La crescente digitalizzazione della sanità produce un’enorme quantità di dati. La possibilità tecnologica di analizzare questi dati porta anche ad immaginare modelli diversi di erogazione delle prestazioni.
Le nuove frontiere sono la medicina personalizzata, quella di iniziativa, la medicina di popolazione e quella predittiva, temi fortemente innovativi che senza dubbio disegneranno la nostra sanità futura, anche alla luce dello sviluppo dell’assistenza territoriale (D.M. 77/2022) per buona parte fondata sulla telemedicina (Decreto Ministero Salute 29 aprile 2022 “Approvazione delle linee guida organizzative contenenti il Modello digitale per l’attuazione dell’assistenza domiciliare”).
Tali processi innovativi sembrano però “scontarsi” con le barriere della privacy, per lo più vissuta come un ”ostacolo” alla innovazione. Ecco quali sono le basi giuridiche del trattamento dei dati nel settore della sanità, com’è emerso dal webinar per la sanità digitale degli Osservatori Digital Innovation.
I casi del trattamento dei dati in sanità
I casi che hanno fatto molto discutere in questo “scontro tra innovazione e privacy” sono stati i provvedimenti del Garante privacy del 24 febbraio 2022 e quelli del 15 dicembre 2022. Vediamoli più nei dettagli, anche senza pretesa di esaustività.
I provvedimenti Garante privacy 24 febbraio 2022
Si tratta dei provvedimenti numero 63, 64, 65, 66, 67, 68, 69 e 70 (doc. web nn. 9752177, 9752221, 9752260, 9752299, 9752410, 9752433, 9752490 e
9752524) con i quali sono state sanzionate n. 8 regioni italiane (Lazio, Emilia-Romagna, Lombardia, Piemonte, Puglia, Toscana e Veneto e la Provincia di Bolzano) che avevano elaborato e poi aggregato un set di dati sulla salute di tutta la popolazione assistita regionale presenti nei propri sistemi informatici attraverso l’uso di algoritmi: tale trattamento di dati era stato effettuato su richiesta di Ministero della salute per lo sviluppo di metodologie predittive dell’evoluzione del fabbisogno di salute della popolazione.
Provvedimenti Garante Privacy 15 dicembre 2022
Si tratta dei provvedimenti nei confronti di tre aziende friulane: azienda universitaria Friuli Occidentale, azienda universitaria Giuliano Isontina, azienda sanitaria Friuli centrale.
In questo caso le aziende sanitarie avevano dato attuazione ad un progetto regionale nel quale:
- i MMG erano chiamati ad accedere ai dati personali dei propri assistiti – contenuti nelle banche dati delle ASL, facenti parte del datawarehouse regionale – allo scopo di validare gli assistiti che si trovavano in condizioni di fragilità e comorbidità;
- a seguito di tale indicazione, tali dati venivano estratti dal data warehouse regionale ed elaborati da due società in-house della stessa regione Friuli attraverso un algoritmo di classificazione denominato ACG System;
- a valle di tale elaborazione era possibile avere una lista dei nominativi dei pazienti a rischio, finalizzata alla presa in carico preventiva alla contrazione del virus.
In entrambi i casi – ed altresì negli altri intervenuti e qui non citati – l’elemento cardine dei provvedimenti assunti è stata la carenza della corretta base giuridica per il trattamento.
La carenza di base giuridica è la stessa motivazione per la sospensione della gara d’appalto per lo sviluppo della Piattaforma di intelligenza Artificiale per la medicina primaria finanziata dal PNRR da parte di AGENAS (Delibera 5 del 9 gennaio 2024).
Allora le domande che serpeggiano riguardano i motivi per cui oggi, in vigenza del GDPR e del Codice Privacy, la pubblica amministrazione sia carente di base giuridica per trattare i dati, le ragioni dell’assenza di questi problemi prima e che cosa sia cambiato oggi.
In effetti sembra che la PA non si sia accorta che il quadro giuridico legittimante i trattamenti per interesse pubblico è fortemente cambiato. Vediamo allora com’era il precedente quadro giuridico e com’è quello attuale.
Il trattamento per interesse pubblico nel precedente codice Privacy
Il precedente Codice Privacy prevedeva un regime di favor per il trattamento di dati da parte delle PA.
In linea di principio per il trattamento dei dati personali era sufficiente il compito pubblico in capo alla PA (art. 18 e 19 codice privacy precedente – oggi abrogati) .
Per i dati sensibili il trattamento era consentito ove vi fosse espressa disposizione di legge che specificasse i tipi di dati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite (art. 20 codice privacy precedente – oggi abrogato). Ove però la legge non avesse previsto i tipi di dati e le operazioni eseguibili (nella maggioranza dei casi) il trattamento poteva comunque avvenire nel mero rispetto dell’art. 22 del Codice Privacy ed in forza di atto regolamentare assunto conformemente a schemi tipo pubblicati dal Garante Privacy.
In vigenza pertanto del precedente Codice Privacy per il trattamento dati di fini di prevenzione pubblica era sufficiente aver assunto un atto regolamentare che seguiva lo schema tipo del Garante.
Ma il quadro è completamente cambiato con il GDPR.
Il trattamento per interesse pubblico nel GDPR
In via preliminare preme evidenziare che – per quanto rileva in questa sede – che con il GDPR il legislatore ha sposato il sistema dell’ accountability (quindi non esistono più gli schemi tipo del Garante) ed ha fatto venir meno la distinzione tra pubblico e privato: il criterio cardine per definire la base giuridica è quindi la finalità del trattamento.
Per quanto attiene nello specifico al trattamento per interesse pubblico l’art. 6 relativo ai dati personali stabilisce che il trattamento è lecito “per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.
Lo stesso art. 6 al par. 3 stabilisce poi che in questo caso “la base giuridica deve essere stabilita dal diritto dell’Unione o dal diritto dello Stato membro cui è soggetto il titolare del trattamento”.
La norma poi continua definendo che tale base giuridica “potrebbe contenere disposizioni specifiche per adeguare l’applicazione delle norme del presente regolamento, tra cui: le condizioni generali relative alla liceità del trattamento da parte del titolare del trattamento; le tipologie di dati oggetto del trattamento; gli interessati; i soggetti cui possono essere comunicati i dati personali e le finalità per cui sono comunicati; le limitazioni della finalità, i periodi di conservazione e le operazioni e procedure di trattamento, comprese le misure atte a garantire un trattamento lecito e
corretto, quali quelle per altre specifiche situazioni di trattamento di cui al capo IX.”
In sostanza deve essere stabilito legislativamente il compito di interesse pubblico; la disciplina può (ma non necessariamente deve) stabilire i profili specifici relativi alla protezione dei dati.
L’architettura per il trattamento dei dati relativi alla salute
Molto più stringente l’architettura per il trattamento dei dati relativi alla salute. L’art. 9 GDPR stabilisce infatti alla lett. g) che è ammesso il trattamento “per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato”.
Quindi il trattamento dei dati sanitari per motivi di interesse pubblico è legittimo ove la fonte normativa comunitaria o nazionale che lo legittima non sia generica ma presenti le seguenti specificità:
- sia proporzionato alla finalità perseguita;
- rispetti l’essenza del diritto alla protezione dei dati;
- e preveda misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Il trattamento dati per interesse pubblico nel Codice Privacy
Ancora più dettagliato è il Codice privacy.
L’art. 2-sexies – che ha attuato l’art. 9 GDPR – così stabilisce al comma 1:
- La base giuridica prevista dall’articolo 6, paragrafo 3, lettera b), [diritto dello Stato membro n.d.r.] del regolamento è costituita da una norma di legge o di regolamento o da atti amministrativi generali.
Al comma 2 precisa poi che:
- I trattamenti delle categorie particolari di dati personali di cui all’articolo 9, paragrafo 1, del Regolamento, necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g), del medesimo articolo, sono ammessi qualora siano previsti dal diritto dell’Unione europea ovvero, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali che specifichino i tipi di dati che possono essere trattati, le operazioni eseguibili e il motivo di interesse pubblico rilevante, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Appare dunque chiaro che la base giuridica che stabilisce l’interesse pubblico deve essere contenuta in una delle seguenti fonti normative:
- diritto dell’Unione Europea;
- dispositivi di legge nazionali;
- disposizioni regolamentari;
- atti amministrativi generali.
Ma soprattutto – e questo è l’elemento più impattante – tali fonti devono altresì contenere una disciplina di dettaglio in relazione ai seguenti aspetti:
- specificare i tipi di dati che possono essere trattati;
- definire le operazioni eseguibili;
- definire il motivo di interesse pubblico rilevante;
- determinare le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.
Conclusioni
Le basi giuridiche che venivano “utilizzate” in vigenza del precedente Codice Privacy (le delibera assunte sulla base degli schemi tipo del Garante) oggi non sono più sufficienti.
Ed è palese che ove si voglia implementare modelli nuovi di organizzazione della sanità – la medicina di iniziativa, la medicina personalizzata, la medicina predittiva, ma anche le piattaforme per gestione dei dati o il rapporto ospedale/COT/ casa di comunità – occorre partire dalla “creazione” della base giuridica.
Occorre dunque partire da un disegno del flusso dei dati, dalla determinazione della titolarità e delle finalità, dalle fonti di alimentazione, dai mezzi di trattamento dalla gestione dei diritti, per poi scrivere il provvedimento normativo che costituisce la base giuridica. Sia esso un decreto del Ministero o un atto amministrativo generale della Regione o della ASL.