di ELISA ROSSO
21/09/2017
App per misurare il peso corporeo. Smart device per contare le ore di sonno. Dispositivi elettronici tramite i quali comunicare direttamente parametri vitali al proprio medico, spesso, in maniera totalmente automatica. La digitalizzazione sta velocemente rendendo quantificabile e condivisibile ogni aspetto della vita umana, permettendo non solo al paziente di essere assistito in modo più efficace, ma consentendo anche di compiere analisi su gusti, abitudini, interessi e condizioni fisiche degli utenti-pazienti, sino al punto di provare a “prevederne” i comportamenti e le scelte future. Una vera e propria intelligenza artificiale che reca con sè indubbi vantaggi ma che, contestualmente, fa riaffiorare il delicato tema della protezione dei dati personali: è evidente che le innovative possibilità offerte dalla tecnologia abbiano notevoli ricadute sui diritti degli interessati.
Ed è proprio questa diretta proporzione esistente tra la quantità dei dati raccolti (big data) ed il rischio di un loro trattamento illecito che ha rappresentato la premessa necessaria per l’applicazione del Nuovo Regolamento Europeo per la Privacy in ambito sanitario o, per meglio definirlo, tele-sanitario: laddove la realtà fenomenica muta, dovranno mutare ed adeguarsi anche gli strumenti di tutela, soprattutto avendo riguardo alla natura “ultrasensibile” dei dati che attengono allo stato di salute delle persone.
Come è noto, il 25 maggio 2018 è il termine ultimo per adeguarsi al Regolamento 2016/679/UE ed ai criteri in esso contenuti. Nell’ottica garantista per uno sviluppo tecnologico armonioso e sicuro, uno dei nuovi presupposti che appare rilevante è il “privacy by design” che incoraggia a tutelare la privacy dei soggetti sin dalla progettazione di prodotti, servizi ed applicazioni[1]. Il presupposto su cui è stato eretto tale principio è che la tutela sia molto più efficace se gli strumenti (hardware e software) utilizzati per il trattamento dei dati personali (e, tra questi, quelli sanitari) vengono concepiti e realizzati, sin dall’origine, per un uso responsabile e trasparente degli stessi tramite le tecniche della pseudonimizzazione dei dati (ovvero il principio per cui le informazioni di profilazione debbano essere conservate in una forma che impedisca l’identificazione dell’utente: ad esempio, con l’uso dei tag), riducendo così i rischi del trattamento e, di conseguenza, l’impatto sui diritti degli interessati. In altri termini, la ricerca coniugata allo sviluppo tecnologico dovrà tradursi nella tutela di quel diritto fondamentale che è la protezione dei dati personali attraverso lo sviluppo delle cosiddette Privacy enhanced technologies (PETs). Ed anzi, ab origine, la privacy by design potrebbe diventare un elemento essenziale anche nell’ambito degli appalti pubblici, nella delicata selezione delle forniture di beni o servizi deputati al trattamento dei dati personali per la Pubblica Amministrazione e, in generale, per la Sanità.
Altresì, in ragione del livello di riservatezza e confidenzialità propria dei dati sanitari, è necessario che tutti gli attori dei sistema sanitario si rendano consapevoli del loro delicato ruolo: non solo di cura dei pazienti, ma di cura e tutela anche dei loro dati. Nell’era della Sanità 2.0 in cui stiamo vivendo questi due aspetti non sono più scindibili tra loro. È la privacy stessa che diventa 2.0. Ora il professionista sanitario dovrà essere dotato di adeguate competenze tecnologiche e di informatica giuridica per tutelare il paziente in tutte le sue forme e dimensioni.
Il fascicolo sanitario elettronico, la telemedicina, i sistemi elettronici di diagnostica richiedono il pieno rispetto di quei principi propri della protezione dei dati: liceità, correttezza, esattezza, trasparenza, integrità e sicurezza.
Per evitare una qualsiasi forma di aggiramento di tali nuove declinazioni delle tutele tradizionali, il Regolamento 2016/679/UE si preoccupa di evitare che una semplice cancellazione di dati identificativi diretti da un dataset possa tradursi in una perdita della qualifica stessa di “insieme di dati personali” uscendo, pertanto, dall’alveo delle tutele previste. Il Considerando n. 35 del Regolamento, infatti, ritiene pienamente assoggettato alla disciplina dei di protezione dei dati anche semplicemente “un numero, un simbolo o un elemento specifico attribuito a una persona fisica per identificarla in modo univoco a fini sanitari; le informazioni risultanti da esami e controlli effettuati su una parte del corpo o una sostanza organica, compresi i dati genetici e i campioni biologici; e qualsiasi informazione riguardante, ad esempio, una malattia, una disabilità, il rischio di malattie, l’anamnesi medica, i trattamenti clinici o lo stato fisiologico o biomedico dell’interessato, indipendentemente dalla fonte, quale, ad esempio, un medico o altro operatore sanitario, un ospedale, un dispositivo medico o un test diagnostico in vitro”.
Il Regolamento, poi, prevede che la particolare categoria dei dati sensibili dovrebbe essere trattata solo per specifiche finalità[2], quali:
– finalità connesse alla Salute (finalità di cura);
– finalità di gestione e supervisione nazionale e locale generale del sistema di assistenza sanitaria o sociale (finalità di governo);
– finalità di sicurezza sanitaria, controllo e allerta o a fini di archiviazione nel pubblico interesse, di ricerca scientifica o storica o a fini statistici (finalità di interesse pubblico).
Il legislatore europeo ha comunque lasciato la possibilità agli Stati membri di introdurre nuovi limiti o particolari condizioni nel trattamento dei dati sanitari, per evitare conflittualità con le normative nazionali preesistenti.
Dunque, stiamo assistendo ad una vera a propria innovazione anche in termini di sicurezza e sensibilità che dovrà coinvolgere l’intera gamma dei professionisti del settore: dai medici agli operatori sanitari, passando – inevitabilmente – dai tecnici informatici del campo.
Questo è il motivo per il quale il 25 maggio scorso il Garante per la Privacy ha inviato una comunicazione agli Enti interessati (Ministeri ed Amministrazioni centrali, Regioni e Autorità Indipendenti) per sensibilizzarli sulla circostanza che il periodo transitorio per l’applicazione euronormativa scadrà tra meno di un anno e, di conseguenza, dovranno essere compiute tutte quelle azioni che si riterranno necessarie per rendere conformi al nuovo Regolamento UE i trattamenti dei dati già in corso.
L’apparato cui tale tutela si rivolge emerge, pertanto, come estremamente articolato e complesso: deontologia, rigore professionale e tecnologia saranno i parametri identificativi che dovranno improntare i futuri registri funzionali e gestionali della “cosa pubblica” e, pertanto, della materia sanitaria. Trattasi di una sfida significativa, un’occasione ineludibile per la presa in carico e tutela di ogni soggetto di cura che dovrà vedere rispettata la propria privacy e, al contempo, garantita la migliore applicazione della ricerca.
Questa che si presenta come una apparente burocratizzazione ed appesantimento delle procedure per le aziende che gestiscono i dati, in realtà, deve essere vissuta positivamente, perché un database correttamente costruito e gestito può divenire un vero e proprio asset aziendale con un importante valore, patrimoniale e non solo. Uno sforzo, quindi, quello di adeguare le procedure nel rispetto del Nuovo Regolamento Europeo per la Privacy che, oltre ad essere di garanzia e rispetto del cittadino, è volto a costruire valore per le imprese.
Una tutela-obbligo divenuta oramai legge dello Stato Europeo e, quindi, finalmente sancita trasversalmente nell’Unione.
[1] Considerando n. 78 e art. 25, paragrafo 1, del Reg. UE 2016/679.
[2] Considerando n. 53 del Reg. UE 2016/679.
