giuseppe.serafini
+39-075-4652093 / Skype

La digitalizzazione della prestazione sanitaria

La digitalizzazione della prestazione sanitaria

E-health, patient engagement e trattamento dei dati personali. Il quadro normativo, la tematica delle app e le brecce nella sicurezza.

Al pari degli altri ambiti della nostra vita quotidiana, anche la prestazione sanitaria, vale a dire quel particolare rapporto che lega il paziente con il soggetto che a vario titolo si occupa della sua cura ed assistenza, è stato, ed è interessato da profondi cambiamenti correlati all’impiego ed allo sviluppo, prima durante e dopo la prestazione stessa, di strumenti elettronici di elaborazione, della tecnologia delle reti, dell’IoT (Internet of Things).

Recentemente, per esempio nel campo della medicina sportiva, uno dei maggiori player dell’informatica sta sviluppando una soluzione predittiva di intelligenza artificiale basata sul monitoraggio dei parametri prestazionali degli sportivi professionisti che ha per scopo la prevenzione degli infortuni. Soluzioni di diagnosi, di cura, e di prevenzione, rese possibili oggi dall’aumento della capacità computazionale delle tecnologie disponibili, sino a qualche anno fa immaginate solo dai più visionari autori dei più celebri film di fantascienza si stanno concretizzando nelle centinaia di app presenti nei nostri smart device, con velocità esponenziale e, purtroppo, non sempre, nell’ambito di garanzie adeguate di tutti i diritti della persona, non ultimo quello alla protezione dei propri dati di carattere personale, che sono da proteggere nell’ambito del rapporto di cura. In effetti è tempo fa è uscita notizia che l’Information Commissioner Office Inglese (www.ico.uk) ha rilevato gravi non conformità nel trattamento dei dati personali dei pazienti di una notissima istituzione di cura del Regno Unito.

Le app sono adeguate?
Solo per fare un esempio, una verifica a tappeto (Privacy Sweep 2014) condotta dai Garanti Europei per la protezione dei dati personali sulle app del settore salute, ha evidenziato una situazione deludente e per certi versi assai preoccupante. In particolare una su due delle applicazioni mediche italiane e straniere analizzate dagli ‘sweepers’ dell’Authority italiana, scelte a campione tra le più scaricate disponibili sulle varie piattaforme (Android, iOs, Windows, etc.), non fornisce agli utenti una informativa sull’uso dei dati preventiva all’installazione, oppure dà informazioni generiche, o chiede dati eccessivi rispetto alle funzionalità offerte. In molti casi l’informativa privacy non viene adattata alle ridotte dimensioni del monitor, risultando così poco leggibile, o viene collocata in sezioni riguardanti, ad esempio, le caratteristiche tecniche dello smartphone o del tablet.

Health Records & Business
Come è facile intuire, da un punto di vista economico, gli interessi in gioco legati al mercato dei dati sanitari sono talmente rilevanti da interessare più ambiti merceologici, solo per fare degli esempi si pensi all’importanza che possono avere, anche solo in forma anonimizzata, per una compagnia di assicurazione o per un produttore di prodotti farmaceutici, le informazioni relative alla diffusione di una determinata patologia in una determinata area territoriale, o ancora, quanto può essere fondamentale, per finalità di ricerca scientifica e cura, poter disporre di dati relativi alle caratteristiche genetiche di un determinato campione di individui. Recentissime ricerche realizzate da Deloitte, ad esempio, hanno stimato che circa il 94% dei 5.600 ospedali degli Stati Uniti è stato vittima di attacchi informatici diretti ad appropriarsi dei cosìdetti Health records in funzione di una loro successiva rivendita. Il quadro normativo Sia in Europa sia in Italia, tuttavia, esistono norme specifiche, rinnovate nei loro ambiti di applicazione, dalla prossima applicazione definitiva del Regolamento Comunitario 679 del 27 Aprile 2016 (GDPR) che approntano una serie di tutele e garanzie, per i cittadini, contro i fenomeni in precedenza descritti, le cui derive più incontrollate possono condurre ad episodi di dossieraggio o, nel peggiore dei casi, a veri e propri episodi di discriminazione o esclusione sociale.

In questo senso, da una parte l’art. 9 del Regolamento citato, al comma 1, esprime in modo netto il divieto, salvo i casi indicati dal successivo comma 2 di trattare dati personali che rivelino la salute di un individuo e, dall’altra, al considerando nr. 53 precisa che: “Le categorie particolari di dati personali che meritano una maggiore protezione dovrebbero essere trattate soltanto per finalità connesse alla salute, ove necessario per conseguire tali finalità a beneficio delle persone e dell’intera società, in particolare nel contesto della gestione dei servizi e sistemi di assistenza sanitaria o sociale, (…) nonché per garantire la continuità dell’assistenza sanitaria o sociale e interesse pubblico, nonché per studi svolti nel pubblico interesse nell’ambito della sanità pubblica.”

Fascicolo Sanitario Elettronico e Dossier Sanitario
Sul fronte interno, il tema della protezione e della valorizzazione dei dati personali in relazione alla digitalizzazione della prestazione sanitaria ha trovato, nel tempo, una disciplina legale che si è svolta, per così dire, per approssimazioni successive, giungendo solo nel 2015, dopo due fondamentali provvedimenti dell’Autorità Garante per la protezione dei dati personali, in materia di Fascicolo Sanitario Elettronico [doc. web n. 1634116] e Dossier Sanitario [doc. web n. 4084632], a una normazione parzialmente stabile, finalmente attuativa del comma 7 della legge 9 agosto 2013, con il Dpcm del 29 settembre recante il Regolamento in materia di Fascicolo Sanitario elettronico (FSE). Nello specifico, la normativa richiamata definisce ‘Fascicolo Sanitario Elettronico’ l’insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito, istituito dalle regioni e province autonome nel rispetto della normativa vigente in materia di protezione dei dati personali, per finalità di

a) prevenzione, diagnosi, cura e riabilitazione;

b) studio e ricerca scientifica in campo medico, biomedico ed epidemiologico;

c) programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria.

Si definisce, invece, ‘Dossier Sanitario’, lo strumento, costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es., ospedale o clinica privata) al cui interno operino più professionisti contenente l’insieme dei dati personali generati da eventi clinici presenti e trascorsi riguardanti l’interessato, messi in condivisione logica dai professionisti sanitari che lo assistono, al fine di documentarne la storia clinica e di offrirgli un migliore processo di cura.

, , ,

About Post Author

Avvocato Cassazionista del Foro di Perugia. Lead Auditor ISO/IEC 27001:2013, ISO/IEC 27701:2019; DPO UNI 11697:2017. Master di II° livello in Cybersecurity. Master di II° livello in Data Protection. Perfezionato in Digital Forensicis, Cloud & Data Protection. Già docente di Informatica Giuridica presso la Scuola di Specializzazione in Professioni Legali di Perugia, e collaboratore della cattedra di Informatica Giuridica della Facoltà di Giurisprudenza di Perugia; Docente in Master di II° livello. Relatore ed autore di numerose pubblicazioni in materia di Sicurezza delle Informazioni e Diritto delle nuove Tecnologie. Associato CLUSIT e Digital Forensics Alumni.

Recent Posts

Cyber Security
Cognitive cybersecurity, diritti della personalità
La tutela giudiziale dei beni digitali
Smart Working
Smart working in progress

Lasts on Twitter