Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

normativa in sanità

Gdpr e laboratori di analisi: che cambia per la privacy

Anche i laboratori di analisi sono tenuti a garantire la sicurezza e la riservatezza dei dati trattati. Vediamo quali sono gli aspetti critici della attività svolte e quali profili organizzativi e gestionali rispondono meglio alle necessità legate alla compliance Gdpr

01 Ott 2018

Giovanni Maglio

avvocato, responsabile eHealth e Privacy del L.E.G. (Laboratorio eGovernment) dell’Università del Salento


La sfida dell’adeguamento alle previsioni del Gdpr coinvolge anche il settore dei Laboratori di analisi (pubblici o privati, accreditati o meno), spesso realtà piccole o piccolissime che, però, costituiscono un tassello fondamentale per il sistema sanitario. Vediamo gli aspetti critici del trattamento dei dati personali in questo settore.

Un nuovo approccio alla compliance GDPR

La pubblicazione del D. L.vo n. 101/2018, di modifica del Codice Privacy, è stata l’occasione per rinvigorire il dibattito e alimentare il turbine frenetico della corsa all’adeguamento, ormai in atto da qualche tempo, ma che ha raggiunto picchi di elevata intensità a ridosso del famoso 25 maggio 2018.

In particolare, si sta gradualmente componendo anche il grande mosaico della Sanità, specie quello più enfaticamente definito “digitale”, che rappresenta uno dei settori più coinvolti nella corsa all’adeguamento, spesso vista, in maniera un po’ miope, come il solito noioso adempimento burocratico consistente nel riempire documenti (magari elettronici) per togliersi il pensiero e scaricare sul consulente di turno il compito di farlo.

Invece, una delle più importanti novità introdotte dal nuovo quadro normativo è stata proprio quella di cambiare completamente l’approccio alla compliance al GDPR, rendendola più sostanziale e proattiva rispetto alla visione tradizionale formalistica e statica, potendo avere l’occasione per fotografare la propria organizzazione e, auspicabilmente, migliorarne i processi attraverso semplificazione, innovazione e digitalizzazione.

Le nuove previsioni normative in tema di dati sanitari

Tuttavia, le nuove previsioni normative in tema di trattamento dati relativi alla salute, introdotte dal tanto atteso decreto legislativo n. 101/18, di coordinamento del Codice Privacy con il Regolamento Europeo 679/16, non forniscono un riferimento solido su cui poter strutturare modelli organizzativi completi, in quanto si pongono come un ponte verso l’ulteriore attesa messianica dell’emanazione delle misure di garanzia, così come previsto dall’art. 2 septies del novellato Codice.

Con tale articolo, rubricato “Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute”, il Legislatore interno ha esercitato quella specifica delega che il Regolamento ha conferito in tema di dati sanitari, genetici e biometrici, prevedendo che tali categorie particolari di dati possono essere oggetto di trattamento in presenza di una delle condizioni di cui al paragrafo 2 dell’art. 9 del Reg. Ue (che indica le loro basi giuridiche) ed in conformità alle misure di garanzia disposte dal Garante.

I compiti dell’Autorità

Più in dettaglio, il delicato compito che spetta all’Autorità di controllo consisterà nell’adozione di un provvedimento che stabilisca le suddette misure di garanzia, tenendo conto:

  • delle linee guida, delle raccomandazioni e delle migliori prassi pubblicate dal Comitato europeo per la protezione dei dati e delle migliori prassi in materia di trattamento dei dati personali;
  • dell’evoluzione scientifica e tecnologica nel settore oggetto delle misure;
  • dell’interesse alla libera circolazione dei dati personali nel territorio dell’Unione europea.

Il coinvolgimento degli stakeholder

Il comma 3 prevede, con una tecnica ormai ampiamente usata in materia di regole tecniche e linee guida, che lo schema di provvedimento venga sottoposto a consultazione pubblica per un periodo non inferiore a sessanta giorni.

Sarà, pertanto, importante che il variegato mondo della Sanità partecipi fattivamente alla consultazione per contribuire alla redazione del provvedimento, in maniera da sostenere il Garante nel gravoso compito, con l’obiettivo comune di risolvere concretamente i complessi problemi operativi che complicano la lineare applicazione delle norme in un settore così delicato e dai pericolosi risvolti sui diritti degli interessati, da un lato, e sugli assetti organizzativi dei titolari, dall’altro.

Inoltre, in modo da poter coinvolgere pressoché tutti gli stakeholder del sistema salute, le misure dovranno essere adottate sentito il Ministro della salute che, a tal fine, acquisisce il parere del Consiglio superiore di sanità.

Le misure di garanzia dovranno, poi, essere riviste con cadenza almeno biennale. Ciò sembra assolutamente in linea con la necessità di adeguamento continuo all’avanzare del progresso e dell’innovazione, ma soprattutto con le previsioni del GDPR in materia di monitoraggio delle misure di sicurezza.

Misure di garanzia e cautele

Un aspetto molto importante, riguarda altri ambiti in cui le misure di garanzia dovranno indicare le cautele da adottare relativamente a:

  • contrassegni sui veicoli e accessi a zone a traffico limitato;
  • profili organizzativi e gestionali in ambito sanitario;
  • modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute;
  • prescrizioni di medicinali.

Il secondo punto appena riportato è di fondamentale importanza per creare un quadro organizzativo e gestionale quanto più omogeneo possibile, e appare oltremodo opportuno in un settore che dell’interoperabilità dovrebbe fare una delle priorità imprescindibili (ad esempio, per la reale efficacia del FSE).

La sfida del modello organizzativo, i laboratori di analisi

Ed è proprio il modello organizzativo a costituire una delle sfide più concrete dell’adeguamento, dovendo coniugare la conformità ad una normativa ben precisa, ma al tempo stesso che consenta grande elasticità e personalizzazione delle misure organizzative da adottare nella propria realtà, sulla base delle diverse esigenze dimensionali ed operative.

Si prenda, ad esempio, il settore dei Laboratori di analisi (pubblici o privati, accreditati o meno), in cui spesso ci si trova davanti a realtà piccole o piccolissime che, però, costituiscono un tassello fondamentale per il sistema sanitario, rappresentando il complemento alla clinica attraverso l’interazione con il medico che ha in cura il malato, completandone il suo iter diagnostico e terapeutico.

Tali Laboratori sono in genere strutturati in base alle disposizioni del D.P.C.M. 10.02.1984, che richiede l’organico minimo del personale in almeno cinque unità:

– un direttore medico o biologo, iscritto al relativo albo ed in possesso della specializzazione;

– un collaboratore laureato in medicina o biologia o chimica;

– un tecnico di laboratorio diplomato;

– un ausiliario con mansioni esecutive;

– un addetto all’attività amministrativa.

Tali figure, che operano sotto la responsabilità del Titolare, nell’ambito dell’organigramma privacy, dovranno essere appositamente autorizzate al trattamento e, alcune di loro, anche designate al compimento di specifici compiti e funzioni, con il supporto dell’eventuale DPO/RPD.

Gli operatori dei Laboratori moderni, infatti, sono tutti dotati di un software gestionale (spesso interfacciato con i vari macchinari) del quale usano le funzionalità in maniera avanzata, ma, a volte, inconsapevolmente rispetto ai reali rischi che tale attività informatica comporta.

I rischi della consegna telematica dei referti

Alcune ipotesi frequentemente ricorrenti sono quelle delle modalità telematiche di consegna del referto, che nella maggior parte dei casi ha sistemi di autenticazione informatica poco in linea con le rigorose previsioni di sicurezza e che potrebbero essere risolte attraverso l’integrazione con il F.S.E. (Fascicolo Sanitario Elettronico), consentendo ai Laboratori di poterlo alimentare.

Altri aspetti critici sono quelli relativi alla durata della conservazione dei referti (che può dare vita a veri e propri dossier sanitari) e nella gestione degli esami esternalizzati (c.d. in “service”), specie per quanto riguarda la movimentazione dei campioni biologici.

A tale ultimo riguardo, vale la pensa evidenziare come il Considerando n. 35 del Regolamento afferma che nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro.

Un responsabile del trattamento esterno

A tal proposito, sarà opportuno prevedere apposite cautele attraverso la nomina del soggetto esterno quale responsabile del trattamento e armonizzando la procedura per la gestione di eventuali data breach.

Particolare attenzione dovrà essere posta ai vari casi in cui per eseguire un trattamento è richiesto il (previo) consenso dell’interessato, da quelli in cui non è necessario acquisirlo.

La richiesta del consenso deve essere presentata in modo distinto da altre richieste, in forma comprensibile e facilmente accessibile, utilizzando un linguaggio semplice e chiaro.

Il provvedimento contenente le misure di garanzia sarà, inoltre, molto importante, in quanto il co. 5 stabilisce che le misure di garanzia sono adottate avendo riguardo alle specifiche finalità del trattamento e possono individuare ulteriori condizioni, le misure di sicurezza, ivi comprese quelle tecniche di cifratura e di pseudonimizzazione, misure di minimizzazione, specifiche modalità di accesso selettivo ai dati per rendere le informazioni agli interessati, nonché eventuali altre misure necessarie a garantire i diritti degli interessati.

Tecniche biometriche di riconoscimento

Infine, un’ultima previsione dell’art. 2 septies consentirà di utilizzare i dati biometrici con riguardo alle procedure di accesso fisico e logico ai dati da parte dei soggetti autorizzati, nel rispetto delle misure di garanzia. Ciò significa che nei Laboratori sarà possibile introdurre tecnologie biometriche (ad esempio le impronte digitali) per controllare e regolare gli accessi ai locali contenenti dati sanitari e genetici.

I Laboratori di analisi, quindi, devono essere diretti ed organizzati da un esperto di metodi analitici e di variabilità biologica, preanalitica ed analitica, nell’ottica del medico che ha bisogno di tutte le possibili informazioni cliniche, strumentali e biochimiche per una corretta diagnosi, terapia, e follow-up, ma anche con un occhio al rispetto dei diritti e della dignità del paziente che quasi sempre è (più che comprensibilmente) attento solo alle sue esigenze di salute rispetto a quelle altrettanto importanti di tutela del proprio patrimonio informativo costituito principalmente dai preziosissimi dati personali relativi alla salute.

E siccome il sistema globale di protezione dei dati personali che la normativa europea intende rafforzare può funzionare solo se ogni piccolo componente partecipa adeguatamente, è necessario che tutte le organizzazioni coinvolte, nel loro piccolo, contribuiscano a irrobustire tale sistema aumentando la fiducia degli utenti.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4