sanità digitale e PNRR

Assistenza Domiciliare, telemedicina e COT: quale base giuridica per far circolare i dati

Per potenziare la sanità territoriale attraverso la realizzazione di Case e Ospedali di Comunità e la creazione delle Centrali Operative sul Territorio, serve che anche i dati girano tra le diverse componenti del sistema. Agenas ha chiarito come trattare i dati in compliance al GDPR: ecco cosa prevede

Pubblicato il 15 Gen 2023

Silvia Stefanelli

Studio Legale Stefanelli & Stefanelli

spazio europeo dati sanitari - decentralized health - FSE

Non vi è dubbio che la pandemia Covid ha fatto emergere alcune fragilità strutturali nell’organizzazione del nostro SSN: in particolare il rapporto tra ospedale e territorio.

Due infatti sono (da sempre, peraltro) gli elementi critici: la mancanza di una strutturata relazione clinica tra ospedale e territorio, la (correlata) debolezza organizzativa del territorio (in una sanità che, chiamata a fare scelte economiche, ha sempre optato per una visione “ospedalocentrica”) e la quasi totale assenza di una assistenza domiciliare strutturata (esistente solo il alcune regioni e comunque a “macchia di leopardo”).

Così la Missione 6 Componente 1 del PNRR va proprio nella direzione di sanare questo gap, potenziando il territorio non solo attraverso la possibile realizzazione delle Case di Comunità (c.d. CdC) e degli Ospedali di Comunità (sui quali però l’attuale governo ha già manifestato molte perplessità), ma anche attraverso la creazione delle Centrali Operative sul Territorio (c.d. COT) che di fatto svolgono la funzione di “transizione assistenziale” da un centro ad un altro.

Tale nuovo assetto prevede poi una operatività concreta attraverso il potenziamento dell’erogazione di prestazioni in telemedicina.

PNRR, cosa bisogna fare nella sanità territoriale: focus sulle case della comunità

Sanità territoriale: ciò che deve “girare” sono anche i dati

In questa direzione sulla GU del 2 giugno 2022 è stato pubblicato il Decreto Ministero Salute 23 maggio 2022 Regolamento recante la definizione di modelli e standard per lo sviluppo dell’assistenza territoriale nel Servizio sanitario nazionale che disegna il funzionamento e gli standard dei soggetti che opereranno sul territorio (CdC, COT ma anche Infermiere di Comunità, Assistenza Domiciliare, Cure Palliative ecc.) e sulla GU del 2 novembre 2022 è stato pubblicato il Decreto Ministero Salute 21 settembre 2022 – Approvazione delle linee guida per i servizi di telemedicina – Requisiti funzionali e livelli di servizio che stabilisce come deve essere organizzato un servizio di telemedicina.

Uno schema ripreso dalla Rivista Monitor di AGENAS 2022 illustra il nuovo modello organizzativo della sanità.

Basta guardare questa immagine, per capire che, insieme al paziente, ciò che deve “girare” sono anche i dati. Altrimenti il sistema territoriale non può funzionare.

Ed infatti nel corso dell’anno 2022 in molti si sono chiesti come conciliare le necessità operative concrete con il GDPR e le problematiche connesse al passaggio dei dati da un soggetto ad un altro.

Sul punto AGENAS ha pubblicato, a dicembre 2022, un documento piuttosto corposo (circa 118 pagine) titolato La Centrale Operativa Territoriale: dalla realizzazione all’attivazione nel quale, oltre ad illustrare come deve essere organizzata una COT, spiega anche come trattare i dati in compliance al GDPR.

Molto in sintesi.

Fonte dei dati

Le COT utilizzeranno le banche dati già esistenti, quali anagrafe pazienti (regionali ed ANA) database ricoveri, PAI, anagrafiche personale sanitario ecc.

Tipologia dei dati trattati

I dati trattati saranno

  • dati personali afferenti a pazienti interessati da una transizione assistenziale (dati anagrafici, dati relativi alla salute);
  • dati personali afferenti ad operatori che prestano attività̀ presso la COT oppure operanti presso le strutture di partenza e destinazione della transizione assistenziale e svolgenti un ruolo nello specifico processo di transizione (dati anagrafici, dati relativi alla salute);
  • dati afferenti ai caregiver impegnati nel supporto ad altro soggetto (dati anagrafici).

Finalità del trattamento

Tali dati verranno tratti dalla COT per le seguenti finalità:

  • coordinamento della presa in carico della persona tra i servizi e i professionisti sanitari coinvolti nei diversi setting assistenziali (transizione tra i diversi setting: ammissione/dimissione nelle strutture ospedaliere, ammissione/dimissione trattamento temporaneo e/o definitivo residenziale, ammissione/dimissione presso le strutture di ricovero intermedie o dimissione domiciliare); coordinamento/ottimizzazione degli inter- venti, attivando soggetti e risorse della rete assistenziale;
  • tracciamento e monitoraggio delle transizioni da un luogo di cura all’altro o da un livello clinico assistenziale all’altro;
  • supporto informativo e logistico, ai professionisti della rete assistenziale (MMG, PLS, MCA, IFoC, ecc.), riguardo le attività̀ e servizi distrettuali;
  • raccolta, gestione e monitoraggio dei dati di salute, anche attraverso strumenti di telemedicina, dei percorsi integrati di cronicità̀, dei pazienti in assistenza domiciliare e gestione della piattaforma tecnologica di supporto per la presa in carico della persona, (telemedicina, strumenti di e-health, ecc.), utilizzata operativamente dalle CdC e dagli altri servizi afferenti al Distretto, al fine di raccogliere, decodificare e classificare il bisogno.

Base giuridica

Circa la base giuridica per il “passaggio” di dati tutti queste “comunicazioni” di dati relativi alla salute da un soggetto ad un altro, il documento così stabilisce (e questa a parere mio è la parte più interessante):

In considerazione del fatto che la transizione tra un setting e l’altro è da considerarsi come la logica prosecuzione del percorso di cura di un interessato, il quale prosegue afferendo a diversi servizi/strutture nel corso del tempo, il trattamento dei dati viene effettuato dai titolari del trattamento ai sensi dell’art. 6 par. 1 lettera e) e dell’art. 9, par. 2, lettera h) del GDPR 679/2016.

Precisando subito dopo che:

Si precisa come sia necessario valutare la necessità di utilizzo di un presupposto di liceità̀ ulteriore quale il consenso (art. 9, paragrafo 2, lettera a del GDPR), nel momento in cui il percorso di trattamento dati svolto in concreto da una COT preveda delle comunicazioni dati ad alcuni soggetti il cui intervento potrebbe non essere strettamente necessario al raggiungimento della finalità̀ di gestione della transizione assistenziale richiesta, ma che gli operatori ritengano comunque utile.

Dalla lettura combinata dei due paragrafi sopra riportati sembrerebbe di capire che il passaggio di un paziente da un setting di cura ad un altro setting di cura – es. un PDTA post ricovero che parte dall’ospedale per andare sul territorio (sia MMG, attività specialistica, infermiere di comunità ecc.) per poi magari tornare in ospedale – sia da considerare come un “unico percorso di cura”, che come tale trova la sua base giuridica nell’art. 6 lett. e) (interesse pubblico) e nell’art. 9 lett. h) (diagnosi e cura) del GDPR; solo ove poi per ragioni cliniche si esca dal setting di cura previsto per comunicare con altri soggetti occorrerà il consenso dell’interessato.

Ruoli privacy

In relazione poi ai ruoli privacy così si legge:

I soggetti a cui i dati potranno essere comunicati dalla COT sono sostanzialmente i medesimi dai quali la COT stessa potrebbe riceverli: Ospedali, servizi territoriali, MMG/PLS, enti locali.

Da sua definizione, la COT dovrà̀ avere accesso a diverse categorie di informazioni, al fine di garantire un corretto coordinamento della presa in carico della persona e raccordo tra servizi e professionisti coinvolti nei diversi setting assistenziali.

Questo implica la possibilità̀ che la COT – quale componente organizzativa di uno specifico titolare del trattamento – debba poter accedere a dati di pertinenza di un titolare diverso da quello entro il quale la COT giuridicamente opera.

A fronte di ciò̀ potrebbero verificarsi due diverse casistiche:

1. la COT accede/utilizza dati di pertinenza del titolare del trattamento entro il quale la COT opera;

2. la COT accede/utilizza dati di pertinenza di un titolare diverso rispetto al titolare del trattamento entro il quale la COT opera.

In questo secondo caso poi così si stabilisce:

Nel caso in cui la COT debba reperire informazioni da persone giuridiche terze rispetto a quella in cui la COT medesima è incardinata si pone il problema di individuare la tipologia di rapporti rispetto alla data protection tra i due soggetti che si scambiano dati. In tale contesto sono ipotizzabili due fattispecie giuridiche:

  • impostazione di un rapporto di contitolarità̀;
  • impostazione di un rapporto di titolarità̀ autonoma.

In sostanza sembra di capire che la COT sia considerata come una componente organizzativa di diversi titolari (tutti quelli coinvolti nella “transizione assistenziale”) e che quindi svolga un ruolo di “raccolta e comunicazione” dei dati tra i diversi soggetti coinvolti nel percorso di cura e che questa attività si basi tutta sull’art. 9 lett. h) GDPR.

Adempimenti privacy

Il documento continua poi precisando (finalmente!) la necessità di una Valutazione d’Impatto ex art. 35 GDPR (e non potrebbe essere diversamente considerando tutti questi dati che viaggeranno da un soggetto ad un altro) e fornendo n. 4 schemi operativi che analizzano i profili privacy (in particolare chi deve fornire l’informativa ex art. 13 GDPR e cosa deve indicare nella informativa) in relazione a 4 diverse fattispecie: transizione dall’ospedale al territorio, transizione del territorio all’ospedale, transizione territorio-territorio, ruolo della COT nel telemonitoraggio e telecontrollo nella assistenza domiciliare.

Il documento è molto interessante ed innovativo: personalmente reputo che sia stato fatto un ottimo lavoro e condivido in pieno le indicazioni fornite.

Alcune perplessità circa la base giuridica

Ciò non fa venir meno alcune perplessità circa la base giuridica nonché la scelta dello strumento (un documento di AGENAS, pubblicato sul sito della stessa).

Tutta la costruzione si basa sul fatto che, sotto il profilo clinico, vi è una “transizione assistenziale” del paziente da uno/più soggetti erogatori ad altri soggetti erogatori e che tale transizione assistenziale possa essere considerata un unico “percorso di cura”: in questo senso, sotto il profilo GDPR, tutto il processo (indipendentemente dal fatto che vi partecipino soggetti diversi) può trovare la propria base giuridica nell’art. 9 lett. h (cioè passaggi da un soggetto ad un altro senza consenso del paziente).

Si tratta di una interpretazione di tale articolo molto avanzata che io condivido in toto, ma che mi pare si scontri con un Garante Privacy che sembra invece considerare ancora ad oggi necessario il consenso anche per la sola formazione del Dossier Sanitario (dove possono essere raccolte diverse situazioni terapeutiche, ma ove titolare è comunque lo stesso), addirittura in periodo COVID (si veda sul punto la recente Ordinanza-Ingiunzione nei confronti della Valle D’Aosta 10 novembre 2022).

Allora, dato atto che occorre trovare una soluzione operativamente sostenibile ma anche giuridicamente inattaccabile, mi domando se non sarebbe stato meglio basare la comunicazione dei dati tra i vari soggetti sull’art. 2-sexies del Codice Privacy (come modificato dall’art. 9, co 1, lett. b), n. 1), D.L. 139/2021, convertito dalla L. 205/2021– c.d. Decreto Capienze) che oggi così stabilisce:

1. I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Conclusioni

In altre parole si potrebbe forse pensare di usare un’altra base giuridica, che personalmente reputo giuridicamente più robusta: l’art. 9 lett. g) GDPR sull’interesse pubblico combinato con l’art. 2 – sexies Codice Privacy, attuato attraverso l’assunzione da parte di AGENAS di un atto amministrativo generale che definisca i profili privacy di tali nuovi processi.

Di fatto i contenuti del documento, trasformati però in un atto amministrativo generale.

Strada che senza dubbio AGENAS può attivare in qualità di Ente pubblico non economico di rilievo nazionale, al quale con DL 4/2022 (convertito in legge tramite L 28/2022) è stato assegnato il ruolo di Agenzia Nazionale per la Sanità Digitale, con l’obiettivo di assicurare il potenziamento della digitalizzazione dei servizi e dei processi in sanità.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • L'analisi

    PNRR - Piano nazionale di Ripresa e Resilienza: cos'è e novità

    11 Dic 2023

    di Maurizio Carmignani

    Condividi

Prossimo

PNRR - Piano nazionale di Ripresa e Resilienza: cos'è e novità

Articolo 1 di 2