Search
× Search

Notizie dalla Liguria

Positive le dichiarazioni del Ministro della Salute sulla necessità di ragionare in ottica di sistema come operatori del Servizio sanitario

Dichiarazioni del Presidente Aiop del 4 dicembre 2018

“Registriamo positivamente le dichiarazioni del Ministro della Salute, Giulia Grillo, sulla necessità di ragionare in ottica di sistema come operatori del Servizio sanitario, nell’obbiettivo comune e condiviso di rispondere alla domanda di salute dei cittadini”. Così Barbara Cittadini, Presidente dell’Associazione Italiana Ospedalità Privata, interviene sulle recenti dichiarazioni sulla componete privata da parte del Ministro della Salute, Giulia Grillo.
RSS
First567810121314Last

Notizie Aiop Nazionale

Relazione annuale 2020
3430

Relazione annuale 2020

Focus sulla protezione dei dati personali in sanità e ricerca scientifica

Francesca Gardini, Ufficio giuridico

Il Garante per la protezione dei dati personali, come segnalato nel precedente numero di Informaiop (408), ha pubblicato sul sito istituzionale - al seguente link - la Relazione sull’attività dallo stesso svolta nel corso del 2020 della quale di seguito sintetizziamo quella relativa alla sanità e alla ricerca scientifica dopo aver visto nel precedente approfondimento quella relativa al contesto lavorativo.

L’Autorità, nel contesto pandemico, guardando all’attività svolta in ambito sanitario, è intervenuta in primo luogo in merito al trattamento dei dati personali effettuato attraverso il sistema di allerta COVID-19, meglio conosciuto come App Immuni - del quale, tra l’altro, vi abbiamo tenuti costantemente aggiornati (cfr. Informaiop nn. 353 e 356) - ovvero tramite app promosse da talune Regioni e altri soggetti pubblici.   

È intervenuta, altresì, in tema di dematerializzazione delle prescrizioni mediche, rilasciando tre pareri, uno a marzo 2020 (doc. web n. 9296257) con il quale ha accolto positivamente lo schema di decreto sottopostole dal MEF - successivamente adottato e pubblicato nella G.U. 31 marzo 2020 n. 86 - che, modificando il decreto del 2 novembre 2011, prevede che siano individuati canali ulteriori, rispetto al Fascicolo sanitario elettronico (FSE), per la consegna all’assistito del promemoria dematerializzato della ricetta elettronica e due ad aprile e novembre 2020 (doc. web n. 9308089 e doc. web n. 9519603) con il quale, invece, ha accolto con favore lo schema di decreto del MEF, da adottare di concerto con il Ministero della salute, - successivamente adottato e pubblicato nella G.U. 15 gennaio 2021 n. 11 - che individua le modalità attraverso le quali l’assistito può accedere al portale Sistema Tessera Sanitaria (STS) per consultare e scaricare le ricette elettroniche generate dai medici prescrittori e i relativi promemoria dematerializzati, estendendo, altresì, la ricetta elettronica ai farmaci non a carico del SSN.  Il contesto emergenziale, in questo caso, ha favorito l’esigenza di portare a compimento il processo di dematerializzazione della ricetta medica avviato nel 2011.

Il contesto pandemico, del resto, ha portato il Garante a pronunciarsi anche sullo schema di decreto del MEF - successivamente adottato e pubblicato nella G.U. 5 novembre 2021, n. 276 - concernente le modalità attuative del sistema di refertazione dei tamponi antigenici rapidi da parte dei medici di medicina generale e pediatri di libera scelta e la messa a disposizione dei referti elettronici (doc. web n. 9563445). In tema di tamponi naso faringei per la ricerca del COVID-19, tra l’altro, l’Autorità è stata coinvolta da talune Regioni al fine di individuare modalità semplificate di accesso ai relativi referti e, nel caso della Regione Lombardia, ha considerato compatibile con la disciplina in materia di protezione dei dati personali il servizio telematico regionale che prevede, previo consenso informato dell’interessato, successivamente revocabile, l’accesso a specifica sezione del FSE ove prendere visione unicamente del referto relativo all’ultimo tampone effettuato disponibile per un tempo limitato. Nel caso di specie, infatti, l’intenzione della Regione era quella di individuare una nuova modalità di consultazione dei referti che andasse incontro a quanti ancora non erano in possesso di credenziali o dispositivi di autenticazione per accedere al FSE.    

L’Autorità, oltre all’attività sopradescritta, nel corso del 2020 ha anche preso in esame circa 150 segnalazioni e reclami in merito al trattamento dei dati personali effettuati da parte delle strutture sanitarie nell’ambito della gestione dell’emergenza sanitaria che hanno riguardato, in particolare, (i) la trasmissione ai pazienti affetti da COVID-19 o posti in isolamento fiduciario di informazioni relative alla loro condizione che, in molti casi, è avvenuta attraverso l’invio di e-mail a tutti i destinatari inseriti in chiaro nel campo relativo ai destinatari, consentendo senza giustificato motivo e in assenza di qualsivoglia presupposto normativo, a ciascuno di questi di prendere conoscenza dell’indirizzo di posta elettronica degli altri soggetti, e (ii) la ricezione, da parte di pazienti, di referti COVID-19 riferiti ad altri soggetti, ovvero, da parte di istituzioni, di elenchi dei soggetti positivi, al di fuori dei casi previsti dalle legge, in merito alla quale ha avviato distinte attività istruttorie che, in alcuni casi, hanno portato all’avvio di procedimenti sanzionatori. Numerose istruttorie hanno riguardato, inoltre, le attività di sorveglianza svolte dai dipartimenti di prevenzione delle aziende sanitarie svolte, in taluni casi, con modalità poco rispettose della disciplina sulla protezione dei dati personali, rispetto alle quali l’Autorità ha avviato procedimenti sanzionatori, ritenendo, invece, legittime le richieste da parte dell’operatore sanitario di conoscere l’identità delle persone con cui il soggetto positivo ha avuto un contatto stretto in quanto consentono di ricostruire la filiera dei contatti. A tale proposito, del resto, è stato messo in evidenza che le disposizioni di urgenza che implicano il trattamento dei dati personali, tra le quali ricade quella che prevede che l’operatore di sanità pubblica, al fine di determinare le misure di contenimento del contagio più opportune, ricostruisca la filiera dei contatti stretti del soggetto risultato positivo al COVID-19, sono frutto di un delicato bilanciamento tra le esigenze di sanità pubblica e quelle relative alla protezione dei dati personali, in conformità a quanto dettato dal GDPR per il perseguimento di motivi di interesse pubblico nei settori della sanità pubblica.

Nella relazione in commento, inoltre, il Garante, una volta ripercorsa l’attività svolta con particolare riferimento al contesto pandemico, ha rendicontato gli interventi effettuati in tema di sanità digitale e, in particolare, in merito alle tematiche di seguito descritte.

  1. Fascicolo sanitario elettronico (FSE) rispetto al quale l’Autorità, partendo dalla circostanza che la nuova formulazione ad opera del D.L. Rilancio dell’art. 12 del D.L. 179/2012 (cfr. nostre Circolari 150/2020 e 189/2020) - che prevede la costituzione e l’alimentazione automatica del FSE a prescindere dal consenso dell’interessato e dell’assistito - di fatto, non amplia il perimetro dei dati generati dalle strutture sanitarie facenti parte del SSN, ha ritenuto, anche in considerazione del regime di accessibilità allo stesso, subordinato al consenso dell’interessato, che il FSE possa essere alimentato anche con i dati e i documenti relativi alle prestazioni sanitarie erogate dal SSN antecedentemente alla data di entrata in vigore del D.L. Rilancio (19 maggio 2020) senza necessità di una espressa manifestazione di volontà dell’interessato alla ricorrenza delle seguenti condizioni: i) effettuazione di un’adeguata campagna informativa a livello nazionale e regionale della novità introdotta dal D.L. Rilancio, e ii) garanzia all’interessato del diritto di opporsi entro un termine non inferiore a 30 giorni. Diverso, invece, il caso delle prestazioni sanitarie erogate al di fuori del SSN che possono essere inserite nel FSE solo se relative a prestazioni sanitarie erogate successivamente alla data di entrata in vigore del D.L. Rilancio, ferma restando la possibilità per l’interessato di rendere disponibili le informazioni relative alle prestazioni sanitarie eventualmente ricevute dalle strutture sanitarie private prima del 19 maggio 2020 attraverso il “Taccuino personale.   

In merito alle tematiche relative all’implementazione del FSE a livello nazione, inoltre, l’Autorità ha reso noto di aver continuato a partecipare al tavolo tecnico di monitoraggio ed indirizzo per l’attuazione delle disposizioni in tema di FSE istituito presso il Ministero della Salute, fornendo chiarimenti sugli aspetti relativi al trattamento dei dati personali effettuato attraverso il detto fascicolo e, in particolare, indicazioni in merito (i) alle condizioni per l’accesso ai dati del fascicolo in condizioni di emergenza, (ii) alla definizione dei contenuti dei documenti consultabili attraverso il FSE, (iii) alla tipologia di informazioni da rendere agli interessati e al trattamento dei dati c.d. a maggior tutela (informazioni legate all’interruzione di gravidanza o all’HIV). Sono state, infine, avviate numerose istruttorie concernenti l’erronea attribuzione di referti e documenti sanitari al FSE di soggetti diversi dall’interessato e l’accesso da parte di personale che, seppur autorizzato, non era coinvolto nel processo di cura dell’interessato. Le fattispecie ricordate nella Relazione sono, nello specifico, quella di un policlinico universitario che a seguito dell’errata identificazione di un paziente in pronto soccorso aveva reso disponibile un referto nel FSE di una persona diversa dall’interessato e, dunque, era stato ammonito dal Garante - della quale vi abbiamo informato con il numero di Informaiop 373 - e quella della ASL che, avendo erroneamente inserito in 182 FSE (di cui solo 49 attivi) le lettere di dimissione ospedaliera di numerosi soggetti, ne aveva reso possibile in 14 casi l’accesso al titolare del FSE, e, dunque, era stata sanzionata dall’Autorità (doc. web n. 9440117 e doc. web n. 9542155).

  1. Dossier sanitario rispetto al quale il Garante ha rammentato di aver continuato a ricevere nel corso del 2020 numerose segnalazioni e reclami che hanno riguardato, in particolare, (i) il modo di accesso al dossier da parte di soggetti che, seppur autorizzati, non erano coinvolti nel processo di cura dell’interessato, a proposito del quale ha ricordato il provvedimento adottato nei confronti di un’azienda ospedaliera che non aveva adottato le misure tecniche e organizzative necessarie a tutelare i dati personali trattati attraverso il dossier sanitario aziendale, consentendo, dunque, accessi da parte di personale medico per ragion personali definite dalla stessa azienda come “mera curiosità” (doc. web n. 9269629), del quale vi abbiamo informato con il numero di Informaiop 341, (ii) il mancato oscuramento di alcuni dati e documenti a seguito di specifiche istanze presentate dagli interessati o, ancora, (iii) la presenza in dossier sanitari di dati relativi alla salute di terzi
  2. App in ospedale rispetto alle quali il Garante, richiamando le linee di indirizzo nazionali sul triage intraospedaliero del Ministero della salute (Accordo in sede di Conferenza Stato Regioni 1° agosto 2019), ha riconosciuto l’importanza dell’implementazione da parte delle strutture sanitarie di applicazioni idonee a consentire ai pazienti che effettuano un accesso al pronto soccorso e ai loro accompagnatori di monitorare l’iter diagnostico intrapreso, sottolineando, tuttavia nel contempo, la necessità di evitarne l’utilizzo qualora l’interessato si avvalga dei servizi ospedalieri per particolari eventi o patologie (si pensi alle vittime di violenza domestica). Nelle varie istruttorie avviate dall’Autorità, a seguito di notizie di stampa, ha ritenuto che le fattispecie esaminate rientrassero tra quelle per le quali il titolare è tenuto ad effettuare una preventiva valutazione di impatto, atteso che il trattamento riguarda dati sulla salute, che gli interessati sono soggetti vulnerabili e che si prevede l’uso innovativo o l’applicazione di nuove soluzioni tecnologiche o organizzative. Tanto è vero che, sulla base di tale presupposto, ha sanzionato una ASL che aveva avviato il trattamento dei dati personali dei pazienti del pronto soccorso, tramite un’app ad essi destinata, senza aver effettuato una valutazione di impatto (doc. web n. 9310804) mentre ha definito positivamente un altro caso esaminato in quanto nella valutazione di impatto si era tenuto conto delle diverse tipologie di accessi al pronto soccorso, escludendone esplicitamente alcune dal servizio e non indicando nel dettaglio la tipologia di visita specialistica effettuata in pronto soccorso (newsletter 6 aprile 2020, n. 464, doc. web n. 9307234).   

Il Garante, inoltre, ha avviato ulteriori istruttorie in tema di trattamento per finalità di cura e amministrative correlate alla cura che hanno portato, tra l’altro, a emanare tre provvedimenti sanzionatori nei confronti di (i) una ASL per aver effettuato un trattamento di dati personali degli interessati aderenti ad una campagna di prevenzione precoce dei tumori in violazione del diritto degli stessi di ricevere, al momento della raccolta dei dati, le informazioni di cui all’art. 13 del GPDR e degli obblighi del titolare in ordine alla corretta designazione del responsabile del trattamento (doc. web n. 9299150), (ii)  una azienda sanitaria per aver messo a disposizione di una società copie di immagini acquisite tramite TAC riferite ad alcuni pazienti, che la società stessa aveva rielaborato e utilizzato per la partecipazione ad una gara di appalto, in assenza di una adeguata base giuridica, non rilevando, nel caso di specie, che la detta società fosse stata nominata responsabile del trattamento dalla stessa azienda sanitaria in quanto i dati acquisiti erano destinati a trattamenti effettuati per finalità proprie della società non riconducibili a quelli oggetto della designazione (doc. web n. 9444819), e (iii) una Regione per aver trattato dati personali, anche relativi alla salute, nell’ambito delle attività connesse alla gestione del centro unico di prenotazione regionale (Cup) senza aver nominato quale responsabile al trattamento la società cooperativa che forniva il servizio di call center, non rilevando, nel caso di specie, che la detta società fosse stata nominata responsabile del trattamento da un soggetto che era stato a sua volta designato quale responsabile dalla Regione (doc. web n. 9542136 e doc. web n. 9542113).

Interessante, altresì, quanto evidenziato dall’Autorità nell’ambito di un reclamo avente ad oggetto una valutazione del contenuto del verbale di pronto soccorso redatto da un’azienda sanitaria e del documento di richiesta di consulenza da parte del pronto soccorso ad altra unità operativa. È stato, infatti, rilevato che la valutazione circa la pertinenza e la necessità delle informazioni presenti all’interno della documentazione ufficiale sanitaria e del verbale di pronto soccorso spetta esclusivamente al personale sanitario e non all’Autorità, anche in considerazione di quanto affermato dalla giurisprudenza per la quale il verbale di pronto soccorso va qualificato come atto pubblico e, come tale, fa piena prova fino a querela di falso relativamente alla provenienza dal pubblico ufficiale che lo ha firmato, alle dichiarazioni al medesimo rese, oltre agli altri fatti dal medesimo compiuti o che questi attesti essere avvenuti in sua presenza.

Di particolare rilievo, infine, il parere reso dal Garante al Consiglio di Stato in merito alle nuove modalità di ripartizione del Fondo sanitario nazionale tra le Regioni proposto dal Ministero della Salute e basate sulla stratificazione della popolazione (doc. web n. 9304455) a seguito del quale il legislatore ha introdotto con l’art. 7 del D.L. 34/2020 una adeguata base giuridica che consenta al Ministero tale attività. È stato previsto, infatti, espressamente che il Ministero possa trattare dati personali, anche relativi alla salute degli assistiti, raccolti nei sistemi informativi del SSN, per lo sviluppo di metodologie predittive dell’evoluzione del fabbisogno di salute della popolazione, e demandando a successivo regolamento, da adottarsi previo parere dell’Autorità, l’individuazione dei dati personali da trattare, le operazione eseguibili, le modalità di acquisizione dei dati dai sistemi e le misure appropriate e specifiche per tutelare i diritti degli interessati, nonché i tempi di conservazione dei dati trattati.

L’Autorità ha, inoltre, affrontato il tema della medicina di iniziativa rilasciando pareri alla Provincia autonome di Trento e alla Regione Friuli Venezia Giulia (doc. web n. 9344635 e doc. web n. 9469372) e sanzionando, altresì, un’azienda sanitaria della Regione Toscana che aveva promosso un modello organizzativo-assistenziale al fine di favorire “un approccio metodologico alla presa in carico e al processo di cura del paziente” che si traduceva in un “richiamo attivo e periodico del paziente per sottoporlo ad attività educative e clinico assistenziali, volte alla correzione dei stili di vita, all’empowerment, e alla diagnosi precoce”, per aver omesso l’istituzione del registro delle attività di trattamento, la nomina a responsabile del trattamento di un ente esterno alla quale era stato affidato il compito di procedere a numerosi e complessi trattamenti per conto dell’azienda, ivi compresi quelli relativi alla medicina di iniziativa, nonché per aver violato i principi e i criteri di sicurezza previsti dal GDPR (doc. web n. 9529527).

A conclusione del capitolo dedicato alla sanità, infine, il Garante rammenta i provvedimenti di ammonimento adottati nei confronti dei titolari che non hanno fornito riscontro alle richieste di accesso avanzate dagli interessati, benché debba rilevarsi che talune istanze siano da ricondurre nell’alveo del diritto di accesso alla documentazione amministrativa (doc. web n. 9305174, doc. web n. 9365178 e doc web n. 9453071).

In tema di ricerca scientifica, invece, l’Autorità ha riportato nella relazione in commento due provvedimenti con i quali ha espresso pareri favorevoli in ordine al trattamento dei dati personali per finalità di ricerca medica, biomedica ed epidemiologica, in ragione dell’impossibilità di acquisire il consenso al trattamento dei dati personali da parte degli interessati, rimarcando, in entrambi i casi, l’importanza della informativa da rendere agli interessati attraverso qualsiasi modalità ritenuta efficace e idonea (doc. web n. 9517401 e doc. web n. 9520597). Ha ricordato, altresì, le interlocuzioni informali con il Ministero della salute sulle bozze di regolamento per l’istituzione di taluni registri di mortalità, di tumori e di altre patologie in merito ai quali ha evidenziato, in via generale, la necessità che il Ministero accompagni tali atti di natura regolamentare con una relazione illustrativa e una valutazione di impatto.      

Si tratta, dunque, come è facile desumere da quanto sopra descritto nei tratti fondamentali, di un’ingente attività posta in essere dall’Autorità nel corso dell’anno appena trascorso che permette alle nostre strutture associate di avere una panoramica generale delle tematiche privacy che hanno interessato il mondo sanitario.

Previous Article Allerta variante Delta in Europa
Next Article Decreto Sostegni-bis. Misure urgenti connesse all’emergenza da Covid-19
Please login or register to post comments.

Rassegna Stampa Regionale

Articoli delle principali testate giornalistiche nazionali e della stampa locale relativi a sanità, ricerca scientifica e medicina, con una maggior attenzione alla realtà ligure. Il servizio integrale è riservato agli associati Aiop Liguria.

 

Rassegna Stampa Nazionale

RassAiop3HP

La rassegna stampa 
della sanità privata

Servizio riservato agli associati Aiop

Link Istituzionali

Copyright 2024 by Aconet srl
Back To Top