Il tema della protezione dei dati sanitari si inserisce in un contesto di requisiti di conformità normativa sempre più stringenti in cui il tema della privacy è centrale.
Il precedente Codice sulla privacy (D.lgs. n. 196/2003) disciplinava in modo specifico i dati personali in ambito sanitario, dedicando al loro trattamento l’intero Titolo V.
L’entrata in vigore del Regolamento UE n. 2016/679, conosciuto coram populo come GDPR, a partire dal 25 maggio 2018 non prevede, invece, un’apposita sezione dedicata al trattamento dei dati personali effettuato in ambito sanitario.
Sono però presenti numerosi richiami a questa tipologia di dati per specificarne la natura e la criticità.
Al punto 35) delle considerazioni iniziali del GDPR si precisa che:
“Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria o della relativa prestazione di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio; un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.
Nell’articolo 4, al punto 15) i dati relativi alla salute vengono definiti come:
“i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute”.
Di conseguenza, il GDPR qualifica in modo inequivocabile i dati sanitari (inclusi quelli genetici e biometrici) come dati sensibili e, come tali, da trattare in modo controllato.
Va però osservato che, a differenza di altre tipologie di dati personali (per esempio quelli che rivelino convincimenti religiosi e politici o l’origine razziale), per i dati sanitari sono previste casistiche in cui il divieto di trattamento non opera: sono quelle riconducibili all’esigenza di erogazione della prestazione sanitaria, di trattamento per interessi della Sanità pubblica (per esempio in caso di epidemie) e per le finalità di medicina del lavoro (al fine di tutelare il dipendente e prevenire possibili danni alla sua salute).
Data protection by design e by default
Il GDPR richiede al Titolare del trattamento (Articolo 25 – Protezione dei dati fin dalla progettazione e protezione per impostazione predefinita) di
“mettere in atto misure tecniche e organizzative adeguate, quali la pseudonimizzazione, volte ad attuare in modo efficace i principi di protezione dei dati, quali la minimizzazione, e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti del presente regolamento e tutelare i diritti degli interessati”.
Una prima implicazione di ciò è che le aziende sanitarie, per una corretta applicazione del regolamento GDPR, dovrebbero richiedere a tutti i fornitori a cui affidano lo sviluppo di soluzioni e prodotti che questi ultimi forniscano una dichiarazione relativa all’applicazione del medesimo approccio di data protection by design.
Parimenti, il Regolamento (Art. 25 punto 2) inserisce gli elementi fondanti per un approccio di data protection by default specificando che
“il titolare del trattamento mette in atto misure tecniche e organizzative adeguate per garantire che siano trattati, per impostazione predefinita, solo i dati personali necessari per ogni specifica finalità del trattamento”
e, inoltre, che i dati raccolti e la durata della loro conservazione siano limitati al minimo necessario per le finalità perseguite.
In accordo a questo principio, nell’ambito dell’interscambio sanitario, chi eroga i dati dovrebbe consentire una segmentazione dei dati visualizzabili, in modo da abitare un percorso di consultazione differenziato in base al profilo dell’utilizzatore e della finalità perseguite.
Queste esigenze rendono certamente consigliabile, per un’azienda sanitaria, la predisposizione di una figura di Data Protection Officer preposta alla pianificazione e attuazione di processi di controllo e di audit interni.
Le misure tecniche e organizzative previste dal GDPR
Il GDPR fornisce una serie di indicazioni sulle misure tecniche e organizzative che il titolare e il responsabile del trattamento dei dati personali hanno l’obbligo di mettere in atto.
Al punto 1 dell’Articolo 32 (Sicurezza del trattamento) vengono esplicitate come misure di sicurezza:
- la pseudonimizzazione;
- la cifratura;
- la capacità di assicurare su base permanente la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento;
- la capacità di ripristinare tempestivamente la disponibilità e l’accesso dei dati personali in caso di incidente fisico o tecnico;
- la presenza di una procedura per testare, verificare e valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento.
Tuttavia il GDPR riporta (sempre al punto 1 dell’art. 32) che le misure di sicurezza devono “garantire un livello di sicurezza adeguato al rischio” del trattamento. Di conseguenza, la lista di misure va considerata esemplificativa e non esaustiva così come non possono sussistere dopo il 25 maggio 2018 obblighi generalizzati di adozione di misure “minime” di sicurezza (come era, invece, espresso nell’art. 33 del precedente Codice sulla Privacy).
Informazione e consenso
Il GDPR si ispira al principio di trasparenza e prevede che le informazioni destinate al pubblico o all’interessato siano facilmente accessibili e comprensibili. Il trattamento, si basa sulla prestazione del consenso (Articolo 7 – Condizioni per il consenso) che deve essere informato, specifico e prestato liberamente.
In generale (Punto 4 dell’Articolo 22 – Processo decisionale automatizzato relativo alle persone fisiche, compresa la profilazione) il GDPR vieta la profilazione dei dati sanitari, ma il trattamento automatizzato dei dati personali può avvenire eccezionalmente in caso di consenso esplicito dell’interessato o in cui vada perseguito un interesse per la Sanità pubblica.
Per esempio, i ricercatori e le organizzazioni per finalità di ricerca scientifica possono aggirare il principio di legittimità del trattamento ed essere esonerati dalla raccolta del consenso (Considerando n. 156 e 157, Art. 89 e Art 6 punto 1 lettera f), nel perseguimento di un interesse pubblico che sia prevalente sul diritto del singolo interessato (per esempio in caso di cura di epidemie).
Considerazione iniziale n. 156
…Gli Stati membri dovrebbero essere autorizzati a fornire, a specifiche condizioni e fatte salve adeguate garanzie per gli interessati, deroghe relative ….. al diritto di opporsi in caso di trattamento di dati personali per finalità di archiviazione nel pubblico interesse, per finalità di ricerca scientifica o storica o per finalità statistiche.
Considerazione iniziale n. 157
…Al fine di facilitare la ricerca scientifica, i dati personali possono essere trattati per finalità di ricerca scientifica fatte salve condizioni e garanzie adeguate previste dal diritto dell’Unione o degli Stati membri.
Articolo 89 – Garanzie e deroghe relative al trattamento a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici
- Se i dati personali sono trattati a fini di ricerca scientifica o storica o a fini statistici, il diritto dell’Unione o degli Stati membri può prevedere deroghe ai diritti di cui agli articoli 15, 16, 18 e 21,…
La Normativa italiana ammette anche la dematerializzazione del consenso.
L’acquisizione del consenso digitale può avvenire attraverso differenti metodi e soluzioni tecniche, la cui scelta (tra quelle possibili) è demandata alla discrezione della singola struttura sanitaria.
I principali utilizzabili nel contesto normativo italiano per la raccolta della firma elettronica da parte del paziente sui documenti informatici di consenso sono:
- Firma elettronica semplice;
- Firma Elettronica Avanzata (FEA) tramite modalità grafometrica;
- Firma Elettronica Avanzata tramite utilizzo della Carta d’Identità Elettronica, della Carta Nazionale dei Servizi, del documento d’identità dei pubblici dipendenti (Mod.ATe), del passaporto elettronico e degli altri strumenti a essi conformi;
- Firma elettronica qualificata (FEQ) o digitale;
- Servizio Pubblico di Identità Digitale (SPID).
Notifica della violazione dei dati sanitari
L’Art. 33 del GDPR (Notifica di una violazione dei dati personali all’autorità di controllo) introduce il tema della notifica delle violazioni dei propri sistemi informatici al Garante. Tuttavia, la notifica all’autorità dell’avvenuta violazione non è obbligatoria, ma deve avvenire soltanto se si ritiene che da tale violazione derivino rischi per i diritti e le libertà degli interessati
Nel caso degli incidenti in ambito sanitario, la diffusione di informazioni relative allo stato di salute di un cittadino rientra tra le situazioni che comportano alti rischi per i diritti e le libertà dell’interessato e, pertanto, ricade nell’ambito della notifica.
La notifica in tal caso può essere esclusa qualora siano state prese misure tecniche come, per esempio, la cifratura o il mascheramento, che possano mitigare la condizione che la violazione dei dati personali determini un rischio per i diritti e le libertà delle persone fisiche.
Un esempio
Il Fascicolo Sanitario Elettronico (FSE) raccoglie i documenti digitali di tipo sanitario e socio-sanitario generati da strutture sanitarie, socio-sanitarie e dai medici di base solo previo consenso del paziente, che ha in ogni momento la possibilità di esercitare il diritto di revoca del trattamento.
Oltre al consenso per l’alimentazione del FSE il paziente esprime un consenso separato per la sua consultazione da parte degli operatori sanitari che in esso possono trovare un aiuto per gli aspetti diagnostici e curativi.
Il mancato consenso all’alimentazione del FSE e/o alla sua consultazione non preclude l’accesso alle prestazioni e alle cure fornite da una struttura sanitaria.
In questa circostanza i dati restano a disposizione unicamente di chi li ha generati e del personale sanitario autorizzato che ha in cura il paziente, solo per il periodo in cui sono fornite le prestazioni assistenziali.
Secondo di quattro articoli sulla Sicurezza dei dati in sanità
