, sistemi di Intelligenza Artificiale, sistemi di Realtà Virtuale o Aumentata, potrebbero essere utili al raggiungimento dell’obiettivo.

L’art. 78 del Codice deontologico (tecnologie informatiche) recita che “… il medico contrasta ogni uso distorto e illusorio delle tecnologie di informazione e comunicazione di dati clinici sul versante commerciale, dell’informazione ai cittadini e della pubblicità sanitaria e si pone sempre come garante della correttezza scientificità e deontologia nell’uso dello strumento informatico”. Spetta al medico non solo conoscere gli strumenti informatici al servizio della salute, ma anche indirizzare i pazienti al loro uso corretto.

In Europa tutte le app mediche realizzate per finalità di diagnosi, cura e prevenzione sono equiparate a veri e propri dispositivi medici e come tali sottoposte a specifica regolamentazione.

Non mancano tuttavia importanti criticità in merito alla certificazione di qualità, alla privacy e ad aspetti bioetici. La materia è assolutamente attuale e le norme che la disciplinano in fase di affinamento.

Dall’esperienza che stiamo vivendo trarremo forti e chiare indicazioni su modifiche ed integrazioni da apportare alla norma, soprattutto indicando con esattezza l’atteggiamento e le regole da rispettare nel tempo ordinario e le eccezioni necessarie e giustificate che potrebbero caratterizzare i periodi di emergenza.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4