Sanità digitale: quali implicazioni per la privacy?

Quali sono le implicazioni per la privacy nell'ambito della sanità digitale? Scoprilo con la guida di Consulcesi Club.

Sommario

  1. Il dato personale e i principi che ne regolano il trattamento
  2. Il trattamento dei dati sanitari: divieti ed eccezioni
  3. Il trattamento dei dati sanitari: quando non è richiesto il consenso dell’interessato
  4. L’informativa e il responsabile della protezione dei dati (R.P.D.)
  5. Il registro delle attività di trattamento
  6. Le implicazioni economiche derivanti dal mancato rispetto della normativa privacy: risarcimento del danno e sanzioni
  7. Consigli finali
  8. FASCICOLO SANITARIO ELETTRONICO
  9. COMUNICAZIONI VIA WHATSAPP – TELEGRAM – SIGNAL o altra chat
  10. COMUNICAZIONI VIA E-MAIL

La strategia per la crescita digitale 2014-2020 elaborata dalla Presidenza del Consiglio dei Ministri e il successivo Piano triennale per l’informatica nella Pubblica Amministrazione 2020-2022 hanno spianato la strada all’ingresso nel nostro paese dell’ecosistema della sanità digitale.

L’innovazione digitale dei processi sanitari è solo agli inizi, ma rappresenta sicuramente un passaggio fondamentale per migliorare il rapporto costo-qualità dei servizi sanitari, limitando sprechi e inefficienze, riducendo le differenze tra i territori, offrendo al paziente un servizio accessibile e di qualità.

È proprio in virtù di queste strategie che sono stati implementati in Italia il Fascicolo Sanitario Elettronico (FSE), il Centro Unico di Prenotazione (CUP), la Telemedicina, ma anche realtà che oggi sembrano sempre esistite, come la tessera sanitaria, la ricetta digitale, i referti e le cartelle cliniche dematerializzati. Queste realtà digitali, però, implicano il trattamento dei dati personali e sanitari dei pazienti, che non può avvenire alla leggera, né nel settore pubblico, né in quello privato.

Per quanto concerne il settore pubblico, l’Autorità Garante per la Privacy ha emanato, negli anni, centinaia di ordinanze ingiunzioni a carico di altrettante aziende sanitarie e ospedali, oltre che operatori sanitari. Nel settore privato, non mancano le condanne nei confronti di centri medici o singoli operatori per le più disparate violazioni connesse al mancato rispetto della normativa sulla tutela dei dati personali.

Il problema, oltre che di natura morale, è soprattutto economico e di immagine: spesso, infatti, le condanne hanno ad oggetto ingenti somme di danaro o pubblicazioni su siti/giornali, con le conseguenze negative che influiscono sui bilanci di Asp e cliniche, ma anche sul loro buon nome o su quello del singolo operatore sanitario. Per questo motivo, è bene conoscere i principali adempimenti in materia di tutela dei dati personali nel settore sanitario. Mai come in questo caso, vale il detto “prevenire è meglio che curare”.

Scarica la Guida

Quali sono le implicazioni per la privacy nell'ambito della sanità digitale? Scoprilo con la guida di Consulcesi Club per essere sicuro in ogni passo della tua vita professionale. 

Il dato personale e i principi che ne regolano il trattamento

Si definisce dato personale qualunque informazione riguardante una persona fisica identificata o identificabile; una persona è considerata identificabile quando vi è – appunto – un identificativo che permette di rintracciarla, come il nome, un numero di identificazione, i dati relativi all’ubicazione, un identificativo online oppure uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

In generale, il trattamento dei dati personali deve avvenire nel rispetto dei seguenti principi:

  • Liceità, correttezza e trasparenza: i dati personali devono essere trattati in modo lecito, corretto e trasparente nei confronti di chi li ha forniti;
  • Limitazione della finalità: i dati personali sono raccolti per finalità determinate, esplicite, legittime, e successivamente trattati in modo compatibile con tali finalità; all’interno delle finalità iniziali può ricomprendersi anche un ulteriore trattamento dei dati personali ai fini di ricerca scientifica;
  • Minimizzazione dei dati: i dati personali raccolti sono adeguati, pertinenti e limitati a quanto necessario rispetto alle finalità per cui sono stati trattati;
  • Esattezza: i dati personali raccolti devono essere esatti e, se necessario, aggiornati; devono inoltre essere adottate tutte le misure ragionevoli per cancellare o rettificare con tempestività i dati inesatti rispetto alle finalità per cui sono stati raccolti e trattati;
  • Limitazione della conservazione: i dati personali devono essere conservati in una forma tale da consentire l’identificazione di chi li ha forniti per un arco di tempo limitato, non superiore a quello necessario per conseguire le finalità per i quali sono stati trattati; possono anche essere conservati per periodi più lunghi, nei casi di ricerca scientifica;
  • Integrità e riservatezza: i dati personali devono essere trattati in maniera tale da garantirne una adeguata sicurezza, compresa la protezione, tramite misure tecniche e organizzative adeguate, da trattamenti non autorizzati o illeciti, nonché dalla perdita, distruzione o danno accidentali;
  • Responsabilizzazione: il titolare del trattamento dei dati personali deve essere in grado di comprovare il rispetto dei suddetti principi.
  • Il principio di liceità del trattamento dei dati personali e il consenso scritto.

Affinché sia rispettato il principio di liceità del trattamento dei dati personali, deve ricorrere almeno una delle seguenti condizioni:

  • Il soggetto che ha fornito i dati personali ha espresso il consenso al loro trattamento;
  • Il trattamento dei dati personali è necessario per eseguire un contratto in cui è parte il soggetto che ha fornito i dati;
  • Il trattamento dei dati personali è necessario affinché il soggetto che ha raccolto i dati adempia un obbligo legale;
  • Il trattamento dei dati è necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica;
  • Il trattamento dei dati è necessario per eseguire un compito di interesse pubblico o comunque connesso all’esercizio di pubblici poteri da parte di chi ha raccolto quei dati;
  • Il trattamento dei dati è necessario per il perseguimento del legittimo interesse del titolare del trattamento o di terzi.

Quando il trattamento dei dati personali è basato sul consenso, chi ha raccolto quei dati deve essere in grado di dimostrarne l’esistenza, e ciò avviene tramite un consenso scritto che sia comprensibile, facilmente accessibile, redatto con un linguaggio chiaro e semplice, liberamente prestato e sempre revocabile dall’interessato.

    Il trattamento dei dati sanitari: divieti ed eccezioni

    La normativa sulla tutela dei dati personali (G.D.P.R.) classifica i dati relativi alla salute come “categorie particolari di dati personali”, il cui trattamento, di base, è vietato.

    Tuttavia, il trattamento dei dati sanitari è consentito in alcuni casi tipizzati, vale a dire:

    • Quando l’interessato (il paziente) ha prestato il proprio consenso per il trattamento di tali dati per una o più specifiche finalità;
    • Se il trattamento è necessario per assolvere determinati obblighi o esercitare determinati diritti, nonché in materia di diritto del lavoro, sicurezza sociale e protezione sociale;
    • Se il trattamento è necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica, qualora l’interessato si trovi nell’incapacità fisica/giuridica di prestare il proprio consenso;
    • Se il trattamento è effettuato da fondazioni/associazioni/organismi senza scopo di lucro;
    • Se i dati sono stati resi pubblici dall’interessato;
    • Se il trattamento serve per accertare, esercitare o difendere un diritto davanti a un’autorità giudiziaria;
    • Se il trattamento è necessario per motivi di interesse pubblico (ad esempio un’emergenza derivante da un’epidemia o pandemia, oppure da un sisma o da un’emergenza alimentare);
    • Se il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza, terapia sanitaria o sociale, gestione di sistemi e servizi sanitari o sociali (la c.d. finalità di cura);
    • Se il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica;
    • Se il trattamento è necessario ai fini di archiviazione o di ricerca scientifica o storica.

    Naturalmente, per il trattamento di questi dati, vale il principio generale della necessità di acquisire il consenso per iscritto dal paziente.

    Il trattamento dei dati sanitari: quando non è richiesto il consenso dell’interessato

    In deroga alla normativa generale, non è richiesto il consenso dell’interessato per trattare dati sanitari:

    • Essenziali a raggiungere una o più finalità determinate ed esplicitamente connesse alla cura della salute;
    • Effettuati sotto la responsabilità oppure direttamente da un professionista sanitario soggetto al segreto professionale o da altra persona comunque soggetta all’obbligo di segretezza.

    I trattamenti per c.d. finalità di cura, in quanto eseguiti da un professionista obbligato al segreto professionale, non richiedono il consenso del paziente, indipendentemente dal fatto che il medico operi come libero professionista (presso uno studio) oppure all’interno di una struttura sanitaria pubblica o privata.

    Richiede invece il consenso esplicito dell’interessato, la raccolta di dati personali (c.d. trattamento) che non rientra nelle eccezioni tipizzate dalla normativa, cioè:

    • I trattamenti di dati personali connessi all’utilizzo di App mediche, tramite le quali i titolari raccolgono dati, anche sanitari del paziente, per finalità diverse dalla telemedicina oppure quando – indipendentemente dalla finalità – a questi dati possano accedere soggetti diversi dai professionisti sanitari o da altri professionisti obbligati al segreto professionale;
    • I trattamenti di dati personali volti alla fidelizzazione della clientela, effettuati ad esempio dalle farmacie tramite i programmi di raccolta punti, per usufruire di servizi o prestazioni accessorie, attinenti al settore farmaceutico-sanitario, che siano aggiuntivi rispetto all’attività di assistenza farmaceutica tradizionale svolta dalle farmacie;
    • I trattamenti di dati personali effettuati in ambito sanitario da persone giuridiche private per finalità promozionali o commerciali, come ad esempio le promozioni su programmi di screening, oppure i contratti di fornitura di servizi amministrativi (servizi alberghieri di degenza);
    • trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
    • il trattamento dei dati personali effettuato attraverso il fascicolo sanitario elettronico.

    Per l’ipotesi di refertazione on line, il consenso dell’interessato è richiesto dalle disposizioni di settore in relazione alle modalità di consegna del referto.

    L’informativa e il responsabile della protezione dei dati (R.P.D.)

    Quando vengono raccolti dati personali di natura sanitaria, è necessario fornire al paziente tutta una serie di informazioni, tramite quella che viene definita “informativa privacy”, tra cui:

    • a) l'identità e i dati di contatto del soggetto che raccoglie i dati (titolare del trattamento) e, se la sua presenza è richiesta dalla normativa, del suo rappresentante;
    • b) i dati di contatto del responsabile della protezione dei dati, se la sua presenza è richiesta dalla normativa;
    • c) le finalità del trattamento (ad esempio cura, diagnosi, prevenzione, creazione di newsletter) cui sono destinati i dati personali nonché la base giuridica del trattamento (cioè la normativa in virtù della quale quei dati sono raccolti);
    • d) l’indicazione dell’eventuale legittimo interesse, se il trattamento si basa su di esso;
    • e) gli eventuali destinatari o le eventuali categorie di destinatari dei dati personali;
    • f) ove applicabile, l'intenzione del titolare del trattamento di trasferire dati personali a un paese terzo o a un'organizzazione internazionale con tutte le indicazioni relative all’adempimento degli obblighi a ciò connessi;
    • g) il periodo di conservazione dei dati personali oppure, se non è possibile determinarlo, i criteri utilizzati per determinare tale periodo;
    • h) l'esistenza del diritto dell'interessato di chiedere al titolare del trattamento l'accesso ai dati personali e la rettifica o la cancellazione degli stessi o la limitazione del trattamento dei dati personali che lo riguardano o di opporsi al loro trattamento, oltre al diritto alla portabilità dei dati
    • i) l'esistenza del diritto di revocare il consenso in qualsiasi momento senza pregiudicare la liceità del trattamento basata sul consenso prestato prima della revoca;
    • l) il diritto di proporre reclamo a un'autorità di controllo;
    • m) se la comunicazione di dati personali è un obbligo legale o contrattuale oppure un requisito necessario per la conclusione di un contratto, e se l'interessato ha l'obbligo di fornire i dati personali nonché le possibili conseguenze della mancata comunicazione di tali dati;
    • n) l'esistenza di un processo decisionale automatizzato, compresa la profilazione del paziente (in tal caso bisogna fornire informazioni significative sulla logica utilizzata per effettuare la profilazione), nonché l'importanza e le conseguenze previste di tale trattamento per l'interessato.

    Tutte queste informazioni devono essere fornite al paziente in maniera concisa, trasparente, intellegibile, facilmente accessibile, con un linguaggio semplice e chiaro.

    Ciò significa, se poniamo ad esempio il caso di uno studio medico privato, che l’informativa deve materialmente essere affissa o comunque resa disponibile nei locali di ingresso dello studio (ad esempio nella sala d’aspetto), in un posto dove sia facilmente visibile e soprattutto consultabile da tutti i pazienti. Essa, inoltre, non deve essere eccessivamente lunga (ad esempio 20 pagine) e deve essere scritta con un linguaggio molto semplice, tale da farne comprendere il significato anche a una persona poco istruita.

    Sempre più diffusa, nella redazione delle informative privacy, è l’adozione di tecniche di c.d. legal design, cioè di design applicato al linguaggio “legalese”: schemi, mappe, icone, disegni, che permettano anche al paziente con un’istruzione medio-bassa di capire chi, come e perché sta raccogliendo i suoi dati personali, per quanto tempo e come li conserverà, se li trasferirà o meno a terzi e per quale motivo, a chi rivolgersi se vuole che siano cancellati.

    Il responsabile della protezione dei dati (R.P.D.)

    Per facilitare la tutela dei dati personali, la normativa richiede la designazione di un soggetto Responsabile della protezione dei dati personali (R.P.D.).

    Tale nomina è obbligatoria per le autorità e gli organismi pubblici, ovvero quando si effettui un trattamento di dati su larga scala di dati sanitari.

    Le aziende sanitarie appartenenti al S.S.N., pertanto, sono obbligate a designare un R.P.D., così come anche le case di cura, gli ospedali privati o le residenze sanitarie assistenziali (R.S.A.).

    Il singolo professionista sanitario che, invece, operi in regime di libera professione a titolo individuale, così come le farmacie, le parafarmacie, le aziende ortopediche e sanitarie, non sono tenuto a nominare un Responsabile della protezione dei dati, salvo che effettuino trattamenti di dati su larga scala.

    Il registro delle attività di trattamento

    Si tratta di un registro obbligatorio, ove il professionista sanitario o il R.P.D. – se presente – devono annotare le attività di trattamento dei dati personali che sono state effettuate, delle quali sono responsabili.

    La tenuta di questo registro è uno degli elementi fondanti del c.d. principio di accountability, e consente a chi tratta i dati personali di individuare quelli più a rischio; esso deve essere messo a disposizione dell’Autorità Garante per la Privacy nell’ipotesi in cui venga effettuato un controllo.

    Dopo dei primi dubbi interpretativi, l’Autorità Garante per la Privacy ha chiarito che sono obbligati alla tenuta del registro i singoli professionisti sanitari che agiscano in libera professione, i medici di medicina generale/pediatri di libera scelta (MMG/PLS), gli ospedali privati, le case di cura, le R.S.A. e le aziende sanitarie appartenenti al SSN, nonché le farmacie, le parafarmacie e le aziende ortopediche.

    Le implicazioni economiche derivanti dal mancato rispetto della normativa privacy: risarcimento del danno e sanzioni

    Se i dati personali non vengono raccolti, trattati e custoditi nel rispetto della normativa finora descritta, e il paziente subisca un danno da ciò, può rivalersi sul titolare del trattamento (il sanitario, l’ospedale, l’ASP, la clinica), salvo che questi riesca a dimostrare che il danno non è imputabile alla sua condotta.

    Il soggetto che viola la normativa sul trattamento dei dati personali, inoltre, è soggetto alle sanzioni irrogate dall’Autorità.

    Le sanzioni sono determinate dall’Autorità Garante in base a vari parametri, tra cui la natura, la gravità e la durata della violazione, il carattere doloso o colposo, le misure adottate per attenuare il danno inflitto al paziente, il grado di responsabilità tenendo conto delle misure tecniche e organizzative (es. misure di sicurezza digitale) adottate, eventuali precedenti violazioni, la cooperazione con l’Autorità garante, la tipologia di dati personali coinvolti, il modo in cui l’Autorità Garante è venuta a conoscenza (notifica della violazione da parte del titolare del trattamento), l’adesione a codici di condotta o a meccanismi di certificazione, l’adempimento di eventuali precedenti condanne inflitte dall’Autorità, ulteriori aggravanti o attenuanti emergenti nel singolo caso di specie.

    Normalmente, dato che i dati sanitari sono soggetti a una protezione particolare, le sanzioni irrogate dal Garante sono sempre a tre zeri.

    Consigli finali

    Gli adempimenti privacy, spesso, vengono vissuti dal professionista e dai grandi centri sanitari pubblici e privati come un qualcosa di trascurabile, da eseguire in maniera molto sommaria, magari sfruttando qualcosa “scaricato da Internet”, nella sicurezza che nessuno mai verrà a controllare.

    Non è così, specialmente nell’era digitale, dove la criminalità non opera più con la pistola e la violenza, ma con il computer in mano e una connessione a internet.

    I dati personali dei pazienti, tenuti all’interno di un computer, oppure di un cloud, in maniera non conforme agli obblighi della normativa e poco sicura, potrebbero facilmente essere preda di un attacco hacker e andare a finire sul dark web, per essere venduti o usati per scopi estorsivi o comunque criminali. 

    È consigliabile, perciò, oltre a rispettare tutta la noiosa (non possiamo negarlo) procedura prevista dalla normativa per informare i pazienti, acquisire il loro consenso, trattare e conservare i loro dati per il tempo necessario, adottare anche delle accortezze minime di protezione per i dispositivi dove questi vengono conservati: scegliere password con una sicurezza alta (non il classico 12345) e custodirla in un posto sicuro (non attaccata su un post-it sullo schermo del PC), evitare di aprire email “sospette” e cliccare su link sconosciuti, utilizzare un buon sistema antivirus, dotarsi di una VPN che ci aiuti a rendere la nostra rete privata, evitare di consentire a chiunque di allacciarsi al nostro wi-fi.

    Sembrano consigli scontati, ma possono evitare spiacevoli conseguenze personali, professionali ed economiche.

    Concludiamo con dei consigli pratici su come attuare delle cautele sul trattamento dei dati personali in alcuni casi particolari.

    FASCICOLO SANITARIO ELETTRONICO

    È uno strumento utilissimo, ma bisogna prestare attenzione nell’implementarlo e consultarlo, tenendo a mente i principi base:

    • le uniche finalità ammesse sono quelle di cura, ricerca e governo sanitario.
    • il fascicolo deve essere preceduto dall’acquisizione del consenso scritto da parte del paziente, che deve acconsentire alla consultazione del suo fascicolo sanitario da parte del personale che lo ha in cura.
    • il fascicolo è consultabile solo dal paziente, dai sanitari che lo hanno in cura (previo consenso), dalle regioni e dal ministero della salute per finalità di governo e ricerca.

    COMUNICAZIONI VIA WHATSAPP – TELEGRAM – SIGNAL o altra chat

    Le comunicazioni via WhatsApp (o altre app di messaggistica) tra medico e paziente, ma in generale tra professionista e cliente, sono ormai all’ordine del giorno.

    Basti pensare alla rivoluzione della ricetta dematerializzata, che può essere inviata al paziente tramite “applicazione per telefonia mobile che consente lo scambio di messaggi e immagini”.

    La ricetta, però, contiene dati personali e sanitari del paziente, al pari di un referto: i file, quindi, dovrebbero essere quantomeno criptati o comunque protetti da una password da consegnare al paziente.

    Partiamo dal presupposto che, al di là dei protocolli, gli hacker studiano costantemente nuovi sistemi per intercettare le conversazioni criptate: uno scambio di informazioni telematico, per definizione, non potrà mai essere sicuro al 100%. L’importante è che l’utente (in questo caso, il sanitario) adotti tutte le accortezze che la tecnologia offre in questo determinato momento storico per mettere al sicuro i dati.

    Per quanto riguarda l’app di messaggistica WhatsApp, le conversazioni sono protette da crittografia end-to-end, che garantisce che nessuno, a parte i soggetti all’interno della chat, possa leggere o ascoltare o visionare i contenuti scambiati. 

    La crittografia end-to-end viene automaticamente applicata a tutte le chat di WhatsApp.

    È comunque consigliabile tenere costantemente aggiornata l’app di messaggistica su ogni device (cellulare, tablet, applicazione desktop).

    Per chi utilizza Telegram è bene sapere che lo standard di crittografia end-to-end non è impostato di default: l’impostazione base dell’applicazione, infatti, è la modalità client-server, non adatta per impedire quello che i tecnici chiamano attacco “man in the middle”, cioè quando letteralmente qualcuno si inserisce nella conversazione (in the middle) per sottrarre dati e informazioni personali.

    Se si decide di scambiare dati sanitari con i propri pazienti via Telegram, è bene farlo SOLO utilizzando le chat segrete, che sfruttano la crittografia end-to-end, e utilizzare il timer di autodistruzione della chat dopo un tempo relativamente congruo.

    Attualmente, la modalità più sicura di scambio di messaggi istantanei è rappresentata dall’app Signal ,che oltre ad utilizzare la crittografia end-to-end- (quella usata da WhatsApp), nasconde i dati anche del mittente e del destinatario in fase iniziale di chiamata, tramite un sistema chiamato SGX (Software Guard Extensions).

    Indipendentemente dal servizio di messaggistica utilizzato, sarebbe opportuno, al termine di ogni scambio di ricetta, aggiungere la seguente informativa: 

    “Questa chat e gli allegati trasmessi contengono informazioni riservate esclusivamente al destinatario. le informazioni trasmesse attraverso questa chat e i suoi allegati sono diretti esclusivamente al destinatario e ne è vietata la diffusione e/o uso, salvo quelli consentiti dalla legge e salvo espressa autorizzazione. Se il presente messaggio e gli allegati fossero stati ricevuti per errore da persona diversa dal destinatario, sareste pregati di distruggere tutto quanto ricevuto e di informare tempestivamente il mittente con lo stesso mezzo. Qualunque utilizzo, divulgazione, copia non autorizzata di questa chat e di queste comunicazioni è rigorosamente vietata e comporta violazione della normativa sui dati personali contenuta nel G.D.P.R.” 

    COMUNICAZIONI VIA E-MAIL

    La classica comunicazione via email, con scambio di referti, documentazione medica o prescrizioni tra medico e paziente, tra medico e struttura sanitaria, può comportare dei rischi dal punto di vista della tutela dei dati personali.

    Ogni scambio via email è diverso, perché differenti sono le finalità e la base giuridica di trattamento dati personali.

    In generale, il consiglio è quello di criptare i file oppure il messaggio e-mail, in modo che il destinatario possa accedervi solo conoscendo la chiave di cifratura, oppure scambiare i documenti tramite link a un servizio cloud cifrato che garantisca ampi standard di sicurezza

    In quest’ultimo caso, però, è bene accertarsi prima dei servizi garantiti dal cloud utilizzato, ricordando la regola che “se è gratis, il prodotto siamo noi e i nostri dati”.

    Naturalmente, ogni scambio di e-mail deve essere accompagnato dall’informativa sulla privacy, da inserire di default in calce a ogni e-mail: 

    "Questo messaggio e i suoi allegati contengono informazioni riservate esclusivamente al destinatario. Le informazioni trasmesse attraverso questo messaggio e i suoi allegati sono diretti esclusivamente al destinatario e ne è vietata la diffusione e/o uso, salvo quelli consentiti dalla legge e salvo espressa autorizzazione. Se il presente messaggio e gli allegati fossero stati ricevuti per errore da persona diversa dal destinatario, siete pregati di distruggere tutto quanto ricevuto e di informare tempestivamente il mittente all’indirizzo e-mail ______________ oppure p.e.c. _____________. Qualunque utilizzo, divulgazione, copia non autorizzata di questa chat e di queste comunicazioni è rigorosamente vietata e comporta violazione della normativa sui dati personali contenuta nel G.D.P.R"

    Di: Manuela Calautti, avvocato

    Argomenti correlati