L’innovazione tecnologica nel settore sanitario rappresenta un lungo e difficile cammino che ha già prodotto alcuni importanti risultati (si pensi al Fascicolo Sanitario Elettronico e ai Dossier sanitari già attivi in diversi regioni) ma, altri, importanti passi avanti sono e saranno portati avanti da qui a poco.
Quelli finora raggiunti costituiscono delle tappe di passaggio verso il raggiungimento di un’effettiva operatività e diffusione di tali strumenti innovativi, indispensabili per la sanità digitale, con risparmi sostanziali per il settore pubblico e con l’auspicio di godere di cure più tempestive ed efficaci per i pazienti.
In tale contesto generale, la gestione della cartella clinica continua ad essere un argomento critico per tutti i direttori sanitari e i loro consulenti.
La responsabilità della custodia e dell’integrità della documentazione sanitaria, anche nelle sue forme di evoluzione digitale, non è stata mitigata dall’evoluzione legislativa.
Interventi legislativi che mirano alla migliore tutela del malato sotto il profilo medico-assistenziale e che cercano di rendere effettivi i criteri su cui poggia l’architrave del diritto sanitario, sono certamente quelli del consenso informato (ottenuto e conservato nel contesto più innovativo in forma digitale) e la sicurezza delle cure (in termini soprattutto di impiego delle migliori pratiche al fine evitare gli errori medici), nonché della trasparenza della documentazione sanitaria.
Questi ultimi due temi sono stati affrontati della recente Legge Gelli (Legge n. 24/2017) recante disposizioni in materia di sicurezza delle cure e della persona assistita, nonché in materia di responsabilità professionale degli esercenti le professioni sanitarie e che, come meglio si dirà, introduce nuovi requisiti di trasparenza, riorganizzazione e digitalizzazione dei processi a favore della salute dei pazienti, tutti aspetti che richiedono un bilanciamento con le esigenze di protezione dei dati personali.
La protezione dei dati personali è stata oggetto di un’importante riforma a livello europeo mediante un pacchetto che si compone di due atti normativi la Direttiva 2016/680/CE (c.d. Direttiva Polizia) e il Regolamento 2016/679/UE.
Come è noto, il Regolamento europeo per la protezione dei dati personali è entrato in vigore lo scorso 24 maggio, la sua disciplina diventerà direttamente applicabile in tutti gli Stati Membri dell’Unione europea a partire dal 25 maggio 2018.
Le strutture sanitarie pubbliche e private dovranno, in tale contesto, adempiere ai numerosi nuovi adempimenti previsti dal regolamento 679 (c.d. GDPR) in meno di 12 mesi.
Non si tratta tuttavia di adempimenti solo formali ma di un nuovo approccio pervasivo per le organizzazioni, che mira anche ad una chiara digitalizzazione dei processi e dei documenti nelle organizzazioni.
Merita particolare attenzione il cosiddetto principio di accountability (tradotto prevalentemente con il termine “responsabilizzazione”). In virtù di tale principio tutti i titolari e i responsabili del trattamento dovranno preventivamente gestire la propria organizzazione in modo da garantire, in ogni fase del trattamento, la piena conformità al trattamento, nonché raccogliere prove documentali per dimostrarla. Prove che potranno essere anche cartacee ma, soprattutto, in formato digitale.
In tale contesto un ruolo cruciale viene attribuito al registro delle attività di trattamento, unitamente al requisito di efficacia delle misure di sicurezza adottate; adempimento obbligatorio e similare per molti versi al Documento Programmatico per la Sicurezza (non più obbligatorio) e alla notificazione del trattamento, entrambi già conosciuti con il Codice della Privacy.
Si pensi inoltre all’obbligo di implementare procedure efficaci in riferimento alla prevenzione e mitigazione dei rischi di sinistri in ambito informatico, come gli accessi non autorizzati da parte personale interno non autorizzato (cosiddetti insider) e persone esterne all’organizzazione (cosiddetti outsider).
Sarà, quindi, necessario rivalutare la sicurezza organizzativa, informatica e fisica, nell’ottica di un approccio proattivo al rischio, in termini di protezione dei dati personali e sanitari. Rischio che viene fortemente rafforzato nel regolamento rispetto all’attuale Codice della Privacy e che obbligherà i titolari e i responsabili ad analizzare i rischi connessi ai trattamenti da loro posti in essere (cosiddetti risk-based approach).
Inoltre, tra gli adempimenti di più ampio impatto sul mercato vi è certamente la designazione del responsabile della protezione dei dati personali ovvero del Data Protection Officer (DPO), figura già presente nelle organizzazioni più complesse del mercato italiano, ma che diverrà obbligatoria per tutta la pubblica amministrazione e in alcuni casi anche in ambito privato.
Il DPO in ambito privato è certamente obbligatorio per tutte le organizzazione che trattano come attività principale dati sensibili (o meglio particolari secondo il regolamento) e pertanto principalmente ospedali, cliniche, Asl, ecc., ecc..
Come si accennava l’organizzazione interna è pertanto un tema strettamente connesso alla protezione dei dati personali, con una corretta distribuzione di compiti e di responsabilità; temi portati avanti con un certo slancio anche dalla Legge Gelli.
Tra le sue principali novità meritano sicuramente di essere segnalate quelle che riguardano l’introduzione del principio di trasparenza e di sicurezza da assicurare ai dati trattati dalle strutture sanitarie pubbliche e private.
Viene altresì rilanciato il principio della trasparenza, declinato nell’ambito delle strutture sanitarie, che riprende il modello della legge 241/90 garantendo al paziente l’accesso, entro un termine molto stringente, alla documentazione sanitaria disponibile a lui riferita. Di conseguenza questo comporterà un impegno maggiore per le strutture sanitarie che dovranno riorganizzare i processi gestionali interni e delle risorse coinvolte per fornire la documentazione sanitaria, incluse le copie delle cartelle cliniche, in tempi certi e in molti casi ridotti rispetto al passato.
Tale garanzia ha il merito di costituire un vantaggio in ambito sanitario, nella misura in cui si viene a regolamentare l’attività di gestione del rischio sanitario prevedendo la necessità di adottare preventive procedure di elaborazione dei dati, linee guida e regolamenti al fine di fornire al paziente pronte e complete risposte alle richieste di accesso ai documenti sanitari. In altre parole tutte le strutture sanitarie dovranno attivare delle strategie aziendali mirate a monitorare, prevenire e gestire il rischio in modo più efficace (risk managment).
Le direzioni sanitarie delle strutture, inoltre, dovranno fornire – preferibilmente in formato elettronico – la documentazione sanitaria dei pazienti che ne faranno richiesta entro 7 giorni, mentre le integrazioni dovranno essere comunicate entro trenta giorni dalla presentazione della richiesta, adempimento che certamente richiederà l’osservanza dei requisiti legali prescritti dal Codice della Amministrazione Digitale (CAD) al fine di garantire la validità della documentazione sanitaria in formato digitale.
La legge specifica inoltre che alle attività di prevenzione del rischio, messe in atto dalle strutture sanitarie e sociosanitarie, pubbliche e private, è tenuto a concorrere tutto il personale, compresi i liberi professionisti che vi operino in regime di convenzione con il Ssn.
Possiamo dire quindi che con la legge Gelli il legislatore ha voluto sancire un vero e proprio diritto costituito dal principio della sicurezza delle cure sanitarie, cui riconoscere portata costituzionale in ossequio al più generale diritto alla salute (art. 32).
Principio che trova la sua massima espressione nel concetto stesso di prevenzione, il quale diventa prioritario e parametro alla stregua del quale valutare l’efficienza e la sicurezza delle cure mediche.
L’obiettivo è, infatti, proprio quello di giudicare la sicurezza delle cure mediche non attraverso le conseguenze del danno bensì attraverso un giudizio ex ante, di prevenzione.
Si è voluto in altri termini dare maggiore importanza al momento della prevenzione e gestione del rischio, attraverso l’implementazione di veri e propri modelli organizzativi improntati ai principi aziendali di Risk Management, piuttosto che insistere nella ricerca di rimedi successivi finalizzati al risarcimento del danno.
Questo, a parere di chi scrive, è il nucleo essenziale del nuovo testo di legge, il quale ha voluto concentrare la responsabilità sulla gestione del rischio a carico delle strutture sanitarie, attenuando, di conseguenza, la posizione dei medici.
Tutto questo sposterà inevitabilmente il peso della responsabilità medica dall’esercente alla struttura, la quale dovrà farsi carico di tutta una serie di misure organizzative di tipo fisico e logico per fare fronte e contenere il rischio sanitario.
Il tema delle nuove misure anche organizzative e della loro necessaria efficacia, in particolare sotto il profilo delle protezione dei dati personali, richiederà adeguata competenza e formazione da parte delle organizzazioni e sarà al centro del convegno organizzato dal Centro europeo per la privacy (EPCE), associazione di avvocati ed esperti di protezione dei dati personali e diritto delle nuove tecnologie, che si svolgerà a Latina il prossimo 28 giugno 2017 per maggiori dettagli si prega di visitare il sito di EPCE
