Sanità digitale: tra vulnerabilità e mancato rispetto della normativa Privacy

Di “Fascicolo Sanitario Elettronico” e di “Dossier sanitario” si è detto e scritto molto, specialmente a partire dal 2009,in seguito all’emanazione, da parte del Garante per la protezione dei dati personali, delle prime “Linee guida”, al fine di dettare alcune garanzie a tutela della riservatezza del paziente.

Il processo di innovazione tecnologia nel settore sanitario

A distanza di anni dalla loro adozione e, soprattutto, a distanza di numerosi interventi normativi, pareri e provvedimenti, però, le indicazioni del Garante non sembrano essere state ancora pienamente recepite dalle strutture sanitarie italiane. Eppure – come evidenzia Antonello Soro – «il passaggio dalla dimensione materiale a quella digitale rappresenta una delle sfide più importanti per la sanità italiana, per la sua efficienza […]». 

Partiamo dal principio. Cosa si intende per “Fascicolo Sanitario Elettronico” e per “Dossier Sanitario”?

Il Fascicolo Sanitario Elettronico (FSE) è l’insieme dei dati e dei documenti di tipo sanitario e sociosanitario generati da eventi clinici riguardanti l’assistito. La sua funzione è quella di permettere la condivisione informatica di dette informazioni tra (i) organismi sanitari e (ii) professionisti che prendono in cura l’interessato. A differenza del FSE, il Dossier Sanitario rende disponibili i dati del paziente solamente ai professionisti sanitari operanti nella medesima struttura di assistenza. I dati, quindi, in quest’ultimo caso, sono di pertinenza di un solo Titolare del Trattamento.

Dati ipersensibili VS tecnologia digitale

L’incremento dell’uso di tali strumenti da parte delle strutture sanitarie è risultato essere, purtroppo, direttamente proporzionale al numero di segnalazioni che hanno visto una scorretta – quando non del tutto assente – applicazione delle disposizioni legislative e delle Linee guida in materia.

Attualissime, allora, risultano essere le osservazioni formulate dal Presidente del Garante per la protezione dei dati personali nel suo intervento “Autodeterminazione terapeutica ed autodeterminazione informativa: i nuovi aspetti della dignità”: il diritto alla salute rappresenta l’unico diritto che la nostra Costituzione qualifica al contempo come diritto fondamentale e interesse della collettività.

Ogni trattamento sanitario, seppur previsto per legge, non può violare i limiti imposti dal rispetto della persona umana (art. 31, co. 2, Cost). L’applicazione della tecnologia a fini di cura, dunque, è un processo da promuovere, ma da governare con molta attenzione, poiché coinvolge categorie di dati personali (c.d. ipersensibili) tra le più delicate. Le Strutture Sanitarie non devono dimenticare come autodeterminazione informativa e autodeterminazione terapeutica rappresentino due aspetti essenziali della libertà e della dignità di ogni persona.

Struttura che vai, segnalazione che trovi

I media non si stancano mai di ricordare ai cittadini i tristi effetti di errori sanitari chirurgici, diagnostici, terapeutici, … Ma il processo di trasferimento della sanità nella dimensione digitale non è certo immune dal rischio di determinare conseguenze anche letali sui pazienti, data la vulnerabilità cui i dati digitali sono soggetti. Una domanda sorge spontanea: perché le strutture sanitarie sembrano disinteressarsi a tutte quelle disposizioni (vincolanti) che dovrebbero costituire il “piano di sicurezza” di tale processo?

Un esempio su tutti. Il Garante si è dovuto recentemente esprimere a seguito di una segnalazione verso un’Azienda Ospedaliera della capitale. Durante gli accertamenti ispettivi è emerso che l’Azienda Ospedaliera (dotata di Dossier sanitario) consentiva al personale della Direzione sanitaria di accedere, per lo svolgimento di finalità amministrative proprie di tali uffici, anche ai dossier sanitari di pazienti dismessi. Il tutto, senza alcuna limitazione temporale o restrizione in ordine alla profondità di accesso.

Oltre a ciò, l’Azienda ha iniziato il trattamento tramite Dossier sanitario nell’anno 2001, ma ha iniziato a raccogliere il consenso informato degli interessati in merito a tale trattamento solo a partire dall’anno 2014.

Tutto ciò nonostante le Linee guida 2015 evidenzino come il titolare del trattamento sia tenuto a prevedere delle limitazioni alla profondità di accesso al dossier da parte del personale amministrativo, consentendo allo stesso di accedere ai soli dati indispensabili per svolgere i compiti ad esso demandati. Non dimentichiamo, inoltre, che il Dossier costituisce un trattamento aggiuntivo rispetto a quello effettuato da professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico e, perciò, il trattamento con esso effettuato necessita di specifica informativa.