L’informazione ai pazienti risulta, alla prova dei fatti, un’operazione spesso complessa nella sanità digitale. Nonostante i chiarimenti del Garante sulle modalità per assicurare la trasparenza voluta dal GDPR, gioverebbe un’attività di “pre-informazione” che consenta agli interessati di presentarsi presso le strutture sanitarie già in parte preparati sulle dinamiche della protezione dati personali. Ecco qualche proposta.
Informativa in Sanità, i punti critici
L’obbligo informativo di cui agli artt. 13 e 14 del Regolamento UE 679/2016 (anche “GDPR”), già in buona parte presente nella precedente impalcatura normativa, costituisce – come ormai noto – uno dei pilastri fondanti del nostro attuale sistema privacy. Espressione massima del principio di trasparenza (art. 5 GDPR), nel settore sanitario ha trovato ulteriori specificazioni all’interno del Provvedimento del 7 marzo 2019 del Garante per la Protezione dei Dati Personali, nei “Chiarimenti sull’applicazione della disciplina di protezione dei dati in ambito sanitario”.
Non si intende qui riavvolgere il nastro del provvedimento citato, né ricalcare considerazioni a cui autorevole dottrina è già approdata con riferimento agli articoli 13 e 14 del Regolamento; si vuole, diversamente, ipotizzare possibili soluzioni alle criticità pratiche emerse nel settore sanitario, settore che, per la natura dei dati trattati, implica rigore nell’applicazione della legge e merita al contempo delicatezza nel rapporto con gli interessati (pazienti).
Trasparenza significa mettere in condizione l’interessato di conoscere le informazioni afferenti il ciclo di vita dei suoi dati, a seconda delle prestazioni cui è in procinto di sottoporsi. La normativa in materia prevede che le informazioni siano rese in modo conciso, intelligibile, facilmente accessibile, con linguaggio semplice e chiaro (art. 12 del GDPR e art. 78 del Codice Privacy), nonché in modo progressivo in base alla prestazione erogata e scegliendo le modalità più appropriate per fornire tali informazioni agli interessati. Tutto questo risulta tuttavia di non semplice realizzazione nel concreto.
Dossier e Fascicolo sanitario i nodi principali
Un paziente al primo accesso presso una struttura sanitaria complessa si trova al cospetto di una congerie di indicazioni di natura clinica, amministrativa e di trattamento dati; limitatamente a queste ultime, nonostante l’abbandono della logica di “consensocentrismo”[1] degli ultimi orientamenti nazionali ed europei, il paziente dovrà comunque esprimere diverse scelte di non poco conto: costituzione del Dossier Sanitario Elettronico e consensi ad esso subordinati (scelta sul pregresso, non oscuramento dei dati soggetti a maggior tutela di anonimato, ecc.), costituzione ed alimentazione del Fascicolo Sanitario Elettronico (per le strutture pubbliche), consenso alla refertazione on-line per i servizi ambulatoriali ed ogni altra preferenza facoltativa legata a servizi opzionali previsti in ciascuna realtà sanitaria.
Ipotizzando che il Titolare riesca a fornire tali informazioni nella maniera più concisa e chiara possibile, presupposto per la verità niente affatto banale, il paziente difficilmente riuscirà a percepire nitidamente l’importanza delle proprie manifestazioni di volontà, soprattutto se in regime ambulatoriale, caso nel quale il tempo a disposizione tra pratiche amministrative e prestazione sanitaria è limitato e circoscritto. Ciò dipende principalmente dalla mancanza di diffusione della cultura sul trattamento dei dati, che più che mai gioverebbe in ambito sanitario.
Spesso, infatti, l’utente medio si presenta presso la struttura ignaro del significato di Dossier Sanitario Elettronico, nonché in preda alla confusione di fronte alla differenza tra quest’ultimo ed il Fascicolo Sanitario Elettronico.
Il rischio del “no” a prescindere
La complessità percepita, di conseguenza, si va a tramutare in una sorta di scetticismo: il paziente, dubbioso e (comprensibilmente) concentrato sulla prestazione sanitaria, sarà portato a negare i consensi, non per reale volontà consapevole, ma per una sorta di precauzione da “ignoranza” (intesa nel senso etimologico del termine).
Si badi bene, chi scrive è certamente consapevole che è a carico di ogni titolare del trattamento colmare il gap informativo con il paziente, spiegare all’interessato le nozioni complesse, illustrare i servizi in tutte le loro declinazioni. Tuttavia il tempo da dedicare a tale compito è insufficiente per quelle prestazioni che non prevedono un periodo di degenza e che si caratterizzano per l’immediatezza e l’avvicendamento dell’utenza.
Il pericolo che corriamo è che la cultura della protezione dei dati si diffonda in modo superficiale e poco produttivo tra gli utenti: una sorta di “educazione al no”, alla negazione di default di qualsiasi consenso, come se la non necessarietà di un servizio sia da ricollegarsi alla sua onerosità. È vero, a volte è esattamente così, ma non lo è ad esempio per il Dossier Sanitario che costituisce una risorsa validissima nel percorso di cura del paziente: non c’è dubbio, infatti, che l’equipe medica/singolo professionista curante tragga particolare beneficio dalle informazioni relative ai precedenti accessi del paziente nella stessa struttura (effettuati presso unità operative/professionisti differenti).
Del resto lo stesso Garante Privacy, nelle ormai note Linee Guida in materia di Dossier Sanitario Elettronico, sottolineava l’importanza di tale strumento, fornendo anche suggerimenti volti a garantire la conoscibilità dell’informativa.
Pazienti informati: come semplificare
La sanità ha bisogno della partecipazione sostanziale del paziente, non essendo assolutamente fruttuoso che questi esprima delle scelte inconsapevoli per “pigrizia” o per eccessiva complessità[2]. Non siamo al cospetto di scelte di marketing o finalità di profilazione. In sanità le scelte possono incidere sulla condivisione dei dati per fini di diagnosi, cura e riabilitazione tra più strutture o all’interno della stessa struttura. Ecco perché il paziente ha più che mai diritto di comprendere la portata delle sue scelte, deve essere curioso e messo nelle condizioni di poterlo essere.
L’obiettivo di una realtà sanitaria deve, pertanto, essere sicuramente quello di totale trasparenza all’interessato, attraverso tutti i sistemi realisticamente utilizzabili:
- Bacheche informative
- Documentazione cartacea
- Pubblicazione sul sito web
- Informazioni orali
- Ausili tecnologici (totem, device, ecc. laddove il budget lo consenta)
Tuttavia, un’attività di “pre-informazione” sarebbe davvero auspicabile per assicurare l’effettiva e preventiva conoscenza degli efficaci strumenti di condivisione dei dati, magari confidando proprio nel sostegno dell’Autorità di controllo, attraverso la realizzazione e messa a disposizione di videoclip di valenza generale (a titolo esemplificativo si immagini un video che spieghi in modo generico cos’è il dossier sanitario e a cosa serve, con rappresentazioni semplici ed immediate).
Tali video potrebbero essere riprodotti nel “palinsesto” degli schermi di chiamata delle sale d’attesa dei poliambulatori, oppure linkati sul sito web di ciascuna struttura. Ma ancora: in un’epoca in cui la cultura della privacy deve necessariamente diffondersi per arginare “l’invadenza” delle nuove tecnologie o per promuoverne i vantaggi rassicurando l’utente, perché non avviare campagne di comunicazione mirate da passare in TV?
Come in premessa, il presente contributo non ha lo scopo di sviscerare concetti ormai noti e ben approfonditi in commentari e riviste. L’intenzione è piuttosto quella di svestire i panni del giurista ed indossare quelli del paziente, provando a percepirne i disagi, le necessità concrete.
Perché abbiamo un bisogno disperato di concretezza. Perché quello di accountability è un principio dinamico, che richiede la capacità di dimostrare – è vero – che si sia provveduto (nel caso di specie) ad informare, ma che, interpretato nel senso più garantista e sostanziale, implica anche una reale presa di coscienza dell’interessato.
Altrimenti si rischierebbe di rendere vuota la norma, mero adempimento la presa di un consenso: una fredda dimostrazione di aver adempiuto ad un obbligo, ignorando che dall’altra parte si sta comprimendo un diritto.
Soluzioni concrete per una compliance efficace
Prendendo in prestito un meraviglioso principio deontologico – “Il tempo di relazione è tempo di cura” – ci mettiamo alla ricerca di soluzioni che garantiscano la compliance in modo sostanziale; sperimentiamo ogni giorno nuovi metodi per spiegare le norme ai pazienti in modo chiaro ed efficace. Lavoriamo, noi giuristi/consulenti/DPO, preoccupati, poiché tutto ciò non è così semplice. E, se potessimo, dedicheremmo il nostro tempo di relazione a spiegare a ciascun paziente l’importanza di quel particolare trattamento, la valenza di quella disposizione normativa: sarebbe il tempo di cura di noi giuristi.
Un tempo che non abbiamo, ma alla cui assenza proviamo a sopperire attraverso documenti informativi, trasmettendo istruzioni ed erogando formazione al personale sanitario e amministrativo. La speranza è che, però, vi siano presto anche i contributi di Autorità e Ministeri, in primissima battuta, nel mettere a disposizione degli utenti strumenti semplici per comprendere le nozioni minime, i concetti di base, le indicazioni generali affinché i pazienti non si presentino presso le strutture sanitarie con tutto da imparare e troppo da comprendere.
Ne beneficeremmo tutti, titolari ed interessati, addetti ai lavori e non; verrebbe meno quella preoccupazione dell’adempimento a tutti i costi (a scapito della effettiva comprensione dell’utenza). Ci sarebbe più tempo per la qualità della comunicazione, per l’efficacia della relazione, di modo che quel tempo venga percepito, anche dal paziente stesso, come un momento dedicato effettivamente al suo percorso di cura.
- L. Bolognini, E. Pelino, Codice Privacy: tutte le novità del d.lgs. 101/2018, Il Civilista, Giuffre Francis Lefebvre.
- G. Arnò, Ti informo di averti informato, in Privacy& n. 2 luglio 2019, Egea.
