Quello dei dati sanitari è un tema, al contempo, affascinante e complesso. Affascinante, perché in un mondo in cui i dati rappresentano il nuovo petrolio, come si usa dire con un’espressione oramai abusata, le informazioni sanitarie rappresentano il petrolio più pregiato.
Forti sono, in tal senso, le tentazioni a cedere alle logiche di mercato. Senza scomodare le scelte tragiche di cui parlava, oramai tanti anni fa, Guido Calabresi a proposito dei trattamenti sanitari o, peggio, senza scadere nelle aberrazioni dell’analisi economica di matrice posneriana applicata alla materia che ci interessa, appare evidente il potenziale conflitto tra diritti fondamentali dei pazienti e interessi di mercato, da un lato, ed esigenze di ricerca, dall’altro.
Dati sanitari, l’equilibrio tra sicurezze e business
Una regola economica basilare insegna che più un’informazione è scarsa, più alto è il suo valore economico. Il commercio dei dati sanitari esiste, basta farsi una passeggiata nel deep web. Da questa banale constatazione, derivano due corollari: il primo, è che occorre adottare misure di sicurezza (non solo informatiche) elevate; l’altro, è che i tempi sono maturi per intavolare un discorso organico sulla possibilità di riutilizzare effettivamente i dati sanitari.
Non è questa la sede per affrontare compiutamente tale aspetto, che altro spazio e altri tempi richiederebbe. Se vogliamo superare la dicotomia, invero noiosa, tra apocalittici e integrati, dobbiamo rassegnarci ad una riflessione complessa e lontana dai toni urlati che tanto appassionano alcuni sedicenti studiosi di privacy, nella consapevolezza che la ricerca (anche quella giuridica) progredisce per lenti sedimentazioni e non con commenti di prima lettura.
Del resto, del riuso (o riutilizzo, che però è cosa diversa) dei dati sanitari si è parlato diffusamente nel recente passato, con riguardo alla formulazione imprecisa dell’art. 110-bis del Codice privacy, che molte polemiche aveva suscitato tra i giuristi. Sul punto, peraltro, interverrà il decreto di adeguamento, attualmente in fase di approvazione definitiva, che, stando alla versione che circola in queste ore, dovrebbe rappresentare un miglioramento rispetto alla precedente versione normativa.
GDPR e dati sanitari
Fedele alla consapevolezza di cui parlavo poc’anzi, mi limiterò quindi ad evidenziare alcuni aspetti peculiari che, a mio avviso, caratterizzano il rapporto tra trattamenti che coinvolgono dati sanitari e GDPR (o, più in generale, il “mondo” della privacy). Naturalmente, si tratta, per dir così, di un benchmark limitato all’esperienza professionale di chi scrive, che non ha alcuna pretesa di esaustività o di organicità rispetto alle problematiche che saranno citate. È un punto di confronto e di discussione, aperto ad opinioni differenti, basate su di una diversa casistica.
Partiamo da alcune note positive, per poi occuparci di quelli che, ad oggi, appaiono essere i punti dolenti.
Dossier sanitario, gli aspetti positivi per privacy e Sanità
Quello sanitario è, probabilmente, il settore che ha subito i maggiori e più frequenti interventi in tema di privacy. Basti pensare al dossier sanitario al fascicolo sanitario elettronico (oggetto di specifiche linee guida dell’Autorità Garante), nonché alla legislazione di settore che ha investito il comparto e ha determinato, inevitabilmente, un’attenzione alta e continua rispetto alle problematiche connesse al trattamento dei dati personali.
È noto che il dossier sanitario si differenzia dal fascicolo sanitario elettronico perché, nel primo caso, abbiamo informazioni raccolte da un unico soggetto (e, quindi, da un unico titolare del trattamento), mentre nell’altro caso siamo al cospetto di un quadro completo delle informazioni sanitarie riferite ad una persona (ad esempio, referti; verbali di Pronto soccorso; documenti di dimissione; dossier farmaceutico; ecc.), che provengono da più soggetti distinti (ad esempio, laboratori di analisi, cliniche private, aziende sanitarie, ecc.). Le finalità, com’è intuibile, del FSE sono da ricondurre non solo (e non tanto) al trattamento dei dati, quanto al miglioramento della prestazione dei servizi sanitari e degli scopi diagnostici e preventivi rispetto a determinate patologie.
È indubbio che l’introduzione di una disciplina normativa specifica del fascicolo – di cui s’era occupato già il provvedimento del Garante del 16 luglio 2009 – con la Legge n. 179 del 2012 (recentemente modificata anche dall’ultima Legge Finanziaria) non solo ha offerto una risposta alle esigenze di ottimizzazione dei servizi sanitari, ma ha consentito altresì un perfezionamento dei processi privacy interni alle diverse strutture.
Allo stesso modo, le misure di pseudononimizzazione, introdotte dal GDPR, sono già in uso, in forme molteplici, presso le aziende sanitarie: nessun dato circola – soprattutto nella trasmissione informatizzata – abbinato ad un nominativo, ma esclusivamente ad un codice, che non consente di risalire (se non per mezzo di speciali associazioni, attivate con credenziali) all’identità del paziente. Anche sotto questo profilo, sebbene le misure applicate siano per loro natura migliorabili, ci sembra di poter dire che lo scenario sia tutt’altro che drammatico e che la maggior parte di soggetti che trattano dati sanitari abbia già in uso procedure efficienti e sicure.
Accanto ad alcune luci, però, ci sono ancora molte ombre.
I ritardi delle strutture sanitarie sulla privacy
Innanzi tutto, sono moltissime le strutture sanitarie che vivono un enorme ritardo nell’adeguamento alla nuova (si fa per dire) normativa comunitaria. In molte, a due settimane dal 25 maggio (la “fatidica data”), ancora discutono di preventivi e pubblicano avvisi di gara. Forse andrebbe sempre aggiunto, accanto al giorno e al mese della “fatidica data”, anche l’anno, perché – sia fatta passare la battuta – alcuni devono essere evidentemente convinti che non sia quello corrente, ma forse il prossimo.
Sul punto, è appena il caso di sfatare una leggenda popolare: l’esecutività del GDPR non potrà essere procrastinata, tanto meno a livello nazionale. Ai più distratti, ci limitiamo di ricordare che, trattandosi di un Regolamento comunitario, non è possibile alcuna modifica del testo da parte degli Stati membri.
Potrebbe essere possibile, però, che le ispezioni del Garante siano differite di qualche mese. Il decreto di adeguamento circola ancora in bozza, necessiterà di un nuovo parere del Garante (che potrebbe intervenire nell’arco di una settimana) e di un ulteriore parere delle Camere (i cui tempi dovrebbero essere analoghi a quelli dell’Autorità): in sintesi, è probabile che il decreto possa essere pubblicato in Gazzetta Ufficiale nella “fatidica data” o appena qualche giorno prima. In tale contesto, è evidente che occorrerà assegnare un tempo tecnico ai titolari del trattamento per garantire il rispetto anche delle nuove misure legislative nazionali.
A scanso di equivoci, però, precisiamo che un eventuale differimento delle ispezioni non equivale ad una sorta di immunità e che, in ogni caso, sarà possibile essere sanzionati a partire dalla “fatidica data”: si pensi, ad esempio, ad un ricorso formulato da un paziente per una eventuale violazione, dove, anzi, il numero dei procedimenti – nel Paese col il più alto contenzioso d’Europa – potrebbe sensibilmente aumentare.
Molti soggetti che operano nel settore sanitario, peraltro, non sembrano aver metabolizzato che la “fatidica data” è un punto di partenza e non di arrivo e che i processi (non solo tecnologici, ma anche organizzativi) dovranno essere revisionati e potenziati nel corso del tempo. Ecco, questa è un’altra nota dolente: molto spesso, le strutture sono preparate in termini generali, salvo poi esporsi a rischi sanzionatori per non aver curato adeguatamente i modelli organizzativi: si pensi al caso noto di quell’azienda sanitaria romana, sanzionata dal Garante per non aver nominato correttamente i propri incaricati del trattamento…
In troppi hanno evidenziato l’aspetto tecnologico dell’adeguamento al GDPR: eppure, nel caso che ci interessa, spesso le maggiori problematiche sorgono da prassi operative e da policy organizzative non corrette. A titolo esemplificativo, spesso le cartelle cliniche, in caso di decesso, vengono consegnate a persone non legittimate; altrettanto spesso, in caso di esercizio dei diritti dell’interessato, le strutture comunicano dati a soggetti che si qualificano come avvocati, senza accertarsi né dell’identità di tali soggetti, né della presenza di una procura che legittimi la richiesta.
Un’ulteriore criticità – questa volta di natura tecnologica – potrebbe essere rappresentata dall’introduzione del diritto alla portabilità dei dati. Fermo restando quanto detto in precedenza in merito al fascicolo sanitario elettronico, molto spesso le tecnologie e i software utilizzati dalle strutture sanitarie non sono predisposti ad un dialogo tra di loro: in estrema sintesi, siamo spesso al cospetto di una Babele, che deve essere risolta quanto prima.
In conclusione, la situazione generale appare se non nera, con forti toni di grigio: mi viene in mente Einstein, che, per spiegare la teoria della relatività, diceva che un’ora è breve, se si è seduti accanto ad una bella ragazza, mentre un minuto è lunghissimo, se si è seduti su una stufa. A maggio, le stufe dovrebbero essere spente e le belle giornate dovrebbero invogliarci ad intrattenerci con belle ragazze: ho il sentore, però, che in tanti, nonostante l’arrivo del caldo, preferiscano restare seduti sulle stufe, col rischio di bruciarsi.
