Il nuovo diritto alla riservatezza in ambito medico e sanitario. Le principali novità
Un approccio introduttivo all’argomento deve partire necessariamente dalle recenti riforme che hanno stravolto la materia, ovvero la legge Gelli (legge 24/2017) che ha ampliato l’ambito del diritto alla salute, ricomprendendo anche il diritto alla sicurezza delle cure e il nuovo regolamento europeo 2016/679, cd. GDPR (General Data Protection Regulation), pensato per garantire la protezione dei dati personali e direttamente applicabile in tutti gli stati dell’Unione Europea dal 25 maggio 2018.
Il testo dell’art. 1 della Gelli chiarisce immediatamente l’intento della riforma: la sicurezza delle cure è parte costitutiva del diritto alla salute e… si realizza anche mediante l’insieme di tutte le attività finalizzate alla prevenzione e alla gestione del rischio connesso all’erogazione di prestazioni sanitarie e l’utilizzo appropriato delle risorse strutturali, tecnologiche e organizzative.
Grande attenzione merita pertanto anche la documentazione sanitaria, con l’introduzione di nuovi requisiti di trasparenza, riorganizzazione e digitalizzazione dei processi, a favore della salute dei pazienti e della sicurezza dei dati.
Alla struttura sanitaria, pubblica o privata, è richiesta una maggiore digitalizzazione dei processi e dei documenti, un riordino dei processi di gestione interna e delle risorse finalizzate alla trasparenza e alla sicurezza in materia di documentazione sanitaria.
Da par suo, il Regolamento europeo non è un mero aggiornamento della disciplina sulla riservatezza: il Gdpr esige un’analisi del rischio dei dati trattati, l’implementazione di un sistema di gestione dei medesimi dati, la dimostrazione di una maggiore efficacia delle scelte operate in materia e una maggiore responsabilizzazione.
Quest’ultimo è il nuovo cardine della materia secondo il principio dell’accountability, secondo cui il titolare non è chiamato al mero adempimento di un elenco di obblighi, ma è tenuto a valutare i suoi trattamenti sotto il profilo del rischio, a implementarne le misure, a gestire il rischio residuo e a dimostrare le ragioni delle proprie scelte.
Una lettura di alcuni estratti dai considerando (ovvero i principi esposti nel preambolo del Regolamento) sgombra il campo da ogni dubbio relativo all’attenzione che il legislatore europeo focalizza sulla materia.
Dal considerando n° 35: Nei dati personali relativi alla salute dovrebbero rientrare tutti i dati riguardanti lo stato di salute dell’interessato che rivelino informazioni connesse allo stato di salute fisica o mentale passata, presente o futura dello stesso. Questi comprendono informazioni sulla persona fisica raccolte nel corso della sua registrazione al fine di ricevere servizi di assistenza sanitaria… le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie…
Dal considerando n° 63: Un interessato dovrebbe avere il diritto di accedere ai dati personali raccolti che lo riguardano… per essere consapevole del trattamento e verificarne la liceità… ai dati relativi alla salute, ad esempio le cartelle mediche contenenti informazioni quali diagnosi, risultati di esami, pareri di medici curanti o eventuali terapie o interventi praticati.
Quindi la normativa in esame non solo prevede che il personale sanitario abbia maggiore cura e sicurezza nella gestione del dato sensibile, con l’utilizzo di strumenti sicuri ed efficienti, ma garantisce al paziente un maggiore controllo e accesso ai propri dati sanitari aggiornati.
Inoltre, fondamentale per garantire la tutela dei dati personali e sanitari è la formazione e l’aggiornamento continuo del personale dipendente, sia operatori sanitari che personale amministrativo. Il Regolamento prevede che il trattamento dei dati con strumenti elettronici sia consentito solo a incaricati dotati di credenziali di autenticazione con codice e parola chiave conosciuti solo dal medesimo.
Ciò significa che la struttura sanitaria deve implementare anche la collaborazione e il coinvolgimento di competenze trasversali, ad esempio in materia informatica, legale o gestionale.
Di seguito alcune delle principali novità.
Fascicolo sanitario elettronico
Necessario per la raccolta di tutti i dati personali, sanitari, genetici e biometrici del paziente.
Va protetto con sistemi di sicurezza e le norme prevedono che ognuno può operare liberamente sul proprio fascicolo, inserendo i dati che ritiene più opportuni, anche con autodichiarazioni relative al proprio stato di salute.
Analogamente, ognuno può modificare, cancellare o oscurare i propri dati o una parte contenuti nel fascicolo elettronico, anche revocare il proprio consenso alla costituzione del medesimo fascicolo e all’inserimento e al trattamento dei dati.
La nuova informativa
L’interessato deve avere il controllo dei propri dati, l’informativa deve essere chiara, completa ed esaustiva sulle cure, consentendo all’interessato di sapere e di decidere se e come permettere il trattamento dei dati.
L’interessato deve avere anche il controllo dei propri dati, pertanto va informato dettagliatamente anche sui limiti del trattamento dei medesimi, sulla revoca del consenso, sul diritto all’oblio o alla portabilità dei dati.
Il consenso al trattamento deve essere libero, specifico per ogni finalità, inequivocabile ed espresso. In capo al titolare resta la prova di aver acquisito correttamente il consenso, pertanto occorre verificare con precisione il rapporto tra chiarezza dell’informativa e modalità di acquisizione dei diversi consensi a seconda delle varie finalità.
Il Registro dei Trattamenti
Previsto dall’art. 30 del Gdpr per mappare con esattezza quali dati si trattano, perché e come, permette di effettuare un’analisi del rischio dei dati trattati, per definire quali misure adottare per la loro tutela, proteggendo i loro dati e gestendo i rischi ineliminabili.
Data Protection Officer
Ovvero la presenza di un soggetto responsabile che svolga sia attività di consulenza e formazione che attività di controllo. E’ tenuto ad avere conoscenza del nuovo regolamento e degli atti interpretativi, nonché necessarie competenze di natura tecnologica.
Infine, la cogenza delle regole è garantita da sanzioni amministrative e pecuniarie più aspre rispetto al passato, erogate principalmente in ordine al grado di responsabilità del titolare del trattamento.
Avv. Francesco Cecaro
Consulente legale S.I.O.B.E.N. per la tutela della privacy