La medicina d’iniziativa è un nuovo approccio organizzativo-assistenziale che valuta il bisogno di salute del cittadino e lo accompagna nei suoi percorsi di salute. Non aspetta, quindi, il paziente in ospedale ma gli “va incontro” prima che le patologie insorgano o si aggravino, garantendo interventi adeguati e differenziati in base al livello di rischio. Punta anche sulla prevenzione e sull’educazione del cittadino, rendendolo partecipe dell’intero percorso assistenziale.
La medicina d’iniziativa mira sia alla prevenzione, sia al miglioramento della gestione delle malattie croniche in ogni loro stadio
In particolare, la sanità d’iniziativa mira sia alla prevenzione, sia al miglioramento della gestione delle malattie croniche in ogni loro stadio, con effetti positivi per la salute dei cittadini e per la sostenibilità del sistema sanitario.
La letteratura scientifica evidenzia come tale modalità pro-attiva (che si muove, cioè, attivamente verso la salute del cittadino), inserita nell’ambito delle cure primarie, possa avere ricadute positive soprattutto su alcune tipologie di malattie croniche come diabete, malattie cerebro e cardiovascolari, insufficienza cardiaca, broncopneumopatia, ecc.
Non solo, seguendo da vicino l’evoluzione clinica di queste patologie, consentirebbe una riduzione delle complicanze e della disabilità.
Nella pratica, si traduce in un contatto da parte del medico nei confronti dei pazienti per programmare accertamenti e controlli, per una valutazione dello stato e dell’andamento della malattia cronica e per definire i percorsi diagnostico-terapeutici e assistenziali.
Dati sanitari e GDPR
Il GDPR, il Regolamento UE 2016/679, è stato attuato in Italia nel 2018 integrando la normativa nazionale del Codice della privacy del 2003. Pur non avendo stravolto la norma della protezione dei dati personali in ambito sanitario, ha però inserito alcune novità, tenendo conto della progressiva evoluzione del concetto di privacy alla luce delle nuove tecnologie. Nell’ambito di una materia delicata come il trattamento dei dati sanitari, il legislatore europeo ha dedicato particolare attenzione alla tutela dei dati personali, un diritto fondamentale di ciascun individuo.
Il GDPR si applica direttamente a tutti gli Stati membri UE. In Italia, nell’agosto del 2018 è stato approvato il decreto legislativo n. 101/2018 che, di fatto, non ha abrogato il “vecchio” Codice della privacy (decreto legislativo n. 196/2003), ma lo ha modificato alla luce delle nuove disposizioni europee.
Il trattamento dei dati sanitari è senza consenso se avviene per finalità di medicina preventiva, diagnosi, assistenza o terapia o gestione dei servizi sanitari o sociali. Oppure, per motivi di interesse pubblico, come la protezione da gravi minacce per la salute o per garantire elevati parametri di qualità e sicurezza dell’assistenza sanitaria, dei medicinali e dei dispositivi medici.
In tutti gli altri casi, il trattamento dei dati sanitari richiede il consenso del cittadino, previa informativa. Tra le informazioni che devono essere fornite all’interessato, si segnala, ad esempio, il tempo di conservazione dei dati sanitari: la normativa vigente prevede che le cartelle cliniche e i referti radiologici vanno conservati per sempre; le immagini radiologiche per dieci anni; i certificati di idoneità sportiva per cinque anni.
Non è, quindi, più necessario chiedere il consenso del paziente per i trattamenti e le prestazioni sanitarie, purché si tratti di dati necessari alle “finalità di cura” previste dal GDPR.
Medicina di iniziativa e privacy
Ha fatto discutere la recente sanzione applicata dal Garante per la privacy a tre Asl friulane che avevano fatto uso di algoritmi di Intelligenza Artificiale per classificare i pazienti in base al rischio di incorrere in complicanze in caso di infezione da SARS CoV-2. Secondo l’Authority, le aziende sanitarie avevano elaborato i dati presenti nelle banche dati aziendali per attivare, nei confronti degli assistiti, opportuni interventi di medicina di iniziativa e individuare per tempo i percorsi diagnostici e terapeutici più idonei. In particolare, l’istruttoria, avviata in seguito alla segnalazione di un medico, ha verificato che le aziende sanitarie avevano trattato i dati dei pazienti senza fornire agli interessati l’informativa prevista per legge.
Per il Garante la medicina d’iniziativa non rientra nelle ordinarie attività di cure e prevenzione
In pratica, il Garante per la privacy afferma che la medicina di iniziativa non rientra nelle ordinarie attività di cura e prevenzione, ma va considerata “un trattamento ulteriore e autonomo” per il quale quindi occorre uno “specifico consenso informato dell’interessato”.
Non solo, anche il Fascicolo sanitario elettronico non può essere utilizzato per programmi o attività che rientrano nella medicina d’iniziativa.
Parliamo di medicina di iniziativa e privacy con Stefano Celotto, medico di Medicina Generale e membro della SIMG (Società Italiana di Medicina Generale e delle cure primarie) e Luciano Corino, membro del Consiglio Direttivo di Federprivacy.
Celotto: “La medicina di iniziativa ha un aspetto di prevenzione molto forte. Il problema sta nelle definizioni previste dalle leggi”
Che cos’è la medicina di iniziativa e qual è il suo valore aggiunto rispetto alla prevenzione?
In realtà, la medicina di iniziativa e la medicina di prevenzione si assomigliano. Nel senso che la medicina di iniziativa intende andare incontro al paziente quando il paziente non sa o non si ricorda di avere bisogno di un accesso medico. Quindi, è il medico o la struttura sanitaria a contattarlo. L’esempio più calzante è quello che riguarda gli screening o le procedure legate alle vaccinazioni, in cui il cittadino è chiamato dal medico di medicina generale o dalla struttura sanitaria a svolgere queste procedure di prevenzione. È importante però che il cittadino sia informato su questo bisogno che lui non sempre si accorge di avere.
In altri termini, può non sentire la necessità della vaccinazione antinfluenzale, anche qualora abbia una certa età o una determinata patologia, così come può ignorare l’opportunità di effettuare gli screening del carcinoma della mammella o del colon, per fare un esempio. Diventa allora fondamentale poter mettersi in contatto con il paziente per tutelare la sua salute. Questo può riguardare anche patologie già in atto che necessitino di un follow-up mirato, come l’emoglobina glicata da misurare ogni sei mesi nel paziente diabetico. Quest’ultimo può anche non ricordarsi della necessità di fare questo monitoraggio e il Medico di Famiglia o chi per lui dovrebbe avere la possibilità di convocarlo.
La differenza con la medicina di prevenzione riguarda quindi pazienti che hanno già una patologia?
Non necessariamente. In medicina si parla di quattro livelli di prevenzione:
- prevenzione primaria, ossia prevenire l’insorgenza delle malattie, con corretti stili di vita e vaccinazioni;
- prevenzione secondaria, cioè gli screening, per trovare la malattia in una fase precoce;
- prevenzione terziaria, in cui si ha la patologia ma si evitano le complicanze, come appunto nel caso del diabete;
- infine, la prevenzione quaternaria che riguarda la prevenzione delle complicanze dell’over-medicalizzazione.
All’interno di questi percorsi di prevenzione si può fare una medicina di iniziativa, quindi chiamare il paziente per dei controlli, ma si può fare anche una medicina di attesa, ossia se il paziente si ricorda di venire in studio si fa tutto ciò che occorre, altrimenti no. Si può fare, invece, una medicina di opportunità, cioè il paziente viene per altri motivi, ad esempio il mal di schiena, e si coglie l’occasione per effettuare altri controlli. In ciascuna fase, quindi, è applicato un diverso tipo di medicina. La più efficace è proprio quella di iniziativa, perché riesce a seguire le tempistiche necessarie per il follow-up o a contattare i pazienti che non sono consapevoli del loro bisogno di salute.
Il garante della privacy non considera la medicina di iniziativa come forma di prevenzione e si dibatte sull’opportunità di inserirla nella norma. Qual è quindi il confine tra prevenzione e iniziativa?
Andare verso il paziente è, di fatto, un atto preventivo per un bisogno di salute che lui non riconosce
Quello su cui dovremmo agire, soprattutto come medicina territoriale, è la prevenzione. Il problema è come viene normata e chi ha effettivamente la possibilità di contattare preventivamente il paziente o di richiamarlo, ma anche banalmente chi può inserirlo in elenchi di pazienti che hanno necessità di richiamo. Io credo che il problema non sia tanto contattare il paziente, quanto il fatto che per inserirlo all’interno di quella lista c’è bisogno di una valutazione dei suoi dati sanitari, che non necessariamente si ha il diritto di analizzare, e questo limita le possibilità nostre e delle Aziende Sanitarie. I termini prevenzione e iniziativa possono parzialmente sovrapporsi. Andare verso il paziente è, di fatto, un atto preventivo per un bisogno di salute che lui non riconosce e farlo agire in quel senso. La medicina di iniziativa, dunque, ha un aspetto molto forte di prevenzione. Il problema sta nelle definizioni inserite nelle leggi.
Corino: “Con il GDPR, il trattamento dei dati sanitari può essere svolto non sulla base del consenso, ma sulla base di ciò che è espressamente previsto dalla normativa”
Ci sono delle malattie specifiche cui la medicina di iniziativa fa riferimento?
Diciamo di sì. Ci sono alcune patologie che sono più predisposte alla sanità di iniziativa. Il diabete è una di queste, perché va monitorato a cadenza regolare, eseguendo, oltre ai comuni esami ematochimici, anche esami strumentali come, ad esempio, l’indice di Windsor o l’elettrocardiogramma, che si possono svolgere negli studi di medicina generale organizzati.
Oppure un altro esempio può essere rappresentato dalla spirometria nei pazienti bronchitici cronici o a rischio di diventarlo, come i fumatori.
Quando si discute con le aziende sanitarie di medicina di iniziativa, occorre definire dei progetti specifici.
In Toscana, ad esempio, ci sono dei progetti aziendali che si occupano proprio di BPCO (Broncopneumopatia Cronica Ostruttiva) e diabete e sono strutturati in piani di azione concordati tramite accordi con le rappresentanze della Medicina Generale. Nell’Azienda Ospedaliero-Universitaria Friuli Centrale si sta iniziando a lavorare in tal senso proprio con il diabete. Perciò, c’è l’idea di fare medicina di iniziativa, il problema è la privacy che in questo senso diventa limitante: basti vedere le sanzioni comminate alle Aziende proprio su questi temi.
Perché privacy e medicina di iniziativa sembrano così distanti?
L’argomento è ampio e affascinante. Il GDPR tutela fortemente i diritti, la libertà, ma direi anche la dignità dei pazienti e lo fa attraverso l’affermazione di un principio generale che spesso viene un po’ dimenticato. Dice che è vietato trattare i dati sensibili, relativi alla salute delle persone, come criterio generale. Dopo di che, dice, in deroga al divieto generale, che è possibile trattare i dati che riguardano la salute quando è necessario fare prevenzione, controllo, terapia, medicina del lavoro, oppure quando occorre per ragioni di interesse pubblico nell’ambito sanitario. È citata espressamente la medicina preventiva. Quindi, tutte le volte che si fa un trattamento medico-sanitario, bisogna tenere a mente questo principio e ricordare che l’obiettivo è tutelare il diritto e la libertà del paziente. Si tratta di aspetti riconducibili alla sensibilità che ciascuna persona può avere per ciò che riguarda la diffusione, la comunicazione, il rendere partecipi altri soggetti sulle proprie condizioni di salute. È necessario quindi conciliare questi principi basilari con le nuove tecnologie, come l’Intelligenza Artificiale, che però non deve mai discriminare o limitare i diritti del paziente.
Perché non si può semplicemente chiedere una liberatoria al paziente finalizzata al trattamento dei dati per la medicina di iniziativa?
Il trattamento dei dati sanitari che riguardano la salute può essere svolto non sulla base del consenso, ma di ciò che è espressamente previsto dalla normativa
La difficoltà risiede in una conoscenza non adeguata della norma, perché con l’introduzione del GDPR e il mantenimento del Codice della privacy, seppur con diversi emendamenti, il trattamento dei dati sanitari che riguardano la salute può essere svolto non sulla base del consenso, ma sulla base di ciò che è espressamente previsto dalla normativa.
Sono tutti casi in cui è lecitamente possibile trattare i dati del paziente senza consenso, ma semplicemente informandolo. Il consenso si chiede, ad esempio, quando si fa sperimentazione di un farmaco, indagini epidemiologiche o statistico-predittive. In questi casi, serve uno specifico consenso. Le terapie sperimentali, infatti, prevedono un margine di rischio, per questo il paziente deve essere correttamente informato.
Ma in tutti gli altri casi non è più necessario. Cionondimeno, la maggioranza degli ospedali, pubblici o privati, continua a richiedere ai pazienti il consenso per trattare i loro dati sensibili, probabilmente per una cattiva informazione dei consulenti cui queste strutture fanno riferimento.
Il consenso con il GDPR è una base giuridica residuale
Il consenso con il GDPR è una base giuridica residuale, cioè è l’elemento che legittima il trattamento quando non è possibile utilizzare altre condizioni di legittimità. Ricorro al consenso se il trattamento non è fatto su base contrattuale, non è previsto da un obbligo di legge, non c’è un interesse pubblico, manca un’azione di terapia di prevenzione, di medicina del lavoro, di medicina sociale, ecc.
È indicativo che sul fascicolo sanitario, quando venne creato, serviva il consenso del paziente. Nel 2018, entrando pienamente in vigore il GDPR, questa necessità fu eliminata dalla gestione del fascicolo ed è rimasto solo il consenso alla comunicazione e la possibilità di scegliere i soggetti cui dare l’accesso ai propri dati. Ma in sé, la raccolta dei dati da parte delle strutture sanitarie, dal medico di base, fino al Ministero, avviene senza il consenso dell’interessato per finalità di salute pubblica.
Il problema nasce con la medicina di iniziativa perché non è normata e si discute se possa rientrare o meno nella prevenzione. In effetti, parrebbe esserci una forzatura da parte dell’autorità sanitaria che prevale sulla volontà del paziente di sottoporsi a delle iniziative di prevenzione e gestione della malattia. Questo è il parere del Garante che va tenuto in considerazione ma che potrebbe essere modificato o con un intervento del legislatore italiano sul codice della privacy o, più probabilmente, inserendo la medicina di iniziativa o aggiungendo alla parola “preventiva” anche “intervento”. In questo modo sarebbe classificata e inserita nella norma anche la medicina di iniziativa. Quello che però è importante è far capire alle persone che cos’è la medicina di iniziativa, perché il confine tra prevenzione e intervento non è così evidente ed immediato.
Il trattamento dei dati genetici, al contrario di quelli sulla salute, richiede il consenso dell’interessato
C’è un’ultima considerazione da fare. Parliamo del trattamento dei dati genetici che, al contrario di quelli sulla salute, richiede il consenso dell’interessato. Molto spesso le malattie che rientrano nel campo d’azione della medicina di iniziativa hanno un presupposto genetico e quindi è possibile che sia anche questa la considerazione che ha indotto l’Autorità garante a porre un freno, proprio per la presenza di questa componente genetica.
