Approfondimenti | 20-12-2021

La sanità e l'importanza della privacy nel trattamento dei dati

Le circostanze con cui siamo stati costretti a confrontarci nel corso degli ultimi due anni hanno spesso stimolato la nascita di dibattiti riguardanti la sanità e la tutela della privacy, contribuendo a sviluppare nell'utente una maggior sensibilità in merito all'utilizzo dei propri dati personali. Senza entrare nel merito delle varie questioni, vorremmo offrire qui una panoramica di ampio respiro che aiuti a comprendere meglio la gestione dei dati sanitari e la regolamentazione europea relativa al loro trattamento.

Secondo quanto espresso all'interno dell' art. 9 GDPR, per parlare del trattamento dei dati sanitari si può far riferimento ad una categoria di informazioni ben più ampia, racchiusa sotto la denominazione di dati sensibili.

Quando si parla di dati sensibili si fa riferimento a tutte quelle notizie personali che possono lasciar trapelare elementi riservati relativi alla sfera privata di un individuo, ponendolo nella condizione di dover condividere dettagli intimi della propria esistenza anche in contesti in cui ciò non risulta necessario. Secondo quanto riportato all'interno del Codice sulla protezione dei dati personali sono da considerarsi informazioni sensibili l'origine etnica, le convinzioni politiche e religiose, e le informazioni relative alla sfera intima dell'individuo. Tra queste, ovviamente, ricadono anche le notizie relative alla propria condizione fisica e mentale e tutto ciò che vi orbita attorno, come ad esempio i trattamenti a cui una persona è o è stata sottoposta o i professionisti a cui ha deciso di rivolgersi.

La natura particolare di queste informazioni e le ripercussioni che potrebbe avere la loro diffusione incontrollata ha imposto al legislatore di applicarvi un regime di tutela molto più stringente rispetto a quello previsto per altre tipologie, al fine di preservare l'utente nella maniera più accurata possibile.

Privacy nel settore sanitario - image by freepik.com

Cosa dice la legge?

Sebbene il diritto alla riservatezza venga considerato un elemento imprescindibile nel trattamento dei dati sensibili, in alcune particolari circostante può capitare che le necessità dettate dalla tutela di un individuo specifico o l'interesse di preservare la salute pubblica entrino in conflitto con la privacy del singolo, destando questioni che spesso richiedono l'esplicito pronunciamento di un organo giudiziario che ne chiarisca la legittimità.

Salvo situazioni particolari, si può però fare riferimento a quanto previsto dal DL 101/2018, spesso indicato anche come Decreto Privacy, che, recependo quanto esposto dal GDPR, ha proceduto ad integrare il DL 196/2003 aumentando le tutele previste per garantire il riserbo degli utenti.

Secondo quanto indicato all'interno del testo, l'accesso ai dati sensibili afferenti alla sfera sanitaria deve essere limitato alle finalità previste all'interno dell'art.9 comma 2, ovvero è considerato possibile soltanto qualora sia:

"necessario per assolvere gli obblighi ed esercitare i diritti specifici del titolare del trattamento o dell'interessato in materia di diritto del lavoro e della sicurezza sociale e protezione sociale, nella misura in cui sia autorizzato dal diritto dell'Unione o degli Stati membri o da un contratto collettivo ai sensi del diritto degli Stati membri, in presenza di garanzie appropriate per i diritti fondamentali e gli interessi dell'interessato";
"necessario per tutelare un interesse vitale dell'interessato o di un'altra persona fisica qualora l'interessato si trovi nell'incapacità fisica o giuridica di prestare il proprio consenso"; "necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali";
"necessario per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato"
"necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali"
"necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell'assistenza sanitaria e dei medicinali e dei dispositivi medici"
"necessario a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici"

(Per un elenco maggiormente esaustivo e dettagliato si rimanda al The EU general data protection regulation 2016/679 (GDPR)

Queste giustificazioni non sono però sufficienti a garantire un accesso privo di vincoli e restrizioni: anche in queste circostanze, infatti, è previsto che i dati sensibili siano "trattati da o sotto la responsabilità di un professionista soggetto al segreto professionale conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch'essa soggetta all'obbligo di segretezza conformemente al diritto dell'Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti." (2016/679 art.9 comma 3) e non possano essere in alcun modo diffusi o condivisi in maniera arbitraria.

Oltre ad imporre tali limiti, il Regolamento lascia ai vari stati membri la possibilità di introdurre norme ancor più restrittive applicabili genericamente a tutti i dati personali o soltanto ad alcune specifiche categorie, come ad esempio i dati biometrici o le informazioni riguardanti la salute, in modo da garantire ulteriormente la privacy dell'utente.

Seguendo le direttive europee, il Garante della privacy, riconosciuto come autorità di controllo nazionale in riferimento al territorio italiano, è tenuto a stabilire severe regole deontologiche che limitino il potere delle categorie autorizzate al trattamento dei dati sensibili, nonché delle procedure cautelative che garantiscano la riservatezza delle comunicazioni contenenti informazioni riservate, tanto in uscita quanto in entrata (si pensi, ad esempio, alla possibilità di ritirare on line i propri referti, o alla trasmissione dei dati necessari per prenotare una visita medica).

Nei casi non previsti all'interno dell'articolo 9 sopra citato, o qualora fossero coinvolte parti terze non vincolate al rispetto di alcun codice deontologico, il trattamento di dati sensibili prevede la necessità di una autorizzazione esplicita da parte dell'utente che garantisca una liceità giuridica all'azione delle persone coinvolte.

Perché tale consenso possa dirsi realmente informato è necessario che preliminarmente alla raccolta dei dati venga fornita all'utente un'informativa contenente i riferimenti del soggetto incaricato di detenere e trattare i dati e di coloro a cui potrebbero essere comunicati o che potrebbero avervi accesso, le modalità previste per il trattamento e le finalità ultime per cui tali dati vengono collezionati. Devono inoltre essere riportate le modalità tramite cui il paziente può agire per tutelare le informazioni che lo riguardano e la natura facoltativa delle informazioni che non precludono l'accesso al servizio, evidenziando le eventuali conseguenze che potrebbe avere la loro mancata comunicazione.

La detenzione di materiale contenente dati di natura riservata, ed in particolar modo per quanto riguarda le informazioni riguardanti la salute, richiede ovviamente alcune particolari accortezze: l'accesso a documenti contenenti dati sanitari deve essere strettamente regolamentato e precluso a chiunque non rientri nelle categorie sopra descritte o sia in possesso di una autorizzazione ufficiale e i luoghi in cui tali atti vengono conservati deve rispondere a severi parametri di sicurezza.

Privacy del fascicolo sanitario elettronico - image by freepik.com

Il fascicolo sanitario elettronico

Istituito con la promulgazione del DL 179/2012, il Fascicolo Sanitario Elettronico (FSE) è uno strumento di natura informatica elaborato per consentire una gestione agile dei dati sanitari e un facile accesso del cittadino ai sistemi sanitari on line, garantendone al contempo la massima tutela per quanto riguarda la privacy.

All'interno del FSE sono raccolti tutti i dati sanitari e sociosanitari dei pazienti che accedono ai servizi di cura presenti sul territorio italiano, collezionati direttamente dalle strutture sanitarie o dai professionisti del campo medico. Nonostante tra le finalità dei servizio compaia anche la condivisione dei dati relativi alla storia clinica del paziente con altre strutture e organismi sanitari, l'accesso del personale sanitario a tali dati è subordinato al consenso specifico del paziente che, qualora venisse negato, non può costituire un vincolo di accesso alle cure.

In altri termini, nonostante il DL 34/2020 abbia svincolato l'inserimento dei dati all'interno del Fascicolo dal consenso dell'utente individuando nella normativa europea le basi giuridiche utili al raccoglimento delle informazioni, queste non potranno essere consultate dalle strutture senza l'esplicito benestare del paziente. Pur facilitando la condivisione di dati sensibili e rendendone la fruizione pressoché immediata, l'utilizzo del FSE non intacca dunque il diritto alla riservatezza degli utenti, ma al contrario contribuisce ad un processo di progressiva digitalizzazione burocratica finalizzato ad un miglioramento generalizzato dei servizi offerti. L'utilizzo di uno spazio virtuale garantisce inoltre la possibilità di tracciare in modo estremamente puntuale l'accesso alle informazioni, offrendo livelli di controllo e di sicurezza difficilmente riproponibili in un contesto analogico.

Bisogna ricordare, inoltre, che la concentrazione dei dati all'interno di un unico organismo non può essere in alcun modo motivo di discriminazione: il riferimento giuridico offerto dalla regolamentazione europea chiarisce infatti che qualora l'utente decidesse di non permettere l'accesso a determinate informazioni, questo non può essere in alcun modo considerato un elemento sufficiente a precludergli la possibilità di ottenere i trattamenti sanitari di cui necessita, ovviamente nei limiti necessari a garantire l'efficacia e la sicurezza delle pratiche in questione.

Images by freepik.com