Medicina personalizzata, medicina di iniziativa, medicina di popolazione, medicina predittiva: temi fortemente innovativi che senza dubbio disegneranno la nostra sanità futura.
A patto di saper (anche) proteggere i dati dei pazienti.
Garante a tutela della privacy nell’innovazione sanitaria
E qui casca l’asino. Lo dimostrano i numerosi provvedimenti del Garante Privacy assunti negli ultimi due anni nei confronti delle pubbliche amministrazioni sanitarie, di cui per ultimo una sanzione alle Asl friulane qualche giorno fa.
Sembra insomma emergere che la corretta applicazione del GDPR in ambito pubblico presenta ancora profili di criticità.
Tralasciando i casi di errore nella gestione quotidiana del dato (quali accessi non giustificati, informative non corrette ecc.), emergono invece problematiche oserei dire “di sistema”, che evidenziano come in questa “riorganizzazone” della sanità che passa attraverso i dati non si tenga conto – in maniera corretta – delle regole GDPR.
Ciò appare ancor più grave proprio perché ci stiamo muovendo verso un potenziamento del nostro FSE e la correlata creazione di un Ecosistema di Dati Sanitari nazionale (legge 28 marzo 2022 n. 25) ed altresì verso lo sviluppo di una Assistenza Territoriale (D.M. 77/2022) per buona parte fondata sulla telemedicina (Decreto Ministero Salute 29 aprile 2022 “Approvazione delle linee guida organizzative contenenti il Modello digitale per l’attuazione dell’assistenza domiciliare”).
In sostanza ci muoviamo verso una crescita esponenziale di dati digitali che, ai fini di cura, si dovranno “muovere” tra diversi soggetti.
Capire quindi chi è il titolare, quali sono le basi giuridiche, quali sono le misure da implementare appare cardine.
Al contrario sembra che invece su questi temi ci sia ancora un po’ di confusione.
Gli interventi del Garante
Senza pretese di esaustività basti ricordare che il Garante ha già assunto molti provvedimenti sul tema: il parere 5 marzo 2020 su richiesta del Consiglio di Stato per la profilazione socio-sanitaria della popolazione; il parere sullo schema di regolamento Regione Trento per la medicina di iniziativa nel servizio sanitario provinciale ( 1° ottobre 2020, doc. web 9469372), i provvedimenti del 24 febbraio 2022 n. 63, 64, 65, 66, 67, 65, 68, 69 e 70 sull’invio di dati da parte di n. 9 Regioni al Ministero della salute per lo sviluppo di metodologie predittive dell’evoluzione del fabbisogno di salute della popolazione.
Il recente faro sulla Regione Veneto.
Sanità del Veneto, faro del Garante Privacy sull’algoritmo per la gestione delle liste d’attesa
Quindi, oggi, qualche indicazione su cosa si può fare e – soprattutto – su “come” si può fare l’abbiamo.
Le sanzioni alle asl friulane
Di recente poi la materia dei progetti innovativi in sanità sulla base del trattamento dei dati ha visto coinvolta la Regione Friuli e n. 3 aziende locali friulane.
Infatti con tre provvedimenti pubblicati nello stesso giorno (Provvedimento correttivo e sanzionatorio nei confronti dell’Azienda Universitaria Friuli Occidentale – 15 dicembre 2022 [9844989]; Provvedimento correttivo e sanzionatorio nei confronti dell’Azienda Universitaria Friuli Centrale – 15 dicembre 2022 [98451], il Garante ha sanzionato le 3 Aziende friulane ciascuna per un importo di euro 55.000 per aver trattato i dati dei pazienti in violazione del GDPR.
Più esattamente questo è il caso.
La Regione Friuli, con delibera 20 novembre 2020 n. 1737 decideva di sviluppare un progetto di stratificazione statistica di alcune categorie di pazienti in relazione al rischio di avere o meno complicanze in caso di infezione da Covid-19: a tale fine si chiedeva ai Medici di Medicina Generale di validare attraverso il portale informatico regionale, una lista di utenti/assistiti (preventivamente individuati dall’Azienda sanitaria, secondo proprio criterio non noto), in relazione alle loro condizioni di complessità e comorbidità (bio-umorali personali, terapie, stato patologico, indirizzi familiari, condizioni/abitudini di vita ); tali dati venivano poi estratti dal data warehouse regionale in base alle indicazioni delle Aziende Locali ed elaborati da due società in-house della regione Friuli attraverso un algoritmo di classificazione denominato Johns Hopkins ACG System.
In sostanza attraverso questo sistema si realizzava un profilo di rischio dei pazienti prodromico alla successiva presa in carico dei pazienti stessi. L’iniziativa si poneva all’interno della Legge FVG 22/2019 secondo la quale il SSR avviva modalità organizzative innovative di presa in carico dei pazienti per lo sviluppo della medicina di iniziativa.
A seguito della segnalazione di un medico di base, il Garante apriva una procedura con la quale chiedeva spiegazioni sia alla Regione Friuli che alle Azienda regionali che avevano ricevuto i dati elaborati.
All’esito dell’istruttoria il Garante evidenziava i seguenti aspetti:
La base giuridica
Secondo il Garante l’attività di stratificazione statistica effettuata dalla Regine Friuli era priva di idonea base giuridica; infatti i trattamenti finalizzati a stratificare la popolazione per sviluppare la medicina di iniziativa, non possono farsi rientrare nell’art. 9 lett. h) GDPR necessitando invece di altra base giuridica; in relazione a tale aspetto si precisa che non era stato assunto un alcun consenso specifico per tale trattamento e che né la Legge Regione Friuli 22/2019 né la DGR n. 2195/2019 rispettano quanto richiesto dall’art. 2 sexies del Codice Privacy in quanto non indicano i soggetti che possono effettuare il trattamento, né le operazioni eseguibili, né l’interesse pubblico rilevante (sul punto il Garante richiama il proprio parere sullo schema di regolamento relativo alle disposizioni attuative della legge provinciale trentino per la medicina di iniziativa nel servizio sanitario provinciale, del 1° ottobre 2020, doc. web 9469372); inoltre il Garante precisa altresì che il consenso per il FSE non può ritenersi base giuridica idonea per tale tipo di trattamento in ragione del fatto che tra le finalità del FSE non vi è la medicina di iniziativa
Trattamento
Circa poi la circostanza che i dati fossero stati direttamente “prelevati” dalle società in house della regione, il Garante precisa che ciò non fa venir meno la responsabilità del titolare dei dati (in questo caso le Aziende Locali) il quale è comunque tenuto a controllare le attività svolte dai propri responsabili e, nel caso, a porre in essere misure idonee per impedire il trattamento o chiederne la cessazione se lo stesso si reputa illegittimo.
Valutazione d’impatto
Circa la mancanza della valutazione di impatto, Il Garante evidenzia che tale attività di stratificazione ha riguardato un numero elevato di soggetti vulnerabili.
Nel caso specifico ricorrono quindi due dei criteri indicati dal EDPB per individuare i casi in cui un trattamento debba formare oggetto di una DPIA: più esattamente il trattamento di “dati sensibili o aventi carattere altamente personale” e di “dati relativi ad interessati vulnerabili”. Peraltro nessuna legislazione del periodo dell’emergenza ha fatto venir meno l’obbligo di DPIA (come palesato dalla DPIA dell’Immuni).
Si dà atto poi non era stata fornita nessuna informativa ai pazienti
Al termine dell’istruttoria le sanzioni comminate alle Aziende friulane sono state, oltre ai 55.000 euro, anche la cancellazione di tutti i dati elaborati a seguito di questo processo.
Tre considerazioni finali
I provvedimenti assunta dal Garante suggeriscono alcune considerazioni Non c’è dubbio che l’iniziativa fosse di pregio e, sicuramente, di interesse pubblico.
Però il tema “trattamento dei dati” è stato certamente sottovalutato.
Il primo luogo si ha sempre la sensazione che non ci sia chiarezza tra il “possesso” dei dati – perché magari raccolti in una banca dati regionale o aziendale – e la liceità giuridica di trattare questi dati, magari per una finalità correlata ma differente rispetto a quella primaria.
I dati in sanità sono pervasivi e magari raccolti oggi in più date base diversi: questa “disponibilità” del dato non ne legittima tout court l’utilizzo, anche se l’obiettivo è degno e di alto respiro.
Allora la risposta non può essere “non fare”, ma deve essere “come fare”: il Garante stesso, tra le righe, sembra dirci che se la legge Friuli 22/2019 o la DRG 1737/2022 avessero rispettato le previsioni dell’art. 6-sexies Codice Privacy forse lì si poteva creare una base giuridica ad hoc ed idonea a legittimare il trattamento dei dati.
La seconda considerazione riguarda il rapporto in sanità tra Regione ed Aziende ASL
Ai sensi dell’art. 2 D.Lgs. 502/’99 la regione è un ente pubblico che ha come compiti istituzionali “la determinazione dei principi sull’organizzazione dei servizi e sull’attività destinata alla tutela della salute e dei criteri di finanziamento delle unità sanitarie locali e delle aziende ospedaliere, le attività di indirizzo tecnico, promozione e supporto nei confronti delle predette unità sanitarie locali ed aziende”
E’ chiaro quindi che le Aziende locali si “affidino” (è ovvio) alle iniziative della Regione, dando per presupposto che sia corrette.
Il problema, però, è che in ambito GDPR il titolare dei dati raccolti per diagnosi e cura (cioè quei dati che vengono poi trattati anche per nuove iniziative) sono le Aziende locali: quindi la sanzione viene comminata in capo a queste.
Questo è un tema che richiede con assoluta urgenza una ampia riflessione ed un miglior coordinamento in sanità tra Regione e asl.
Terza considerazione riguarda la vigilanza sui responsabili ex art. 28.
Anche qui non ci sono scappatoie: l’Azienda locale risponde anche le per attività dei suoi Responsabili, anche se si tratta di altri enti pubblici e se gli stessi stanno ottemperando ad una delibera regionale.
In sostanza il principio di affidamento – a cui la PA fa quasi sempre riferimento quando lavora con altre PA – in materia di protezione del dato non funziona.
Ultima considerazione sulla Valutazione d’Impatto. È da fare, e quasi sempre evidenzia le criticità: ma perché (quasi) nessuno la fa?
