Brevi riflessioni sulla privacy in ambito sanitario

di Maurizio Campagna

Dal 25 maggio 2018 il Regolamento dell’Unione Europea 2016/679 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali è pienamente applicabile in tutti gli Stati membri.

A poco più di un anno dall’ingresso delle nuove regole, ci proponiamo dunque, di fornire in questa Rubrica alcune nozioni per comprendere un po’ meglio questo vasto e complesso argomento, con particolare attenzione all’ambito sanitario.

È ancora molto diffuso infatti un generale atteggiamento di disinteresse verso la privacy, spesso ridotta nel pensiero di chi è tenuto ad adeguare la sua struttura organizzativa e produttiva alle nuove regole a un insieme di balzelli burocratici, o associata soltanto a un “ennesimo” modulo da firmare da parte degli interessati, vale a dire coloro che forniscono dati per le più diverse ragioni in tantissime occasioni che lo stesso agire quotidiano presenta. Non può sfuggire a nessuno, infatti, quanto lo scambio di informazioni personali sia ormai un gesto ripetuto quasi automaticamente e più volte nella stessa giornata, ma che solo apparentemente è senza conseguenze.

In questo contesto, il settore sanitario, in particolare, sta attraversando un periodo di profondi cambiamenti dovuti principalmente all’ingresso e all’uso sempre più massiccio di nuove tecnologie, il cui impatto sulla relazione di cura non è ancora del tutto esplorato e i cui esiti non sono del tutto prevedibili. In generale, i dati sanitari e la loro raccolta in banche dati sono sempre più fondamentali per le attività di cura e assistenza, per la ricerca clinica e farmaceutica, per il funzionamento delle nuove strumentazioni, ma anche per la predisposizione di buone politiche sanitarie da parte delle competenti autorità pubbliche. È facile intuire dunque che nell’epoca dell’economia dei dati, le informazioni sanitarie relative ai pazienti rappresentano un bene tra i più preziosi, meritevole di particolari e incisive tutele.

Per tale ragione, e in considerazione della sua intrinseca complessità, la sanità rappresenta un vero e proprio banco di prova della tenuta del sistema di protezione delle persone fisiche con riguardo al trattamento dei dati personali così come disciplinato dal Regolamento UE 2016/679 e dal d.lgs. 10 agosto 2018 n. 101 di adeguamento della normativa nazionale alle disposizioni del predetto Regolamento.

Prima delle nuove regole europee, in Italia il trattamento dei dati personali era regolato dal Codice privacy (d.lgs. 30 giugno 2003 n. 196), che già aveva delineato un sistema di protezione piuttosto avanzato. Alcuni dei principi ispiratori del Codice sono presenti anche nel Regolamento, che in generale ha inteso responsabilizzare i titolari del trattamento e innalzare il livello di protezione delle persone fisiche, anche attraverso l’inasprimento delle sanzioni a carico dei titolari che violano le regole poste a garanzia di trattamenti leciti.

Per raggiungere gli obiettivi prefissati, il Regolamento non si è limitato a introdurre nuove prescrizioni, favorendo un vero e proprio nuovo approccio alla privacy: le imprese ad esempio e gli altri enti pubblici e privati – e quindi anche gli enti sanitari – sono tenuti, infatti, a progettare o ristrutturare la loro organizzazione tenendo in adeguata considerazione la protezione dei dati personali degli interessati, il percorso delle informazioni nell’ambito dei diversi processi produttivi al fine di poter garantire un trattamento sicuro degli stessi. La formazione del personale diventa inoltre un elemento centrale ed è valorizzata nel contesto generale del Regolamento anche al fine di imprimere una svolta nella cultura aziendale.

I dati sanitari richiedono particolari cautele per il loro trattamento.
A norma dell’abrogato articolo 4 lett. d) del d.lgs. 196/2003, infatti, erano considerati sensibili i dati idonei a rivelare, tra gli altri aspetti, lo stato di salute delle persone. Il Regolamento UE 2016/679 non contiene, invece, una definizione di dati sensibili, ma, all’art. 9, viene fissato il generale divieto di trattamento per particolari categorie di dati. Tra questi, sono compresi quelli che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonché i dati genetici, biometrici intesi a identificare in modo univoco una persona fisica, dei dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.
In particolare, l’art. 4, al co. 15 stabilisce che sono «dati relativi alla salute quelli personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute».
Anche il contenuto del Considerando n. 35 è assai rilevante al fine di chiarire il significato di dato personale relativo alla salute: la definizione dovrebbe comprendere «[…] tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso». Tra questi rientrano anche «un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari, le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro».

Il legislatore europeo valorizza il collegamento del dato sanitario al suo principale fattore produttivo, e cioè le attività e i servizi resi nell’ambito di strutture sanitarie, conferendo un carattere di dinamicità a questo profilo della relazione con l’utente. In tal senso, il divieto generale di trattamento di particolari categorie di dati di cui all’art. 9 del Regolamento non opera in una serie di circostanze che, in ambito sanitario, corrispondono all’erogazione dell’assistenza sanitaria complessivamente intesa.
Il trattamento dei dati sulla salute è infatti consentito «se necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità […]» (art. 9, par. 2, lett. h).
Coerentemente con l’abbandono di una prospettiva “consensocentrica”, non occorre il consenso al trattamento per finalità di diagnosi, assistenza o terapia sanitaria (finalità di cura), se le relative attività sono effettuate da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale – indipendentemente dalla circostanza che operi in qualità di libero professionista (presso uno studio medico) ovvero all’interno di una struttura sanitaria pubblica o privata – o da altra persona anch’essa soggetta all’obbligo di segretezza.
Sul punto, si rinvia per approfondimenti al documento Chiarimenti sull’applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario adottato dal Garante per la Protezione dei Dati personali il 7 marzo 2019.
Nella prassi tuttavia non è infrequente che a un paziente che si rechi in una struttura sanitaria o in un ambulatorio sia consegnato per la sottoscrizione un modulo per la raccolta del consenso al trattamento dei dati.
È bene quindi precisare che tale consenso non deve essere confuso con quello ai trattamenti sanitari, oggetto di specifici approfondimenti in questa Rubrica (Il consenso informato in ambito sanitario – parte prima e parte seconda). Nel primo caso, infatti, il paziente autorizza il trattamento dei dati personali raccolti ad esempio da un medico che opera in una struttura sanitaria in occasione di un trattamento diagnostico o terapeutico.
Nel secondo, invece, il paziente autorizza un determinato trattamento sanitario (un intervento chirurgico, un esame diagnostico ecc.) e il consenso costituisce il presupposto di legittimità dell’operato del medico. Quest’ultimo “assorbe” il primo che non è pertanto necessario.

Il titolare del trattamento deve sempre fornire all’interessato (il paziente) le informazioni previste dall’art. 13 del Regolamento, in ossequio al principio di trasparenza. Lo strumento utilizzato a tale fine è l’informativa che deve essere concisa, trasparente, intelligibile e facilmente accessibile, scritta con linguaggio semplice e chiaro. Il paziente deve conoscere tra l’altro: l’identità e i dati di contatto del titolare del trattamento; b) i dati di contatto del responsabile della protezione dei dati, se nominato; c) le finalità del trattamento cui sono destinati i dati personali nonché la base giuridica del trattamento; d) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali.
La tutela della dei pazienti con riferimento al trattamento dei loro dati costituisce anche un preciso obbligo deontologico dei professionisti impegnati nelle attività di cura e assistenza che deriva direttamente dall’essere in relazione con l’assistito.
Il Codice di deontologia medica, in particolare, inserisce tra gli Obblighi peculiari del medico la tutela «della riservatezza dei dati personali e della documentazione in suo possesso riguardante le persone anche se affidata a codici o sistemi informatici» (art. 10). Analoga disposizione è contenuta anche nel nuovo Codice deontologico dell’Infermiere, del 2019 (art. 19).

Ai sensi del co. 4 dell’art. 9 del Regolamento, gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.
Il d.lgs. n. 101/2018, adeguando l’ordinamento nazionale alle regole europee e in attuazione della ricordata disposizione, ha previsto che tali tipologie di dati possono essere oggetto di trattamento in presenza di una delle condizioni stabilite al paragrafo 2 del medesimo articolo 9 ed in conformità alle misure di garanzia disposte dal Garante. Tali misure sono adottate sentito il Ministero della Salute che è tenuto ad acquisire il parere del Consiglio Superiore di Sanità (d.lgs. 30 giugno 2003 n. 196, art. 2-septies, introdotto dall’art. 2, comma 1, lettera f) d.lgs. 101/2018).
Il quadro regolatorio attualmente non è ancora definitivo dal momento che le misure di garanzia non sono state ancora adottate. Il Considerando n. 53 a tale proposito chiarisce che le stesse non dovrebbero «ostacolare la libera circolazione dei dati personali all’interno dell’Unione quando tali condizioni si applicano al trattamento transfrontaliero degli stessi».

Il Fascicolo sanitario elettronico (FSE) è l’insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito. Il FSE è istituito dalle regioni e province autonome (decreto legge 18 ottobre 2012 n. 179, art. 12).
A livello di singola struttura, invece, i dati sulla salute degli assistiti vengono raccolti nel dossier sanitario, costituito, secondo la definizione delle Linee guida in materia approvate dal Garante per la protezione dei dati personali con delibera del 4 giugno 2015 n. 331 «dall’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato, messi in condivisione logica a vantaggio dei professionisti sanitari che presso lo stesso titolare del trattamento lo assistono».
Il Garante per la protezione dei dati personali con delibera n. 25 del 16 luglio 2009, sensibile alle nuove sfide della sanità, aveva anticipato il legislatore nazionale approvando le Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario, in un’epoca in cui questi due fondamentali strumenti della sanità elettronica non erano stati ancora definiti a livello nazionale né da norme di carattere primario né da norme di carattere secondario.
Le Linee guida specificano per entrambi gli strumenti che gli stessi rappresentano trattamenti diversi e ulteriori rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione del singolo evento clinico per il quale l’interessato si rivolge ad esso. La finalità principale dei due strumenti è infatti conservare una memoria storica degli eventi sanitari di rilievo relativi ad un medesimo individuo nell’ottica di rendere più efficienti i processi di diagnosi e cura, ma anche di ridurre i costi della spesa sanitaria derivanti, ad esempio, dalle ripetizioni di esami inutili, dalla prescrizione di farmaci inefficaci tenuto conto della specifica storia clinica del paziente.
Dalla natura di trattamenti diversi e ulteriori rispetto a quello ordinario legato ad un singolo evento clinico il Garante fa derivare alcune specifiche cautele legate alla corretta comunicazione al paziente che dovrà evidenziare l’intenzione del titolare di costituire un insieme di informazioni personali riguardanti l’interessato il più possibile completo al fine di migliorare il suo percorso di cura all’interno della struttura.
Per alimentare il Fascicolo Sanitario Elettronico e il Dossier occorre, quindi, uno specifico consenso.
L’informativa, infatti, dovrà chiaramente indicare che sarà consentito un accesso integrato a tali banche dati da parte del personale sanitario coinvolto.
La corretta e completa informazione deve garantire al paziente la libertà di decidere, sulla base del suo consenso, se acconsentire o meno alla costituzione di un documento che, soprattutto se alimentato nel tempo, permetterà di ricostruire la sua storia sanitaria, rendendola disponibile a tutti i soggetti coinvolti nelle attività assistenziali, nello specifico contesto di riferimento (Regione, azienda).