Privacy e sanità. Soro: “Digitalizzazione ancora troppo frammentata. La vulnerabilità dei dati può essere causa di malasanità”. Ecco gli interventi del Garante della privacy nel 2015

di G.R.

Così il presidente del Garante per la protezione dei dati personali è intervenuto oggi al Senato. La tutela del paziente dalle nuove vulnerabilità viene a rappresentare per il Garante della privacy un "obiettivo centrale in un sistema sanitario in cui parallelamente alle opportunità crescono i rischi". Molti gli interventi effettuati nel corso del 2015, dal Fascicolo sanitario elettronico al registro tumori, dalle Sdo agli screening neonatali. LA RELAZIONE

28 GIU - "Cruciale è la digitalizzazione della sanità, rispetto alla quale però la frammentazione, l’assenza di un piano organico di sicurezza e la disomogeneità che hanno segnato le prime esperienze, appaiono ancora più pericolose. Perché la perdita, la sottrazione, l’alterazione di un dato sanitario mette a rischio banche dati essenziali e, insieme, viola quanto di più intimo vi è nella persona, esponendola a gravi discriminazioni". Così il presidente del Garante per la protezione dei dati personali, Antonello Soro, durante il suo intervento al Senato ha presentato la relazione annuale del Garante della privacy per il 2015.
 
"La vulnerabilità del dato sanitario rischia di determinare errori diagnostici o terapeutici con conseguenzze anche letali - ha proseguito Soro -. La carente sicurezza dei dati e dei sistemi può rappresentare una causa esiziale di malasanità mentre, la protezione dei dati e dei sistemi, è un fattore determinante di efficienza sanitaria". La tutela del paziente dalle nuove vulnerabilità viene dunque a rappresentare per il Garante della privacy un "obiettivo centrale in un sistema sanitario in cui parallelamente alle opportunità crescono i rischi".  
Ma vediamo nel dettaglio tutti gli interventi prodotti dal Garante nel corso del 2015.
 
I trattamenti per fini di cura
Nella relazione si spiega che continuano a pervenire numerose segnalazioni in merito al mancato rispetto delle disposizioni in materia di tutela dei dati personali da parte di strutture sanitarie pubbliche e private nell’erogazione dei servizi di diagnosi, cura e riabilitazione degli assistiti. A seguito della segnalazione di un cittadino, ad esempio, l’Ufficio ha verificato che sul sito web di un’Asl era possibile consultare i dati anagrafici degli assistiti che si erano registrati sullo stesso per usufruire dei servizi online. Il Garante ha, così, vietato la diffusione dei dati personali degli assistiti registrati sul portale dell’azienda, rilevando l’illiceità del trattamento effettuato e ha ricordato alle pp.aa. che offrono servizi in rete di adottare idonee misure di sicurezza tali da ridurre al minimo i rischi di accesso non autorizzato o di trattamenti di dati non consentiti.
 
Ulteriori chiarimenti sono stati resi nei confronti dei medici di medicina generale con riferimento alle cautele da adottare nella consegna delle ricette o di altri certificati medici qualora – su richiesta dell’interessato – la suddetta documentazione non sia consegnata direttamente ma, ad esempio, da un farmacista indicato dallo stesso interessato. In tali casi è indispensabile che il documento sia contenuto all’interno di una busta chiusa. Qualora l’interessato intenda far ritirare la suddetta documentazione da parte di un terzo (ad es., un parente o un convivente) è necessario che quest’ultimo, al momento del ritiro, esibisca una delega scritta.
 
L’Ufficio è inoltre intervenuto sulll’abbandono di documentazione clinica presso locali in disuso di strutture sanitarie dando avvio a un procedimento sanzionatorio per mancata adozione delle misure di sicurezza.
 
L’informativa e il consenso al trattamento dei dati sanitari
Anche in questo caso nella relazione si legge come siano pervenute numerose segnalazioni nelle quali i pazienti lamentavano di non aver manifestato il proprio consenso al trattamento dei dati sanitari e di non aver ricevuto alcuna informativa in merito all’utilizzo degli stessi o di aver ricevuto al riguardo informazioni insufficienti o lacunose. Le maggiori criticità riscontrate nelle istruttorie hanno riguardato modelli di informativa e consenso nei quali non veni- vano evidenziati i trattamenti di dati indispensabili all’erogazione della prestazione medica rispetto a quelli facoltativi (ad es., per finalità di ricerca scientifica, offerta di altri servizi, campagne di prevenzione). L’omissione di tale specificazione non consentiva al paziente di comprendere le conseguenze del mancato conferimento del consenso con specifico riferimento alla possibilità di usufruire della prestazione medica richiesta.
A seguito degli interventi dell’Ufficio numerose strutture sanitarie hanno modificato i propri modelli di informativa e di consenso. L’Autorità - si spiega nel testo - ha, tuttavia, avviato un procedimento sanzionatorio nei confronti delle predette strutture.
 
Il Fascicolo sanitario elettronico e i dossier sanitari
Con il Dpcm 29 settembre 2015, n. 178 sono stati, infatti, definiti i contenuti del Fascicolo sanitario elettronico (Fse), le responsabilità e i compiti dei soggetti coinvolti, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali, le modalità e i livelli diversificati di accesso in relazione alle specifiche finalità, i criteri di interoperabilità, nonché i contenuti informativi e le codifiche del profilo sanitario sintetico e del referto di laboratorio, individuati quali primi contenuti da attivare a livello nazionale.
 
Con riferimento ai trattamenti di dati personali effettuati attraverso il dossier sanitario, l’Autorità ha inteso diramare le Linee guida in materia di dossier sanitario, al fine di definire un quadro di riferimento unitario per il corretto trattamento dei dati raccolti nei dossier, già istituiti o che si intendono istituire, da parte di strutture sanitarie pubbliche e private. Il provvedimento del Garante stabilisce, in particolare, che ai pazienti deve essere consentito di scegliere, in piena libertà, se far costituire o meno il dossier sanitario. In assenza del consenso il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista. La mancanza del consenso non deve incidere minimamente sulla possibilità di accedere alle cure mediche richieste. Per consentire al paziente di scegliere in maniera libera e consapevole, la struttura dovrà informarlo in modo chiaro, indicando in particolare, chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere. 
Al paziente dovrà essere, inoltre, garantita la possibilità di oscurare alcuni dati o documenti sanitari che non intende far confluire nel dossier mediante il sistema dell’“oscuramento dell’oscuramento” ovvero con modalità tali da non rendere palese la menzionata decisione a chi legittimamente accede ai dati.
 
I referti e la documentazione sanitaria
Qui si spiega che nel 2015 vi è stato un incremento delle segnalazioni relative alla consegna di documentazione sanitaria a soggetti diversi dall’interessato sprovvisti di delega. In molti dei casi esaminati la consegna di referti, lettere di dimissione ospedaliera o cartelle cliniche è avvenuta per errore umano dettato dal mancato rispetto delle disposizioni dettate dalla struttura sanitaria in occasione del ritiro della documentazione medica. Le fattispecie esaminate hanno riguardato, in particolare, informazioni sanitarie riferite a soggetti terzi contenute nella documentazione consegnata all’interessato e la consegna di referti a soggetti non muniti di delega.
 
La tutela della dignità della persona
Anche nel 2015 l’Autorità ha prestato particolare attenzione riguardo al trattamento dei dati personali delle donne che decidono di partorire in anonimato con specifico riferimento alla tutela della loro dignità e riservatezza. Sulla scorta della sentenza della Corte costituzionale del 18 novembre 2013, n. 278 - si spiega nella relazione - è stato segnalato che talune agenzie di servizi, presumendo l’immediata esecutività della suddetta sentenza, hanno avviato iniziative commerciali per la ricerca delle origini biologiche dei figli nati da donne che si sono avvalse del diritto di partorire in anonimato. In altri casi, sono state più genericamente rappresentate all’Autorità talune iniziative di organi giudiziari, attivati su istanza del figlio biologico, volte a contattare la madre che aveva scelto di non essere nominata nella dichiarazione di nascita. In tale circostanza è stato evidenziato come la sentenza della Corte costituzionale non abbia scalfito il diritto alla riservatezza delle madri che al momento del parto si sono avvalse del diritto di non essere nominate.
 
Il trattamento di dati personali concernente l’accertamento dell’infezione da HIV
Continuano a pervenire segnalazioni in merito al mancato rispetto delle misure a tutela della dignità e della riservatezza dei malati di HIV in occasione dell’erogazione di prestazioni sanitarie.il Garante ha vietato agli esercenti le professioni sanitarie di raccogliere l’informazione circa l’eventuale stato di sieropositività in fase di accettazione di ogni paziente che si rivolge a questi per la prima volta, indipendentemente dal tipo di intervento clinico o dal piano terapeutico da eseguire, fermo restando che questo dato anamnestico può essere legittimamente raccolto, previo consenso informato dell'interessato, da parte del medico curante nell'ambito del processo di cura. 
 
I trattamenti di dati sanitari per fini amministrativi
Una complessa attività istruttoria è stata svolta con riferimento ai trattamenti di dati personali effettuati dai centri unici di prenotazione (cup) delle aziende sanitarie. In un caso l’Ufficio, a seguito di una segnalazione, ha riscontrato notevoli criticità in merito alla tipologia dei dati consultabili dagli operatori cup. In particolare gli operatori erano in grado di visualizzare informazioni relative alle prestazioni sanitarie già erogate e ai passati ricoveri del soggetto che stava usufruendo del servizio di prenotazione. Il sistema cup, inoltre, non forniva agli interessati una idonea informativa in merito al trattamento dei dati personali. Ulteriore criticità riscontrata riguardava la possibilità di accesso al sistema da parte di un numero elevato di soggetti non sempre deputati alla prenotazione delle prestazioni sanitarie pubbliche. A seguito del riscontro le aziende interessate hanno, tuttavia, prontamente modificato il sistema di prenotazione superando le predette criticità.
 
Registri Tumori
In risposta a un quesito riguardante la liceità della trasmissione a un’Asl, che ne aveva fatto richiesta, dei dati sanitari, riferiti ad alcuni esami clinici effettuati da pazienti oncologici per l’implementazione del registro tumori aziendale, l’Ufficio ha chiarito, che qualora una struttura sanitaria intenda comunicare dati attinenti alla salute a soggetti diversi dall’interessato per finalità di carattere amministrativo, correlate ad attività di tutela della salute, tale operazione è consentita, solo se autorizzata da espressa disposizione legislativa o regolamentare che specifichi i tipi di dati che possono essere trattati e di operazioni eseguibili, nonché persegua una delle finalità di rilevante interesse pubblico individuate dalla legge.
 
Schede di dimissione ospedaliera
Riguardo lo schema di decreto del Ministero della salute che regola l’adeguamento della disciplina riguardante i flussi informativi dei pazienti dimessi dagli istituti di ricovero pubblici e privati, il Garante ha sottolineato l’esigenza di apportare al testo ulteriori perfezionamenti. L’intervento dell’Autorità, ha consentito, tra l’altro, di estendere (a regime) al flusso informativo delle Sdo le cautele relative all’utilizzo di un codice univoco nazionale dell’assistito, previste dallo schema di regolamento sull’interconnessione dei sistemi informativi nell’ambito del Nsis. Tale disposizione, infatti, prevede l’anonimizzazione dei dati individuali presenti nei flussi informativi della sanità, proprio per esigenze di protezione dei dati personali, senza peraltro contemplare alcuna deroga per il flusso informativo Sdo.
 
Qualità e sicurezza del sangue e degli emocomponenti
Sempre in tema di sistemi informativi centralizzati della sanità, il Garante ha espresso il proprio parere su un altro schema di decreto del Ministero della salute riguardante i requisiti di qualità e sicurezza del sangue e degli emocomponenti. Riguardo alle modalità con cui i dati sulle attività trasfusionali sono memorizzati nel Sistra, l’Autorità ha segnalato la necessità di operare un’approfondita valutazione al fine di evitare il rischio di isolare e re-identificare i donatori e/o i pazienti, tenuto conto sia degli attributi prescelti per caratterizzare ciascun interessato (ad es., le iniziali del cognome e del nome) sia dell’esiguo numero di casi rilevati. Su tale aspetto, nel parere, è stata suggerita al Ministero la possibilità di impiegare, come “codice paziente” o come “codice donatore”, un numero progressivo numerico o un codice random, per tutelare la riservatezza degli interessati, in ragione della delicatezza dei dati trattati.
 
Trapianto di organi
Il Garante è stato chiamato ad esprimersi sulla delicata materia dei trapianti di organi, con il parere reso su uno schema di decreto del Ministero della salute recante attuazione della direttiva 2010/53/UE, relativa alle norme di qualità e sicurezza degli organi umani destinati ai trapianti, nonché della direttiva 2012/25/UE sullo scambio tra Stati membri di tali organi. Il Garante ha ritenuto, di dover mettere in luce la necessità che la definizione delle modalità di composizione del numero identificativo nazionale del donatore e del ricevente tenga in adeguata considerazione l’esigenza di mantenere riservata l’identità degli interessati, ma allo stesso tempo assicuri la tracciabilità degli organi e quindi la possibilità di re-identificare questi ultimi qualora si ritenga necessario per salvaguardare la loro salute, suggerendo, in particolare, l’adozione di un sistema di identificazione indiretta.
 
Screening neonatale
L’attività consultiva obbligatoria del Garante ha riguardato, infine, uno schema di decreto del Ministero della salute volto a disciplinare lo screening neonatale esteso (sne) per la diagnosi di patologie metaboliche ereditarie. Al riguardo, è stata sottolineata la delicatezza della materia regolata dal decreto che consente il trattamento di dati sanitari e, nei casi in cui lo sne sia positivo, di informazioni riguardanti la possibilità che il neonato sviluppi in futuro determinate malattie genetiche che, peraltro, devono essere comunicate al Registro nazionale delle malattie rare. Il Garante si è espresso favorevolmente sullo schema di decreto, auspicando tuttavia un intervento migliorativo dell’articolato, con particolare riferimento alla previsione della raccolta del consenso al trattamento dei dati sanitari e genetici, unitamente al consenso informato all’atto medico, previa idonea informativa.
 
Giovanni Rodriquez

28 giugno 2016
© Riproduzione riservata