dottore con tablet: la tecnologia al servizio della sanità

Le pratiche più diffuse: inquadramento del problema

Il binomio privacy e sanità mostra aspetti sempre più controversi, in ragione della natura particolarmente sensibile dei dati che caratterizzano l’ambiente sanitario e della mancanza di buone pratiche del personale medico nella gestione dei dati stessi. In particolare, l’emergenza covid-19 ha fatto emergere la sempre maggiore complessità delle strutture sanitarie pubbliche e private nella gestione dei dati sanitari dei pazienti.
È sempre più frequente l’utilizzo di email o di applicazioni di messaggistica in ambito sanitario, finalizzato a scambiarsi informazioni relative al trattamento o ai risultati degli esami di un paziente, tra medico e medico, tra medico e infermiere e tra medico e paziente.

Purtroppo la facilità e la comodità che caratterizzano gli strumenti tecnologici che consentono al paziente di prenotare una visita in tempo reale e al medico di comunicare in maniera più veloce gli esiti di un esame o di un trattamento spesso non rispettano i principi fondamentali del nostro ordinamento giuridico.
La pratica più diffusa è sicuramente quella di effettuare il trattamento di categorie particolari di dati personali relativi alla salute, come i referti, attraverso fotografie o la trasmissione degli stessi tramite messaggi via chat o email.

Un’altra pratica che incide sulla privacy dei pazienti consiste nella cessione di dati sanitari ad aziende terze multinazionali al fine di effettuare ricerche scientifiche e statistiche. Le fonti normative stabiliscono che questa cessione possa avvenire solo nel caso in cui i dati sanitari siano stati preventivamente anonimizzati e sia intervenuta l’autorizzazione del Garante. Tuttavia, la norma presenta la criticità di non rendere esplicito il soggetto che assume la responsabilità di anonimizzare i dati sanitari. È evidente, dunque, che possa verificarsi il rischio per cui i dati di un paziente vengano trasmessi a un’azienda senza che nessuno abbia provveduto ad anonimizzarli, ossia a renderli non riconducibili ad alcun soggetto.

Le principali conseguenze per gli istituti, il personale sanitario e i diritti degli interessati

 L’impatto del trattamento elettronico dei dati sanitari può determinare conseguenze sotto diversi profili, in materia di privacy e di sicurezza delle informazioni. Sono numerosi gli obblighi legali ed etici che deve rispettare il personale sanitario, soprattutto se vuole evitare di dover rispondere ad un’eventuale istanza al Garante da parte del paziente ovvero ad una violazione dei dati personali dello stesso.

Infatti, potrebbe accadere che i dati sanitari circolanti all’interno delle chat o email dei professionisti sanitari vengano intercettati da attacchi informatici, i quali potrebbero utilizzare tali informazioni in maniera illecita. È evidente che la consapevolezza di questo accaduto da parte del titolare di tali dati non può che determinare un immediato coinvolgimento a vario titolo e natura da parte dei professionisti che l’hanno attuato.

Innanzitutto, il paziente potrebbe non aver espresso preventivamente il trattamento dei propri dati tramite strumenti tecnologici e, in secondo luogo, potrebbe essere danneggiato da un utilizzo illecito degli stessi da parte di soggetti terzi. In questa situazione, il personale sanitario è il primo ad essere sottoposto a responsabilità così come la struttura di riferimento.

Una problematica ulteriore si verifica nel caso in cui il paziente manifesti l’intenzione di richiedere il tracciamento dei propri dati. In tale situazione, potrebbe emergere un utilizzo illecito dei dati da parte del personale sanitario che il paziente non aveva autorizzato. Dunque, i dati potrebbero trovarsi non solo all’interno del server di riferimento di posta elettronica ma anche all’interno del telefono di diversi medici e/o infermieri o nei server di posta privata degli stessi.

Inoltre, sarebbe opportuno esaminare dove queste applicazioni di messaggistica fanno transitare i dati dei pazienti. Infatti, alcune di queste applicazioni potrebbero avere dei server al di fuori dall’Unione europea.

Di conseguenza, nel caso in cui i medici si scambino i dati dei pazienti tramite chat/email, tali dati si memorizzano automaticamente all’interno dei server. Laddove i server siano collocati in un Paese Terzo si configura un trasferimento dei dati all’estero, il quale, nel rispetto della normativa prevista dal GDPR, dovrebbe avvenire solo con il consenso dell’interessato.

Gli obblighi relativi alla sicurezza del trattamento dei dati sanitari

Le aziende sanitarie pubbliche e private, in qualità di titolari o responsabili del trattamento, sono tenute a mettere in atto misure tecniche e organizzative adeguate a garantire un livello di sicurezza adeguato al rischio del trattamento dei dati sanitari.

Le strutture sanitarie rientrano certamente all’interno degli organismi che richiedono obbligatoriamente la figura del DPO (Data Protection Officer). Il Provvedimento n. 55 del 7 marzo 2019 del Garante per la protezione dei dati personali ha fornito chiarimenti in merito alla figura del DPO all’interno delle aziende sanitarie.

In particolare, i DPO devono fornire consulenza e informare i titolari del trattamento sulle modalità per garantire la piena conformità al quadro normativo esistente e devono anche verificare le attività svolte dal titolare del trattamento.

Infatti, le problematiche che possono presentarsi in ambito sanitario sono numerose: i profili organizzativi e gestionali, la titolarità del trattamento, il corretto inquadramento del rapporto titolare-responsabile del trattamento, l’informativa privacy, la gestione delle violazioni di impatto e l’adozione di misure per garantire il corretto esercizio dei diritti degli interessati.

Il Provvedimento del Garante stabilisce che i trattamenti dei dati personali relativi a pazienti effettuati da un’azienda sanitaria devono essere ricondotti a quelli per i quali è prevista la designazione obbligatoria del DPO. Ciò deriva dalla natura giuridica di “organismo pubblico” del titolare e in considerazione del fatto che le attività principali del titolare consistono nel trattamento, su larga scala, di dati sulla salute.

Il Garante ritiene che anche il trattamento dei dati relativi a pazienti svolto da un ospedale privato, da una casa di cura o da una residenza sanitaria assistenziale (RSA) possa rientrare, in linea generale, nel concetto di larga scala.

Con riferimento, invece, al singolo professionista sanitario che opera in regime di libera professione a titolo individuale, lo stesso non è tenuto alla designazione di tale figura per lo svolgimento della propria attività. Ciò in quanto i trattamenti effettuati dal libero professionista non rientrano tra quelli intesi su larga scala.

È possibile effettuare considerazioni analoghe per le farmacie, le parafarmacie, le aziende ortopediche e sanitarie. Nel caso in cui i suddetti soggetti non effettuino trattamenti di dati personali su larga scala, non sono obbligati a designare il RPD.

Come informare il paziente del trattamento dei propri dati?

Il Garante, all’interno del suddetto Provvedimento, evidenzia che il primo elemento da assicurare per trattare e, di conseguenza, far circolare i dati sanitari, è quello della trasparenza. Infatti, al fine di rendere consapevoli gli interessati dei propri diritti, è necessario offrire loro informazioni in forma concisa, trasparente, intelligibile e facilmente accessibile, con linguaggio semplice e chiaro.

Al riguardo, il titolare del trattamento viene maggiormente responsabilizzato, in quanto è tenuto a scegliere le modalità più appropriate attraverso cui fornire l’informativa. Quest’ultima dovrebbe contenere la precisa indicazione del modo in cui verranno trattati i dati e della loro eventuale circolazione che è impossibile se non viene gestita e pianificata attraverso sistemi informatici adeguati. In particolare, deve tenere presente le circostanze e il contesto in cui viene effettuato il trattamento (a titolo di esempio, il dispositivo utilizzato, la natura dell’interazione con il titolare e le eventuali limitazioni che implicano tali fattori).

Sul punto, il Garante ha ritenuto opportuno suggerire ai titolari del trattamento operanti in ambito sanitario, come le aziende sanitarie, di fornire all’interessato le informazioni in modo progressivo. In questo senso, l’azienda sanitaria dovrebbe fornire al paziente l’informativa a seconda del trattamento che intendono intraprendere e delle finalità dello stesso. Dunque, potrebbe essere funzionale per il personale sanitario richiedere fin da subito l’autorizzazione al paziente ad un’eventuale circolazione dei suoi dati.

Ciò significa che si consiglia alle aziende sanitarie di fornire alla generalità dei pazienti solo le informazioni relative ai trattamenti che rientrano nell’ordinaria attività di erogazione delle prestazioni sanitarie.

Nel caso in cui, invece, i pazienti debbano sottoporsi a trattamenti che rientrano in una gestione straordinaria delle prestazioni sanitarie, le informazioni dovrebbero essere rese solo in un secondo momento e gradualmente, al fine di indirizzarle ai pazienti che sono effettivamente interessati a sottoporsi a questi trattamenti.

A seconda del trattamento e del percorso di cura intrapreso, quindi, l’informativa da fornire al paziente potrebbe essere differente e i dati dello stesso potrebbero essere gestiti e utilizzati con finalità diverse. Ad esempio, l’eventuale trasferimento dei dati sanitari ad un’azienda per finalità statistiche dovrebbe essere preceduto da una corretta informativa da parte della struttura sanitaria che renda edotto il paziente sulla circolazione a cui saranno sottoposti i suoi stessi dati.

Questa modalità di informazione avrebbe il pregio di conferire maggiore significato alle informazioni che vengono fornite ai pazienti, in quanto questi ultimi presterebbero più attenzione alle stesse in ragione della gradualità con cui vengono loro fornite. Inoltre, al paziente dovrebbe essere sempre garantita la possibilità di revocare il consenso al trattamento e alla relativa circolazione dei suoi dati sanitari.

La circolazione dei dati sanitari attraverso la sanità elettronica

La c.d. Sanità elettronica o digitale è sempre più diffusa e consente di rendere più efficienti le prestazioni del Servizio Sanitario Nazionale, partendo dalla prevenzione e dalla cartella sanitaria elettronica, determinando anche una maggiore economicità per le aziende sanitarie.

Sono stati introdotti, infatti, strumenti nuovi e rivoluzionari quali il Fascicolo Sanitario Elettronico, il Dossier Sanitario, i referti on line, la ricetta elettronica, i certificati di malattia telematici, le prenotazioni sanitarie on line, la telemedicina. Ciò significa che attualmente i dati relativi alla salute dei pazienti circolano in piena regolarità su numerose piattaforme web.

Tuttavia, non è solo il dato scambiato su WhatsApp/email ad essere in pericolo ma lo è anche quello caricato sulla piattaforma online per essere verificato dal paziente. Infatti, l’utilizzo illecito da parte di soggetti terzi non autorizzati al trattamento può sempre avvenire, in quanto attualmente i dati sanitari non circolano quasi più attraverso il confronto a voce con il paziente e la consegna del referto a mano.

Sarebbe opportuno domandarsi, tuttavia, se non sia più sicuro e certo ricevere le comunicazioni in merito al proprio trattamento clinico direttamente dal medico curante, evitando eccessive e superflue circolazioni di dati sensibili all’interno del vasto mondo di internet.

Rischi e sanzioni derivanti dal trattamento illecito dei dati sanitari

Dalla violazione dei suddetti obblighi a carico delle strutture sanitarie pubbliche e private deriva un trattamento illecito dei dati personali dei pazienti.

In sede di responsabilità penale, l’art. 167 del Codice della privacy, infatti, prevede il delitto di trattamento illecito di dati personali e introduce la fattispecie specifica consistente nel trattamento di dati personali in violazione delle misure di garanzia di cui all’art. 2-septies del Codice stesso.

La violazione delle misure di garanzia, inoltre, non può che comportare una responsabilità amministrativa, con la possibilità per l’autorità di controllo di irrogare la sanzione pecuniaria per le violazioni più gravi ai sensi dell’art. 83 del GDPR e, ovviamente, di esercitare tutti i poteri correttivi richiamati dall’art. 58 del GDPR.

Il numero potenziale di sanzioni e le relative fattispecie è altissimo, dai casi di illeciti collegati al data breach alla mancanza di informative, sanzioni tutte che potrebbero arrivare a superare i 20 milioni di euro o il 4% del fatturato mondale globale annuo.

Oltre tali sanzioni si ricorda che in ogni caso potrebbe configurarsi anche una responsabilità civile azionata direttamente dai pazienti interessati per la divulgazione dei dati non consentita e per i relativi danni.

Conclusioni

La tecnologia attuale consente alle aziende sanitarie pubbliche e private e ai singoli medici professionisti di utilizzare e gestire dati sanitari con una facilità esorbitante, sostanzialmente attraverso un click sul computer o sul telefono.

È stato assolutamente necessario il suddetto intervento del Garante al fine di fornire alcune linee guida che i professionisti sanitari devono seguire per non incorrere in sanzioni e, soprattutto, per garantire che i dati dei pazienti siano tutelati e trattati nel rispetto della normativa del GDPR.

Il pericolo che i dati dei pazienti possano finire in mani sbagliate sussiste sempre ed è per questo motivo che sarebbe raccomandabile per il personale medico limitare al massimo l’utilizzo dei mezzi tecnologici personali per comunicare con il paziente o con altro personale medico.

Invece sarebbe fortemente raccomandato l’utilizzo di tutte quelle tecnologie che di fatto permettono la circolazione corretta delle informazioni sanitarie ma che molto spesso per ragioni di “alfabetizzazione informatica” vengono tralasciate.

In via esemplificativa ma non esaustiva si suggerisce di applicare tutti quegli aspetti previsti dall’art. 32 del GDPR quali la protezione dei dati con crittografia elevata.

Ormai vi sono alcuni standard da cui risulta molto difficile discostarsi tra cui la crittografia FIPS 140-2 e l’autenticazione a più fattori (MFA) che è utilissima se si usa il proprio cellulare o tablet per accedere ad applicazioni aziendali.

In tal senso per la circolazione del dato ricordiamo di applicare, ove possibile “la riservatezza, l’integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento” in ottemperanza alle prescrizioni normative sopra illustrate.

Allo stesso tempo rimane fondamentale valutare regolarmente l’efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento come policy che limitano l’accesso in base all’utente, o anche autorizzazioni di gruppo, posizioni e dispositivi.

Per coloro che volessero apprendere come utilizzare i dati sanitari attraverso le ultime innovazioni tecnologiche in perfetta compliance con il GDPR potete richiedere informazioni a questo indirizzo.

Redazione Diritto dell’informatica

Ultimi aggiornamenti

contratto vendere webinar
Hai mai pensato al tuo contratto come a un’arma segreta per il successo? Probabilmente no. La maggior parte delle persone considera il contratto come un ostacolo burocratico, un documento noioso e pieno di “legalese” incomprensibile. Ma se ti dicessi che il tuo contratto può essere molto […]
tiktok
Cosa è successo? È notizia di pochi giorni fa l’apertura da parte della Commissione Europa di una indagine e di un procedimento formale nei confronti della piattaforma cinese TikTok per aver violato regole e norme che l’Unione Europea si è data a tutela degli utenti tra […]
email garante
Con il provvedimento n. 642 del 21/12/2023 il Garante Privacy ha emanato un documento di indirizzo denominato “Programmi e servizi informatici di gestione della posta elettronica nel contesto lavorativo e trattamento dei metadati”, rivolto ai datori di lavoro pubblici e privati, con cui porta alla luce […]

Iscriviti alla nostra newsletter

i nostri social

Guarda i nostri video e rimani aggiornato con notizie e guide

Lo sapevi che per continuare a fare Smart Working in azienda bisognerà adottare degli accorgimenti entro il 30 giugno?

Le modalità per fare marketing si sono evolute di pari passo alle norme in tema di privacy, questo porta ad un binomio complesso: lead generation e privacy. Come fare contatti rispettando però il GDPR?

Il marchio oggi non rappresenta meramente un simbolo identificativo, ma diviene uno degli elementi fondanti della brand identity di un’impresa. La registrazione è fondamentale per tutela e VALORE del tuo business.