Il trattamento dei dati sanitari mediante il dossier sanitario

1. Le sfide e le criticità della sanità digitale.

Negli ultimi anni il sistema sanitario italiano sta conoscendo un’evoluzione da una dimensione materiale ad una digitale[1]; evoluzione dalla quale emergono nuovi profili critici non soltanto per quanto riguarda l’efficienza delle cure e l’efficientamento delle strutture sanitarie, locali e nazionali, ma anche e soprattutto per quanto riguarda il coordinamento – non sempre antinomico – tra il diritto alla salute e il diritto alla protezione dei dati sanitari dei pazienti.

La nostra Costituzione (articolo 32) riconosce e tutela il diritto alla salute come diritto fondamentale dell’individuo e interesse della collettività, prescrivendo altresì una riserva di legge rafforzata in forza della quale un trattamento sanitario previsto per legge “non può in nessun caso violare i limiti imposti dal rispetto della persona umana”. Formula, questa, complementare alla tutela della dignità, riconducibile all’articolo 2 della Costituzione.

Uno degli aspetti essenziali del diritto alla protezione dei dati personali, anche e soprattutto di carattere sensibile, è costituito proprio dall’esigenza di assicurare la tutela della dignità dell’interessato, che potrebbe essere violata ogniqualvolta si verifichi un vulnus nelle misure tecniche ed organizzative preposte alla tutela di tali dati.

In quanto riconducibili al valore supremo della dignità umana[2], si comprenderà agevolmente, dunque, che entrambi i principi – la tutela della salute e la protezione dei dati personali – siano meritevoli di una tutela tanto intensa quanto dinamica, in costante adeguamento con l’evoluzione tecnologica e il progresso scientifico.

Sarà compito del giurista contemporaneo trovare il giusto equilibrio tra il diritto alla salute dei cittadini e l’efficienza del sistema sanitario da un lato, e i rischi per la dignità derivanti dalla digitalizzazione dei dati sanitari dall’altro[3]; tenendo conto che “l’equilibrio tra i due è garanzia di qualità ed efficienza delle cure e del sistema sanitario cui il paziente si affida: tanto più in un contesto di progressiva digitalizzazione dei percorsi diagnostici e terapeutici”[4].

È evidente infatti che l’applicazione della tecnologia digitale a fini di cura, di ricerca medico-scientifica e persino di governance e razionalizzazione della spesa sanitaria costituisce un fattore essenziale di sviluppo, crescita e benessere per il Paese e per i cittadini, oltre che di miglioramento dell’efficienza delle prestazioni.

Si pensi ai benefici derivanti dal trattamento di dati sanitari mediante dossier sanitario, che assicura senza dubbio una maggiore efficienza nei processi di diagnosi e cura del paziente all’interno di un’unica struttura sanitaria, consentendo ai diversi professionisti che vi operano di accedere a tutte le informazioni cliniche relative ai precedenti interventi effettuati dal paziente presso quella stessa struttura; oppure si pensi ai vantaggi della creazione di un fascicolo sanitario elettronico, che consente una agevole ricostruzione della storia clinica del paziente evitando di ripetere inutilmente esami clinici già effettuati dal paziente e magari smarriti dallo stesso, con ulteriore spreco in termini di tempo e costi economici per il paziente e per la sanità pubblica.

La digitalizzazione dell’attività sanitaria produce notevoli benefici in termini di qualità delle prestazioni erogate nonché riduzione di costi per la spesa pubblica[5]. Ad essa tuttavia sono connessi notevoli rischi derivanti dalla vulnerabilità dei dati sanitari.

Questi infatti, se illecitamente trattati, sono suscettibili di esporre l’interessato a forme di discriminazioni rese possibili, appunto, soltanto dalla conoscenza di aspetti così intimi quali quelli idonei a rivelare lo stato di salute dell’interessato”.

I rischi legati all’utilizzo di dati sanitari in formato digitale non consistono soltanto nel loro possibile trattamento da parte di soggetti terzi non autorizzati e dei possibili danni che potrebbero arrecare al paziente in termini di atti discriminatori nei suoi confronti e lesivi della sua dignità; la vulnerabilità del dato sanitario e, quindi, la suscettibilità di alterazione o modificazione, rischia altresì di determinare errori diagnostici o terapeutici, con conseguenze letali sulla salute del paziente.

Tale ipotesi rende manifesta la possibilità che uno strumento di progresso per il benessere sociale, che tendenzialmente coordina e conduce verso un unico obiettivo due valori costituzionalmente garantiti, possa trasformarsi in un fattore di pericolo concreto per il bene più importante della persona umana, la salute e dunque, la vita.

A tal proposito, eloquente la descrizione dello stato di digitalizzazione del sistema sanitario italiano, che dà conto di quanto siano tuttora concrete le possibilità che le vulnerabilità dei dati sanitari si trasformino in danno per la salute delle persone: “nel processo di trasferimento della sanità nella dimensione digitale la frammentazione, l’assenza di un piano organico di sicurezza e la disomogeneità che hanno caratterizzato, purtroppo, l’informatizzazione della pubblica amministrazione nel nostro Paese sono ancora più pericolose che in ogni altro settore. Sotto questo profilo la strada da fare è ancora tanta: recenti ricerche hanno indicato, infatti, il settore sanitario come uno di quelli esposti ai maggiori rischi in termini di cyberattacchi perché carente di un piano organico di sicurezza e protezione, oltre che di risorse necessarie per investimenti sulle infrastrutture informative. Eppure proprio questo dovrebbe essere, invece, il settore su cui investire di più in termini di sicurezza informatica e digitale, per garantire che il processo di innovazione tecnologica sia accompagnato da misure tali da assicurare autenticazione dei dati, loro tracciabilità, accessi selettivi con credenziali univoche, cifrature, sistemi di alert, attività di auditing […] La protezione del paziente da queste vecchie e nuove vulnerabilità deve essere un obiettivo centrale per un sistema sanitario all’altezza delle sfide della società digitale, in cui parallelamente alle opportunità (di ricerca, di cura, di avanzamento della diagnosi e delle terapie) crescono anche i rischi, tra moltiplicazione delle biobanche, assistenza sanitaria transfrontaliera, telematizzazione dei percorsi diagnostici, genomica e interoperabilità delle cartelle cliniche”[6].

2. Il dossier sanitario

Il dossier sanitario è l’insieme dei dati personali, generati da eventi clinici presenti e trascorsi riguardanti l’interessato, che vengono condivisi tra i professionisti sanitari che lo assistono presso un’unica struttura sanitaria.

È agevole comprendere la differenza tra il dossier sanitario e il fascicolo sanitario elettronico: il dossier consente di ricostruire la storia clinica di un paziente con riferimento a tutte le prestazioni sanitarie ad esso erogate da una determinata struttura sanitaria; il FSE invece contiene tutti i dati e documenti sanitari e socio-sanitari generati da eventi clinici presenti e trascorsi riguardanti l’assistito presso diverse strutture sanitarie, purché accreditate presso il SSN.

Il dossier sanitario è dunque uno strumento utile a rendere più efficienti i processi di diagnosi e cura del paziente all’interno di un’unica struttura sanitaria, consentendo ai diversi professionisti che vi operano di accedere a tutte le informazioni cliniche relative ai precedenti interventi (ad esempio, ricoveri, visite ambulatoriali, accessi in primo soccorso) effettuati dall’assistito presso quella stessa struttura.

In assenza del dossier, il singolo professionista avrebbe a disposizione, per la prestazione sanitaria, le sole informazioni fornite in quel momento dal paziente e quelle elaborate in relazione all’evento clinico per il quale lo stesso ha richiesto la prestazione sanitaria.

3. Il trattamento di dati mediante il dossier

Il dossier sanitario rappresenta un trattamento di dati personali specifico, ulteriore rispetto a quello effettuato dal professionista sanitario con le informazioni acquisite in occasione della cura del singolo evento clinico per il quale l’interessato si rivolge ad esso.

Più chiaramente, il singolo professionista realizza un ulteriore trattamento di dati sanitari mediante la consultazione delle informazioni elaborate nell’ambito dell’intera struttura sanitaria e non solo del suo reparto e, quindi, da professionisti diversi in occasione di altri eventi clinici occorsi in passato all’interessato che siano riferibili anche a patologie differenti rispetto all’evento clinico in relazione al quale l’interessato riceva la prestazione.

In quanto trattamento ulteriore e specifico, esso necessita di una specifica informativa nella quale deve essere evidenziata “l’intenzione del titolare del trattamento di costituire un insieme di informazioni personali riguardanti l’interessato il più possibile completo che documenti parte della storia sanitaria dello stesso al fine di migliorare il suo processo di cura attraverso un accesso integrato di tali informazioni da parte del personale sanitario coinvolto”[7].

L’interessato deve altresì essere informato che il mancato consenso a tale trattamento non incide sulla possibilità di accedere alle cure mediche richieste (principio di libertà del consenso informato); e che qualora acconsente al trattamento dei suoi dati personali mediante dossier sanitario, questo potrà essere consultato negli altri casi previsti dal Regolamento ( nelle Linee guida citate, risalenti dal 2015, viene presa in considerazione la sola ipotesi in cui tale trattamento sia ritenuto indispensabile per la salvaguardia della salute di un terzo o della collettività, nel rispetto dell’autorizzazione generale del Garante. Il Regolamento ha abolito la previa autorizzazione, sostituita da una preventiva valutazione d’impatto, al ricorrere di determinati presupposti; ha, inoltre, introdotto ulteriori condizioni di liceità del trattamento che non necessitano del consenso dell’interessato).

Il titolare del trattamento – la struttura sanitaria che elabora il dossier – deve individuare “le modalità attraverso le quali i soggetti autorizzati ad accedere al dossier sanitario possano verificare che sia stata resa l’informativa e acquisito il consenso dell’interessato al trattamento dei suoi dati personali mediante il dossier sanitario. Tali soggetti potranno, infatti, accedere esclusivamente ai dossier in relazione ai quali il titolare abbia già acquisito un consenso informato dei relativi interessati”[8].

L’interessato deve essere informato in merito ai soggetti o alle categorie di soggetti ai quali i dati possono essere comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati; nonché dell’eventualità che il dossier sanitario sia consultabile anche da parte dei professionisti che agiscono in libera professione intramuraria ovvero nell’erogazione di prestazioni al di fuori del normale orario di lavoro utilizzando le strutture ambulatoriali e diagnostiche della struttura sanitaria a fronte del pagamento da parte del paziente di una tariffa.

Deve inoltre essere garantita all’interessato la possibilità di esercitare, in ogni momento, i diritti di cui all’art.15 e ss. del Regolamento.

A conferma dell’utilità pratica di una esauriente informativa di trattamento ai fini dell’incentivazione al trattamento dei dati sanitari mediante dossier, è stato riscontrato che nei progetti locali in cui la costituzione del dossier sanitaria è stata accompagnata da una campagna informativa attenta anche agli aspetti della protezione dei dati personali, la percentuale di negazione dei consensi al dossier è stata ben al di sotto del punto percentuale[9].

Come già in parte anticipato, l’interessato deve esprimere un consenso ulteriore e specifico al trattamento dei dati sanitari mediante dossier. Ciò deriva proprio dal fatto che tale trattamento va distinto da quella operato dal professionista in occasione del singolo evento clinico. Il trattamento di dati mediante dossier è, cioè, un trattamento facoltativo (e non a caso l’interessato deve essere informato che il mancato consenso al trattamento mediante dossier non incide sulla possibilità di avere accesso alle cure, proprio al fine di garantirgli di scegliere liberamente che le informazioni cliniche che lo riguardano siano trattate o meno in un dossier sanitario); all’interessato infatti deve essere garantita la possibilità che i dati sanitari restino disponibili al solo professionista sanitario che li ha redatti, senza la loro necessaria inclusione nel dossier.

Come detto, il dossier sanitario può contenere informazioni sanitarie relative ad eventi clinici non solo presenti, ma anche trascorsi. In tale ultimo caso, l’interessato deve essere informato che può escludere che le informazioni sanitarie pregresse siano trattate mediante dossier.

Il consenso inizialmente prestato può essere liberamente revocato dall’interessato in qualsiasi momento; in tal caso, è previsto che le informazioni sanitarie presenti devono restare disponibili al professionista o alla struttura interna al titolare che le ha redatte e per eventuali conservazioni per obbligo di legge.

Quanto ai diritti dell’interessato, riconducibili agli articoli 15 e seguenti del Regolamento, vi rientrano innanzitutto il diritto di ottenere la conferma circa l’esistenza o meno del trattamento di dati che lo riguardano, la loro comunicazione in forma intelligibile, con linguaggio chiaro, semplice e facilmente comprensibile, l’indicazione delle finalità e delle modalità di trattamento.

Particolare rilievo assumere il diritto dell’interessato di conoscere la logica applicata al trattamento (art. 13 par. 2 lett. f) del Regolamento), essendo il dossier sanitario un trattamento di dati personali effettuato con modalità elettroniche atte a consentire una forte integrazione di dati e documenti idonei a rilevare lo stato di salute dell’interessato.

Quanto al diritto alla integrazione e rettifica dei dati, poiché il dossier contiene documentazione di tipo clinico, “il riscontro alle istanze di integrazione, aggiornamento e rettificazione dei dati deve essere fornito annotando le modifiche richieste senza alterare la documentazione di riferimento”[10].

Il paziente ha altresì il diritto di oscurare taluni dati o documenti consultabili mediante dossier[11]. Le informazioni e i documenti oscurati restano comunque disponibili al professionista sanitario o alla struttura interna al titolare che li ha raccolti o elaborati (si pensi, ad esempio, alla cartella clinica, che resta comunque accessibile da parte del reparto di ricovero).

L’oscuramente dell’evento clinico, che è revocabile nel tempo, deve avvenire con modalità tali da garantire che i soggetti abilitati all’accesso non possano venire automaticamente a conoscenza del fatto che l’interessato ha effettuato tale scelta (“oscuramente dell’oscuramento”, in termini analoghi a quanto avviene per il FSE).

È auspicabile che la struttura sanitaria titolare del trattamento illustri correttamente all’interessato l’utilità per l’operatore sanitario di disporre di un quadro clinico il più possibile completo della sua salute, informando compiutamente il paziente sulle conseguenze di detto oscuramento, nonché sul significato clinico dell’informazione che si intende oscurare. Ciò, fermo restando che il dossier sanitario è un documento incompleto per definizione: esso infatti non consente di ricostruire la storia clinica del paziente, se non in riferimento ai soli eventi clinici occorso presso una determinata struttura sanitaria, titolare del trattamento.

4. L’accesso al dossier sanitario

Ultimo rilevante aspetto riguarda l’accesso al dossier. Per comprendere la centralità di questo tema, basti osservare che le linee guida in materia di dossier sanitario del 2015 sono state rese necessarie proprio dagli esiti di taluni accertamenti ispettivi del Garante disposti a seguito di segnalazioni relative ad accessi abusivi ai dossier sanitari dai quali sono emersi numerosi illeciti quali “consultazione, estrazione, copia delle informazioni sanitarie accessibili tramite il dossier da parte di personale amministrativo o personale medico che non era stato mai coinvolto nel processo di cura del paziente e che per motivi di interesse personale aveva acceduto allo stesso per poi divulgare le informazioni così acquisite a terzi all’insaputa dell’interessato. Nella maggior parte dei casi sottoposti all’attenzione dell’Autorità l’accesso aveva riguardato informazioni relative a prestazioni sanitarie particolarmente delicate in merito alle quali l’ordinamento vigente ha posto specifiche disposizioni a tutela della riservatezza e della dignità dei soggetti interessati […][12]”.

Sono queste le contingenze di carattere socio-culturale che hanno portato al riconoscimento, in capo all’interessato, del diritto di chiedere e ottenere informazioni sugli accessi eseguiti sul proprio dossier con l’indicazione della struttura/reparto che ha effettuato l’accesso, nonché della data e dell’ora.

In considerazione della finalità perseguita, che è quella di prevenzione, diagnosi, cura e riabilitazione del paziente, l’accesso al dossier sanitario deve essere limitato al solo personale sanitario che interviene nel tempo nel processo di cura del paziente[13]. A tal fine è auspicabile l’utilizzo, da parte dei titolari del trattamento, di modalità tecniche di autenticazione al dossier che rispecchino le casistiche di accesso a tale strumento, proprie di ciascuna struttura sanitaria.

Un profilo essenziale dell’accesso dei terzi al dossier, che va di pari passi all’individuazione dei soggetti che hanno diritto di accedervi, è la c.d. “profondità dell’accesso”, vale a dire la quantità e qualità dei dati cui possono accedere i diversi soggetti in relazione alla loro posizione nell’ambito dell’iter procedimentale del trattamento. Si pensi al personale amministrativo, nei confronti del quale, non essendo necessario un accesso a tutti i dati sensibili contenuti nel dossier, ben può il titolare del trattamento prevedere una limitazione alla profondità dell’accesso, consentendo allo stesso di accedere ai soli dati indispensabili per svolgere i compiti cui è preposto.

È quindi auspicabile che siano preferite soluzioni che consentano un’organizzazione modulare del dossier, in modo tale da limitare l’accesso dei diversi soggetti abilitati alle sole informazioni (e, quindi, al modulo di dati) indispensabili al raggiungimento dello scopo per il quale è stata consentita l’accessibilità al dossier.

[1] “Il passaggio dalla dimensione materiale a quella digitale rappresenta una delle sfide più importanti per la sanità (non solo) italiana, per la sua efficienza e, quindi, per la garanzia dell’unico diritto che la nostra Costituzione espressamente qualifica, ad un tempo, come diritto fondamentale e interesse della collettività”. Intervento di A. Soro al convegno “La smaterializzazione dei documenti e il suo impatto sul sistema salute”, Roma, 6 maggio 2016.

[2] “La perdita, la sottrazione, l’alterazione, l’abuso di un dato sanitario rende vulnerabili banche dati essenziali e, insieme, viola quanto di più intimo e privato vi è nella persona: ne tocca la dignità”. Intervento di A. Soro nell’intervento cit.

[3] “La sfida che tutti gli attori istituzionali sia nazionali che locali si pongono è, dunque, quella di garantire che i processi di integrazione dei dati sanitari assicurino un buon funzionamento dei sistemi clinici sia in termini di efficacia che di efficienza ed equità nel rispetto dei diritti fondamentali dell’individuo tra i quali si annovera quello alla tutela dei dati personali”. Garante Privacy, “Linee guida in materia di dossier sanitario”, all. A alla delibera del 4 giugno 2015.

[4] Intervento di A. Soro al convegno “La smaterializzazione dei documenti e il suo impatto sul sistema salute”, Roma, 6 maggio 2016.

[5] “Le politiche di sanità integrata che si stanno sviluppando sia in ambito nazionale che regionale considerano la condivisione delle informazioni sulla salute del paziente tra gli operatori sanitari uno strumento per rendere più efficienti i processi di diagnosi e cura dello stesso, nonché per ridurre i costi della spesa sanitaria derivanti, ad esempio, dalla ripetizione di esami clinici”. Garante Privacy, “Linee guida in materia di dossier sanitario”, all. A alla delibera del 4 giugno 2015.

[6] Intervento di A. Soro al convegno “La smaterializzazione dei documenti e il suo impatto sul sistema salute”, Roma, 6 maggio 2016.

[7] Garante Privacy, “Linee guida in materia di dossier sanitario”, all. A alla delibera del 4 giugno 2015.

[8] Garante Privacy, “Linee guida in materia di dossier sanitario”, all. A alla delibera del 4 giugno 2015.

[9] Cfr. Garante privacy, Linee guida cit.

[10] Garante Privacy, Linee guida cit. Cfr. anche il provvedimento generale del 24 luglio 2008, Linee guida per i trattamenti di dati personali nell’ambito delle sperimentazioni cliniche di medicinali – doc. web n.1533155)

[11] Il Garante Privacy commenta tale garanzia mettendo in evidenza che il paziente “può addivenire a una determinazione consapevole di non informare il secondo (medico curante) di alcuni eventi sanitari che lo riguardano. Ciò, anche nel rispetto della legittima volontà dell’interessato di richiedere il parere di un altro specialista senza che quest’ultimo possa essere influenzato da quanto già espresso da un collega”.

[12] Garante Privacy, “Linee guida in materia di dossier sanitario”, all. A alla delibera del 4 giugno 2015.

[13] Il Garante Privacy chiarisce: “ciò significa che deve essere consentito l’accesso a tutto il personale che a vario titolo interviene nel processo di cura, come ad esempio quello operante nel reparto in cui è ricoverato il paziente, o che è stato coinvolto nella richiesta di una consulenza o nell’ambito delle procedure di un trapianto”. Cfr. Linee guida cit.