SANITA’ DIGITALE. QUALI REGOLE RISPETTARE PER IL TRATTAMENTO DEI DATI SANITARI?

Regole di base per strutture sanitarie pubbliche e private nel trattamento dei dati dei pazienti e principi da applicare nell’utilizzo degli strumenti digitali per la gestione dei dati sanitari

Le esigenze ed opportunità della digitalizzazione stanno, ormai da tempo, investendo anche il settore della sanità.

Aziende ospedaliere pubbliche e private, studi medici e laboratori di analisi stanno modificando il modo di lavorare introducendo strumenti digitali per la raccolta e conservazione dei dati sanitari dei pazienti.

Ciò comporta il vantaggio della maggiore efficienza nella gestione dei dati personali dei pazienti ma, al contempo, l’aggravamento degli adempimenti che il titolare della struttura è tenuto a realizzare per garantire la sicurezza e riservatezza dei dati sanitari in formato digitale, soprattutto alla luce delle regole introdotte dal Regolamento Europeo 2016/679, GDPR.

In questo articolo si offre una panoramica delle regole di base che le strutture sanitarie pubbliche e private devono rispettare per trattare i dati sanitari dei pazienti e, in particolare, sui principi da applicare nell’utilizzo degli strumenti digitali per la gestione dei dati sanitari.

I DATI SANITARI

Occorre premettere che i dati sulla salute rientrano nella nozione di dati particolari, ai sensi dell’articolo 9 del GDPR.

La norma stabilisce il divieto di trattare i dati sulla salute tranne nelle ipotesi di:

  • realizzazione di un interesse pubblico;
  • finalità di cura.

Quindi, una struttura sanitaria, ospedale, clinica o studio medico che siano possono utilizzare i dati dei propri pazienti solo per svolgere le attività di diagnosi, assistenza e terapia. Per lo svolgimento di tali ordinarie attività di cura non è necessario il preventivo consenso all’utilizzo dei dati da parte del paziente.

Invece, per tutte le ipotesi in cui l’utilizzo dei dati del paziente non è strettamente collegato alla prestazione medica, la struttura sanitaria, è obbligata a richiedere il consenso dell’interessato per questa particolare tipologia di trattamento

Ciò accade, ad esempio, per:

  • la comunicazione con i pazienti (telefonate, mail informative, sms per ricordare gli appuntamenti);
  • la formazione del dossier sanitario elettronico;
  • la consegna del referto on-line;
  • l’utilizzo di app mediche.

Quanto detto comporta, quindi, l’obbligo di ogni struttura sanitaria di redigere un’informativa al trattamento dati personali chiara concisa e trasparente che illustri al paziente come, per quanto tempo e con che mezzi verranno utilizzati i suoi dati nel corso della cura, corredata dalla richiesta di consenso nelle ipotesi necessarie. 

Chiaramente, la redazione dell’informativa è solamente uno degli adempimenti che il titolare del dato (ospedale, casa di cura, studio medico) dovrà mettere in atto nella raccolta dati dei pazienti, collocandosi a valle di un più ampio piano di adeguamento al GDPR, ovvero,  quel complesso di misure volte ad assicurare la sicurezza, integrità e riservatezza dei dati personali, evitando le sanzioni previste per la difformità dalla norma e, al contempo, consentendo il più efficace uso dei dati trattati. 

DIGITALIZZAZIONE DEI DATI SANITARI

Le regole di trattamento dei dati sanitari divengono evidentemente più complesse laddove la struttura decida di fruire di un maggior numero di strumenti digitali nella sua organizzazione.

è noto il sempre maggiore utilizzo di strumenti come:

  • il referto on-line
  • la cartella clinica elettronica
  • il dossier sanitario digitale
  • il fascicolo sanitario elettronico.

Questi strumenti assolvono alla duplice finalità di:

  • rispondere alle esigenze di immediatezza e velocità richieste dalla platea di clienti e consumatori proiettati in una realtà di servizi digitali;
  • adempiere ai parametri legislativi nazionali ed europei che richiedono un efficientamento delle strutture sanitarie ed una intercomunicazione tra le stesse a vantaggio dell’organizzazione e del miglioramento delle prestazioni mediche. 

Infatti, gli art. 12, del d.l. n. 179/2012, il D.P.C.M. n. 178/2015 e l’ art. 11 d.l. 19.05.2020 n. 34, norme inserite nel piano della programmazione volta alla crescita del paese, hanno previsto l’obbligo della creazione del Fascicolo sanitario elettronico, ovvero, l’insieme dei dati e documenti digitali relativi all’intera storia clinica di una persona generati dalle strutture sanitarie pubbliche e private.

DATI SANITARI E STRUMENTI DIGITALI. REGOLE COMUNI

L’utilizzo di questi differenti strumenti connessi al più ampio disegno della sanità digitale, necessitano la messa in atto di regole e adempimenti complessi connessi alla digitalizzazione del dato sanitario corretta, sicura ed efficace, quindi, in regola con il GDPR.

Ognuno dei diversi strumenti elencati è legato a regole differenziate.

Informativa e consenso specifici

A prescindere dalle specificità connesse ad ogni singolo strumento di sanità digitale, per tutti, vale la regola per cui la struttura sanitaria abbia l’obbligo di illustrare in un’informativa chiara e semplice il funzionamento dello strumento richiedendo al paziente-interessato un consenso specifico e separato per l’uso di ogni diverso strumento.

Ad esempio, il laboratorio che intenda avvalersi del servizio di refertazione on-line (utilizzato sempre più di frequente) deve offrire al paziente un’informativa al trattamento dati apposita per il servizio digitale reso, quindi, separata rispetto all’informativa che già deve rendere per il trattamento dati connessi alla cura, chiedendo un consenso espresso al paziente per l’attivazione del servizio.

MISURE DI SICUREZZA RAFFORZATE

Particolarmente rilevante è il tema delle misure di sicurezza che la struttura deve adottare per assicurare un elevato livello di protezione dei dati sanitari digitalizzati.

Il Garante Privacy ha sottolineato infatti che l’utilizzo di  nuove tecnologie per l’offerta di servizi digitali che abbiano ad oggetto dati sanitari comporta la necessità di effettuare, prima di avviare il servizio, una valutazione d’impatto (DPIA) che analizzi i rischi e conseguenze connessi alla perdita di dati sanitari digitalizzati, guidando, così, la struttura sanitaria nella scelta delle misure di sicurezza più adeguate sulla base dei dati trattati e del tipo di servizio usato.

É lo stesso Garante privacy a prevedere che il trattamento di dati sanitari debba avere un grado di tutela rafforzato essendo, quindi, di conseguenza, fondamentale per le strutture che decidano di utilizzare strumenti di digitalizzazione dei dati sanitari, prevedere, ad esempio:

  • idonei sistemi di autenticazione e autorizzazione per i soggetti autorizzati all’accesso ai dati;
  • adeguati livelli di protezione a seconda che lo strumento di digitalizzazione del dato sanitario sia collegato ad un servizio web o supporto elettronico;
  • formazione del personale che ha accesso ai dati;
  • protocolli di sicurezza e di comunicazione sicuri.

CONCLUSIONI

La digitalizzazione della sanità è un passaggio richiesto dall’evoluzione della società, necessario per la competitività sul mercato e per la rispondenza dei servizi ai parametri di legge. Tuttavia, l’utilizzo o la creazione di servizi digitali devono essere accompagnati dalla consapevolezza della rilevanza del dato trattato e della necessità di individuare e adottare strumenti idonei alla sua protezione, minimizzando rischi e conseguenze della loro perdita o violazione.

Tutto ciò a vantaggio del migliore funzionamento della struttura e, quindi, della migliore performance aziendale.


Lascia un commento