Telemedicina e privacy: è l’ora di regole ad hoc | Agenda Digitale

il punto

Telemedicina e privacy: è l’ora di regole ad hoc

Durante il lockdown ci siamo accorti dell’impatto con cui la telemedicina è entrata nelle nostre vite; assieme al progressivo aumento dei flussi di dati sanitari emerge dirompente però anche la necessità di un puntuale riassetto organizzativo e di adeguamento delle norme in materia di privacy

09 Nov 2020
Ilaria De Luca

giurista e privacy consultant


Il processo di digitalizzazione, che accompagna per necessità questa fase del Paese, si sta estendendo fino ad abbracciare compiutamente lo snodo della telemedicina. Su questo fronte, tuttavia, sono ancora molti i punti in sospeso, soprattutto sul versante privacy.

Telemedicina, di cosa parliamo

Quando parliamo di “telemedicina”, ci riferiamo ad una serie di servizi sanitari assistenziali erogati ricorrendo ad un sistema di moderne tecnologie, cioè attraverso quelle risorse dell’informatica e della telecomunicazione che siamo soliti ricondurre all’acronimo ICT (Information and Communication Technologies). Ormai sono molteplici i casi in cui il rapporto medico-paziente non sia reso possibile in presenza, ma debba svolgersi a distanza; proprio come quando, tra gli anni ’60 e ’70, il medico prestava assistenza all’astronauta americano durante una missione nello spazio e lo faceva rimanendo, in tutti i sensi, con “i piedi per Terra” (difatti, una prima applicazione di tali tecniche medico-informatiche avrebbe paternità statunitense). La telemedicina prescinde da questa distanza spaziale, pur svolgendosi a distanza, e lo fa in una maniera molto semplice: annullandola. Questo modus di operare attraverso le informazioni digitalizzate è, quindi, anche la sua forza.

La modernità consiste nel fare prevenzione, fornire una diagnosi, prestare cure ed assistenza attraverso un’evoluta strumentazione di controllo e sistemi di monitoraggio innovativi. Per “monitoraggio”, non intendiamo solo i comportamenti o l’andamento di una malattia, ma, in alcuni casi, diventa importante anche avere riguardo dell’ambiente in cui vive il nucleo familiare.

In questo contesto, il punto più fragile è anche il suo protagonista: il paziente, il malato. La persona. Si pensi a chi convive ogni giorno con problematiche complesse e chiede solo di essere protetto con misure di sicurezza a distanza che siano idonee a tutelare il particolare stato di difficoltà in cui versa.

Ricordiamoci che un paziente, prima ancora di sperare nella soluzione dei suoi problemi, sta chiedendo aiuto. E, di solito, lo fa domandando quali siano i mezzi più immediati per soccorrerlo. La telemedicina gli fornisce le premesse tecnologiche, una forma di contatto sicuramente diversa, tempestiva e comunque appropriata, ma senza necessariamente sostituire la prestazione sanitaria tradizionale. Si consideri come un vantaggio, un’integrazione, una strategia aggiuntiva: “Mi metto a tua disposizione anche quando non posso raggiungerti”.

Spesso, dietro a quello schermo, non c’è solo un’esigenza di praticità, ma la volontà di non abbandono. Diventa un supporto costante. La telemedicina non è fatta per dividere, ma per l’uomo nell’aiutare un altro uomo.

Ed è così che la telemedicina si offre come ponte verso il miglioramento delle prestazioni sanitarie, se non addirittura a renderle concretamente fruibili tout court dai soggetti a cui sono destinate.

WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

In questa chiave, la telemedicina è davvero la nuova frontiera della sanità o, forse, non troppo nuova, poiché da tempo ci conviviamo senza sfruttarne appieno il prezioso potenziale. La novità consisterebbe, piuttosto, nel trasportare l’innovazione all’interno dei sistemi nazionali socio-sanitari, confidando in un coordinamento territoriale, e soprattutto nel farla assorbire compiutamente dalle procedure con cui essi operano con approccio interdisciplinare. Inoltre, non è solo vitale provvedere alla dotazione di strutture adeguate, ma anche diffondere una vera e propria cultura della telemedicina.

Telemedicina e privacy

Si comprenderà come la progettualità, la sperimentazione e lo sviluppo diventino un punto nodale di questo argomento, con la speranza che si possa garantire l’omogeneità delle applicazioni di telemedicina ad ogni livello, affinché chi ne necessita possa effettivamente fruire di tali opportunità di best practice. È proprio l’emergenza che ci ha travolto nel periodo Sars-CoV-2 – e tuttora rappresenta una minaccia all’integrità del nostro Paese, cogliendoci spesso impreparati e quasi impotenti – a sottolineare ulteriormente l’esigenza di accelerare tale processo nel campo delle scienze telemediche. Ma diventa essenziale occuparsi anche della salvaguardia del flusso di dati generati mediante una gestione tecnicamente complessa, ma corretta, e nel rispetto della privacy, dettaglio decisamente non trascurabile che rappresenta tutt’altro che un sofisma.

Quando si parla di telemedicina, bisogna innanzitutto tener presente che siamo di fronte a dati a contenuto sanitario: sono tali le informazioni riguardanti lo “stato di salute” dell’interessato trattate dagli esercenti le professioni sanitarie o dagli organismi sanitari che agiscono come titolari/responsabili. Si tratta di dati particolari, ex “dati sensibili”, il cui trattamento è consentito dall’art. 9, paragrafo 1, del GDPR unicamente in presenza di specifici requisiti – nonostante se ne individuino le condizioni di liceità (si veda il paragrafo 2) e sia introdotta la possibilità da parte degli Stati Membri di prevedere ulteriori condizioni/limitazioni. All’art. 4, paragrafo 1, n. 15, il Regolamento 2016/679 dedica un’apposita definizione a tale categoria di dati; questa particolare considerazione da parte del legislatore comunitario realizza l’importanza di avere maggior cura di un diritto fondamentale costituzionalmente garantito come quello alla salute. Inoltre, il considerando n. 35 specifica che “Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio […]”.

I paletti del garante (in assenza di una normativa ad hoc)

Durante la pandemia, come si accennava poc’anzi, non abbiamo potuto non accorgerci dell’impatto con il quale la telemedicina è entrata nelle nostre vite e le ha supportate; il flusso informativo del dato sanitario è in progressivo aumento ed emerge dirompente anche la necessità di un più puntuale riassetto organizzativo e di adeguamento della materia in parola.

A tal proposito, va sottolineato che oggi non è ancora presente una regolamentazione ad hoc, motivo per cui dobbiamo affidarci a norme datate, anche se – è corretto precisarlo – durante l’adozione della normativa emergenziale anche il Garante Privacy si è premurato di dettare alcune specifiche. Una di queste riguarda l’indicazione secondo la quale il ricorso alle tecniche di telemedicina (per tali intendendosi App di telediagnosi, teleconsulto, teleassistenza e telemonitoraggio utilizzate dal personale medico) non implicherà la richiesta all’interessato di uno specifico consenso al trattamento dei dati personali. Tale precisazione viene motivata dall’Autorità sulla base del fatto che si tratterebbe di “una diversa modalità di svolgimento del rapporto medico-paziente” (a tal proposito, è opportuno far riferimento all’art. 9, par. 2, lett. h) e par. 3 del Regolamento). Ciò non esimerà naturalmente il titolare del trattamento dal rispetto dei principi di integrità, riservatezza ed esattezza dei dati trattati, dal fornire al paziente un’informativa completa e dall’effettuare la valutazione di impatto come prescritto dall’art. 35 del GDPR. Bisognerebbe forse chiedersi se un simile sforzo di semplificazione da parte del Garante sia valevole solo limitatamente al periodo d’urgenza. Infatti, questo discorso rimane non applicabile ad ogni altra App che, trattando dati personali, fornisca “servizi diversi dalla telemedicina o comunque non strettamente necessari alla cura” (ad esempio, si pensi alle App divulgative o create per la raccolta di informazioni sullo stato di salute di una parte della popolazione): in questi casi, il loro utilizzo potrà avvenire solo previo consenso libero, specifico, esplicito e informato dell’interessato.

L’Autorità non manca infine di ricordarci di agire secondo il cosiddetto principio di minimizzazione dei dati personali sancito dagli artt. 5 e 6 del Regolamento – quindi la raccolta dei dati deve essere limitata a quelli strettamente necessari a raggiungere le finalità del trattamento, evitando ogni informazione in eccesso – e nella valutazione del rischio nel trasferimento dei dati extra UE o a terze parti.

Tra le emergenti criticità di questo periodo storico, ravvisata a maggior ragione l’importanza di uno strumento come la telemedicina, si auspica che il legislatore o il Garante Privacy provvedano a porre il giusto accento su una materia così attuale e senz’altro meritevole di attenzione. Al momento, comunque, oltre alle osservazioni di cui sopra, è fortemente consigliabile che i professionisti di telemedicina si assicurino di adempiere:

  • agli obblighi prescritti dal D. Lgs. del 30 giugno 2003, n. 196, e quindi alla disciplina generale;
  • al costante aggiornamento della documentazione privacy;
  • alla verifica che la strumentazione utilizzata sia a norma e che i dati con essa trasmessi siano integri, coerenti e protetti dagli accessi non autorizzati o da minacce di intrusione.

A parere di alcuni, gli obblighi che la privacy impone sarebbero gravosi, non solo con riguardo alla telemedicina. Tuttavia, ci sarebbe da domandarsi: se voglio costruire un rifugio sicuro, non vale forse la pena posizionare in maniera prudente i suoi mattoni?

Prima ancora delle risposte, è essenziale farsi le domande giuste ed è forse per questo motivo che, non di rado, anche grandi multinazionali si ritrovano a pagare multe di milioni di euro per aver preferito raggiungere un risultato affrettato sacrificando, appunto, la privacy. E non è un segreto che innumerevoli soggetti giuridici italiani abbiano contribuito a portare l’Italia in cima alla lista dei Paesi europei per maggior numero di sanzioni a causa del trattamento illecito dei dati personali o per la violazione dei diritti degli interessati o ancora perché le misure di sicurezza apprestate non sono risultate sufficienti. La compliance privacy non gonfia i costi, anzi, li riduce (ed è anche lo stesso risultato prodotto nell’investire nelle tecnologie di telemedicina, con risparmi di spesa, tempo ed energie umane).

Conclusioni

In conclusione, non è mai saggio perseguire soluzioni estreme; bisognerebbe aver riguardo di operare quanto più possibile nell’ottica del giusto mezzo, secondo un equo bilanciamento, optare quindi per una soluzione di raccordo.

Oggi, la tecnologia dovrebbe innalzare barriere solo per ragioni di sicurezza, per il resto dovrebbe superarle, viaggiare lungo una superstrada che colleghi direttamente il bisogno degli attori coinvolti all’efficienza e alla praticità, ma senza farci pagare un pedaggio troppo caro in termini di privacy.

Preme, infine, ricordare come spesso il GDPR sia visto da chi ne deve rispettare le regole come uno spettro malevolo che prescrive divieti e sanzioni; tuttavia, bisognerebbe tenerne massima considerazione per lo scopo per cui si è resa indispensabile la sua nascita: seguire il percorso indicato in modo che lo si possa attuare nella maniera più corretta a tutela di tutti i soggetti coinvolti. È proprio questo il ruolo del giurista: spiegarne la ratio, laddove non sia semplice un’opera di comprensione da parte dei professionisti in sanità e in tecnologie per ricondurli al quadro normativo di riferimento come un porto sicuro.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4