Sanità digitale, tutti i risvolti privacy: come tutelare i dati personali garantendo l'assistenza - Cyber Security 360

PRIVACY E SANITà

Sanità digitale, tutti i risvolti privacy: come tutelare i dati personali garantendo l’assistenza

La Sanità digitale ha avuto nell’ultimo periodo uno sviluppo intenso, a causa delle nuove necessità che si sono presentate nel corso della pandemia da coronavirus legate al bisogno di fornire assistenza ma di garantire la sicurezza: le soluzioni sanitarie tecnologiche, però, hanno un impatto privacy che è utile approfondire

25 Giu 2021
G
Vincenzo Giardino

Managing director - Investor Advisors SPA

Z
Rodolfo Zani

Avvocato, Studio Associato Servizi Professionali Integrati – Fieldfisher Global

Le problematiche causate dalla pandemia da Covid-19 hanno reso necessario ripensare l’organizzazione complessiva del Sistema sanitario nazionale, in particolar modo a livello territoriale, accelerando la necessità di nuove tecnologie in campo medicale e strumenti high-tech in grado di rilevare i parametri vitali in maniera precisa e veloce con la possibilità di condividere i dati in tempo reale, gestendo al meglio e in maniera smart i processi collegati.

Soluzione relative alla telemedicina però hanno impatti privacy che, alla luce del GDPR, è bene approfondire.

Le tecnologie della sanità digitale

Molto spesso si utilizza impropriamente dal punto di vista tecnico il termine “telemedicina”, ma la realtà va oltre le technicalities del caso: la possibilità di poter assistere i pazienti – a distanza – tramite un device sta rivoluzionando la nostra sanità a 360 gradi, dal pubblico al privato. Nello specifico oggi è possibile effettuare:

  • Televisita: il medico interagisce in tempo reale, a distanza, con il paziente. Qualora quest’ultimo non fosse indipendente sarà necessario l’aiuto del care-giver. Durante questo consulto è fondamentale che esista la possibilità di scambiare tra le parti istantaneamente dati quali referti medici, immagini, audio, video, dati clinici e via dicendo.
  • Teleconsulto: il medico condivide i referti degli esami del paziente e i dati clinici, con altri “colleghi” attraverso una videochiamata, per discutere del caso specifico. Nell’ipotesi in cui il paziente è coinvolto direttamente nel consulto, tale attività si definisce visita multidisciplinare.
  • Teleconsulenza medico-sanitaria: attività sanitaria non per forza medica, che consiste nel supporto durante lo svolgimento di attività sanitarie a cui segue una videochiamata con il medico. Lo scopo della teleassistenza è di agevolare la corretta esecuzione delle attività assistenziali.
  • Telerefertazione: relazione scritta e trasmessa per mezzo di sistemi di telecomunicazione e digitali dal medico al paziente, identica alle classiche refertazioni rilasciate a seguito di esami eseguiti di persona.

Prendendo come esempio i sistemi sanitari tecnologicamente più integrati, come quello israeliano – che tra i settori più rappresentativi del paese ha quello dei dispositivi medici che integrano tecnologie nel campo dell’elettronica, delle telecomunicazioni e dell’informatica avanzata – appare sempre più evidente che oggi si “cura e si fa medicina d’avanguardia con i dati”, ma solo e soltanto se quest’ultimi sono fruibili e interconnessi.

Maze e Ransomware as a Service: sanità sotto minaccia della doppia e tripla estorsione

Digital therapeutics, come funzionano

Un recente esempio è quello dello Sheba Medical Center di Tel Aviv che in risposta all’epidemia Covid-19 ha avviato il primo programma di telemedicina, che comprende una soluzione “robotica” sviluppata da Intouch Health per intervenire in modo sicuro in zone ad alta carica virale e un’applicazione di telemedicina progettata da Datos Health per l’assistenza domiciliare. L’anno appena trascorso ha anche permesso al mercato delle terapie digitali, conosciute anche come “digital therapeutics”, di espandersi.

Sono tecnologie che attraverso l’utilizzo di software avanzati, offrono interventi terapeutici al fine di prevenire, gestire o trattare le condizioni fisiche, mentali e comportamentali della persona e possono essere sotto forma di applicazioni, app per smartphone, videogiochi, siti web o addirittura software integrati in dispositivi indossabili wearable. All’estero, ormai da parecchi anni, vengono trattate attraverso questo metodo malattie croniche come l’ipertensione e il diabete, malattie mentali come la depressione e l’ansia, qualità del sonno e dipendenze sia da fumo che da altre sostanze.

Ad esempio la Food and Drug Administation ha approvato l’app ReSET che cura chi soffre di dipendenza e/o abuso di oppiacei attraverso la terapia cognitivo-comportamentale.

La situazione in Italia

In Italia però questo tipo di “cure” non sono molto diffuse né conosciute come nel resto del mondo e per questo motivo l’Istituto Superiore di Sanità e l’Agenzia Italiana del Farmaco stanno avviando percorsi di sviluppo e inquadramento delle terapie digitali necessari per poterne approvare la commercializzazione. Attualmente la tecnologia digitale nel nostro Paese permette sicuramente di semplificare i processi amministrativi sanitari come prenotare visite, ritirare referti, cercare informazioni, ecc. ma ancora non è completamente disponibile e fruibile lo strumento cardine che deve veicolare il flusso informativo: il Fascicolo Sanitario Elettronico, contenente l’intera storia clinica del paziente.

Secondo lo studio di Deloitte “Outlook Salute Italia 2021”, solo un italiano su cinque ha attivato il suo FSE e meno del 25% comunica con il proprio medico via chat o app, nonostante lo smartphone sia entrato nell’utilizzo comune. Il campione evidenzia, inoltre, su una quota non trascurabile di famiglie (circa 1 su 3 nell’ultimo triennio) una marcata mobilità sanitaria extra regione (particolarmente diffusa al Sud) per visite specialistiche, evidenziando la reale necessità di accedere a servizi non presenti nel proprio territorio.

L’utilizzo dell’IoT, dei big data e delle tecniche di machine e deep learning possono abilitare nuove frontiere nella medicina predittiva e preventiva molto tempo prima della comparsa di sintomi, arrivando perfino a immaginare un’intelligenza artificiale a supporto del medico: anche in questo caso l’accesso istantaneo all’intero set di dati è fondamentale. E le informazioni sanitarie che debbono essere raccolte sono straordinariamente numerose e richiedono strumenti in grado di archiviarle correttamente. Pensiamo ad esempio[1]che i dati immagazzinati in un ospedale con 20 anni di attività raggiungono la dimensione mostruosa di 3,6 petabytes, ossia circa 4 miliardi di megabytes. Appare quindi evidente come i processi e i mezzi di raccolta, elaborazione e analisi dei dati possano garantire la trasformazione digitale necessaria ad intraprendere le sfide che il sistema sanitario italiano dovrà affrontare nel prossimo futuro.

La normativa di riferimento

Questi sono i prossimi scenari ma vediamo di seguito quali sono oggi gli adempimenti necessari per erogare servizi di telemedicina. Dal punto di vista regolamentare il documento di riferimento è quello approvato dalla Conferenza Stato Regioni del 2014[2]dove sono state definite le Linee di indirizzo Nazionali.

In tale protocollo la telemedicina è stata individuata come la modalità di “curare” il paziente attraverso l’erogazione di servizi di assistenza sanitaria, tramite il ricorso a tecnologie innovative, in particolare alle Information and Communication Technologies (ICT), in situazioni in cui il professionista della salute e il paziente non si trovano nella stessa località. “La telemedicina comporta la trasmissione sicura di informazioni e dati di carattere medico nella forma di testi, suoni, immagini o altre forme necessarie per la prevenzione, la diagnosi, il trattamento e il successivo controllo dei pazienti.

I servizi di telemedicina vanno assimilati a qualunque servizio sanitario diagnostico/ terapeutico. Tuttavia la prestazione in telemedicina non sostituisce la prestazione sanitaria tradizionale nel rapporto personale medico-paziente, ma la integra per migliorare potenzialmente efficacia, efficienza e appropriatezza. La telemedicina deve altresì ottemperare a tutti i diritti e obblighi propri di qualsiasi atto sanitario”.

Come si intuisce già nella definizione, così come viene enfatizzato anche nella successiva Conferenza Stato Regioni del dicembre 2020[3], le infrastrutture informatiche e telematiche sicure e il rispetto rigoroso delle normative sul trattamento dei dati personali, sia comunitarie[4] che nazionali[5], sono considerati elementi essenziali di una corretta gestione della telemedicina.

Gli aspetti privacy

Per quanto riguarda la privacy, l’Autorità Garante per la protezione dei dati personali, ha accompagnato con i propri interventi l’ingresso delle nuove tecnologie informatiche nella medicina[6]; si citano al riguardo le Linee guida in tema di referti on line[7], quelle relative al Fascicolo sanitario elettronico e dossier sanitario[8] e i “chiarimenti sulla disciplina per il trattamento dei dati relativi alla salute in ambito sanitario”[9].

Pur in assenza di una organica specifica normativa, gli adempimenti privacy che deve porre in essere una struttura sanitaria che opera attraverso la telemedicina sono molteplici e commisurati alla delicatezza dei dati particolari da trattare.

Innanzi tutto occorrerà progettare fin dall’inizio il sistema di trattamento secondo un analisi di privacy by design e by default (art.25 GDPR)[10]. Per tali principi i titolari debbono richiedere i soli dati necessari a fornire la prestazione sanitaria ed implementare misure tecniche e organizzative che evitino una modifica o perdita dei dati e ne assicurino la sicurezza durante tutto il ciclo del servizio.

Debbono poi esserne previsti i tempi massimi di conservazione e la cancellazione successiva oltre ad una procedura semplice che individui modalità in grado di dare tempestive e chiare risposte alle richieste dell’interessato. Qualora la piattaforma utilizzata sia fornita da un fornitore occorrerà preventivamente verificare l’affidabilità del fornitore stesso.

Prima del trattamento sarà necessario effettuare un piano di valutazione dei rischi del trattamento commisurato alla tipologia dei servizi forniti con la previsione di rivalutazione periodica e che espliciti le modalità di segnalazione e notifica di eventuali incidenti o mancati incidenti. Andrà poi effettuata una valutazione d’impatto (Art. 35 GDPR) – la procedura finalizzata ad analizzare gli interventi predisposti per la mitigazione dei rischi per i diritti e le libertà delle persone derivanti dal trattamento dei loro dati personali – anche avvalendosi del parere del Responsabile della protezione dei dati, al fine di valutare l’efficacia delle misure adottate per ridurre il rischio, l’eventuale rischio residuo e la sua accettabilità.[11]

Andranno aggiornati il registro dei trattamenti (art. 30 GDPR) – che deve essere integrato ad ogni nuovo trattamento – e l’informativa (art. 13 GDPR) da sottoporre agli interessati.

L’informativa andrà redatta o integrata con le previsioni di come verrà gestita e mantenuta l’informazione sanitaria e chi avrà accesso ai dati personali e clinici dell’utente/paziente; quali strutture e professionisti verranno coinvolti; quali saranno i compiti di ciascuna struttura e le relative responsabilità; gli estremi identificativi del titolare e di almeno un responsabile del trattamento; quali sono le modalità con cui rivolgersi al titolare e al responsabile; quali sono i diritti dell’assistito relativi al trattamento dei propri dati. Occorrerà inoltre valutare la necessità o meno della raccolta del consenso dell’utente/paziente.

Il provvedimento del Garante privacy italiano

Al proposito il Garante è intervenuto con il Provvedimento n 55 del marzo 2019 precedentemente citato, confermando la non necessità del consenso quando i trattamenti riguardano finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero la gestione dei servizi sanitari o sociali effettuati da (o sotto la responsabilità) di un professionista sanitario soggetto al segreto professionale.

Diversamente quando il trattamento non è strettamente necessario alla cura (finalità diverse dalla telemedicina-ad esempio per la cura del corpo-, quelle commerciali o di fidelizzazione)[12]andrà raccolto il consenso dell’interessato.

Così come rimane necessario il consenso per quanto riguarda i trattamenti effettuati attraverso il Dossier sanitario e la refertazione on-line in quanto previsto dalle rispettive norme di riferimento[13].

L’importanza della formazione

Tutti i collaboratori della struttura sanitaria andranno debitamente autorizzati al trattamento dei dati degli utenti/pazienti con precise istruzioni in merito all’ambito e alle corrette modalità di trattamento e dovranno ricevere appropriata formazione.

Per quanto riguarda gli eventuali fornitori cui potranno essere affidate alcune mansioni, qualora trattino i dati degli interessati, ad esempio per la gestione/manutenzione della piattaforma tecnologica, occorrerà che siano individuati quali responsabili del trattamento (art.28 GDPR) con puntuali regole relative al trattamento e alle necessarie misure di sicurezza da implementare.

Conclusione

Come si può constatare, la struttura pubblica o privata che intende attivare la telemedicina dovrà dotarsi sia di uno strumento informatico affidabile ed in grado di trasferire immagini e suoni in sicurezza sia di attori che operino non solo nel rispetto del diritto sanitario e delle norme relative alla responsabilità professionale ma anche di tutta la normativa sul trattamento dei dati personali affinché sia tutelata la dignità della persona ed il diritto alla riservatezza e integrità dei suoi dati particolari.

Va poi evidenziata un ulteriore questione. Se da un lato i dati sono fondamentali, anche la capacità di utilizzarli è essenziale, ma in questo l’Italia, secondo l’indice di digitalizzazione dell’economia e della società[14] del 2020, arriva soltanto al venticinquesimo posto su 28 paesi membri dell’UE, davanti solo a Grecia, Bulgaria e Romania. Fanalino di coda anche sul “capitale umano”, ovvero l’indicatore di competenze digitali, avendo soltanto il 42% della popolazione tra i 16 e 74 anni con competenza digitali base con conseguenza basso utilizzo (in confronto al 58% della media europea) dei servizi online (e.g., servizi bancari, shopping, vendita online).

L’occasione per mitigare in parte i ritardi del Paese relativamente alla digitalizzazione e all’utilizzo dei sistemi informativi e conseguentemente di ipotizzare una riforma più strutturale della Sanità sia pubblica che privata con un forte impulso alla telemedicina, sarà il Recovery Plan dove – secondo la bozza disponibile e le ultime dichiarazioni dei ministri competenti – oltre 40 miliardi sono previsti per la digitalizzazione e una buona parte dei 18 miliardi della sanità saranno disponibili per le cure a casa e ai processi ad essa collegati

 

NOTE

  1. Secondo uno studio di IMIS (Istituto per il Management dell’Innovazione in Sanità)
  2. Telemedicina: Linee di indirizzo nazionali pubblicate dal Ministero della Sanità il 17 marzo 2014

  3. “Indicazioni Nazionali per le prestazioni in Telemedicina”

  4. la precedente direttiva ed il General Data Protection Regulation 679/2016), nonché le Linee guida e provvedimenti del W.P.29 e dell’European Data Protection Board

  5. Codice Privacy del 2003 e l’attuale, così come novellato dal D. Lgs. 101/2018

  6. Proprio nella sede dell’Autorità nel 2014, in occasione della discussione in merito alle Linee Guida Nazionali, si è tenuto il convegno organizzato dalla Società italiana di telemedicina e sanità elettronica su “privacy e telemedicina tra diritto del paziente alla riservatezza ed utilità della condivisione del dato sanitario”

  7. LLinee guida in tema di referti on-line del 25 giugno 2009 doc. web 1630271

  8. Linee guida in tema di Fascicolo sanitario e dossier sanitario del 16 luglio 2009 doc. web 1634116 e del 4 giugno 2015 doc. web 4084632

  9. Doc. web 9041942 del 7 marzo 2019 reperibile sul sito dell’Autorità

  10. Secondo le “ Guidelines 4/2019 on article 25 Data Protection By Design and by Default” dell’EDPB

  11. Guidelines on Data Protection Impact Assessment dell’Art. 29 WP 13.10.2017

  12. Faq dell’Autorità francese (CNIL) del 17 luglio 2018

  13. Decreto Legge 179 del 2012 e Decreto del Presidente del Consiglio del 8 agosto 2013

  14. c.d. Digital Economy and Society Index (DESI)

@RIPRODUZIONE RISERVATA

Articolo 1 di 5