SANITA' DIGITALE

Ricetta elettronica taglia-burocrazia. Ma occhio alla privacy

L’emergenza Coronavirus mette le ali all’introduzione della e-prescription che si prepara ad affermarsi come modello definitivo anche nel post-contagio. Serve però un accurato rispetto delle normative di riferimento per scongiurare un uso improprio dei dati sanitari

31 Mar 2020
Anna Capoluongo

Avvocato, Data Protection Officer


La Sanità digitale sta accelerando, sull’onda dell’emergenza Covid-19. Ecco come si articola il nuovo processo per la ricetta elettronica fra esigenze di privacy e di semplificazione burocratica. E i punti fermi da non tradire.

Come funziona la ricetta dematerializzata

A fronte dell’emergenza sanitaria che ha travolto il mondo intero ed il nostro Paese, dovendo limitare il più possibile gli spostamenti delle persone al fine di ridurre la diffusione del Coronavirus, con ordinanza della Protezione Civile del 19 marzo 2020 è stata introdotta la possibilità di semplificare la burocrazia in merito alle ricette mediche, e così dal 20 marzo è stato accantonato il promemoria cartaceo in favore dell’invio della ricetta dematerializzata mediante mezzi tecnologici a supporto del sistema sanitario nazionale. Ma come funziona praticamente e quali profili vanno tenuti in debito conto?

“Al momento della generazione della ricetta elettronica da parte del medico prescrittore, l’assistito può chiedere al medico il rilascio del promemoria dematerializzato, ovvero l’acquisizione del Numero di Ricetta Elettronica[1].

I medici, dunque, potranno trasmettere ai propri pazienti un NRE (numero di ricetta elettronica), ossia un codice, mediante le tre differenti modalità che seguono:

  • trasmissione del promemoria in allegato a messaggio di posta elettronica, laddove l’assistito indichi al medico prescrittore la casella di posta elettronica certificata (PEC) o quella di posta elettronica ordinaria (PEO);
  • comunicazione del Numero di Ricetta Elettronica con SMS o con applicazione per telefonia mobile che consente lo scambio di messaggi e immagini, laddove l’assistito indichi al medico prescrittore il numero di telefono mobile;
  • comunicazione telefonica da parte del medico prescrittore del Numero di Ricetta Elettronica laddove l’assistito indichi al medesimo medico il numero telefonico.

Nello specifico, in caso di utilizzo di posta elettronica il promemoria non dovrà assolutamente essere inviato come testo compreso nel corpo del messaggio, ma quale allegato.

Laddove si opti, invece, per l’invio di SMS questo dovrà contenere unicamente il Numero di Ricetta Elettronica. Lo stesso accadrà in caso di preferenza per il mezzo telefonico (fisso o mobile), solo che in questo caso la comunicazione avverrà, ovviamente, mediante chiamata.

Diversamente, l’utilizzo di applicazioni per la telefonia mobile[2] permetterà in via alternativa l’invio del NRE o del codice a barre del Numero di Ricetta Elettronica.

Infine – e a latere – nel caso in cui l’assistito abbia attivato il Fascicolo sanitario elettronico (FSE), la Ricetta verrà inserita direttamente nel FSE medesimo.

E’ giusto il caso di ricordare che trattandosi di dati sanitari – e dunque di dati particolari, o “ex sensibili” se si preferisce – l’attenzione richiesta da tale specifico trattamento deve obbligatoriamente essere direttamente proporzionale alla delicatezza delle informazioni coinvolte e, pertanto, il livello di sicurezza logica ed organizzativa deve fungere da controbilanciamento alla semplificazione introdotta dalla e-prescription.

Le normative “non evitabili”

In tal senso, infatti, la protezione dei dati in sanità deve passare tramite l’osservanza delle disposizioni previste dalla normativa in materia, costituita – nel suo massimo spettro – dal GDPR, dal Codice Privacy come novellato dal D.lgs. 101/2018, dalle norme sulla sanità digitale (relative a FSE, DSE, app, etc.) e da quelle in campo di ricerca scientifica e biomedica.

LIVE STREAMING 11 GIUGNO
Security Intelligence: investire in sicurezza per prevenire i rischi
Intelligenza Artificiale
Sicurezza

Laddove si trattino dati relativi alla salute, il loro utilizzo andrà improntato, in primis, ai principi di pertinenza e non eccedenza di cui certamente all’articolo 5 del GDPR, ma anche ad esempio – guardando più in generale e alla produzione pre-esistente del Garante – al provvedimento del 12 novembre 2014, che insegnava come anche a fronte di finalità legittime la raccolta di dati sanitari[3] dovesse avvenire comunque e sempre ove strettamente necessaria e non semplicemente “by default”.

Cosa cambia sul consenso

Altri capisaldi da rispettarsi in materia sono sicuramente il divieto di diffusione che investe i dati genetici, biometrici e relativi alla salute e la necessità di fornire informazioni all’interessato, di cui agli articoli 13 e 14 del GDPR, 77-80 del Codice Privacy novellato e al provvedimento del Garante del 7 marzo 2019.

Se, da un lato, per ogni “operatore” sanitario sono state previste delle modalità differenti, “ad hoc”, è certo che tutti sono soggetti ad un medesimo e generale obbligo di informativa, da cui discende la necessità di ottenere e conservare il consenso del paziente per tutte quelle attività che non siano strettamente rientranti nelle “finalità di cura[4]”.

Pertanto, se per la prestazione sanitaria in sé e per sé non sarà necessario il consenso, qualora a questa si aggiunga, ad esempio, l’attività di inviare promemoria relativi alle prenotazioni mediche, lo stesso diventerà obbligatorio.

Nel caso di specie – e nei casi a cui tale regola potrebbe essere estesa per analogia – sarà, poi, bene riflettere sulla scelta del mezzo di invio della comunicazione, preferendo – ove possibile – una e-mail ad un “semplice” sms. Pur dovendo ottenere un consenso in entrambi i casi, infatti, viene ritenuto – anche statisticamente – che l’sms possa essere letto da soggetti terzi diversi dall’interessato più facilmente rispetto ad una mail, anche per la natura stessa del device (cellulare) su cui un sms poggia.

Inoltre, nell’optare per un sms bisognerà porre in essere le opportune riflessioni in tema di e-Privacy, avendo cura di guardare – anche ed ovviamente – all’articolo 130 del Codice Privacy come novellato.

E’ giusto il caso di ricordare che strumenti del marketing diretto sono considerati tutti quei sistemi che sfruttino la comunicazione elettronica per contattare a distanza l’interessato, e dunque i cd. sistemi automatizzati di contatto (in cui l’sms rientra a pieno titolo), per i quali è richiesto il consenso preventivo del contraente o dell’utente.

Andranno inoltre rispettate tutte le regole relative agli adempimenti privacy previsti in tema di profilazione, portabilità, privacy by design e by default, data retention, nomine, istruzioni agli autorizzati, DPIA, registro dei trattamenti, DPO (ove obbligatorio) e – last but not least – misure tecniche ed organizzative.

La compressione dei diritti individuali

Ma in tempo di emergenza sanitaria cosa accade a tali regole e precauzioni? Pur restando granitico il divieto di diffusione dei dati sanitari, in Italia si è assistito ad una “compressione” dei diritti individuali del singolo a favore di un bene più elevato.

E’ in tale prospettiva che va collocato anche l’articolo 14 del D.L. 14/2020, che si pone quale disciplina transitoria dei dati sanitari degli interessati a fronte dell’emergenza Coronavirus, valida ed applicabile sino a revoca.

“Per motivi di interesse pubblico nel settore della sanità pubblica e, in particolare, per garantire la protezione dall’emergenza sanitaria a carattere transfrontaliero determinata dalla diffusione del COVID-19 […], nonché per assicurare la diagnosi e l’assistenza sanitaria dei contagiati ovvero la gestione emergenziale del Servizio sanitario nazionale […] i soggetti operanti nel Servizio nazionale di protezione civile […] e i soggetti attuatori di cui all’articolo 1 dell’ordinanza del Capo del Dipartimento della protezione civile 3 febbraio 2020, n. 630, nonché gli uffici del Ministero della salute e dell’Istituto Superiore di Sanità, le strutture pubbliche e private che operano nell’ambito del Servizio sanitario nazionale e i soggetti deputati a monitorare e a garantire l’esecuzione delle misure disposte ai sensi dell’articolo 3 del decreto-legge 23 febbraio 2020, n. 6, convertito, con modificazioni, dalla legge 5 marzo 2020, n. 13, anche allo scopo di assicurare la più efficace gestione dei flussi e dell’interscambio di dati personali, possono effettuare trattamenti, ivi inclusa la comunicazione tra loro, dei dati personali, anche relativi agli articoli 9 e 10 del regolamento (UE) 2016/679, che risultino necessari all’espletamento delle funzioni attribuitegli nell’ambito dell’emergenza determinata dal diffondersi del COVID-19”.

In generale, quindi, le basi del trattamento dei dati particolari vengono individuate nell’interesse vitale, nell’interesse pubblico rilevante, nelle finalità di cura ad opera di un professionista vincolato al segreto e nell’interesse pubblico sanitario, ossia nell’articolo 9 c. 2 lettere c), g), h) ed i), che in tutti questi casi fa prescindere le operazioni di gestione dell’emergenza dall’ottenimento del consenso dell’interessato.

L’informativa semplificata

Si legge, infatti: “Avuto riguardo alla necessità di contemperare le esigenze di gestione dell’emergenza sanitaria in atto con quella afferente alla salvaguardia della riservatezza degli interessati, i soggetti di cui al comma 1 possono conferire le autorizzazioni di cui all’articolo 2-quaterdecies del decreto legislativo 30 giugno 2003, n. 196, con modalità semplificate, anche oralmente”.

E ancora, “nel contesto emergenziale in atto, ai sensi dell’articolo 23, paragrafo 1, lettera e), del menzionato regolamento (UE) 2016/679, fermo restando quanto disposto dall’articolo 82 del decreto legislativo 30 giugno 2003, n. 196, i soggetti di cui al comma 1 possono omettere l’informativa di cui all’articolo 13 del medesimo regolamento o fornire una informativa semplificata, previa comunicazione orale agli interessati della limitazione”.

Senza dimenticare, ovviamente, di effettuare i trattamenti ex articolo 5 del Regolamento (UE) 2016/679, di adottare tutte le misure appropriate a tutela dei diritti e delle libertà degli interessati e di prevedere apposite e specifiche istruzioni operative per gli autorizzati al trattamento dei dati sanitari.

Viene, inoltre, espressamente previsto che al termine dello stato di emergenza i soggetti di cui sopra si impegnino ad adottare misure idonee a ricondurre i trattamenti di dati personali effettuati nel contesto dell’emergenza, all’ambito delle ordinarie competenze e delle regole che disciplinano i trattamenti di dati personali.

La Regione Veneto apripista

Da ultimo, sul tema e per dovere di completezza, è il caso di ricordare che precursore in tale ambito è stata certamente la Regione Veneto con il progetto “Sanitàkmzero, mediante il quale viene reso possibile ricevere ricette farmaceutiche direttamente sul proprio smartphone.

In questo caso, l’accesso all’app è subordinato al rilascio del dovuto consenso al FSE ed all’ottenimento delle credenziali per l’accesso con strumenti telematici, di cui il codice fiscale rappresenta lo username. Il conferimento di tale dato è imprescindibile per la funzionalità dell’app, così come: nome, cognome, sesso, data di nascita, numero di cellulare, email ed informazioni amministrative. I dati facoltativi sono quelli di contatto dell’utente, qualora li voglia modificare successivamente alla fase di creazione delle credenziali di accesso. L’alternativa è l’accesso mediante SPID.

I dati dell’interessato sull’app sono resi disponibili all’utente per la sola durata di ciascun accesso e la sicurezza degli stessi è affidata all’osservanza di specifiche misure tecniche ed organizzative ex art. 32 GDPR, tra cui si annovera la criptatura dei flussi di dati tra app e FSE.

DIGITAL EVENT 18 GIUGNO
Think Digital Summit: tecnologie e trend verso una nuova normalità
Cloud
Sicurezza

Va, infine, sottolineata la funzionalità che permette all’utente di oscurare i dati e quella relativa alla gestione dei propri consensi che rende possibile la modifica e/o la revoca degli stessi.

  1. Ocdpc n. 651 del 19 marzo 2020
  2. Alla quale siano registrati tanto il medico prescrittore quanto l’assistito e che consenta lo scambio di messaggi e immagini.
  3. Nel caso di specie si trattava di dati relativi al credo religioso dei pazienti
  4. Per queste invece non è richiesto il consenso ai sensi del provvedimento del Garante del 7 marzo 2019.
@RIPRODUZIONE RISERVATA

Articolo 1 di 3