Sorry, this entry is only available in Italiano.
Nella Relazione annuale dell’anno 2003 sull’attività del Garante per la protezione dei dati personali, il Prof. Rodotà così scriveva:
“I dati sulla salute richiedono sempre una attenzione particolare, non solo perché così vuole la legge, ma perché essi rimandano alla nuda condizione umana, colgono la persona nei momenti di massima fragilità, rivelano la debolezza del corpo. E proprio il corpo, quello fisico e non quello disincarnato delle informazioni elettroniche, è oggi al centro di una attenzione che vuole scandagliarne ogni recesso, utilizzarne ogni possibilità. Qui l’intreccio tra elettronica, biologia e genetica ha già aperto scenari nuovi, insieme promettenti e inquietanti. Qui si gioca una partita essenziale per il futuro della protezione dei dati, la cui intensità diviene anche la condizione perché ciascuno possa godere delle grandi promesse della genetica” (1).
La “partita essenziale per il futuro della protezione dei dati” di cui parla il Prof. Rodotà, si gioca, auspicando di vincerla, con l’ingresso della figura del Responsabile per la protezione dei dati personali nella pubblica amministrazione come disposto dall’art. 37 del Regolamento Europeo sulla protezione dei dati personali (2016/679) di cui si studieranno, nei prossimi articoli, ruolo, compiti e responsabilità (2).
Questo articolo parte da riflessioni sull’applicazione pratica della normativa privacy nel contesto sanitario, tra tutela di un diritto, utilizzi strumentali e abusi sui dati, ma successivamente allarga il suo obiettivo per meglio focalizzare il difficile punto di equilibrio tra la tutela del diritto alla riservatezza, l’obbligo di cura e gli interessi che ruotano attorno al mondo della Sanità.
La riflessione tiene in dovuta considerazione l’assunto sostenuto dal Dirigente del Dipartimento Libertà Pubbliche e Sanità dell’Autorità Garante per la protezione dei dati personali, dott. Francesco Modafferi, secondo il quale “prendersi cura del paziente significa prendersi cura anche dei suoi dati” (Relazione in materia di privacy per un seminario formativo) (3). Questa tesi, pur apparendo condivisibile, fino a qualche anno fa non ha trovato concreta applicazione a causa della mancanza comune di sensibilità alla tematica privacy in sanità. La protezione dei dati personali, infatti, in passato è stata concepita dal personale medico (e sanitario tutto) come “ostacolo” al pieno processo di cura del paziente, specie se si pensa all’utilizzo di tecnologie avanzate. A tal riguardo, nel corso degli ultimi anni, numerosi sono stati gli interventi dell’Autorità finalizzati alla corretta osservanza della disciplina in materia di protezione dei dati personali in ambito sanitario, attraverso attività di promozione e formazione, il rilascio di autorizzazioni generali, di pareri generali o su casi specifici, la redazione di linee guida (si pensi a quelle che disciplinano il dossier sanitario del 4 giugno 2015 (4) nelle quali è possibile, con l’espresso e autonomo consenso dell’interessato, consultare la storia clinica del paziente da parte del personale medico che entra nel processo di cura del paziente) e l’instaurazione di procedimenti ispettivi nelle strutture sanitarie.
Grazie a tutto ciò, oggi, si sta realizzando una progressiva riduzione delle resistenze all’applicazione dei principi di privacy. Questo accade soprattutto perché assistiamo ad un cambiamento culturale importante nel quale la tutela dei dati personali da “ostacolo” diviene valore: la privacy, infatti, viene intesa come “strumento per conoscere i limiti per non avere limiti”. Questo, che appare un assurdo, si risolve nell’osservanza della normativa costruita per realizzare il rispetto della persona: i punti di forza e di debolezza, emergenti dall’analisi effettuata, costituiscono un sicuro punto di partenza per un fluido e corretto funzionamento della “macchina” operativa anche a fronte del fatto che la società assiste ad un’evoluzione tecnologica senza precedenti ed il legislatore italiano non “tiene il passo” dei numerosi cambiamenti del vivere quotidiano dei cittadini che, innestandosi, li espongono ad un elevato rischio per la protezione dei propri dati personali.
Il sistema sanitario, nell’ottica di miglioramento del processo di diagnosi, cura del paziente e riduzione della spesa sanitaria, è “affascinato” da nuovi strumenti tecnologici, che garantiscono notevoli vantaggi nella gestione del paziente ma che, molto spesso, non forniscono un’adeguata tutela sotto il profilo della riservatezza e della tutela dei dati idonei a rivelare lo stato di salute che rappresentano quanto di più intimo il cittadino possegga. Tali dispositivi informatici, pur degni di particolare attenzione circa l’indiscutibile utilità, non possono prescindere da una valutazione di impatto privacy così come previsto dai Considerando 6 e 7 al Nuovo Regolamento Europeo sulla protezione dei dati personali (2016/679), i quali specificano che “l’evoluzione tecnologica e la globalizzazione comportano nuove sfide per la protezione dei dati personali”.
Pertanto, il processo valutativo parte da alcune semplici domande: il trattamento attraverso strumenti tecnologici presuppone un’archiviazione o trasmissione di dati? Come viaggiano queste informazioni? Chi può accedere a questi dati? Quali misure di sicurezza vengono applicate? I dati possono essere comunicati? A quali destinatari o categorie di destinatari?
La sfida alla quale tutti gli addetti ai lavori (personale medico, personale amministrativo, responsabile privacy e tecnici informatici) sono chiamati, ha come obiettivo quello di creare un’organizzazione interna, ben definita, con compiti e responsabilità ripartite. Tutto il personale sanitario deve comprendere la rilevanza del tema, tenere un atteggiamento proattivo nei confronti delle regole e trovare le giuste motivazioni per coloro i quali sono chiamati, nell’espletamento delle proprie funzioni, ad operazioni di trattamento sui dati sanitari del paziente.
Tale auspicio diventa obbligo con il “Nuovo Regolamento sulla protezione dei dati personali” (2016/679) attraverso l’introduzione del concetto di responsabilizzazione del titolare (accountability), per il quale spetterà alla struttura sanitaria dimostrare di aver adempiuto alle volontà del legislatore europeo con l’applicazione dei principi di “Privacy by Design” e “Privacy by Default” che richiedono l’implementazione delle misure tecniche ed organizzative sin dalla fase di progettazione e impongono che ai dati personali possano accedere solo soggetti previamente autorizzati.
In questo scenario, la figura del Responsabile per la protezione dei dati personali (RPD), obbligatoria all’interno delle strutture sanitarie, si pone quale elemento di assoluto rilievo, una figura strategica, fondamentale per la corretta gestione delle policy privacy a garanzia di un miglioramento dell’organizzazione interna e un adeguato livello di tutela dei cittadini, prevenendo altresì pesanti sanzioni previste dal legislatore europeo.
Nel prossimo articolo approfondiremo la tematica inerente la nota informativa e il consenso informato al paziente.
Bibliografia:
- Stefano Rodotà: Relazione sull’attività svolta dal Garante per la protezione dei dati personali nell’anno 2003
- Regolamento Europeo in materia di protezione dei dati personali (2016/679)
- Francesco Modafferi: Intervento, in data 23 settembre 2016, del dott. presso l’Azienda Ospedaliera Consorziale Universitaria Policlinico di Bari nel convegno “Le linee guida sul dossier sanitario elettronico”
- Linee guida in materia di dossier sanitario elettronico