il quadro

GDPR e Sanità, tutte le sfide per la privacy dei dati sanitari

In Italia la situazione generale appare se non nera, con forti toni di grigio. Anche se ci sono buone pratiche, molte strutture sanitarie sono in ritardo. Oppure non prestano adeguata attenzione alle policy organizzative. Così il GDPR rischia di essere una sfida molto complicata

Pubblicato il 23 Mag 2018

Giovanni Maria Riccio

Professore di Diritto comparato nell'Università di Salerno e socio dello Studio Legale E-Lex (Roma)

Le basi giuridiche del trattamento dei dati: i casi in sanità

Quello dei dati sanitari è un tema, al contempo, affascinante e complesso. Affascinante, perché in un mondo in cui i dati rappresentano il nuovo petrolio, come si usa dire con un’espressione oramai abusata, le informazioni sanitarie rappresentano il petrolio più pregiato.

Forti sono, in tal senso, le tentazioni a cedere alle logiche di mercato. Senza scomodare le scelte tragiche di cui parlava, oramai tanti anni fa, Guido Calabresi a proposito dei trattamenti sanitari o, peggio, senza scadere nelle aberrazioni dell’analisi economica di matrice posneriana applicata alla materia che ci interessa, appare evidente il potenziale conflitto tra diritti fondamentali dei pazienti e interessi di mercato, da un lato, ed esigenze di ricerca, dall’altro.

Dati sanitari, l’equilibrio tra sicurezze e business

Una regola economica basilare insegna che più un’informazione è scarsa, più alto è il suo valore economico. Il commercio dei dati sanitari esiste, basta farsi una passeggiata nel deep web. Da questa banale constatazione, derivano due corollari: il primo, è che occorre adottare misure di sicurezza (non solo informatiche) elevate; l’altro, è che i tempi sono maturi per intavolare un discorso organico sulla possibilità di riutilizzare effettivamente i dati sanitari.

Non è questa la sede per affrontare compiutamente tale aspetto, che altro spazio e altri tempi richiederebbe. Se vogliamo superare la dicotomia, invero noiosa, tra apocalittici e integrati, dobbiamo rassegnarci ad una riflessione complessa e lontana dai toni urlati che tanto appassionano alcuni sedicenti studiosi di privacy, nella consapevolezza che la ricerca (anche quella giuridica) progredisce per lenti sedimentazioni e non con commenti di prima lettura.

Del resto, del riuso (o riutilizzo, che però è cosa diversa) dei dati sanitari si è parlato diffusamente nel recente passato, con riguardo alla formulazione imprecisa dell’art. 110-bis del Codice privacy, che molte polemiche aveva suscitato tra i giuristi. Sul punto, peraltro, interverrà il decreto di adeguamento, attualmente in fase di approvazione definitiva, che, stando alla versione che circola in queste ore, dovrebbe rappresentare un miglioramento rispetto alla precedente versione normativa.

GDPR e dati sanitari

Fedele alla consapevolezza di cui parlavo poc’anzi, mi limiterò quindi ad evidenziare alcuni aspetti peculiari che, a mio avviso, caratterizzano il rapporto tra trattamenti che coinvolgono dati sanitari e GDPR (o, più in generale, il “mondo” della privacy). Naturalmente, si tratta, per dir così, di un benchmark limitato all’esperienza professionale di chi scrive, che non ha alcuna pretesa di esaustività o di organicità rispetto alle problematiche che saranno citate. È un punto di confronto e di discussione, aperto ad opinioni differenti, basate su di una diversa casistica.

Partiamo da alcune note positive, per poi occuparci di quelli che, ad oggi, appaiono essere i punti dolenti.

Dossier sanitario, gli aspetti positivi per privacy e Sanità

Quello sanitario è, probabilmente, il settore che ha subito i maggiori e più frequenti interventi in tema di privacy. Basti pensare al dossier sanitario al fascicolo sanitario elettronico (oggetto di specifiche linee guida dell’Autorità Garante), nonché alla legislazione di settore che ha investito il comparto e ha determinato, inevitabilmente, un’attenzione alta e continua rispetto alle problematiche connesse al trattamento dei dati personali.

È noto che il dossier sanitario si differenzia dal fascicolo sanitario elettronico perché, nel primo caso, abbiamo informazioni raccolte da un unico soggetto (e, quindi, da un unico titolare del trattamento), mentre nell’altro caso siamo al cospetto di un quadro completo delle informazioni sanitarie riferite ad una persona (ad esempio,  referti; verbali di Pronto soccorso; documenti di dimissione; dossier farmaceutico; ecc.), che provengono da più soggetti distinti (ad esempio, laboratori di analisi, cliniche private, aziende sanitarie, ecc.). Le finalità, com’è intuibile, del FSE sono da ricondurre non solo (e non tanto) al trattamento dei dati, quanto al miglioramento della prestazione dei servizi sanitari e degli scopi diagnostici e preventivi rispetto a determinate patologie.

È indubbio che l’introduzione di una disciplina normativa specifica del fascicolo – di cui s’era occupato già il provvedimento del Garante del 16 luglio 2009 – con la Legge n. 179 del 2012 (recentemente modificata anche dall’ultima Legge Finanziaria) non solo ha offerto una risposta alle esigenze di ottimizzazione dei servizi sanitari, ma ha consentito altresì un perfezionamento dei processi privacy interni alle diverse strutture.

Allo stesso modo, le misure di pseudononimizzazione, introdotte dal GDPR, sono già in uso, in forme molteplici, presso le aziende sanitarie: nessun dato circola – soprattutto nella trasmissione informatizzata – abbinato ad un nominativo, ma esclusivamente ad un codice, che non consente di risalire (se non per mezzo di speciali associazioni, attivate con credenziali) all’identità del paziente. Anche sotto questo profilo, sebbene le misure applicate siano per loro natura migliorabili, ci sembra di poter dire che lo scenario sia tutt’altro che drammatico e che la maggior parte di soggetti che trattano dati sanitari abbia già in uso procedure efficienti e sicure.

Accanto ad alcune luci, però, ci sono ancora molte ombre.

I ritardi delle strutture sanitarie sulla privacy

Innanzi tutto, sono moltissime le strutture sanitarie che vivono un enorme ritardo nell’adeguamento alla nuova (si fa per dire) normativa comunitaria. In molte, a due settimane dal 25 maggio (la “fatidica data”), ancora discutono di preventivi e pubblicano avvisi di gara. Forse andrebbe sempre aggiunto, accanto al giorno e al mese della “fatidica data”, anche l’anno, perché – sia fatta passare la battuta – alcuni devono essere evidentemente convinti che non sia quello corrente, ma forse il prossimo.

Sul punto, è appena il caso di sfatare una leggenda popolare: l’esecutività del GDPR non potrà essere procrastinata, tanto meno a livello nazionale. Ai più distratti, ci limitiamo di ricordare che, trattandosi di un Regolamento comunitario, non è possibile alcuna modifica del testo da parte degli Stati membri.

Potrebbe essere possibile, però, che le ispezioni del Garante siano differite di qualche mese. Il decreto di adeguamento circola ancora in bozza, necessiterà di un nuovo parere del Garante (che potrebbe intervenire nell’arco di una settimana) e di un ulteriore parere delle Camere (i cui tempi dovrebbero essere analoghi a quelli dell’Autorità): in sintesi, è probabile che il decreto possa essere pubblicato in Gazzetta Ufficiale nella “fatidica data” o appena qualche giorno prima. In tale contesto, è evidente che occorrerà assegnare un tempo tecnico ai titolari del trattamento per garantire il rispetto anche delle nuove misure legislative nazionali.

A scanso di equivoci, però, precisiamo che un eventuale differimento delle ispezioni non equivale ad una sorta di immunità e che, in ogni caso, sarà possibile essere sanzionati a partire dalla “fatidica data”: si pensi, ad esempio, ad un ricorso formulato da un paziente per una eventuale violazione, dove, anzi, il numero dei procedimenti – nel Paese col il più alto contenzioso d’Europa – potrebbe sensibilmente aumentare.

Molti soggetti che operano nel settore sanitario, peraltro, non sembrano aver metabolizzato che la “fatidica data” è un punto di partenza e non di arrivo e che i processi (non solo tecnologici, ma anche organizzativi) dovranno essere revisionati e potenziati nel corso del tempo. Ecco, questa è un’altra nota dolente: molto spesso, le strutture sono preparate in termini generali, salvo poi esporsi a rischi sanzionatori per non aver curato adeguatamente i modelli organizzativi: si pensi al caso noto di quell’azienda sanitaria romana, sanzionata dal Garante per non aver nominato correttamente i propri incaricati del trattamento…

In troppi hanno evidenziato l’aspetto tecnologico dell’adeguamento al GDPR: eppure, nel caso che ci interessa, spesso le maggiori problematiche sorgono da prassi operative e da policy organizzative non corrette. A titolo esemplificativo, spesso le cartelle cliniche, in caso di decesso, vengono consegnate a persone non legittimate; altrettanto spesso, in caso di esercizio dei diritti dell’interessato, le strutture comunicano dati a soggetti che si qualificano come avvocati, senza accertarsi né dell’identità di tali soggetti, né della presenza di una procura che legittimi la richiesta.

Un’ulteriore criticità – questa volta di natura tecnologica – potrebbe essere rappresentata dall’introduzione del diritto alla portabilità dei dati. Fermo restando quanto detto in precedenza in merito al fascicolo sanitario elettronico, molto spesso le tecnologie e i software utilizzati dalle strutture sanitarie non sono predisposti ad un dialogo tra di loro: in estrema sintesi, siamo spesso al cospetto di una Babele, che deve essere risolta quanto prima.

In conclusione, la situazione generale appare se non nera, con forti toni di grigio: mi viene in mente Einstein, che, per spiegare la teoria della relatività, diceva che un’ora è breve, se si è seduti accanto ad una bella ragazza, mentre un minuto è lunghissimo, se si è seduti su una stufa. A maggio, le stufe dovrebbero essere spente e le belle giornate dovrebbero invogliarci ad intrattenerci con belle ragazze: ho il sentore, però, che in tanti, nonostante l’arrivo del caldo, preferiscano restare seduti sulle stufe, col rischio di bruciarsi.

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

EU Stories - La coesione innova l'Italia

Tutti
Iniziative
Video
Analisi
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia
Iniziative
Parte la campagna di comunicazione COINS
Interviste
Marco De Giorgi (PCM): “Come comunicare le politiche di coesione”
Analisi
La politica di coesione europea: motore della transizione digitale in Italia
Politiche UE
Il dibattito sul futuro della Politica di Coesione
Mobilità Sostenibile
L’impatto dei fondi di coesione sul territorio: un’esperienza di monitoraggio civico
Iniziative
Digital transformation, l’Emilia-Romagna rilancia sulle comunità tematiche
Politiche ue
Fondi Coesione 2021-27: la “capacitazione amministrativa” aiuta a spenderli bene
Finanziamenti
Da BEI e Banca Sella 200 milioni di euro per sostenere l’innovazione di PMI e Mid-cap italiane
Analisi
Politiche di coesione Ue, il bilancio: cosa ci dice la relazione 2024
Politiche UE
Innovazione locale con i fondi di coesione: progetti di successo in Italia

Articoli correlati