"Infografica sulla gestione del cambiamento software in ambito sanitario: rischi per la sicurezza informatica, impatto sull'eHealth, protezione dei dati sensibili e strategie di mitigazione per le Aziende sanitarie.

Privacy e salute nella società digitale

I dati personali rappresentano un bene la cui importanza strategica è percepita sempre più sia da parte di enti pubblici, che li ritengono indispensabili per perseguire finalità istituzionali, sia da parte di soggetti privati, che, invece, puntano a sfruttarne l’enorme potenziale economico.

Dunque, è proprio dinanzi a forme indiscriminate e incontrollate di circolazione di dati che occorre riaffermare con forza la tutela della dignità dell’individuo nelle circostanze e situazioni in cui è maggiore la sua vulnerabilità.

La dignità, appunto, come difesa dalla circolazione indiscriminata di informazioni personali, che si intreccia ontologicamente con ogni aspetto della vita umana. Tra questi certamente assumono particolare rilievo le circostanze che vedono l’individuo come paziente all’interno delle strutture sanitarie e ospedaliere, nell’ambito delle quali il livello di vulnerabilità, sia in termini fisici che psicologici, è certamente di tutta evidenza.

In queste circostanze la tutela della persona trova primaria realizzazione nella garanzia del diritto fondamentale alla salute, che l’articolo 32 della Costituzione riconosce simultaneamente come “diritto dell’individuo e interesse della collettività”. In questa disposizione costituzionale, peraltro, la dignità trova collocazione anche in una seconda accezione; essa infatti si chiude affermando che: “la legge non può in nessun caso violare i limiti imposti dal rispetto della persona umana”.

Tutela della salute e protezione dei dati personali rappresentano, pertanto, un binomio inscindibile, che deve essere implementato nella sua pienezza, altrimenti la garanzia di cui all’art. 32 Cost. non potrà mai considerarsi realizzata. Un binomio che si inscrive nella dignità della persona e nei diritti inviolabili di cui all’art. 2 della Costituzione, con il quale il legame è duplice, e quindi ancora più saldo. In termini generali, infatti, quando nell’ordinamento costituzionale due interessi primari si trovano a confrontarsi, la regola di composizione sta nel bilanciamento tra gli stessi: si tratta cioè di individuare il punto di equilibrio che consenta a entrambi questi interessi di realizzarsi, senza che ciò vada eccessivamente a detrimento dell’uno o dell’altro. Ma nel nostro caso, la naturale ricerca del bilanciamento porta con sé la necessità di individuare soluzioni, anche di carattere pratico, in grado di assicurare la tutela della salute, proteggendo al contempo i dati personali dell’individuo.

Una ricerca che diviene tanto più urgente e necessaria, quanto più aumenta l’informatizzazione nell’ambito della gestione dei ricoveri e dei percorsi di cura e assistenza, come dimostrano la diffusione di fascicolo e dossier sanitario elettronico.

Per questi motivi la ricerca del bilanciamento viene operata anche nel senso di limitare il più possibile le situazioni di rischio ed esposizione per i dati personali in tutte le fasi di trattamento. In altre parole, la “privacy by default” che rappresenta al momento una moderna concezione di data protection, lungi dal costituire un ostacolo all’erogazione delle necessarie cure, rappresenta, al contrario, un modo imprescindibile affinché la stessa garanzia della salute possa pienamente esplicarsi.

Questa concezione moderna del sistema di protezione dei dati personali trova radicamento nella constatazione secondo cui le persone hanno bisogno di provare fiducia nei confronti delle strutture cui affidano se stessi, e i propri dati personali: se il cittadino è rassicurato sul fatto che la struttura ospedaliera custodisce in maniera sicura i miei dati e non li rende accessibili a chi non abbia alcun titolo, allora egli si affiderà con più fiducia alle cure erogate dal proprio personale medico- sanitario, rafforzando lo stesso fondamentale rapporto tra paziente e medico curante.

Non possiamo peraltro scordare che su questo terreno si incrociano costantemente non solo i due predetti diritti fondamentali, ma anche altre priorità dettate dall’agenda politico-economica del momento: l’efficientamento dei servizi, la semplificazione delle operazioni, la riduzione di tempi e costi. Nell’epoca della spending review non ci possiamo nascondere come il processo di digitalizzazione costituisca una strada necessaria e non procrastinabile per lo sviluppo e l’ammodernamento del nostro Paese.

Nell’approcciarsi a questo delicato incrocio di esigenze e spinte contrapposte, il Garante per la protezione dei dati personali ha sempre cercato di muoversi con equilibrio, realmente convinto che la tutela della privacy rappresenti, oltre ad un ineliminabile momento di salvaguardia della dignità della persona, un quid pluris nell’erogazione dei servizi primari ai cittadini.

Non c’è conflitto tra privacy e salute se si pensa, per esempio, che la garanzia dell’esattezza dei dati inseriti nel dossier sanitario, principio cardine del Codice privacy, è al contempo una delle precondizioni fondamentali perché al paziente siano erogate le giuste cure. Se sono esatte sono le informazioni sullo stato clinico del paziente, allora più appropriate saranno le diagnosi, le prognosi e le terapie da prescriversi; al contrario, se le prime dovessero rivelarsi non corrette, allora si rischierebbe non solo di non curare l’assistito, ma anche di aggravarne lo stato patologico.

In questo delicato contesto si esplica l’attività del Garante per la protezione dei dati personali; in particolare, quello della sanità elettronica è un settore a cui il Garante ha sempre guardato con estrema attenzione e in cui, da ultimo, è intervenuto proprio con le Linee guida in materia di Dossier sanitario (provvedimento del 4 giugno 2015, reperibile su http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/4084632).

Cos’è, dunque, il dossier sanitario?

Si tratta di una banca dati contenente tutte le informazioni sullo stato di salute dei pazienti in relazione ad eventi clinici presenti e trascorsi (come ad esempio, i referti medici, la documentazione relativa a ricoveri, gli accessi al pronto soccorso, ecc.), accessibili agli operatori sanitari al fine di consentire loro di conoscere immediatamente la storia clinica dei pazienti che hanno in cura, e quindi di effettuare le migliori diagnosi e prognosi. Il dossier sanitario si distingue dal Fascicolo sanitario elettronico (Fse) in quanto titolare del trattamento è la struttura presso cui è stato costituito (che sia una Asl o un’Azienda ospedaliera); invece, il Fse ha un ambito di riferibilità territoriale di carattere regionale, in questo modo racchiudendo i dati sanitari originati da più strutture.

Dal punto di vista normativo, nel 2012 il legislatore aveva apprestato una disciplina per il solo Fse (Art. 12 d.lgs. 179/2012), rinviando ad appositi regolamenti per quanto riguarda gli aspetti di dettaglio. Il primo di questi regolamenti è stato da poco emanato (D.P.C.M. 29 settembre 2015, n. 178) e registra il contributo decisivo fornito dall’Autorità, la quale ha prima fornito precise indicazioni al tavolo tecnico, e poi rilasciato parere positivo sullo schema di decreto in questione (Parere del 22 maggio 2014, doc. web n. 3230826). Per esempio, sono state recepite dal Governo le osservazioni concernenti il delicato aspetto del consenso dell’interessato, come la precisazione che per l’alimentazione del Fse e l’accesso ad esso servano consensi distinti, oppure la necessità di uno specifico consenso all’alimentazione del Fse con riguardo ad alcune informazioni particolarmente delicate (stato di sieropositività, interruzione volontaria di gravidanza, violenza sessuale, pedofilia, uso di sostanze stupefacenti, parto in anonimato, attività dei consultori).

Invece, sul piano del dossier sanitario la disciplina normativa primaria è inesistente e quindi il livello di problematicità più critico e diffuso. La stessa Autorità lo ha riscontrato nel corso delle ispezioni che ha iniziato a condurre dal 2013 nei confronti di alcune realtà ospedaliere. La principale criticità registrata attiene alla circostanza per cui, all’interno delle strutture oggetto di controllo, era consentito, anziché una limitazione/ gradazione degli accessi ai dati archiviati, un accesso generalizzato e indifferenziato di tutti gli operatori sanitari, indipendentemente dal fatto che questi fossero o meno coinvolti nel processo di cura dei pazienti interessati; in alcune situazioni gli accessi venivano effettuati addirittura dal personale amministrativo, che invece ne avrebbe dovuto essere estraneo.

Di fronte ad una situazione così deficitaria, il Garante ha recentemente approvato proprio le nuove Linee guida, le quali si ispirano essenzialmente a tre principi.

In primo luogo, la certezza dell’origine del dato: deve essere chiaro quali sono i soggetti abilitati ad inserire informazioni nel dossier sanitario e in relazione a quale processo di cura, al fine di imputare correttamente le responsabilità mediche (e quindi anche deontologiche, civili, amministrative, penali).

In secondo luogo, l’esattezza del dato: non bisogna infatti scordare che se i dati inseriti non sono corretti, oppure se vengono successivamente manipolati, il problema non si pone solo sul piano della violazione della privacy, ma soprattutto in quanto può venire seriamente alterata la valutazione operata dal medico curante, col realistico rischio che da una diagnosi errata possa conseguire una prognosi dannosa, e quindi lesiva della stessa incolumità (o vita) del paziente.

In terzo ed ultimo luogo, l’accessibilità al dato da parte del solo personale autorizzato: si tratta di una garanzia fondamentale per assicurare quella fondamentale tutela della dignità della persona che viene in gioco negli ambienti ospedalieri più che altrove, dove vengono trattate le informazioni più intime in assoluto.

Sulla base di questi principi ispiratori, le attuali Linee guida intendono preservare la libertà del paziente di scegliere se far costituire o meno il dossier, con la garanzia che la mancanza del consenso non intacca minimamente l’erogazione delle cure necessarie; il professionista, in quest’ultimo caso potrà utilizzare i dati raccolti in quel momento oppure durante eventuali prestazioni fornite in passato. Inoltre, l’alimentazione del dossier sanitario con informazioni particolarmente delicate (stato di sieropositività, interventi di interruzione volontaria della gravidanza, effetti di atti di violenza sessuale o pedofilia ecc.) sarà sottoposto ad un ulteriore e specifico consenso del paziente.

Perché questa scelta sia libera, reale e consapevole occorre che l’interessato sia previamente e adeguatamente informato su tutti gli aspetti connessi al dossier, e in particolare sui soggetti abilitati ad accedervi e sulle operazioni che vi potranno essere compiute.

Per altro verso, le novità più rilevanti di questo provvedimento risiedono nella previsione di due obblighi, verso i quali le strutture sanitarie sono tenute all’adempimento a pena di sanzione amministrativa.

La prima indicazione di carattere precettivo è costituita dalla comunicazione di violazione dei dati personali (cd. data breach): qualora l’ente ospedaliero si renda conto che vi è stata una violazione dei dati personali contenuti nel dossier sanitario, o anche un incidente informatico che possa comunque esporli a rischio di violazione, allora è tenuto a comunicare questo evento all’Autorità entro 48 ore dalla conoscenza del fatto. La seconda prescrizione consiste nel diritto alla visione degli accessi: al fine di consentire all’assistito di verificare personalmente, tramite accesso ad una sezione particolare del proprio dossier sanitario, se vi siano stati accessi abusivi al dossier stesso, il titolare del trattamento deve consentirgli in breve tempo di prendere visione di informazioni quali la data e l’ora degli accessi effettuati e il reparto di provenienza del soggetto che abbia acceduto – senza però che venga a conoscenza del nominativo. Tale facoltà si aggiunge ai tradizionali diritti di accesso, modifica, integrazione, ecc., che rappresentano una delle prime conquiste in termini di autodeterminazione informativa.

In conclusione, l’attività di protezione dei dati personali oggi comporta sempre la ricerca di soluzioni complesse ma mirate a soddisfare con equilibrio tutti gli interessi che sono in gioco: nel caso in esame la salute coniugata alla protezione dei dati personali.

Entrambe tali esigenze, d’altra parte, mirano sostanzialmente allo stesso risultato: la piena realizzazione della persona e la tutela della sua dignità.

A cura di Licia Califano, Componente del Collegio del Garante per la protezione dei dati personali Professore ordinario di Diritto costituzionale, Dipartimento di Giurisprudenza, Università degli studi di Urbino Carlo Bo.

Articolo pubblicato sulla rivista ICT Security – Novembre/Dicembre 2015

Condividi sui Social Network:

Ultimi Articoli