l'analisi

L’uso dei dati nella Sanità: difficoltà procedurali e legislative

Nonostante sia ricca di dati, la Sanità stenta a farne un uso ottimale anche causa del quadro normativo di non facile ricostruzione. Limiti da superare per sfruttare questo enorme potenziale e trasformarli in conoscenze al servizio dei cittadini

Pubblicato il 26 Gen 2023

Giovanni Maglio

avvocato

dati sanità

Il benessere e la vita dei cittadini, la prosperità e la stabilità delle società e delle economie, e lo sviluppo sostenibile in generale, sono strettamente correlati al livello di salute della popolazione.

Nella pratica quotidiana numerosi sono i trattamenti che vedono coinvolti i dati personali e quelli appartenenti alle categorie particolari (prevalentemente di natura sanitaria) per i quali gli addetti ai lavori si trovano di fronte alla necessità di porsi numerose domande e molto spesso sorgono dubbi operativi, di solito forieri di approfondimenti e confronti.

L’Ue vuole uno spazio unico per i dati sanitari: bene, ma va risolta la questione dell’opt-out

I dati e le norme

Per quanto l’attuale settore sanitario sia ricchissimo di dati, sia generati sia raccolti, il quadro normativo risulta di non facile ricostruzione, specialmente per quanto riguarda il corretto inquadramento di molteplici situazioni da una prospettiva di protezione dei dati stessi.

L’uso intensivo e ormai quasi esclusivo di servizi e di prodotti sanitari digitali, in rapida evoluzione grazie alle nuove tecnologie ed alla necessità di far fronte al distanziamento sociale, pur potendo offrire soluzioni estremamente efficaci, rischia di vedersi limitato a causa della spesso farraginosa ricostruzione di ruoli e limiti imposti dalle norme, in special modo per il governo e la ricerca nella sanità.

In tutti gli Stati esiste una ricca e diversificata raccolta di dati sanitari e medici, conservati in forma elettronica. Tali dati elettronici possono includere cartelle cliniche elettroniche, informazioni di laboratorio con dati diagnostici, immagini mediche, dati di prescrizione, di dispensazione, provenienti da registri delle malattie, sulle vaccinazioni, dati sui determinanti della salute, dati provenienti da studi (non) interventistici e da registrazioni anagrafiche, compresa la causa di morte e si affiancano ai dati amministrativi.

Tuttavia, lo scenario normativo tende a definire modelli sanitari sempre più caratterizzati dalla raccolta di informazioni sulle prestazioni sanitarie rese all’assistito al fine di delineare un preciso profilo sanitario dello stesso, inteso come risorsa per il progresso e la sostenibilità del sistema sanitario, che al contempo deve essere considerato anche come bene fondamentale per la tutela dell’identità personale e delle libertà fondamentali dell’individuo, come afferma il Garante per la privacy nel parere del 22 agosto 2022 sull’Ecosistema dati sanitari (Eds).

L’applicazione del Gdpr

Eppure, a oltre quattro anni dalla piena applicazione del Gdpr, non sembra sbagliato affermare che uno dei punti fermi ormai consolidati è che la portata travolgente di tale normativa oltre all’introduzione di nuovi principi e adempimenti, ha sancito il passaggio da un approccio meramente formale, che ha regnato di fatto imperturbabile nel periodo pre-Gdpr, ad un approccio sostanziale che ha davvero messo in crisi, non solo il sistema del copia & incolla (paper compliance) ma anche il famoso “si è sempre fatto così” che ricorre nei processi amministrativi.

Quindi, le organizzazioni sanitarie di ogni livello hanno dovuto affrontare una vera e propria evoluzione culturale che ha imposto di rivedere e ripensare la struttura dei processi organizzativi che sino ad allora avevano, bene o male, funzionato.

Il che vale anche e soprattutto per il settore sanitario dove, sino al 2018, hanno regnato il comodo e salvifico consenso ad abundantiam e la mera attuazione delle misure minime dell’allora Allegato B del Codice della Privacy che disciplina la sicurezza nell’ambito del trattamento dei dati.

A volere scendere nel dettaglio, il quadro normativo che l’interprete medio si trova oggi ad affrontare non è esente da contraddizioni e lacune, soprattutto per quel che riguarda il governo della sanità e la ricerca in ottica di protezione dei dati personali.

La posizione dell’Unione europea

L’Ue sta compiendo sforzi innegabili in materia di regolamentazione dei dati sanitari, dei certificati digitali, in materia di utilizzo del Cloud per la condivisione dei dati e della protezione dei dati.

Sforzi convergenti verso la volontà di sfruttare il potenziale dei dati sanitari in linea con i principi della proposta di regolamento sullo Spazio europeo dei dati sanitari (Ehds) e la promozione dell’uso di nuove tecnologie, tra le quali l’Intelligenza artificiale, per incrementare il loro potenziale di miglioramento della diagnosi e dei trattamenti, senza dimenticare che, già nel titolo, il Gdpr disciplina anche la libera circolazione dei dati personali e non la semplice protezione.

Ovviamente, i dati personali devono poter circolare (altrimenti sono inutili ai fini del progresso) purché adeguatamente protetti.

Inoltre, con la proposta sull’Ehds, l’Ue intende aiutare le persone ad assumere il controllo dei propri dati sanitari e sostenerne l’uso per migliorare l’erogazione dell’assistenza sanitaria, la ricerca, l’innovazione e l’elaborazione delle politiche. Non da ultimo l’Ue vuole promuovere e sfruttare appieno le potenzialità offerte da uno scambio, dall’utilizzo e dal riutilizzo sicuro dei dati sanitari.

Dati, uso primario e uso secondario

Da questo punto di vista, lo spazio europeo dei dati sanitari è un vero e proprio ecosistema specifico per l’ambito sanitario che comprende strutture, regole, norme e pratiche comuni e una struttura di governo che punta a:

  • conferire alle persone un maggiore accesso digitale ai propri dati sanitari personali elettronici e un maggiore controllo sugli stessi, a livello nazionale ed europeo, sostenendo al contempo la loro libera circolazione, favorendo un mercato unico per i sistemi di cartelle cliniche elettroniche, i dispositivi medici pertinenti e i sistemi di Intelligenza artificiale ad alto rischio (uso primario dei dati)
  • fornire un sistema coerente, affidabile ed efficiente per l’utilizzo dei dati sanitari per la ricerca, l’innovazione, l’elaborazione delle politiche e le attività normative (uso secondario dei dati).

A fronte, però, di tale quadro normativo di principio che sembrerebbe agevolare il trattamento e la circolazione dei dati personali sanitari per le finalità proprie del settore, la realtà si scontra con ulteriori norme che, almeno a livello interno, sembrano essere piuttosto rigorose, se non limitanti.

Limitazioni che partono da quelle relative alla stratificazione della popolazione (qualificabile come profilazione da un punto di vista di data protection), prevista dall’articolo 7 del decreto Legge 34/2020 e recentemente richiamata tanto nel Piano nazionale di ripresa e resilienza (Pnrr), quanto nel decreto ministeriale 77/2022, ossia il “Regolamento recante la definizione di modelli e standard per lo sviluppo dell’assistenza territoriale nel Servizio sanitario nazionale” che le Regioni devono attuare al proprio interno.

Un cortocircuito normativo

È ormai innegabile, infatti, che la pressoché totale digitalizzazione dei sistemi e dei dati sanitari ha radicalmente modificato l’approccio al trattamento degli stessi, poiché ormai, per esempio, è impensabile poter fare programmazione sanitaria senza l’utilizzo di strumenti quali la stratificazione e l’interconnessione di flussi sanitari, soprattutto se si considera che la programmazione svolge un ruolo decisivo e che, oggi, non si può pianificare senza l’uso di dati. La stratificazione della popolazione per profili di rischio, attraverso algoritmi predittivi, permette di differenziare le strategie di intervento e la presa in carico degli assistiti sulla base del livello di rischio, del bisogno di salute e del consumo di risorse.

Tuttavia, la normativa secondaria di attuazione del citato articolo 7 del decreto Legge 34/2020 non è stata ancora emanata, rendendo di fatto inutilizzabile tale base giuridica e creando, addirittura un cortocircuito normativo che ha fatto scattare anche l’intervento del Garante nei confronti di alcune regioni che avevano collaborato con il ministero della Salute in tale direzione.

Il ministero della Salute, infatti, è il principale organo di governo in materia di sanità pubblica, e pertanto ha il compito di indirizzare e coordinare le attività degli altri soggetti partecipanti al sistema, a livello nazionale. Inoltre, il ministero è responsabile della definizione delle politiche sanitarie e della vigilanza sul rispetto della normativa in materia di protezione dei dati personali nel trattamento dei dati sanitari.

Occorre delineare in modo chiaro i rapporti tra le diverse componenti degli strumenti di sanità soprattutto da un punto di vista digitale, descrivendo la titolarità dei trattamenti effettuati attraverso gli stessi, individuando le responsabilità e i compiti dei soggetti che se ne avvalgono nonché le relazioni tra i vari soggetti coinvolti.

La condivisione dei dati

La condivisione dei dati sanitari comprende molte parti interessate, tra le quali i pazienti, gli operatori sanitari, i responsabili politici, i ricercatori, l’industria farmaceutica, l’industria dell’Informatica sanitaria, gli organismi di valutazione delle tecnologie sanitarie (Hta), gli organismi notificati e le autorità di regolamentazione, come l’Agenzia europea del farmaco (Ema) e le agenzie nazionali per i medicinali.

Il ruolo svolto da questi stakeholder dipende dall’accesso e dall’utilizzo dei dati sanitari, in particolare se si tratta di un accesso diretto ai dati sanitari per l’assistenza (uso primario) o di un riutilizzo dei dati sanitari raccolti inizialmente per altri scopi, come la ricerca, la definizione delle politiche o il processo decisionale normativo (uso secondario).

Tra i vari stakeholder, quindi, si possono annoverare a livello nazionale il ministero della Salute, affiancato da altri soggetti che ruotano nella sua orbita, come l’Agenzia nazionale per i servizi sanitari regionali (Agenas), l’Istituto superiore di sanità (Iss), il Consiglio superiore di sanità (Cs) e l’Agenzia italiana del farmaco (Aifa). A queste si aggiungono, a livello generale, istituti ed enti come le Aziende sanitarie locali (Asl) e le strutture accreditate.

Per quanto riguarda il trattamento dei dati sanitari da parte delle Asl, forse il più corposo in termini di quantità e qualità, esso è regolato dalla normativa in materia di protezione dei dati personali e dalle disposizioni in materia sanitaria, la cui finalità principale è quella di garantire l’erogazione di prestazioni sanitarie di qualità ai cittadini, in conformità con le normative vigenti nonché per ricerche scientifiche e sviluppare nuove tecnologie sanitarie.

Oltre al richiamato nuovo approccio sostanziale, il Gdpr ha introdotto per la disciplina della protezione dei dati personali un concetto maturo in altre discipline, ma ancora ai primi passi per la data protection: l’accountability.

Infatti, è proprio tale principio di responsabilizzazione che deve far maturare nei titolari del trattamento la necessaria consapevolezza di valutare tutti gli aspetti ed i soggetti coinvolti nel trattamento in questione.

Dati sanitari, perché sono cruciali per la ricerca: le norme vigenti e le proposte per usarli meglio

I ruoli e le responsabilità

È evidente che i ruoli e le responsabilità meritino un lavoro certosino di analisi personalizzata del trattamento ed individuazione accuratissima delle responsabilità nel trattamento stesso.

Il compito è pertanto quello di individuare, per esempio, attraverso una matrice di assegnazione delle responsabilità (matrice Raci) in ogni fase del trattamento perché, scendendo al livello regionale, le cose si complicano giacché, agli stakeholder principali (tipicamente le Asl e le regioni stesse) si affianca una seria di soggetti (pubblici e non) come, per esempio, le Agenzie regionali, gli Istituto di ricovero e cura a carattere scientifico (Irccs) gli enti convenzionati o accreditati, i medici di medicina generale (Mmg) e i pediatri di libera scelta (Pls), le farmacia e gli enti di ricerca.

Di seguito si riporta un elenco, evidentemente non esaustivo, di soggetti utilizzatori del Sistema informativo regionale:

  • strutture sanitarie per finalità di diagnosi e cura
  • Mmg / Pls
  • strutture e agenzie regionali per finalità istituzionali e previste dalla legge
  • registri di patologia
  • servizi di prevenzione e screening
  • strutture sociosanitarie
  • strutture private convenzionate o accreditate
  • farmacie
  • parafarmacie
  • enti di ricerca.

Nell’elenco appaiono effettivamente coloro che trattano i dati personali degli assistiti per diverse finalità, ma non si deve ignorare il coinvolgimento di altri soggetti (di natura prevalentemente tecnica) che si occupano:

  • del trasporto dei dati (connettività di rete)
  • della gestione dell’infrastruttura servente (se on premise o nel cloud)
  • della gestione applicativa del software in questione
  • della gestione delle postazioni di lavoro.

Da qui si procede fino ad arrivare ai soggetti autorizzati al trattamento e agli amministratori di sistema.

Ad ogni soggetto si deve attribuire un ruolo con la relativa formalizzazione e, nel caso dei responsabili esterni, questi potrebbero ricorrere anche a dei sub responsabili.

Ognuno di questi soggetti deve adottare e dimostrare di aver adottato le misure tecniche ed organizzative di propria competenza e soprattutto deve essere effettuata un’analisi preventiva circa la capacità del soggetto esterno di garantire sufficientemente la messa in atto di misure tecniche e organizzative adeguate.

Fino a qui emerge quindi uno scenario eterogeneo e molto complesso, da cui deriva l’importanza del principio di accountability attraverso il quale si interrompe il circolo vizioso del cosiddetto “scaricabarile”.

La normativa vigente, tra gli altri, ha previsto il ruolo del titolare del trattamento, del responsabile, del sub responsabile, del contitolare ed infine dell’autorizzato al trattamento.

La scelta di un ruolo in luogo di un altro è fondamentale proprio per delimitare con certezza le responsabilità ma anche l’ambito di azione sui dati personali oggetto del trattamento.

Dubbi funzionali

Vi potranno inoltre essere soggetti che non accedono ai dati personali, ma che decidono finalità e mezzi e, pertanto, tali soggetti assumeranno un ruolo nel trattamento, come pure ci potranno essere soggetti che non accedono materialmente ai dati, ma che li ospitano nel loro data center (hosting) e, per tale motivo, assumeranno un ruolo ben preciso con la specifica responsabilità in caso di perdita di disponibilità dei dati personali.

In questo senso va inteso il concetto di disponibilità, ma il Gdpr prescrive l’obbligo di garantire anche la confidenzialità e l’integrità dei dati personali, ragion per cui ogni soggetto deve applicare le adeguate misure di sicurezza tecniche ed organizzative.

Possibili soluzioni

Nel Gpdr non sono prescritte chiaramente le misure di sicurezza che devono essere implementate, proprio per la sostanzialità e la sartorialità della compliance rispetto al caso concreto.

Del resto, sarebbe assurdo pensare che il Gpdr sia applicabile orizzontalmente e allo stesso modo tanto ai Big del tech quanto al piccolo laboratorio di analisi di provincia.

Per provare a creare una cornice giuridica tra i vari soggetti titolari, le strade da percorrere, quindi, sembrano almeno tre:

  • ritenere la sussistenza di un rapporto di contitolarità tra i vari soggetti appartenenti al servizio sanitario, vieppiù a livello regionale
  • rendere interoperabili le banche dati e lasciare che i singoli soggetti agiscano in qualità di autonomi titolari
  • prevedere un’apposita previsione normativa che disciplini in maniera organica ed aggiornata ai nuovi dettami del Gdpr.

La contitolarità si riferisce alla responsabilità condivisa tra la Regione e gli enti stessi per garantire che, i dati personali dei cittadini, siano trattati in modo rispettoso della privacy e della sicurezza. Rappresenta, quindi, l’impegno della Regione e degli enti del servizio sanitario regionale a lavorare insieme per garantire che i dati personali dei cittadini siano trattati in modo sicuro e rispettoso della loro privacy. Per fare ciò, tra i vari contitolari deve essere sottoscritto un apposito accordo di contitolarità.

La via dell’interoperabilità è prevista dal Codice dell’amministrazione digitale (Cad) e dalle Linee guida AgID sull’interoperabilità tecnica tra le Pa e la Piattaforma digitale nazionale dati, in modo da rendere la circolazione dei dati standardizzata e sicura, in coerenza con il modello di interoperabilità delle pubbliche amministrazioni (ModI).

In questo caso, la titolarità del dato e del trattamento, pur passando da un sistema ad un altro, non cambia e i soggetti operano come titolari autonomi (articolo 50 comma 3bis Cad).

La costituzionalità

La strada della normativa puntuale, invece, sarebbe la più risolutiva per quanto più lunga e tortuosa.

Va anche detto che, in passato, sono stato sollevati rilievi di costituzionalità circa una eventuale normativa regionale in tema di protezione dei dati personali, anche se in ambito sanitario (notoriamente di competenza regionale), come sostenuto nel 2005 dalla Corte costituzionale con la sentenza 271, la materia della tutela dei diritti sarebbe di stretta riserva statale.

Normativa che andrebbe indagata alla luce del Gdpr e delle nuove previsioni del Codice della privacy, in particolare l’articolo 2-sexies recentemente modificato con l’introduzione della locuzione “atti amministrativi generali” al comma 1 e comma 1bis. C’è anche da dire che, da qualche tempo, i provvedimenti legislativi hanno iniziato a tenere in considerazione tali risvolti, indicando espressamente i ruoli dei soggetti coinvolti e gli altri requisiti previsti dal Gdpr.

Conclusioni

I dati e le informazioni sono utili, se non vitali, per le persone e la scienza e, le persone, sono disposte a condividere i propri dati se esiste una motivazione che meriti la loro fiducia.

Occorre sfruttare questo enorme potenziale per trasformare la ricchezza di dati sanitari in conoscenze al servizio dei cittadini e per prevenire, diagnosticare e curare meglio le malattie. I dati sanitari possono contribuire a ottenere un’assistenza più efficiente, di maggiore qualità, più sicura e più personalizzata, e al contempo contribuire al miglioramento dei servizi dell’assistenza sanitaria.

Infine, è bene ricordare che i dati sanitari e l’utilizzo nella ricerca scientifica degli stessi contribuiscono a trasformare radicalmente la sanità pubblica e rivoluzionare i sistemi sanitari, consentendo miglioramenti dell’assistenza sanitaria, ed arrivando anche a svolgere un ruolo cruciale nell’accelerazione dello sviluppo di nuovi prodotti e cure per i pazienti più bisognosi, come la ricerca sui vaccini anti-covid ha recentemente permesso di comprendere.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

Argomenti

Canali

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

  • il quadro completo

    Fascicolo Sanitario Elettronico, cos'è, a che serve e come attivarlo

    12 Set 2024

    di Anna Francesca Pattaro

    Condividi

Prossimo

Fascicolo Sanitario Elettronico, cos'è, a che serve e come attivarlo

Articolo 1 di 2