Avv. Chiarini per E-Health nov-dic 2019 - Privacy

Il G.D.P.R. e la Protezione dei Dati Personali in Ambito Sanitario

Ultimo Aggiornamento 10 Ottobre 2024

Privacy in Sanità e G.D.P.R.

La rivista “eHealth News” ha intervistato l’Avv. Gabriele Chiarini, esperto di diritto sanitario e responsabilità medica, sui temi della privacy e della protezione dei dati personali in àmbito sanitario, alla luce del “G.D.P.R.” (Regolamento Generale Europeo sulla Protezione dei Dati Personali n. 2016/679).

In questo articolo, il testo integrale dell’intervista, che affronta i temi delle “finalità di cura”, delle “App” mediche, del fascicolo sanitario elettronico, e molto altro.


INDICE SOMMARIO | GDPR e Sanità


§ 1. Il G.D.P.R, il Regolamento UE 2016/679 è stato attuato in Italia nell’agosto del 2018 e va ad integrare la normativa nazionale del Codice della privacy del 2003; cosa comporta la sua entrata in vigore per i professionisti del comparto sanitario?

Il G.D.P.R., pur non avendo stravolto la disciplina della protezione dei dati personali in ambito sanitario, ha tuttavia dettato alcune – anche significative – innovazioni. La necessità della sua emanazione è derivata dalla progressiva evoluzione del concetto di privacy alla luce dei continui mutamenti indotti dal progresso tecnologico ed informatico. Pertanto è chiaro che, in una materia delicata com’è quella del trattamento dei dati sanitari, il legislatore europeo abbia dedicato particolare attenzione alla salvaguardia del diritto alla tutela dei dati personali, che è stato elevato a diritto fondamentale di ciascun individuo.

Com’è noto, il G.D.P.R. – che è un Regolamento e non una mera Direttiva – si applica direttamente negli Stati membri dell’U.E., i quali sono intervenuti con atti normativi interni solo per abrogare eventuali norme nazionali in contrasto con la nuova disciplina ed integrare alcuni aspetti che sono stati lasciati alla discrezionalità del legislatore statale. In Italia, il 10 agosto 2018 è stato approvato il decreto legislativo n. 101/2018, che è entrato in vigore il 19 settembre 2018 e non ha abrogato il “vecchio” Codice della privacy (decreto legislativo n. 196/2003), limitandosi a modificarlo per armonizzare la normativa nazionale alle nuove disposizioni europee.

Tra le maggiori novità introdotte dal Regolamento deve essere segnalato l’obbligo di tenere i Registri delle attività di trattamento, deputati a contenere tutte le informazioni relative ai trattamenti dei dati personali svolti dai Titolari o, per loro conto, dai Responsabili del trattamento.

Altra novità di rilievo è l’introduzione della figura del Responsabile per la Protezione dei Dati (R.D.P.) o Data Protection Officer (D.P.O.). Si tratta di un esperto che ha il compito di supervisionare ed agevolare l’osservanza della disciplina sulla protezione dei dati personali. La sua nomina è obbligatoria per tutte le Aziende Sanitarie pubbliche appartenenti al Servizio Sanitario Nazionale e per le Strutture private che effettuino il trattamento di dati personali su larga scala; non è, invece, obbligatoria per i singoli professionisti sanitari che operino in regime di libera professione a titolo individuale.

§ 2. Come cambia la disciplina per il trattamento dei dati sanitari?

I dati relativi alla salute, assieme ai dati genetici e biometrici, sono espressamente inclusi nel novero dei dati particolari, rispetto ai quali sono apprestate specifiche tutele e stringenti limiti di trattamento.

Costituiscono “dati relativi alla salute” quei dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, idonei a rivelare informazioni relative al suo stato di salute.

Il trattamento dei dati sanitari è considerato lecito se avviene per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei servizi sanitari o sociali (finalità di cura); per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici; a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici.

In tutti gli altri casi, il trattamento dei dati sanitari postula il consenso dell’interessato, preceduto da idonea informativa. Tra le informazioni che devono essere fornite all’interessato, merita di essere segnalato il tempo di conservazione dei dati sanitari (ad esempio, la normativa vigente prevede che le cartelle cliniche e i referti radiologici debbano essere conservati per sempre; le immagini radiologiche per dieci anni; i certificati di idoneità sportiva per cinque anni).

§ 3. Finalità di cura e trattamento dei dati; ci aiuta a fare chiarezza sull’obbligo di richiesta del consenso?

Come accennavamo, tra le novità per i professionisti sanitari (tenuti al segreto professionale) c’è il fatto che, diversamente dal passato, non deve essere più chiesto il consenso del paziente per i trattamenti necessari alla erogazione delle prestazioni sanitarie, purché si tratti di dati necessari alle “finalità di cura” previste dal G.D.P.R.

Il concetto di “cura” rimanda alla tutela della salute e dell’incolumità psico-fisica dei pazienti, la cui sicurezza è sancita anche dalla l. 8 marzo 2017, n. 24, più nota al  pubblico come “legge Gelli”. Dunque, la finalità di cura esiste ogniqualvolta un medico faccia prevenzione, diagnosi, assistenza sanitaria o somministrazione di terapie. In senso più generale, la finalità di cura può anche comprendere la stessa gestione di un sistema sanitario pubblico nell’interesse della collettività.

Persegue una finalità di cura, ad esempio, l’infermiere che effettua la valutazione dei parametri vitali del paziente al momento dell’accesso in pronto soccorso (cd. “triage”); così anche il cardiologo che raccoglie l’anamnesi necessaria alla corretta refertazione di un elettrocardiogramma; così ancora lo specialista che annota i dati biometrici del paziente in vista di un intervento di chirurgia plastica. In senso ampio, persegue una finalità di cura anche il direttore sanitario di una struttura pubblica che procede all’archiviazione dei dati per scopi statistici o per studi finalizzati alla tutela della salute collettiva.

In tutti i casi, trattandosi di professionisti obbligati al segreto professionale, il Garante ha precisato che essi non devono (più) ottenere il consenso scritto dei pazienti per il trattamento dei loro dati sanitari. Beninteso, restano esclusi dalla dispensa i trattamenti effettuati per finalità diverse, come quelle promozionali, commerciali, di fidelizzazione della clientela, o magari elettorali.

A quest’ultimo proposito, ad esempio, è stata recentemente applicata una sanzione non trascurabile (16 mila euro) ad un medico che aveva utilizzato gli indirizzi di oltre 3 mila ex pazienti per inviare loro comunicazioni di propaganda politica in vista delle elezioni regionali del 4 marzo 2018, utilizzando così i dati con finalità diverse da quelle di cura per le quali essi erano stati raccolti.

Problemi in materia sanitaria?

§ 4. In merito al trattamento e alla conservazione dei dati, come cambiano le disposizioni per le professioni sanitarie con il G.D.P.R.? Ci fa qualche esempio?

Non ci sono cambiamenti stravolgenti, oltre a quelli che abbiamo già menzionato.

Ad esempio, le procedure già da tempo in vigore consentono ai medici di famiglia di lasciare ai pazienti le ricette e i certificati presso le sale d’attesa dei propri studi o direttamente presso le farmacie, senza doverglieli necessariamente consegnare di persona. Per impedire la conoscibilità da parte di estranei di dati delicati, come quelli sanitari, è sempre stato indispensabile che ricette e certificati vengano consegnati in busta chiusa.
Questa precauzione, oggi come ieri, è tanto più necessaria nel caso in cui si preveda che non sarà il paziente a ritirare personalmente i documenti, ma una persona da questi appositamente delegata.

Non tutti sanno, poi, che sono dati personali di carattere sanitario anche quelli che un utente inserisce, ad esempio, in un sito web dedicato esclusivamente alla salute, come un blog o un forum dove si possono chiedere consigli medici.

Questi siti web si dividono in due categorie: quelli che chiedono la previa registrazione dell’utente e quelli che non lo fanno. Per i primi, è necessario che sia fornita l’informativa all’interessato e sia acquisito il suo consenso prima della compilazione del modulo di raccolta dei dati. Per i secondi, posto che non vengono raccolti dati personali di registrazione, l’informativa non è necessaria, ma il gestore deve comunque adottare delle misure minime di sicurezza, perché l’utente può inserire i propri dati relativi alla salute.

In entrambe le ipotesi, ad ogni modo, l’interessato potrà sempre esercitare i propri diritti previsti dal codice privacy e dal G.D.P.R.; quindi, l’utente che abbia inizialmente partecipato al forum può chiedere in qualsiasi momento al gestore – e ottenere – la cancellazione dei propri dati personali e sanitari, così come la relativa rettifica, modifica, o l’aggiornamento.

§ 5. Può darci qualche informazione a proposito dei dati raccolti nelle cosiddette App mediche?

I trattamenti dei dati sanitari connessi all’utilizzo di App mediche non sono soggetti alla necessità di previa acquisizione del consenso, purché l’App sia finalizzata all’erogazione di servizi sanitari a distanza (cd. “telemedicina”) e sempre che i dati siano accessibili soltanto a professionisti sanitari o altri soggetti tenuti al segreto professionale.

Ad esempio, si possono considerare equiparate ai trattamenti per finalità di cura le App di telemonitoraggio dei pazienti classificati “a rischio” o affetti da patologie croniche, come diabete o malattie cardiovascolari, che possono essere controllate a distanza attraverso la misurazione di parametri vitali (indice glicemico, frequenza cardiaca o respiratoria, saturazione di ossigeno nel sangue). Questi parametri possono essere misurati da sensori all’avanguardia, collegati a loro volta a dispositivi mobili (smartphone o tablet) in dotazione al paziente e trasmessi via internet al professionista sanitario che si curerà di controllare i dati ed eventualmente intervenire con prontezza in caso di bisogno.

L’esempio più noto di queste App è senza dubbio quello che riguarda il monitoraggio remoto dei dispositivi di stimolazione e defibrillazione cardiaci impiantati (cd. “pacemaker”).

Invece, le applicazioni para-mediche che installiamo nei nostri smartphone o che ci vengono comunemente offerte negli App Store non hanno quasi mai vere e proprie finalità di telemedicina (penso, ad esempio, alle applicazioni per il monitoraggio del sonno, del ciclo mestruale o delle fasi della gravidanza); pertanto, il trattamento dei dati personali acquisiti con queste App richiede il consenso esplicito dell’interessato.

Sarà poi il Garante, nei prossimi mesi, a fornire maggiori delucidazioni in materia attraverso le proprie pronunce, considerato tra l’altro che il consenso dell’interessato – come già chiarito – è ritenuto necessario ogni qualvolta, indipendentemente dalla finalità del trattamento, possano avere accesso ai dati soggetti che non sono tenuti al segreto professionale.

§ 6. Fascicolo Sanitario Elettronico. Quali informazioni devono obbligatoriamente essere rese dalle strutture sanitarie in ambito medico e di sicurezza sociale?

Il Fascicolo Sanitario Elettronico (FSE) è un sistema informatico gestito ed attivato dalle Regioni, che può contenere un’ampia serie di dati e documenti sanitari generati da eventi clinici relativi al paziente. All’interno del FSE, dunque, possono confluire tutte le informazioni sanitarie che descrivono lo stato di salute dell’assistito (es. esami di laboratorio, terapie, anamnesi, ecc.) e che vengono inserite dal suo medico di famiglia, da strutture e medici specialisti del S.S.N. che lo avranno in cura o che si troverà a consultare.

Quindi, il FSE è un importante strumento attraverso il quale il cittadino può tracciare e consultare tutta la storia della propria vita sanitaria, condividendola con i professionisti sanitari a garanzia di un servizio più efficace ed efficiente. I dati ivi contenuti dovrebbero consentire di avere un quadro chiaro ed esaustivo della storia clinica del paziente, facilitando sia la cura ordinaria (tutti i dati associati al FSE sono raggiungibili in ogni momento e su tutto il territorio nazionale, evitando di dover portare con sé la documentazione cartacea), sia la cura in emergenza (consentendo, ad esempio, ad un medico di pronto soccorso di avere le informazioni necessarie per un corretto intervento in situazioni di emergenza).

Il FSE si attiva a partire dal momento in cui l’assistito fornisce il consenso (autonomo e specifico) alla sua alimentazione e consultazione.

E’ lo stesso paziente che definisce le condizioni di gestione del FSE, determinando – mediante l’espressione di appositi consensi – chi è autorizzato a consultare il suo fascicolo, in quali condizioni ed anche a quali dati può avere accesso, potendo quindi optare per l’oscuramento di alcune informazioni. Inoltre, l’assistito ha sempre la possibilità di verificare chi e quando ha avuto accesso al suo FSE.

Il FSE ha un nucleo minimo obbligatorio (costituito ad es. dai referti, i verbali pronto soccorso, le lettere di dimissione, le disposizioni sulla donazione di organi e tessuti), ed un contenuto eventuale scelto dallo stesso paziente all’atto del consenso (ad es. le prescrizioni farmaceutiche, le prenotazioni specialistiche, le cartelle cliniche, le vaccinazioni, ecc.).

E’ chiaro che il FSE è uno strumento assai innovativo ed efficace, che il progresso tecnologico consente di mettere a servizio della salute dei pazienti; il suo utilizzo comporta, però, anche nuove insidie per il diritto alla riservatezza dei pazienti: ad esempio, sono state avviate dal Garante numerose istruttorie in merito ai trattamenti di dati personali effettuati attraverso i FSE regionali.
In un caso, in particolare, è stato accertato l’erroneo inserimento, tra i documenti disponibili nel Fascicolo, di alcune lettere di dimissione ospedaliera riferite ad altri pazienti. Ciò è stato determinato da una erronea impostazione del flusso di integrazione dei documenti, che ha reso purtroppo possibile la (illegittima) comunicazione a terzi di dati personali di natura decisamente sensibile.

Dubbi su GDPR e sanità?

§ 7. Quali informazioni devono essere riportate nel Registro delle attività di trattamento e per chi è un obbligo?

In realtà, il G.D.P.R. prevede due tipi di Registro: quello del “titolare” e quello del “responsabile”.
Il titolare è, ad esempio, una azienda sanitaria, una clinica privata, oppure anche un medico che svolge la libera professione; essi decidono autonomamente se e quali dati trattare, per quali scopi utilizzarli, quali misure di sicurezza adottare.
Il responsabile del trattamento, invece, può essere un laboratorio analisi esterno, che tratta i dati solo su istruzione del titolare e non ha potere di iniziativa né autonomia decisionale.

Il G.D.P.R. affida al titolare e al responsabile il compito di individuare le misure di protezione dei dati più adeguate in relazione alla finalità perseguita, alle peculiarità della propria organizzazione e ai profili di rischio che ne conseguono. A fronte di questa autonomia, richiede loro di essere in grado di dimostrare che il trattamento è effettuato in modo conforme alla normativa.

I Registri, dunque, sono lo strumento attraverso il quale il titolare e il responsabile documentano le attività di trattamento svolte e le misure di garanzia adottate, al fine di poter dimostrare all’Autorità di controllo (il Garante per la protezione dei dati personali) di aver adempiuto correttamente il proprio obbligo di protezione dei dati personali.

La regolare tenuta del Registro delle attività di trattamento è praticamente un obbligo per tutti gli operatori sanitari, senza alcuna esclusione (i singoli professionisti sanitari che agiscano in libera professione; i medici di medicina generale e i pediatri di libera scelta; gli ospedali privati e le case di cura; le Residenze Sanitarie Assistenziali; le Aziende Sanitarie appartenenti al S.S.N.; le farmacie, le parafarmacie e le aziende ortopediche).

Il G.D.P.R. (art. 30) individua dettagliatamente il contenuto minimo dei Registri, che devono indicare:

  • il nome e i dati di contatto del titolare del trattamento (es. “Clinica XXX, nella persona del legale rappresentante dott. Tizio, con sede in…”);
  • le finalità del trattamento (es. “trattamento dei dati dei pazienti per l’erogazione delle prestazioni sanitarie…”);
  • una descrizione delle categorie di interessati (es. “pazienti”) e delle categorie di dati personali (es. “dati anagrafici, dati sanitari, dati biometrici, dati genetici, …”);
  • le categorie di destinatari a cui i dati personali sono stati o saranno comunicati (es. “studio commerciale per il servizio di fatturazione” o “istituto esterno per la fornitura di consulenze specialistiche infettivologiche, cardiologiche, …”);
  • ove possibile, i termini ultimi previsti per la cancellazione delle diverse categorie di dati (es. “come da normativa vigente, le cartelle cliniche e i referti saranno conservati illimitatamente, la documentazione iconografica radiologica per un periodo non inferiore a dieci anni, …”);
  • ove possibile, una descrizione generale delle misure di sicurezza tecniche e organizzative adottate (anche facendo rinvio a documenti esterni più dettagliati, es. procedure organizzative, security policy, ecc.).
Avv. Gabriele Chiarini per Italia Oggi - Privacy in Sanità & sicurezza delle cure
Su “Italia Oggi” ed “AssiNews” l’Avv. Gabriele Chiarini parla di dati sensibili & tutela della salute

§ 8. Quali sono i vantaggi e gli eventuali svantaggi del nuovo quadro normativo per il paziente dopo il G.D.P.R.?

L’approvazione del G.D.P.R. ha senz’altro contribuito a richiamare l’attenzione degli operatori sanitari sui temi della privacy e della protezione dei dati, che sono strettamente connessi ai profili della sicurezza nelle cure e della dignità del paziente.

Infatti, da una parte, come ha evidenziato lo stesso Garante nell’ultima relazione al Parlamento, eventuali carenze nella sicurezza dei dati personali possono avere effetti deleteri nei processi di erogazione dei trattamenti medici e rappresentare, quindi, causa di disfunzioni ed errori sanitari, che sono fonte di potenziale responsabilità della Struttura, obbligata a risarcire i danni da “malasanità”, e sono tanto più gravi quando incidono su aspetti qualificanti dell’esistenza individuale (come la nascita, la morte o la genitorialità).

Da altra parte, è chiaro che il trattamento dei dati personali per finalità di cura può interferire, anche in modo assai incisivo, con la dignità individuale, che va sempre salvaguardata. Penso, in particolare, ai pazienti sottoposti a trattamenti medici invasivi, a quelli affetti da patologie o infezioni gravi, alle persone offese da atti di violenza sessuale. Ma penso anche alle persone comuni, che si trovano nella sala d’attesa di una qualunque clinica ed hanno il diritto a non essere chiamate per nome e cognome, magari con la specifica enunciazione della prestazione alla quale devono sottoporsi. Può sembrare superfluo rammentarlo, ma non lo è: anche recentemente il Garante ha dovuto stigmatizzare il comportamento di un operatore sanitario, il quale – in un ospedale del civilissimo Veneto – aveva chiamato per cognome la paziente presente in sala di attesa chiedendole, ad alta voce, se dovesse effettuare una interruzione di gravidanza.

Senza considerare che le violazioni dei dati personali commesse possono costare care alle Strutture Sanitarie, come dimostrano – ad esempio – questi provvedimenti presi all’inizio del 2021 dall’Autorità G.P.D.P., che ha comminato:

  • una sanzione di 30.000 euro ad una Azienda Sanitaria siciliana per aver adottato un sistema di tracciamento dei dati biometrici dei dipendenti per la rilevazione delle presenze (qui il provvedimento);
  • una sanzione di 50.000 euro ad una Azienda Sanitaria romagnola per aver fornito informazioni a terzi non autorizzati sullo stato di salute di una paziente ricoverata in ginecologia (qui il provvedimento);
  • una sanzione di 10.000 euro ad una Azienda Sanitaria toscana per aver spedito una relazione medica cartacea, contenente dati relativi alla salute e alla vita sessuale di una coppia, ad un destinatario erroneo per un errore materiale in fase di imbustamento (qui il provvedimento);
  • una sanzione di 10.000 euro ad una Azienda Sanitaria emiliana per aver consegnato documentazione sanitaria a soggetti diversi dal paziente interessato (qui il provvedimento).
Avv. Gabriele Chiarini per IO DONNA del Corriere della Sera
Leggi anche l’articolo di Io Donna, il femminile del Corriere della Sera, intitolato “Privacy nella sanità: le nuove regole“.