Garante privacy

Se la Sanità italiana sposa il futuro dimenticando la privacy

La forte innovazione che sta riguardando alcuni enti sanitari italiani, con algoritmi, a volte si dimentica del rispetto dei dati degli utenti e delle norme. Di qui il costante faro, e le sanzioni, del Garante

Pubblicato il 27 Gen 2023

Silvia Stefanelli

Studio Legale Stefanelli & Stefanelli

nuovo modello organizzativo One stop sta rivoluzionando l'Ospedale Maggiore di Bologna, grazie a una nuova area dedicata al percorso di assistenza per i pazienti con ictus

Medicina personalizzata, medicina di iniziativa, medicina di popolazione, medicina predittiva: temi fortemente innovativi che senza dubbio disegneranno la nostra sanità futura.

A patto di saper (anche)  proteggere i dati dei pazienti.

Garante a tutela della privacy nell’innovazione sanitaria

E qui casca l’asino. Lo dimostrano i numerosi provvedimenti del Garante Privacy assunti negli ultimi due anni nei confronti delle pubbliche amministrazioni sanitarie, di cui per ultimo una sanzione alle Asl friulane qualche giorno fa.

Sembra insomma emergere che la corretta applicazione del GDPR in ambito pubblico presenta ancora profili di criticità.

Tralasciando i casi di errore nella gestione quotidiana del dato (quali accessi non giustificati, informative non corrette ecc.), emergono invece problematiche oserei dire “di sistema”, che evidenziano come in questa “riorganizzazone” della sanità che passa attraverso i dati non si tenga conto – in maniera corretta – delle regole GDPR.

Ciò appare ancor più grave proprio perché ci stiamo muovendo verso un potenziamento del nostro FSE e la correlata creazione di un Ecosistema di Dati Sanitari nazionale (legge 28 marzo 2022 n. 25) ed altresì verso lo sviluppo di una Assistenza Territoriale (D.M.  77/2022) per buona parte fondata sulla telemedicina (Decreto Ministero Salute 29 aprile 2022 “Approvazione delle linee guida organizzative contenenti il Modello digitale per l’attuazione dell’assistenza domiciliare”).

Algoritmi in sanità, il Garante privacy sanziona tre ASL friulane per illecita profilazione degli utenti

In sostanza ci muoviamo verso una crescita esponenziale di dati digitali che, ai fini di cura,  si dovranno “muovere” tra diversi soggetti.

Capire quindi chi è il titolare, quali sono  le basi giuridiche, quali sono le misure  da implementare appare cardine.

Al contrario sembra che invece su questi temi ci sia ancora un po’ di confusione.

Gli interventi del Garante

Senza pretese di esaustività basti ricordare che il Garante ha già assunto molti provvedimenti sul tema:  il parere 5 marzo 2020 su richiesta del Consiglio di Stato per la profilazione socio-sanitaria della popolazione;  il parere sullo schema di regolamento Regione Trento per la medicina di iniziativa nel servizio sanitario provinciale ( 1° ottobre 2020, doc. web 9469372), i provvedimenti del 24 febbraio 2022 n. 63, 64, 65, 66, 67, 65, 68, 69 e 70 sull’invio di dati da parte di n. 9 Regioni al Ministero della salute per lo sviluppo di metodologie predittive dell’evoluzione del fabbisogno di salute della popolazione.

Il recente faro sulla Regione Veneto.

Sanità del Veneto, faro del Garante Privacy sull’algoritmo per la gestione delle liste d’attesa

Quindi, oggi, qualche indicazione su cosa si può fare e – soprattutto –  su “come” si può fare l’abbiamo.

Le sanzioni alle asl friulane

Di recente poi la materia dei progetti innovativi in sanità sulla base del trattamento dei dati ha visto coinvolta la Regione Friuli e n. 3 aziende locali friulane.

Infatti con tre  provvedimenti  pubblicati nello stesso giorno (Provvedimento correttivo e sanzionatorio nei confronti dell’Azienda Universitaria Friuli Occidentale – 15 dicembre 2022 [9844989]; Provvedimento correttivo e sanzionatorio nei confronti dell’Azienda Universitaria Friuli Centrale – 15 dicembre 2022 [98451], il Garante ha sanzionato le 3 Aziende friulane ciascuna per un importo di euro 55.000 per aver trattato i dati dei pazienti in violazione del GDPR.

Più esattamente questo è il caso.

La Regione Friuli, con delibera 20 novembre 2020 n. 1737 decideva di sviluppare un progetto di stratificazione statistica di alcune categorie di pazienti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19: a tale fine si chiedeva  ai Medici di Medicina Generale di validare attraverso il portale informatico regionale, una lista di utenti/assistiti (preventivamente individuati dall’Azienda sanitaria, secondo proprio criterio non noto), in relazione alle loro condizioni di complessità e comorbidità (bio-umorali personali, terapie, stato patologico, indirizzi familiari, condizioni/abitudini di vita ); tali dati venivano poi estratti dal data warehouse regionale in base alle indicazioni delle Aziende Locali ed elaborati  da due società in-house della regione Friuli attraverso un algoritmo di classificazione denominato Johns Hopkins ACG System.

In sostanza attraverso questo sistema si realizzava un profilo di rischio dei pazienti prodromico alla successiva presa in carico dei pazienti stessi. L’iniziativa si poneva all’interno della Legge FVG 22/2019 secondo la quale il SSR avviva modalità organizzative innovative di presa in carico dei pazienti per lo sviluppo della medicina di iniziativa.

A seguito della segnalazione di un medico di base,  il Garante apriva una procedura con la quale chiedeva spiegazioni sia alla Regione Friuli che alle Azienda regionali che avevano ricevuto i dati elaborati.

All’esito dell’istruttoria il Garante evidenziava i seguenti aspetti:

La base giuridica

Secondo il Garante l’attività di stratificazione statistica effettuata dalla Regine Friuli era priva di idonea base giuridica; infatti i trattamenti finalizzati a stratificare la popolazione per sviluppare la medicina di iniziativa, non possono farsi rientrare nell’art. 9 lett. h) GDPR necessitando invece di altra base giuridica; in relazione a tale aspetto  si precisa che non era stato assunto un alcun consenso specifico per tale trattamento e che né la Legge Regione Friuli 22/2019  né la DGR n. 2195/2019 rispettano  quanto richiesto dall’art. 2 sexies del Codice Privacy  in quanto non indicano i  soggetti che possono effettuare il trattamento, né le operazioni eseguibili, né l’interesse pubblico rilevante (sul punto il Garante richiama il proprio parere sullo schema di regolamento relativo alle disposizioni attuative della legge provinciale trentino per la medicina di iniziativa nel servizio sanitario provinciale, del 1° ottobre 2020, doc. web 9469372); inoltre il Garante precisa altresì che il consenso per il FSE non può ritenersi base giuridica idonea per tale tipo di trattamento in ragione del fatto che tra le finalità del FSE non vi è la medicina di iniziativa

Trattamento

Circa poi la circostanza che i dati fossero stati direttamente “prelevati” dalle società in house della regione, il Garante precisa che ciò non fa venir meno la responsabilità del titolare dei dati (in questo caso le Aziende Locali) il quale è comunque tenuto a controllare le attività svolte dai propri responsabili e, nel caso, a porre in essere misure idonee per impedire il trattamento o chiederne la cessazione se lo stesso si reputa illegittimo.

Valutazione d’impatto

Circa la mancanza della valutazione di impatto, Il Garante evidenzia che tale attività di stratificazione ha riguardato un numero elevato di soggetti vulnerabili.

Nel caso specifico ricorrono quindi due dei criteri indicati dal EDPB per individuare i casi in cui un trattamento debba formare oggetto di una DPIA: più esattamente il trattamento di “dati sensibili o aventi carattere altamente personale” e di “dati relativi ad interessati vulnerabili”. Peraltro nessuna legislazione del periodo dell’emergenza ha fatto venir meno l’obbligo di DPIA (come palesato dalla DPIA dell’Immuni).

Si dà atto poi non era stata fornita nessuna informativa ai pazienti

Al termine dell’istruttoria le sanzioni comminate alle Aziende friulane sono state,  oltre ai 55.000 euro,  anche la cancellazione di tutti i dati elaborati a seguito di questo processo.

Tre considerazioni finali

I provvedimenti assunta dal Garante suggeriscono alcune considerazioni Non c’è dubbio che l’iniziativa fosse di pregio e, sicuramente, di interesse pubblico.

Però il tema “trattamento dei dati” è stato certamente sottovalutato.

Il primo luogo si ha sempre la sensazione che non ci sia chiarezza tra il “possesso” dei dati – perché magari raccolti in una banca dati regionale o aziendale – e la liceità giuridica di trattare questi dati, magari per una finalità correlata ma differente rispetto a quella primaria.

I dati in sanità sono pervasivi e magari raccolti oggi in più date base diversi: questa “disponibilità” del dato non ne legittima tout court l’utilizzo, anche se l’obiettivo è degno e di alto respiro.

Allora la risposta non può essere  “non fare”, ma deve essere “come fare”: il Garante stesso,  tra le righe,  sembra dirci che se la legge Friuli 22/2019 o la DRG  1737/2022 avessero rispettato le previsioni dell’art. 6-sexies Codice Privacy forse lì si poteva creare una base giuridica ad hoc ed idonea a legittimare il trattamento dei dati.

La seconda considerazione riguarda il rapporto in sanità tra Regione ed Aziende ASL

Ai sensi dell’art. 2 D.Lgs. 502/’99 la regione è un ente pubblico che ha come compiti istituzionali “la determinazione dei principi sull’organizzazione dei servizi e sull’attività destinata alla tutela della salute e dei criteri di finanziamento delle unità sanitarie locali e delle aziende ospedaliere, le attività di indirizzo tecnico, promozione e supporto nei confronti delle predette unità sanitarie locali ed aziende”

E’ chiaro quindi che le Aziende locali si “affidino” (è ovvio) alle iniziative della Regione, dando per presupposto che sia corrette.

Il problema, però,  è che in ambito GDPR il titolare dei dati raccolti per diagnosi e cura (cioè quei dati che vengono poi trattati anche per nuove iniziative) sono le Aziende locali: quindi la sanzione viene comminata in capo a queste.

Questo è un tema che richiede con assoluta urgenza una ampia riflessione ed un miglior coordinamento in sanità tra Regione e asl.

Terza considerazione riguarda la vigilanza sui responsabili ex art. 28.

Anche qui non ci sono scappatoie: l’Azienda locale risponde anche le per attività dei suoi Responsabili, anche se si tratta di altri enti pubblici e se gli stessi stanno ottemperando ad una delibera regionale.

In sostanza il principio di affidamento – a cui la PA fa quasi sempre riferimento quando lavora con altre PA – in materia di protezione del dato non funziona.

Ultima considerazione sulla Valutazione d’Impatto. È da fare, e quasi sempre evidenzia le criticità: ma perché (quasi) nessuno la fa?

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Analisi
Video
Iniziative
Social
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Programmazione europ
Fondi Europei: la spinta dietro ai Tecnopoli dell’Emilia-Romagna. L’esempio del Tecnopolo di Modena
Interventi
Riccardo Monaco e le politiche di coesione per il Sud
Iniziative
Implementare correttamente i costi standard, l'esperienza AdG
Finanziamenti
Decarbonizzazione, 4,8 miliardi di euro per progetti cleantech
Formazione
Le politiche di Coesione UE, un corso gratuito online per professionisti e giornalisti
Interviste
L’ecosistema della ricerca e dell’innovazione dell’Emilia-Romagna
Interviste
La ricerca e l'innovazione in Campania: l'ecosistema digitale
Iniziative
Settimana europea delle regioni e città: un passo avanti verso la coesione
Iniziative
Al via il progetto COINS
Eventi
Un nuovo sguardo sulla politica di coesione dell'UE
Iniziative
EuroPCom 2024: innovazione e strategia nella comunicazione pubblica europea
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati

Articolo 1 di 2