Data governance in sanità: la posizione del Garante Privacy

La gestione dei dati sanitari implica scelte estremamente complesse, perché impone l’obbligo di contemperare fra loro diversi valori fondamentali.

Da un lato il diritto alla salute, enormemente agevolato dalle innovazioni tecnologiche che consentono servizi più efficienti e diffusi; dall’altro la riservatezza delle relative informazioni personali, a cui è unanimemente riconosciuto il rango di dati “ultrasensibili”.

Sebbene l’affermarsi della telemedicina comporti – anche secondo l’OCSE – significativi vantaggi nei livelli di assistenza e accesso alle cure, il trattamento della conseguente mole di dati deve perciò avvenire con la massima cautela per evitare il verificarsi di seri abusi.

Tutela delle informazioni sanitarie fra Italia e UE

Oltre ad avere entrambi rango costituzionale nell’ordinamento italiano, i diritti alla salute e alla privacy ricevono un’ampia tutela in forza delle previsioni comunitarie (non ultimo il GDPR).

Ad arricchire il quadro nazionale in materia è intervenuta la recente approvazione delle Linee guida per i servizi di telemedicina.

Grazie alle rilevanti risorse sbloccate dal PNRR nell’area d’iniziativa “Missione Salute” si prevede di incentivare la generale trasformazione digitale del Servizio sanitario nazionale e di perseguire specifici obiettivi, fra i quali:

• la costruzione del Nuovo Sistema Informativo Sanitario (NSIS);
• lo sviluppo della Infrastruttura Nazionale di Telemedicina entro il 2024;
• l’implementazione in tutte le Regioni italiane del Fascicolo sanitario elettronico (FSE) entro il 2026.

Nel medesimo campo, assume poi grande importanza la proposta di regolamento UE per la creazione dello Spazio europeo dei dati relativi alla salute (European Health Data Space – EHDS). Ribadendo la costante esigenza di garantire un’adeguata protezione alle informazioni riservate in tema di salute, la proposta richiama espressamente le previsioni del GDPR e delle due direttive NIS.

Il testo, attualmente al vaglio della Commissione, si dà l’obiettivo di costituire “uno spazio comune in cui le persone fisiche possano facilmente controllare i propri dati sanitari elettronici” e consentire “a ricercatori, innovatori e responsabili delle politiche di utilizzare tali dati sanitari elettronici in un modo affidabile e sicuro che tuteli la privacy”, nonché di “contribuire alla creazione di un autentico mercato unico per i prodotti e i servizi di sanità digitale tramite l’armonizzazione delle norme, incrementando così l’efficienza dei sistemi di assistenza sanitaria”.

Il contributo del Garante dei dati personali

Tornando all’Italia, l’Autorità nazionale per la privacy è da sempre incline ad attribuire alle informazioni relative alla salute una tutela molto ampia e negli ultimi anni è spesso intervenuta sanzionando numerose aziende – sanitarie o meno – per illecito trattamento delle stesse.

Il suo compito sembra farsi, però, via via più arduo in ragione dell’intricato quadro regolatorio in materia.

Recentemente anche la Vice Presidente Cerrina Feroni, richiamando nel corso di un’iniziativa pubblica la citata proposta europea, ha sottolineato che “per garantire il mantenimento di un livello accettabile di sicurezza e il controllo sui propri dati da parte degli interessati, sarà necessario che la regolamentazione sia iscritta con coerenza e chiarezza nel sistema delle fonti sovra-nazionali e nazionali, senza diminuire le garanzie già esistenti che tutelano la nostra privacy nella così intima sfera della salute”.

Una conferma di come la gestione dei dati sanitari ma, più in generale, il rapporto tra mondo eHealth e tutela della privacy debba procedere attraverso interventi ponderati sulla molteplicità e delicatezza degli interessi coinvolti, includendo idonee misure di cybersecurity a ogni livello per garantirne la miglior difesa.