Privacy e sanità

Covid-19, ecco il kit normativo d’emergenza previsto dal GDPR

L’esplosione del contagio fa emergere una serie di incompatibilità fra regolamentazione del consenso e gestione di Fascicoli e Dossier sanitari elettronici. Possibili rallentamenti nella continuità di cura. Ecco i punti deboli e le maglie normative su cui agire

26 Mar 2020
Giorgia Benatti

Dottoressa in Legge

Vittorio Colomba

Avvocato esperto in diritto delle nuove tecnologie e protezione dei dati personali


L’Italia adesso affronta una sfida sanitario-normativa. Fare funzionare al meglio la Sanità, con tutta la forza dei dati digitali, gli strumenti del fascicolo sanitario elettronico e dossier sanitario elettronico, senza ritardi e ostacoli, pur restando nei limiti di quanto previsto dalle regole privacy GDPR.

Sappiamo però che il regolamento europeo prevede anche la possibilità, da parte dei Governi, di deroghe sul Gdpr per favorire la piena efficacia di telemedicina e teleassistenza durante un’emergenza sanitaria come quella che l’Italia sta vivendo, a causa del coronavirus.

Base giuridica del trattamento dati

E’ una sfida perché di base, in tema di trattamento delle “categorie particolari di dati” (ex art. 9 GDPR), tra cui rientrano anche quelli relativi alla salute, vige un generale divieto, derogato solamente in presenza di condizioni tassativamente previste dall’art. 9, par. 2 GDPR, che – al pari di quelle ex art. 6, par. 1 GDPR – si pongono in un rapporto di equipollenza con il consenso dell’interessato. Le condizioni legittimanti il trattamento in ambito sanitario – anche in assenza del consenso dell’interessato – sono riconducibili, in via generale, ai trattamenti necessari ai sensi dell’art. 9, par. 2, lettere g), h), i) e par. 3 GDPR.

Vero ciò, il consenso esplicito dell’interessato deve necessariamente essere acquisito dal Titolare del trattamento laddove il trattamento non sia strettamente necessario al perseguimento delle specifiche finalità di cura[1]. Rientrano in tali ipotesi[2] i trattamenti effettuati attraverso il Fascicolo Sanitario Elettronico (FSE) e il Dossier Sanitario Elettronico (DSE).

Il Fascicolo sanitario elettronico

Il FSE è l’insieme dei dati e dei documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi riguardanti l’assistito[3], nell’ambito di tutte le strutture sanitarie nazionali, istituito da regioni e province autonome e volto a perseguire le finalità – esplicitate nell’informativa ai sensi dell’art. 13 GDPR – di:

  • prevenzione, diagnosi, cura e riabilitazione – da parte del SSN e dei servizi socio-sanitari regionali che prendono in cura l’assistito -;
  • studio e ricerca scientifica in campo medico, biomedico ed epidemiologico;
  • programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria. Tali finalità, così come quelle di cui supra alla lett. b), sono perseguite dalle regioni e dalle province autonome, nonché dal Ministero del lavoro e delle politiche sociali e dal Ministero della salute nei limiti delle rispettive competenze ex lege, conformemente ai principi di proporzionalità, necessità e indispensabilità del trattamento dei dati personali.

Alla luce della normativa vigente e salvo tassative eccezioni[4], per l’istituzione e la piena operatività del FSE è necessario il consenso espresso, libero[5] e informato dell’assistito che deve riguardare in modo specifico, autonomo e distinto:

  • l’alimentazione del FSE, per poter includere nel Fascicolo dati e documenti relativi alle prestazioni – anche pregresse – erogate all’interessato al fine di delinearne la storia clinica (che trova la sua massima sintesi nel c.d. “Patient Summaryex art. 3 D.P.C.M. 29 settembre 2015, n. 179, c.d. “Decreto attuativo”);
  • la consultazione – per finalità di cura – del FSE, per rendere il Fascicolo accessibile a tutti i professionisti che, a vario titolo, prendano in cura l’interessato. In mancanza di tale consenso, il FSE sarà consultato solo per fini di ricerca e di governo e nel rispetto delle predette condizioni.

I contenuti del FSE sono costituiti da un nucleo minimo – necessario – di dati e documenti e da informazioni integrative che arricchiscono il Fascicolo[6]. L’accesso agli stessi deve essere garantito, secondo le modalità di cui al Decreto attuativo (artt. 9, 13, 17, 20), vuoi al cittadino, in forma protetta e riservata, vuoi ai titolari dei trattamenti per le finalità supra esposte. In particolare, per le finalità di cura, l’accesso da parte dei soggetti del SSN e dei servizi socio-sanitari regionali è consentito solo se:

  • l’assistito ha espressamente acconsentito all’accesso al FSE e alla sua consultazione;
  • le informazioni da trattare sono esclusivamente quelle pertinenti al processo di cura in atto;
  • i soggetti che accedono sono effettivamente coinvolti nel processo di cura.

Il Dossier sanitario elettronico

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Il DSE è l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato e si differenzia dal FSE per la sua operatività ristretta. Infatti, è costituito presso un organismo sanitario, unico Titolare del trattamento, al cui interno operano più professionisti che mettono in condivisione i dati riguardanti l’assistito al fine di documentare parte della storia clinica, rendere più efficienti processi di diagnosi e cura del paziente all’interno della struttura sanitaria e offrirgli un migliore processo di cura.

Le Linee Guida in materia di Dossier sanitario del 2015[7] richiedono espressamente il consenso dell’interessato alla costituzione del DSE, dunque alla sua implementazione e consultazione. In mancanza del consenso, da un lato valgono le considerazioni già esposte in tema di FSE (nt. 5), dall’altro lato il medico avrà a disposizione solo le informazioni rese dal paziente in quel momento o in precedenti prestazioni fornite dallo stesso professionista.

Così come richiesto anche con riferimento al FSE, è necessario un consenso autonomo e specifico per l’introduzione nel DSE di informazioni particolarmente delicate e meritevoli di maggior tutela da parte dell’ordinamento (a titolo esemplificativo: infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia).

Per consentire al paziente di scegliere in modo libero e consapevole, la struttura deve, in sede di informativa privacy, indicare chiaramente i soggetti che avranno accesso ai dati mediante la consultazione del DSE – generalmente il solo personale sanitario coinvolto nella cura – e le operazioni che l’interessato potrà compiere nell’esercizio dei suoi diritti.

Fse/Dse e consenso: punti di attrito

Il trattamento di dati sanitari effettuato attraverso FSE e DSE, mediante la concreta condivisione di informazioni, da un lato permette di migliorare la prestazione sanitaria in termini di velocità ed economicità (riducendo costi e distanze), dall’altro lato rende più efficienti i processi di diagnosi e cura – sia ordinaria che di emergenza -, garantendo una continuità di cure, siano queste erogate da una singola struttura sanitaria o da diverse strutture.

Consenso e coronavirus

In un contesto in cui – anche e soprattutto alla luce dell’attuale situazione emergenziale per il contenimento e la gestione dell’emergenza epidemiologica da COVID-19la teleassistenza e la telemedicina sono sempre più necessarie, appare evidente come legittimare i trattamenti di dati mediante FSE e DSE sulla sola base del consenso dell’interessato, strida con l’efficacia e la concreta utilità di tali strumenti.

Ciò in quanto l’esercizio del diritto di revoca “dei consensi”, pienamente riconosciuto all’assistito, comporterebbe – con particolare riferimento al FSE – da un lato l’interruzione dell’alimentazione del Fascicolo e, dall’altro lato, l’impossibilità per i professionisti sanitari precedentemente autorizzati di consultare i dati integranti il Fascicolo stesso.

Lo stesso Garante ritiene possibile[8], alla luce del nuovo contesto normativo, un’eventuale opera di rimeditazione normativa in ordine all’eliminazione della necessità di acquisire il consenso dell’interessato e contestuale estensione dell’ambito di applicazione delle condizioni legittimanti di cui alle lettere g), h), i) dell’art. 9 GDPR. Ciò anche in virtù del fatto che la posizione dell’interessato è assistita dalla piena titolarità di tutti i diritti riconosciuti vuoi dagli artt. 15 e ss GDPR, vuoi dalla normativa specifica.

Per questo probabilmente servirà un decreto, ora in fase di elaborazione da parte del governo.

Invero, all’assistito è riconosciuto il diritto di oscurare talune informazioni, sia prima dell’alimentazione di FSE/DSE che successivamente, garantendone la consultabilità esclusivamente allo stesso e ai titolari che hanno generato tali informazioni (art. 8 Decreto attuativo) e il diritto di visionare gli accessi e le consultazioni del proprio FSE o DSE.

La sfida che tutti gli attori istituzionali si dovrebbero porre, dunque, è quella di assicurare il buon funzionamento del sistema sanitario sia in termini di efficacia che di efficienza ed equità nel rispetto dei diritti fondamentali dell’individuo – in primis quello alla tutela dei dati personali – alla luce della centralità di strumenti quali FSE e DSE e nell’ottica dell’interesse pubblico ad una sanità sempre più tecnologica e digitale.

WHITEPAPER
Molto di più di una Tessera Sanitaria: scopri di più nel white paper!
PA
Sanità

Note

  1. I trattamenti con finalità di cura sono – alla luce del Provv. del Garante n. 55 del 7 marzo 2019 – quei trattamenti che perseguono finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale, ovvero di gestione dei sistemi e servizi sanitari o sociali. Sono tali i trattamenti effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.
  2. Per un’esemplificazione di tali ipotesi V. Provv. del Garante n. 55/2019 cit.
  3. Definizione ex art. 12 D.l. 18 ottobre 2012, n. 179, convertito, con modificazioni, dall’art. 1, c. 1, Lg. 17 dicembre 2012, n. 221. ↑
  4. Limitatamente alle finalità di cura, qualora sia indispensabile per la tutela della salute di un terzo o della collettività, il FSE può essere consultato anche senza il consenso dell’assistito nel rispetto della normativa in materia di Privacy e dell’Autorizzazione generale del Garante n. 2/2016.
  5. è necessario esplicitare in sede di informativa privacy – ex art. 13 GDPR – che il mancato consenso o la successiva revoca dello stesso non comporta conseguenze in ordine all’erogazione delle prestazioni del SSN e dei servizi socio-sanitari.
  6. I contenuti del FSE sono specificati dall’art. 2 Decreto attuativo.
  7. Provv. n. 331 del 4 giugno 2015.
  8. Provv. n. 55 del 7 marzo 2019, cit.
@RIPRODUZIONE RISERVATA

Articolo 1 di 4