Secondo l’art. 4 del Regolamento Europeo 2016/679, noto come GDPR (General Data Protection Regulation), per “dato personale” si intende qualsiasi informazione riguardante una persona fisica identificata o identificabile.
Il GDPR è la normativa che ha introdotto a livello comunitario la protezione delle persone fisiche con riguardo al trattamento e alla libera circolazione dei dati personali. In Italia la materia era già normata dal D. lgs. 196/2003, noto come Codice della Privacy.
Tale impianto normativo si riferisce a ogni sfera in cui il dato personale necessiti di tutela, compreso l’ambito sanitario. Dall’entrata in vigore delle normative privacy, infatti, sono subentrate ulteriori cautele che è necessario prendere in considerazione per la gestione del trattamento dei dati personali dei pazienti.
Questo è l’argomento che abbiamo affrontato lo scorso 15 dicembre nell’appuntamento dedicato al ciclo di webinar “Caffè con Consulcesi & Partners”, dal titolo “Tutela della privacy: quali regole per medici e professionisti sanitari?”.
Spesso per i medici non sono chiare le novità per la loro professione seguite all’introduzione del Reg. UE 2016/679 (cosiddetto GDPR), supportata in Italia dal D. lgs. 196/2003 novellato dal D. lgs. 101/2018.
Il primo equivoco deriva proprio dall’uso del termine “privacy”, che è una parola di derivazione anglosassone, e che nella gran parte dei casi viene associata al concetto di “riservatezza”.
Per gli “addetti ai lavori” il termine anglofono viene usato con un significato polivalente, in quanto racchiude il concetto di tutela dei dati personali dei soggetti interessati al trattamento degli stessi. Tutela che deve essere attuata e, soprattutto, garantita dai soggetti titolari del trattamento dei dati personali e del loro responsabile. Il regolamento comunitario, che si muove nel solco delle precedenti direttive comunitarie in ambito della tutela del trattamento dei dati personali, parla proprio di tutela dei dati personali.
Attraverso questa prima definizione, viene già sdoganata la nozione di cosa sia la “privacy”, parola che non identifica soltanto il concetto di “riservatezza”, ma indica la tutela che il titolare del trattamento, nel caso specifico il professionista della Sanità, la struttura ambulatoriale, l’ospedale pubblico o privato (nel caso che ci interessa in questa sede), lo studio privato devono garantire, ogni volta che gli stessi sono chiamati a trattare i dati personali dei pazienti, dei parenti dei pazienti, dei pazienti di altri colleghi, dei loro collaboratori e dipendenti, dei dipendenti impiegati nei contratti di appalti di servizi che prestano l’attività all’interno della struttura di loro proprietà, nei rapporti con le società esterne che forniscono servizi di diagnostica, ovvero nei rapporti con i laboratori di analisi su esami condivisi dei propri pazienti.
Questo trattamento può risultare in diverse situazioni molteplice e spesso inconsapevolmente differente dalla finalità tipica.
La tutela prevista dall’ordinamento va al di là della garanzia di “riservatezza”, ma si estende agli obblighi, previsti dall’art. 5 del Reg. UE 2016/679 di liceità, correttezza, trasparenza, limitazione della finalità, minimizzazione dei dati, esattezza, limitazione della conservazione, integrità delle informazioni e ovviamente anche della riservatezza.
Il segreto professionale previsto da codice deontologico è posto a presidio di alcune parti del sistema di responsabilizzazione (usando il termine introdotto dal Regolamento: Accountability) nella gestione dei dati personali, a carico di tutti i titolari del trattamento, compresi i professionisti della Sanità e tutte le strutture, pubbliche e private, attive nel settore sanitario.
Il Professionista della Sanità, così come le strutture dove questi opera, devono dunque realizzare tutte le condotte necessarie e i processi più idonei, affinché vengano soddisfatte tali garanzie a tutela degli interessi dei titolari dei dati trattati. Deve essere allora possibile dimostrare, anche documentalmente, l’assolvimento degli obblighi imposti dalla legge a seguito di un controllo dell’autorità garante che agisce in Italia o attraverso proprio personale ovvero tramite la Guardia di Finanza.
Ma perché tanta animosità intorno a un tema, quello della tutela del trattamento dei dati personali, che nei fatti sembra essere oramai svilito dalla overdose di accaparramento più o meno palese che i colossi della rete e, non solo, fanno dei nostri dati?
Perché la tutela dei dati personali è l’unica vera barriera al trattamento indiscriminato e passa attraverso il trattamento legittimo e corretto dei singoli titolari del trattamento.
Il dato personale, infatti, è un elemento volto a identificare inequivocabilmente una persona fisica, la caratterizza ed è dal dato personale che si può conoscere l’identità della persona, la personale propensione all’acquisto, ma anche lo stato di salute, le idee religiose e politiche, gli orientamenti sessuali: in buona sostanza, dai dati si può conoscere ed utilizzare informazioni a favore o a danno di un individuo.
La tutela del dato diviene allora il presidio dei diritti fondamentali dell’individuo. Poter disporre, ad esempio, di una banca dati dove vengono archiviate informazioni di una persona relative ad una patologia invalidante, potrebbe determinare una mancata assunzione, o un licenziamento o comportare un’altra forma di discriminazione inaccettabile.
Per tale motivo, l’art. 9 del GDPR dispone il divieto di trattamento di dati personali particolari (la vecchia nozione di dati sensibili) tra i quali vi rientrano i dati relativi alla salute, i dati biometrici e i dati genetici. Questi dati possono essere trattati solo, come chiarisce l’art. 9 comma 4, per motivi di interesse pubblico, di interesse pubblico nel settore della sanità pubblica, di finalità di medicina preventiva, diagnosi assistenza e terapia, per finalità di cura prestata da professionista soggetto a segreto professionale.
Di fatto, l’esercente le professioni sanitarie può legittimamente trattare i dati personali del proprio paziente o assistito.
In questo caso, ad esempio, diversamente che in passato, il medico o comunque il professionista sanitario, soggetto al segreto professionale, non ha più la necessità di richiedere il consenso del paziente per i trattamenti necessari all’erogazione della prestazione sanitaria richiesta dallo stesso paziente, che è l’interessato al trattamento. Questo consenso, che costituisce la base giuridica del trattamento in ambito privati, è chiaramente cosa diversa rispetto al consenso informato ad accettare il trattamento medico, la cura, l’intervento proposto al paziente disciplinato da ultimo dalla legge 219 del 22 dicembre 2017, entrata in vigore il 31 gennaio 2018.
Se il GDPR ha eliminato la necessità di richiedere il consenso al trattamento, in quanto la base giuridica che rende lecito il trattamento è proprio la finalità di cura individuata dall’art. 9 comma 2 lett. h GDPR, lo stesso Regolamento ha però imposto al medico una serie di adempimenti che devono essere osservati.
Il primo più evidente è la consegna dell’informativa prevista ai sensi dell’art. 13 e 14 del GDPR.
Il medico, la struttura sanitaria, l’ambulatorio o altro soggetto che fornisce la prestazione richiesta dal paziente, devono informare, nella qualità di titolari del trattamento, circa la modalità con cui intendono trattare i dati personali dell’interessato e in quale modo riescono a garantire il soddisfacimento di quei obblighi di cui al citato articolo 5 del GDPR volti a presidiare che i dati personali trattati siano trattati esclusivamente per le finalità e che gli stessi non vengano condivisi con soggetti terzi non autorizzati, che siano integri corretti e sempre disponibili.
L’Autorità Garante spiega ha precisato che i trattamenti per «finalità di cura», sono propriamente quelli effettuati da o sotto la responsabilità di un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.
L’obbligo di rendere effettiva la protezione dei dati personali deve permettere al paziente il sereno affidamento che i propri dati siano custoditi correttamente in appositi archivi, non condivisi, non gestiti in maniera leggera, e che il medico utilizzi strumenti anche tecnologici idonei, quali sistemi ad esempio protetti da password, sistemi di criptografia, evitando di ricorrere a piattaforme non sufficientemente protette e comunque a social, network o chat network che non offrano rigorose garanzie di inaccessibilità da parte di terzi.
L’obbligo di accountability, ovvero di responsabilizzazione del medico e, comunque, dell’esercente le professioni sanitarie impone, pertanto, la necessità di mettere in atto misure tecniche ed organizzative adeguate al fine anche di provare il corretto adeguamento al GDPR in caso di controllo, il mantenimento della documentazione, la corretta informativa ai pazienti, la tenuta del registro dell’attività di trattamenti quale titolare e quale responsabile del trattamento dei dati personali, adottare idonee policy interne sull’uso dei sistemi informatici, o sui sistemi di videosorveglianza, definire la propria organizzazione interna in ambito privacy tra gli incaricati del trattamento e dei soggetti o aziende esterne che collaborano, assicurandosi che anche questi forniscano idonee garanzie in ambito privacy.
La nuova normativa non richiede l’assolvimento di meri obblighi formali, ma la prova che il trattamento venga effettuato correttamente e che il professionista o la struttura sanitaria abbiano adottato tutte le misure documentali, organizzative e tecniche necessarie a tutelare tutti gli interessati.
In buona sostanza non esiste e non può esistere una formula valida per tutti, dovendo calibrare il corretto trattamento ed assolvimento agli obblighi di legge ad ogni singola realtà, secondo le particolarità del caso concreto.
La norma impone altresì che vengano verificate, attraverso una preventiva valutazione del rischio, le modalità di trattamento e, se necessario, attuare le procedure di valutazione di impatto previste dall’art. 35 (Data Protection Impact Assessment), nel caso in cui si vogliano introdurre nuove soluzioni tecnologiche atte potenzialmente a mettere a rischio i diritti e le libertà degli interessati e definire attraverso la DPIA le misure previste per ridurre o minimizzare i rischi del trattamento, l’eventuale perdita, la condivisione non sicura, l’integrità del trattamento o l’accesso non autorizzato.
Obblighi che impegnano e devono impegnare il moderno Professionista della Sanità, il quale ricorrendo sempre di più all’uso delle nuove tecnologie che facilitano il lavoro di comunicazione, archiviazione, diagnostica deve essere altrettanto informato nel conoscere i rischi che possono celarsi nell’impiego di tali strumenti alla tutela dei dati dei propri pazienti.
Pensiamo a tutti quegli strumenti diagnostici cosiddetti weareble e controllabili da remoto, o l’utilizzo di strumenti di telemedicina, app mediche di condivisione, dispositivi medici in grado di diagnosticare a distanza patologie o monitorare le cronicità tutti strumenti che spesso trattano dati in rete, e che vengono offerti come servizi da società che non hanno solo finalità proprie di erogare una strumentazione di telemedicina, ma che hanno interesse nella profilazione dei dati anche solo per massimizzare la prestazione e ampliare l’offerta dei servizi.
In tutti questi casi, il professionista deve poter essere in grado di conoscere e di comunicare agli interessati se il trattamento offerto determina finalità ulteriori rispetto alla prestazione.
Dobbiamo quindi ricordare che tutto quanto non sia circoscritto alla prestazione medica deve essere oggetto dell’informativa ex artt. 13 e 14 GDPR, specifica del trattamento per quella singola terapia o strumento, in modo da informare, ad esempio, che i dati del paziente verranno trasferiti anche all’azienda che offre lo strumento diagnostico, ma in questi casi pazienti dovrà essere richiesto il consenso al trattamento ulteriore.
Ci troviamo, infatti, di fronte alla possibilità che i trattamenti connessi all’utilizzo del dispositivo medico vengano utilizzati per finalità diverse oppure, indipendentemente dalla finalità che ai dati dell’interessato possano avere accesso soggetti diversi dai professionisti sanitari o altri soggetti tenuti al segreto professionale (pensiamo, ad esempio, ai fornitori dei servizi tecnologici partner commerciali terzi fornitori della piattaforma network, delle chat, e dei servizi cloud dove vengono immagazzinati i referti e gli esiti degli esami e di diagnostica per immagini).
Si comprende allora quanto la professione sanitaria imponga ai suoi protagonisti un livello di attenzione e di responsabilità massimi rispetto alla tematica della “gestione dei dati ai fini privacy”, così da garantire, oltre al precipuo diritto alla salute, anche la tutela degli altri diritti fondamentali correlati.
Non da ultimo si deve evidenziare come da parte dei pazienti stia aumentando sempre di più la sensibilità sul tema della tutela dei dati personali e sull’incidenza negativa nella vita quotidiana dell’uso illecito o distorto dei dati da parte di soggetti terzi. Proprio per tale ragione manifestare attraverso condotte e sistemi concreti di compliance di tutela del trattamento dei dati personali può costituire per i professionisti sanitari un vantaggio competitivo non indifferente oltre che una tutela alla propria professionalità, offrendo riparo da rilevanti sanzioni amministrative, deontologiche e disciplinari.