Per poter curare al meglio un paziente è essenziale che i suoi dati clinici siano condivisi da tutti coloro i quali sono coinvolti nella assistenza sanitaria, dai medici di medicina generale agli specialisti agli infermieri, ne consegue la necessità di porre particolare attenzione alla gestione della privacy, raccogliendo il consenso del paziente – requisito primario del trattamento ed elemento imprescindibile di correttezza e chiarezza nel rapporto col paziente – e procedendo alla conservazione legale dei suoi dati.
E questo aspetto diventa ancora più attuale in quanto dalla cartella clinica elettronica al dossier sanitario elettronico al fascicolo sanitario elettronico i dati clinici del paziente, raccolti in formato digitale, sono proprio l’essenza di queste soluzioni.
E’ evidente che il tema della privacy vada affrontato mettendo intorno a un tavolo competenze multidisciplinari quali quelle sanitarie, legali, informatiche, normative, prescrittive. E con questa impostazione si è sviluppato un recente interessante workshop organizzato a Pisa dall’Associazione Privacy and Information Healthcare Manager APIHM, a cui ho partecipato e da cui ho tratto diverse riflessioni che mi aiutano nella stesura di questo mio articolo.
Il legale sottolinea che dal punto di vista giuridico non esiste differenza tra dati raccolti su cartaceo e dati raccolti in sistemi informatici, come da tempo previsto dal Codice della Amministrazione Digitale CAD, Decreto legislativo 7 marzo 2005, n. 82, e smi, che al Capo III, art.40 – art.44bis disciplina la formazione, gestione e conservazione dei documenti informatici.
E particolare attenzione deve essere posta nella conservazione legale del dato anche nel sempre più frequente uso di soluzioni Cloud, a cui si applicano i requisiti classici di tracciabilità, rintracciabilità, contestualità, sicurezza, valore probatorio, a cui deve prestare la massima attenzione ogni Data Protection Officer che opera nelle strutture sanitarie. Non trascurando poi la necessità di implementare soluzioni di Disaster Recovery per evitare la possibile perdita dei dati del paziente, che invece lo debbono seguire per tutta la sua vita.
Il passaggio, anche in Sanità, dalla carta al bit, impegna molto i Data Protection Officer delle aziende sanitarie nella implementazione di misure di sicurezza tese a prevenire i sempre più frequenti attacchi informatici, favoriti dallo sviluppo di tecnologie come l’Internet delle Cose IoT, mhealth, i device medicali in rete, telemedicina, il già citato cloud, che aprono possibili falle nei tradizionali sistemi informativi sanitari o favoriscono accessi abusivi ai dati del paziente. Questa enorme quantità dei dati, come già da me segnalato in un mio precedente articolo, comporta la necessità di porre particolare attenzione alla qualità del dato, altrimenti si rischia di aumentare il rischio clinico. Grande attenzione deve essere posta nell’evitare che i dati siano usati per fini impropri, per molte aziende essi valgono molto, e chi risponde di questo uso improprio davanti al cittadino e alla giustizia è il titolare del trattamento. Bisogna quindi da un lato approntare le corrette misure tecniche, certificando fra l’altro i device medici e le sempre più diffuse App, innovando i processi anche grazie all’uso dell’Ict, e cosi gestire in modo appropriato e sicuro questa enorme disponibilità di dati, ma dall’altro serve sviluppare la giusta consapevolezza tra gli operatori sanitari. E garantire cosi che la gestione del consenso del paziente sia una componente direi “naturale” di ogni processo sanitario.
E facendo in modo che l’accesso ai dati del paziente sia concesso solo a chi lo sta curando, e sia valido solo fino a quando lo si sta curando, e comunque il paziente deve sempre avere il diritto di “oscurare” i suoi dati clinici e di sapere sempre chi vi ha acceduto. Ricordo che l’oscuramento dei dati è un procedimento che introduce restrittivi controlli di accesso rendendo non visibili ai singoli operatori i dati dell’interessato, e che può essere attivato sia su richiesta dell’interessato che nel rispetto di normative specifiche emesse a tutela dell’anonimato delle persone nel caso, per esempio, di vittime di atti di violenza sessuale.
Si eviterebbero cosi inqualificabili e gravi accessi impropri come quelli verificatisi a Bolzano, come riportato con grande enfasi dalla stampa di settore e non, e che ha richiesto il pronto intervento della Autorità Garante della Privacy e degli esperti del settore per allineare le procedure agli obblighi non solo etici previsti dalla vigente normativa.
Ho infine molto apprezzato l’intervento del rappresentante dell’Autorità Garante per la Protezione dei Dati Personali, che ha cercato di chiarire molti dubbi che ancora permangono per tutti gli operatori del settore.
Intanto, la legge sulla privacy è ormai in vigore da anni, come da Decreto legislativo 30 giugno 2003, n. 196, Codice in materia di protezione dei dati personali, che all’Art. 1. Diritto alla protezione dei dati personali afferma che “Chiunque ha diritto alla protezione dei dati personali che lo riguardano”, e all’ Art. 2. ne esplicita le finalità “Il presente testo unico, di seguito denominato “codice”, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l’adempimento degli obblighi da parte dei titolari del trattamento.
L’Autorità è più volte intervenuta in merito al trattamento dei dati sanitari effettuato da soggetti pubblici e privati per finalità di prevenzione, diagnosi, cura e riabilitazione dell’interessato, spesso a fronte di segnalazioni in cui si lamentava:
– che gli applicativi in uso presso alcuni ospedali sarebbero stati configurati in modo tale da consentire ad ogni medico di accedere non solo ai dati personali dei propri pazienti, ma anche a quelli di qualsiasi altra persona che sia stata in cura presso la struttura sanitaria
– che non vi era stato prestato alcun consenso informato in relazione al trattamento di dati personali, per esempio trattamento di uno stato di sieropositività senza che il paziente abbia espresso uno specifico consenso al riguardo.
Interventi del Garante sono stati fatti per esempio presso l’Azienda ospedaliera universitaria ospedali Riuniti di Trieste (2013), l’Azienda Sanitaria Alto Adige (2014), l’Azienda ospedaliera universitaria S.Orsola Malpighi di Bologna (2014) e l’azienda Policlinico Umberto I di Roma (2014). E sempre per mancanza di applicazione di norme emesse da tempo in merito alla privacy.
Per quanto concerne la manifestazione del consenso dell’interessato, è stato ribadito che questo è indispensabile per procedere al trattamento dei dati sanitari per finalità di cura e che deve essere richiesto all’interessato prima dell’erogazione della prestazione sanitaria, fatti salvi i casi di prestazioni d’urgenza o di richieste dell’Autorità giudiziaria.
E‘ stato ribadito che l’accesso ai dati va garantito solo se pertinente alle cure in corso, non tutti debbono accedere a tutto, mai, ovviamente, per interessi commerciali o pubblicitari. E un consenso esplicito va dato dal paziente per accedere ai suoi dati per esempio a scopo amministrativo.
Cosi come è stato ribadito che le norme sulla privacy, in ambito sanitario, non possono non prevedere delle eccezioni quali quella imposta dallo stato di emergenza, in cui bisogna assicurare la continuità delle cure per far fronte alla stessa emergenza, prevale sempre il diritto alla cura, pur dovendosi comunque raccogliere il consenso anche nei DEA ospedalieri.
E per l’oscuramento, al paziente va certamente spiegato che questa azione può peggiorare la qualità della cura, cura che però può essere in ogni caso portata avanti grazie all’analisi “de visu”.
Ma allora perché il Garante non emette una informativa valida per tutto il Paese? Il Garante non può predisporre un’informativa per tutti i Dossier Sanitari Elettronici che sono attivi nelle aziende sanitarie, perchè ogni sistema informativo di riferimento si configura in modo diverso e questo deve essere descritto in dettaglio al cittadino.
In conclusione, alcune proposte per facilitare la corretta promozione e applicazione della gestione privacy in Sanità:
· nominare in tutte le strutture sanitarie un Data Protection Officer e sviluppare le policy di protezione dati con un approccio organizzativo, fornendo a questi le risorse necessarie per presidiare efficacemente il rispetto delle misure di protezione dei dati;
· preparare e diffondere opuscoli divulgativi;
· attivare della formazione specifica, sviluppando un preciso piano informativo e formativo, del resto già obbligatorio, validandolo con una certificazione che confermi la consapevolezza e le competenze acquisite.