E’ il GDPR a tenere banco sul fronte dei referti online. Determinando la tutela dei dati e la sicurezza delle comunicazioni nella Sanità digitale. Vediamo passo passo come applicare la linee guida in attesa delle nuove misure di garanzia previste entro la fine del 2020.
Sanità digitale, gli obiettivi “storici”
La digitalizzazione della sanità, esigenza molto sentita alla fine del primo decennio degli anni 2000, veniva principalmente intesa come una modalità di contenimento della spesa nel settore pubblico, e come una forma di migliore gestione del “prodotto” nel settore privato.
L’evoluzione di questa modalità di comunicazione dei referti e le numerose iniziative sorte nel processo di ammodernamento della sanità pubblica e privata, hanno consentito di generare un maggiore sviluppo delle reti e una più ampia gestione informatica e telematica di atti, documenti e procedure. Tutto ciò ha portato l’Autorità Garante per la protezione dei dati ad una attenta valutazione del tema ed alla adozione di specifiche prescrizioni tra il 2009 ed il 2016.
Con l’entrata in vigore del Regolamento UE 2016/679 e con la revisione del codice privacy con il D. Lgs. 101/2018, l’ampia e variegata offerta da parte delle strutture sanitarie all’accesso ai referti relativi ad esami clinici e strumentali via web o tramite posta elettronica dovrà essere coordinata con un modello di governo del dato compliance al mutato quadro normativo.
Evoluzione normativa e provvedimenti
Le procedure aziendali di protezione dei dati riferite alla refertazione on-line andranno dunque coordinate con il Regolamento UE 2016/679 che determina un sostanziale cambiamento di prospettiva, soprattutto nel richiamo all’adozione di misure di sicurezza adeguate.
I citati interventi del Garante per la protezione dei dati in tema di sanità digitale hanno visto l’utilizzo dello strumento delle linee guida, modalità con la quale si mira a fornire delle indicazioni di carattere generale, in relazione al trattamento di dati personali in vari ambiti, al fine di garantire la corretta applicazione dei princìpi stabiliti dal Codice della privacy.
Così nel 2009 vengono emanate le linee guida sul FSE[1] (Fascicolo Sanitario Elettronico e Dossier Sanitario) che anticipano di qualche mese quelle sui referti on-line[2], mentre un provvedimento unicamente destinato al DSE[3] (Dossier Sanitario Elettronico) verrà emanato nel 2015.
Dal punto di vista temporale in mezzo a questi provvedimenti di soft law del nostro Garante è intervenuto un provvedimento normativo peculiare sul tema, ovvero il DPCM[4] datato 8 agosto 2013 e destinato alle Aziende sanitarie pubbliche.
Ulteriore richiamo ai referti on-line viene fatto dalle c.d. domande più frequenti, elaborate dal Garante per la Protezione dei dati personali il 30 novembre 2016, con il Regolamento UE 2016/679 entrato in vigore.
L’ultimo richiamo sul tema è avvenuto con i recenti “chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario” emanati dalla Autorità Garante il 7 marzo 2019 i quali hanno ribadito, ove ve ne fosse bisogno, la necessità del consenso dell’interessato al fine di autorizzare la consegna dei referti nella modalità on-line.
Referto e reperto: definizioni e divieti
Riprodotto il quadro normativo vigente, al fine di chiarire il perimetro di intervento appaiono utili le definizioni ricavabili dalla norma, ove per referto medico si intende la relazione scritta rilasciata dal medico sullo stato clinico del paziente dopo un esame clinico o strumentale; per reperto, il risultato dell’esame clinico o strumentale effettuato e di conseguenza il referto digitale sarà la rappresentazione informatica del referto medico sottoscritta con firma elettronica qualificata o con firma digitale, mentre il reperto digitale sarà la rappresentazione informatica del reperto, sottoscritta con firma elettronica avanzata, qualificata o digitale ove prevista firma autografa[6].
È interessante notare come la citata norma da una parte certifica la naturale connessione fra sanità e digitale, lasciando trasparire una chiara volontà di dematerializzazione documentale nella pubblica amministrazione, ma dall’altra per volontà di legge riconduce alla espressa volontà della parte la consegna della refertazione on-line.
Vi è, inoltre, la possibilità che la refertazione relativa agli esami effettuati dai soggetti donatori di sangue ed emocomponenti avvenga on-line.
Come detto il DPCM del 2013 rappresenta una vera e propria summa dell’attività di refertazione on-line e definisce le modalità con cui le aziende sanitarie ed ospedaliere del Servizio sanitario nazionale possono adottare procedure telematiche per consentire la consegna, tramite web, posta elettronica certificata e altre modalità digitali, dei referti medici.
Viene fatto assoluto divieto alla consegna on-line delle analisi genetiche[8] e degli accertamenti relativi all’HIV, in quest’ultimo caso le aziende rispondono degli obblighi previsti dall’art. 5 della legge 5 giugno 1990, n. 135, che pongono a carico degli operatori sanitari e di ogni altro soggetto che venga a conoscenza di un caso di AIDS ovvero di infezione di HIV di adottare ogni misura o accorgimento per la tutela dei diritti della persona e della sua dignità.[7]
Il divieto di comunicazione, tramite la modalità digitale, degli accertamenti relativi all’HIV si ricava, anche, dal combinato disposto della legge n. 135/90, del DPCM 8 agosto 2013 e delle FAQ Garante per la Protezione dei dati personali del 30 novembre 2016.
Modalità di consegna dei referti
Per quanto riguarda le modalità digitali di consegna del referto digitale o di copia informatica dello stesso da parte delle aziende, queste può avvenire mediante posta elettronica; posta elettronica certificata anche presso il domicilio digitale del cittadino; tramite Fascicolo sanitario elettronico (FSE); a mezzo Web e con la consegna tramite supporto elettronico[8].
Ciò detto è chiaro che le disposizioni indicate vanno comunque coordinate con il Regolamento UE 2016/679 e ne discende la necessità dell’applicazione effettiva del principio di privacy by design. In questo caso la progettazione dei sistemi e delle tecnologie devono tendere alla massimizzazione della tutela della privacy. La configurazione predefinita (privacy by default) e le impostazioni di base delle risorse tecnologiche, degli strumenti, delle piattaforme multimediali e dei vari servizi offerti agli utenti dovrebbero essere il più restrittive possibili in merito all’uso ed alla raccolta delle informazioni personali. L’impostazione predefinita dev’essere tale da garantire la protezione del dato dell’utente al massimo livello possibile.
Questo principio base della privacy by design muove dalla scelta di metodi di raccolta sicura dei dati e va oltre, sottolineando la necessità di applicare la tutela in maniera sistematica e totale.
La riservatezza, l’integrità e il controllo delle informazioni devono essere assicurate costantemente, durante l’intero processo e per tutto il ciclo vitale, dall’acquisizione alla distruzione, dei dati trattati e non devono esistere fasi incerte, né lacune né possibili errori. Il cambio di paradigma riguarda soprattutto le misure tecniche ed organizzative di sicurezza che da minime, come indicato nell’allegato b) del vecchio codice, diventano adeguate.
In questo mutato quadro si rende necessaria l’applicazione di uno dei pilastri del Regolamento, l’accountability del titolare del trattamento, intesa anche come capacità, attraverso il proprio modello privacy di dimostrare di aver adempiuti agli obblighi della normativa, ponendo in essere tutte quelle misure volte a prevedere possibili eventi dannosi. Ciò significa l’adozione di misure tecniche ed organizzative rapportate al caso concreto di trattamento, ma comunque in grado di essere adatte ed adeguate rispetto ai rischi previsti.
Consegna via e-mail: esempi pratici
Un esempio pratico di applicazione dei principi espressi dal Regolamento Ue 2016/679 può vedersi nella modalità di consegna per posta elettronica dei referti, con particolare attenzione alle procedure generali per la convalida degli indirizzi e-mail.
Infatti al fine di predisporre un servizio compliance sarà necessario individuare una modalità per la convalida degli indirizzi e-mail, tramite apposito sistema di verifica on-line, in modo da evitare la spedizione di documenti elettronici, pur protetti con tecniche di cifratura, verso soggetti diversi dall’utente richiedente il servizio, tutto ciò al fine di rispettare i principi di minimizzazione e di esattezza del dato[9].
Il referto digitale o la sua copia informatica dovranno essere sempre spediti in forma di allegato, firmato digitalmente, a un messaggio e mai come testo compreso nel corpo del messaggio, ciò potrà essere fatto inviando un documento informatico firmato digitalmente (art. 22 CAD)[10] oppure la sua copia informatica (art 23 bis CAD).
La base giuridica del trattamento dei dati refertazione on-line facoltativa rimane il consenso[11], per tale ragione sarà necessario predisporre una procedura di revoca, nonché una ulteriore ed apposita modalità che interrompa la spedizione per posta elettronica dei referti relativi ad un interessato che abbia comunicato il furto o lo smarrimento delle proprie credenziali di autenticazione o altre condizioni di possibile rischio per la riservatezza dei propri dati personali[12].
Misure di sicurezza adeguate determinano che il referto digitale e/o la sua copia informatica dovranno essere sempre protetti con tecniche di cifratura, accessibili tramite una password per l’apertura del file, che dovrà essere sempre consegnata separatamente all’interessato.
Risulta utile predisporre una modalità separata di consegna del referto di una password unica per ciascun paziente, con sistemi di autenticazione forte e comunque progettare una procedura contenente le modalità di recupero della stessa password da parte dell’utenza senza ulteriori aggravi per le aziende.
Centralità dell’informativa
Diventa centrale, al fine di consentire all’interessato di esprimere scelte consapevoli in relazione al trattamento dei propri dati personali e particolari nell’utilizzo dei servizi di refertazione online, l’informativa ai sensi ex art. 13 del Regolamento UE 2016/679.
Occorre informare il paziente sulle caratteristiche delle modalità digitali di consegna disponibili, la necessità di acquisire un autonomo e specifico consenso a trattare i suoi dati personali e particolari, limitatamente alle modalità digitali di consegna e consentire la revoca in qualunque momento del consenso.
Un’ultima considerazione va fatta sui tempi di conservazione della refertazione digitale, trasmessa a mezzo e-mail. I principali prontuari di selezione per gli archivi delle aziende sanitarie locali e delle aziende ospedaliere indicano nel temine di un anno la cd. data retention. Ciò non esime il titolare del trattamento, nell’applicazione del principio di accountability, di decidere un termine maggiore.
Referti online, cosa succederà nel 2020
In tale prospettiva ed in coerenza con quanto detto va rappresentato che l’art 9 paragrafo 4 del Regolamento (UE) 2016/679 lascia agli Stati membri la possibilità di “mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute”.
Il legislatore italiano ha previsto, con il Codice in materia di protezione dei dati personali novellato, misure di garanzia e regole deontologiche, fissate dall’autorità di controllo nazionale e riviste a cadenza biennale. Quindi il Garante nazionale adotterà, presumibilmente nel corso del 2020, delle misure di garanzia, sentito il Consiglio superiore di sanità e tenendo conto delle linee guida, delle raccomandazioni e delle buone prassi del Garante europeo, in particolare con riferimento alle cautele relative alle modalità per la comunicazione diretta all’interessato delle diagnosi e dei dati relativi alla propria salute. Inoltre l’autorità di controllo potrà anche promuovere delle regole deontologiche per il trattamento dei dati relativi alla salute.
È presumibile che tali provvedimenti andranno sicuramente ad impattare sulle modalità di consegna della refertazione on line.
- Garante per la Protezione dei dati personali, Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario – 16 luglio 2009 (G.U. n. 178 del 3 agosto 2009)
- Garante per la Protezione dei dati personali, Linee guida in tema di referti on-line – 19 novembre 2009 (G.U. n. 288 dell´11 dicembre 2009)
- Garante per la Protezione dei dati personali, Linee guida in materia di Dossier sanitario – 4 giugno 2015 (G.U. n. 164 del 17 luglio 2015)
- Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013 “Modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione del pagamento online delle prestazioni erogate, ai sensi dell’articolo 6, comma 2, lettera d), numeri 1) e 2) del decreto-legge 13 maggio 2011, n.70, convertito, con modificazioni, dalla legge 12 luglio 2011, n. 106, recante «Semestre europeo – prime disposizioni urgenti per l’economia”. (G.U. n. 243 del 16 ottobre 2013)
- Art. 2 del DPCM 8 agosto 2013
- Art. 1 del DPCM 8 agosto 2013
- Art. 5 paragrafo 4 Legge n. 135/90 “la comunicazione di risultati di accertamenti diagnostici diretti o indiretti per infezione da HIV può essere data esclusivamente alla persona cui tali esami sono riferiti”
- Dette modalità di consegna dei referti digitali o delle copie informatiche che sono espressamente regolate dall’articolo 3 del DPCM 8 agosto 2013 e dal relativo allegato A.
- Principio di minimizzazione del dato: art. 5 paragrafo 1 lettera c) del Regolamento UE 2016/679. Principio di minimizzazione del dato: art. 5 paragrafo 1, lettera d) del Regolamento UE 2016/679.
- Il Codice dell’Amministrazione Digitale (CAD) è il testo unico che riunisce e organizza le norme riguardanti l’informatizzazione della Pubblica Amministrazione nei rapporti con i cittadini e le imprese. Istituito con il decreto legislativo 7 marzo 2005, n. 82, è stato successivamente modificato e integrato prima con il decreto legislativo 22 agosto 2016 n. 179 e poi con il decreto legislativo 13 dicembre 2017 n. 217 per promuovere e rendere effettivi i diritti di cittadinanza digitale.
- Consenso: art. 7 paragrafo 1 del Regolamento UE 2016/679 “Qualora il trattamento sia basato sul consenso, il titolare del trattamento deve essere in grado di dimostrare che l’interessato ha prestato il proprio consenso al trattamento dei propri dati personali” nonché art. 9 paragrafo 2 lettera a) “l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o più finalità specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;”
- Revoca del consenso: art. 7 paragrafo 3 del Regolamento UE 2016/679 “L’interessato ha il diritto di revocare il proprio consenso in qualsiasi momento. La revoca del consenso non pregiudica la liceità del trattamento basata sul consenso prima della revoca. Prima di prestare il proprio consenso, l’interessato è informato di ciò. Il consenso è revocato con la stessa facilità con cui è accordato.”