Nell’ambito del Data Protection Day, la Giornata mondiale della privacy che si celebra ogni anno per ricordare la firma della Convenzione sulla protezione delle persone rispetto al trattamento automatizzato di dati a carattere personale (meglio conosciuta come “Convenzione 108”) del Consiglio d’Europa, avvenuta il 28 gennaio 1981, l’Enisa (European Union Agency for Cybersecurity), l’Agenzia dell’Unione europea per la cybersicurezza, ha pubblicato la guida Engineering Personal Data Sharing.
Focalizzato sul tema della ingegnerizzazione del processo di protezione dei dati personali, il rapporto tratteggia le modalità attraverso cui le tecnologie e le tecniche di sicurezza informatica sono in grado di supportare l’attuazione dei principi generali enunciati dal GDPR. Con riferimento al comparto sanitario, vengono analizzati casi d’uso specifici per la condivisione dei dati personali.
In quest’ottica è di innegabile importanza che i titolari dei dati acquisiscano i principi in materia di protezione nonché i diritti e le libertà degli interessati, applicando misure consone e tutele indispensabili per consolidare questi principi e permettere l’esercizio di tali diritti.
Com’è noto, il 27 aprile 2016 è stato approvato il Regolamento generale sulla protezione dei dati 2016/679 (GDPR), che ha abrogato la disciplina previgente. Sul piano nazionale, il Regolamento ha trovato attuazione nel decreto legislativo n. 101 del 10 agosto 2018, che ha modificato il nostro “Codice in materia di protezione dei dati personali”, precedentemente introdotto con il decreto legislativo n. 196 del 30 giugno 2003.
Ma oggi a che punto è il percorso di “evoluzione culturale” che, nell’ambito indicato, ha imposto alle strutture sanitarie di ripensare la struttura dei propri processi organizzativi?
Risponde l’avvocato Gabriele Chiarini, Managing Partner dello Studio Legale Chiarini: “Le strutture sanitarie hanno fatto notevoli progressi, ma c’è ancora molto lavoro da fare per completare questo percorso di adeguamento alle normative in materia di trattamento dei dati personali. Un cammino, direi, in continua evoluzione, anche perché si rende necessario garantire la conformità al Regolamento Ue delle nuove esigenze e delle nuove tecnologie che assumono rilievo in ambito sanitario”. Precisando poi che “a prescindere dalle note problematiche emerse nel contesto pandemico (ormai, speriamo, superate), penso soprattutto ai processi di acquisizione del consenso dei pazienti, alla regolamentazione degli accessi ai dati sanitari da parte degli operatori, alla valutazione d’impatto prevista dal GDPR e, in generale, a tutte le questioni più o meno inedite che si pongono in materia di sanità digitale: dal fascicolo sanitario elettronico al dossier sanitario o alla cartella clinica elettronica, alle app mediche, alla sicurezza informatica dei dati. Senza dimenticare le nuove frontiere dell’intelligenza artificiale”.
Protezione dei dati personali: il ruolo attivo dell’utente
Stando a quanto riportato dall’Agenzia dell’Unione europea per la cybersicurezza, il primo approccio base per assicurare la trasparenza nei confronti dell’utente è quello di verificare chi avrà accesso ai suoi dati, per quanto tempo ciò avverrà e quale parte dei dati verrà condivisa (da qui, il ruolo attivo dell’utente). Un aspetto, questo, che l’avvocato Chiarini, presidente della Fondazione Sanità Responsabile, ritiene fondamentale. “Del resto, questi principi sono stati affermati sin dall’introduzione del precedente codice della privacy. È vero che il trattamento dei dati sanitari non necessita del preventivo consenso del paziente se avviene esclusivamente per finalità di cura (oltre che in casi eccezionali, come ad esempio emergenze sanitarie, sismi o altri motivi di interesse pubblico). Ma, al di fuori di questa ipotesi, c’è bisogno del consenso dell’interessato, preceduto da idonea informativa, che deve essere concisa, trasparente, intelligibile e facilmente accessibile, scritta con linguaggio semplice e chiaro”.
Il paziente deve essere consapevole di cosa accadrà ai suoi dati sanitari
Non è tutto. Poiché, spiega ancora il legale, “la condivisione e l’analisi dei dati sanitari può avere un impatto significativo sullo sviluppo dei sistemi sanitari e sul miglioramento degli approcci terapeutici, con evidenti ricadute benefiche per i cittadini. Ma il paziente deve essere consapevole di cosa accadrà ai suoi dati sanitari: deve sapere chi potrà accedervi, per quali finalità, come e per quanto tempo durerà il trattamento, se e quali dati potranno essere condivisi con soggetti terzi e per quali scopi”. Il ruolo attivo dell’interessato viene considerato, dunque, come una prima tutela a garanzia dell’osservanza dei requisiti previsti dalla normativa Ue in materia di protezione dei dati personali.
Condivisione dei dati da parte del personale autorizzato
Più potere all’utente, ma anche maggiore attenzione alla gestione delle cartelle cliniche elettroniche. Fermo restando che, all’interno della sua guida, l’Enisa esplicita alcuni esempi di applicazione delle tecniche crittografiche, permane l’importanza della cartella clinica elettronica nel perseguire la dematerializzazione completa dei processi clinico/ambulatoriali.
“Parliamo uno strumento irrinunciabile, al pari del dossier sanitario e del Fascicolo Sanitario Elettronico, anche se sarebbe auspicabile una riorganizzazione che unifichi gli strumenti di gestione digitale dei percorsi di cura, partendo dalla centralità del paziente e arrivando alla creazione di un vero e proprio gestionale unico dei dati sanitari: sicuro, interoperabile ed accessibile ai soggetti autorizzati a trattare i dati per finalità di cura”, puntualizza l’avvocato Chiarini. Ricordando poi che “la dematerializzazione e la digitalizzazione riducono i tempi di accesso ai dati clinici dei pazienti, migliorano l’efficienza dei processi sanitari e riducono il rischio di errori dovuti alla mancata disponibilità di documenti cartacei”.
È inevitabile, però, che nuovi processi digitali determinino nuove riflessioni in termini di conformità alla normativa privacy. Illustra ancora il legale: “Pensiamo alle questioni che si pongono in riferimento all’uso degli algoritmi, su cui il Garante è anche recentemente dovuto intervenire, avendo ravvisato che alcune aziende sanitarie trattavano i dati inseriti in sistemi basati sull’intelligenza artificiale senza una idonea base normativa, non fornendo agli interessati tutte le informazioni necessarie (in particolare sulle modalità e finalità del trattamento) e senza aver effettuato preliminarmente la valutazione d’impatto”.
I costi legati alla sicurezza informatica sono ampiamente giustificati e ripagati dai benefici che ne derivano in termini di qualità delle cure
Da non sottovalutare poi il duplice, urgente tema della consultazione dei dati digitalizzati e delle problematiche legate al rischio dei cyber attacchi in sanità. “Nel primo caso, il Garante ha stigmatizzato ipotesi in cui era stato consentito l’accesso al dossier sanitario da parte di personale non coinvolto nel processo di cura del paziente. In rimando alle criticità rappresentate dal pericolo di attacchi informatici (ransomware, phishing o data breach), queste comportano la necessità di un impegno di risorse e competenze indispensabili a mettere al sicuro i sistemi. La carta, sotto questo profilo, è solo apparentemente meno rischiosa”, ammette ancora l’avvocato Chiarini. Fermamente convinto che “l’interoperabilità e l’accesso diffuso ai dati sanitari, che solo il supporto digitale può consentire, migliorano i processi diagnostici, terapeutici e assistenziali, garantendo livelli qualitativi superiori e diminuendo la possibilità di eventi avversi. Di fatto, i costi legati alla sicurezza informatica sono ampiamente giustificati e ripagati dai benefici che ne derivano in termini di qualità delle cure”.