Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

Editoriale – Sanità digitale e privacy: un connubio non facile

di Michele Iaselli

Tra i settori con maggiori problemi in materia di privacy le strutture medico-ospedaliere brillano per inefficienza e con l’avvento della sanità digitale troviamo sempre nuove lacune difficili da colmare. Da tempo sostengo che la materia sanitaria è una materia estremamente complessa, anche in considerazione della delicatezza dei dati che vengono trattati e in questo periodo dove troppo facilmente si parla di consulenti privacy o Data Protection Officer sarebbe il caso di formare una figura specializzata proprio nel settore sanitario.

In effetti, forse anche per anticipare i riflessi di un Regolamento Europeo ormai alle porte, molti ospedali e ASL hanno creato degli uffici privacy con il compito specifico di curare gli aspetti applicativi della normativa e risolvere criticità. Da un punto di vista organizzativo nulla da eccepire, ma in realtà questi uffici sono costituiti da dipendenti che conoscono poco la normativa e cercano affannosamente di documentarsi per affrontare in modo più serio e competente il loro lavoro. La conseguenza è che in sostanza la situazione risulta addirittura peggiorata, poiché le stesse strutture una volta creati questi uffici, abbassano il livello di attenzione sul rispetto della normativa rinunciando anche a forme di consulenza esterna.

Il risultato: tantissime denuncie e richieste risarcimento danni, diverse sanzioni irrogate dal Garante a seguito di ispezioni (ospedali di Bologna, Roma, Trieste, ecc.) che hanno avuto per oggetto principalmente il dossier sanitario o comunque aspetti inerenti alla sanità digitale.

Proprio di recente la situazione normativa e regolamentare si è ulteriormente evoluta con l’emanazione sia delle linee guida in materia di dossier sanitario approvate con deliberazione del Garante del 4 giugno 2015 che del Regolamento in materia di Fascicolo Sanitario Elettronico (FSE) con DPCM n. 179 del 29 settembre 2015.
Effettivamente nell’ambito della sanità digitale assumono particolare rilevanza due documenti digitali sanitari: il Fascicolo Sanitario Elettronico (FSE) ed il dossier sanitario.

Tali documenti ed in particolare il FSE già sono stati previsti e disciplinati in diversi provvedimenti legislativi che si sono occupati di sanità digitale.
In particolare occorre annotare il decreto legge n. 158/2012 convertito con modificazioni dalla legge n. 189/2012, il decreto legge n. 179/2012 (c.d. “decreto crescita 2.0”) convertito con modificazioni dalla legge n. 221/2012 e – da ultimo – il decreto legge n. 69/2013 (c.d. “decreto del fare”) convertito con modificazioni dalla legge n. 98/2013.
In realtà, prima di questi contributi, fonti normative che disciplinassero il tema de qua non esistevano. Gli unici riferimenti erano contenuti nelle linee guida del Ministero della salute e nelle linee guida del Garante per la protezione dei dati personali in materia di fascicolo sanitario elettronico e di dossier elettronico risalenti al 16 luglio 2009. Queste linee guida rappresentano il primo intervento di carattere disciplinare avente per oggetto la regolamentazione dal punto di vista privacy della cd. “sanità elettronica” e più propriamente del fascicolo sanitario elettronico.
Troviamo, quindi nello stesso provvedimento del Garante le prime definizioni di questi documenti.

Il Fascicolo sanitario elettronico viene definito come il fascicolo formato con riferimento a dati sanitari originati da diversi titolari del trattamento operanti più frequentemente, ma non esclusivamente, in un medesimo ambito territoriale (es., azienda sanitaria, laboratorio clinico privato operanti nella medesima regione o area vasta).
Il dossier sanitario, invece, pur riguardando gli stessi dati è costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es., ospedale o clinica privata) al cui interno operino più professionisti.

A distanza di diversi anni l’Autorità ha ritenuto necessario rivedere e più che altro integrare le precedenti linee guida con un nuovo provvedimento che ha la finalità principale di fornire un quadro di riferimento unitario per il corretto trattamento dei dati raccolti nei dossier, già istituiti o che si intendono istituire,  da parte di strutture sanitarie pubbliche e private.

Difatti  affinché i dossier sanitari in uso presso le strutture sanitarie siano effettivamente degli strumenti di ausilio nei processi di diagnosi e cura dei pazienti è necessario che gli stessi siano realizzati con modalità tali da garantire in primo luogo la certezza dell’origine e della correttezza dei dati e l’accessibilità degli stessi solo da parte di soggetti legittimati. A questi aspetti sono connessi i principali rischi che il Garante ha potuto riscontrare nell’esame di numerosi dossier sanitari oggetto delle istruttorie svolte dall’Ufficio. Tali rischi derivano spesso dalla circostanza che, nella maggior parte dei dossier sanitari esaminati gli stessi sono stati sviluppati in modo non strutturale e organizzato, bensì partendo da alcune iniziative estemporanee di informatizzazione delle cartelle cliniche di reparto o di ambulatorio e, quindi, senza tener conto del fatto che si andava predisponendo un sistema informativo in grado di gestire potenzialmente l’intera storia clinica di un individuo. Ciò ha determinato la realizzazione di sistemi in cui la mancanza di certezza sull’autenticità delle informazioni presenti, la possibilità che le stesse siano accessibili e modificabili da parte di soggetti non legittimati o siano persino diffuse, la non disponibilità delle stesse costituiscono rischi reali per lo più non considerati dalle strutture sanitarie almeno nelle prime fasi di realizzazione dei dossier.

Riguardo il FSE, l’istituzione di questo documento digitale era stata originariamente prevista  a cura delle Regioni entro il 30 giugno 2015. Inoltre, ai sensi e per gli effetti di cui al comma 7 dell’art. 12 del decreto legge 179/2012, entro novanta giorni dalla entrata in vigore della legge di conversione (L. n. 221/2012), dovevano essere stabiliti – con uno o più decreti – i contenuti del FSE; i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione; i sistemi di codifica dei dati; le garanzie e le misure di sicurezza da adottare nel trattamento dei dati; le modalità ed i livelli diversificati di accesso al FSE da parte dei soggetti autorizzati; la definizione di un codice identificativo univoco dell’assistito che non consenta l’identificazione diretta dell’interessato; e, infine, i criteri di interoperabilità del FSE a livello regionale, nazionale ed europeo.

Tutti aspetti questi che, con un certo ritardo, sono stati affrontati e disciplinati nel Regolamento del 29 settembre 2015.
Considerata, quindi, l’importanza e la delicatezza della materia ed una costante evoluzione normativa è il caso che le ASL, gli ospedali e tutte le strutture sanitarie rinuncino ad un incomprensibile atteggiamento elitario ed accettino i consigli e la collaborazione di professionisti che da molti anni ormai affrontano e risolvono problematiche nel settore. Indubbiamente bisogna stare attenti ai falsi esperti privacy che, purtroppo, oggi come oggi sono molto numerosi, ma i professionisti seri e competenti fortunatamente ci sono, basta solo cercarli.

Inoltre il personale va adeguatamente formato, poiché anche l’infermiere e non solo il medico deve essere messo al corrente di aspetti applicativi molto importanti. Ad oggi mi risulta che solo pochissime strutture ospedaliere hanno portato avanti o comunque stanno portando avanti un serio programma formativo, come del resto richiede la stessa normativa.
Deve, insomma, nascere una vera e propria coscienza della privacy che oggi è totalmente inesistente.

 


 

Altri articoli di Michele Iaselli

RegolamentoPrivacyUE_100 Editoriale: Finalmente abbiamo il Regolamento europeo sulla protezione dei dati personali. Ed adesso?
di Michele Iaselli (N. II_MMXVI)
Il Regolamento europeo, in molti casi, si presenta sostanzialmente come una petizione di principi per cui saranno necessari interventi sostanziali del legislatore e dello stesso Garante al fine di chiarire molti aspetti normativi.
CAD Editoriale – Riforma del CAD: dubbi e perplessità
di Michele Iaselli (N. I_MMXVI)
Di recente è stato licenziato dal Governo uno schema di decreto legislativo che reca modifiche ed integrazioni al CAD in esecuzione della delega parlamentare. Dall’esame di questa prima versione del provvedimento possiamo già individuare luci ed ombre come sempre accade quando il legislatore si cimenta nel campo delle nuove tecnologie. Non sempre, purtroppo, è facile conciliare le complesse caratteristiche di un dispositivo o servizio tecnologico con le esigenze specifiche della normazione e talvolta le stesse norme diventano di difficile comprensione.
giu AD UN FORNITORE DI ACCESSO A INTERNET PUÒ ESSERE ORDINATO DI BLOCCARE L’ACCESSO AD UN SITO WEB CHE VIOLA IL DIRITTO D’AUTORE
di Michele Iaselli (N. IV_MMXV)
Corte di giustizia dell’Unione europea,sentenza nella causa C-314/12 del 27 marzo 2014. Un soggetto che mette a disposizione del pubblico su un sito Internet materiali protetti senza l’accordo del titolare di diritti utilizza i servizi della società che fornisce l’accesso ad Internet ai soggetti che consultano tali materiali. Pertanto, un fornitore di accesso ad Internet che consente ai suoi abbonati l’accesso a materiali protetti messi a disposizione del pubblico su Internet da un terzo è un intermediario i cui servizi sono utilizzati per violare un diritto d’autore.
dichiarazione_internet Editoriale – La “Dichiarazione dei diritti in Internet”: che valore attribuire a questo documento?
di Michele Iaselli (N. III_MMXV)
Il 14 luglio 2015 è stata predisposta la c.d. “Dichiarazione dei diritti in Internet” un documento, composto da 14 articoli, elaborato dalla “Commissione per i diritti e i doveri relativi ad Internet”. Lo stesso documento è stato presentato alla Camera dei Deputati il 28 luglio 2015 ed ha dato luogo ad una rilevante eco mediatico non sempre favorevole, con forti critiche da parte di molti giuristi. Cerchiamo di capire perché e principalmente se tali critiche siano fondate o meno.
TeleICU PROGETTO “TELE-ICU” PER LA TELEMEDICINA CHE ARRIVI FINO ALLA TERAPIA INTENSIVA
di Michele Iaselli (N. II_MMXV)
Ha preso il via il progetto pilota “Tele – ICU”, che prevede, grazie ai programmi di teleconsulto e di telemedicina, di integrare competenze ed esperienze per offrire la più qualificata assistenza clinica ai pazienti più complessi ricoverati in terapia intensiva a Caltanissetta e a Taormina.
rete Editoriale – Quel distorto uso della Rete
di Michele Iaselli (N. II_MMXV)
Con l’avvento della digitalizzazione si sta assistendo all’emergere di giovani studiosi che, sfruttando i mezzi del web 2.0 come i blog, i social network, ecc. hanno creato interessanti spazi tematici dove evidenziare ed approfondire le maggiori problematiche giuridiche che coinvolgono il mondo del web e non solo. Ma per molti la presenza in rete è solo un modo per bruciare le tappe, per trovare un’affermazione personale più rapida, per farsi notare sfruttando l’indubbia funzione di cassa di risonanza propria del web..
fatturapa-lait FATTURA ELETTRONICA: NUOVO SOFTWARE OPEN SOURCE PER LA PUBBLICA AMMINISTRAZIONE
di Michele Iaselli (N. III_MMXIV)
La collaborazione tra l’Agenzia per l’Italia Digitale e LAit spa, azienda di innovazione tecnologica della Regione Lazio, ha prodotto un nuovo risultato di cui beneficiano le Amministrazioni pubbliche, in particolare quelle che dal 6 giugno scorso ricevono fatture in formato elettronico.
strasburgo1 PRINCIPI GENERALI DEL PROSSIMO REGOLAMENTO EUROPEO IN MATERIA DI PROTEZIONE DEI DATI PERSONALI
di Michele Iaselli ( n.I_MMXIV )
Parlamento Europeo - Votazione del 12 marzo 2014. Il 12 marzo 2014 il Parlamento Europeo ha votato la prima lettura del nuovo progetto europeo sulla protezione dei dati personali, approvando il Regolamento con 621 voti favorevoli, 10 contrari e 22 astensioni, e la Direttiva con 371 voti a favore, 276 contrari e 30 astenuti (rif. http://www.europarl.europa.eu). Il lavoro è così trasmesso al prossimo Parlamento che sarà formato in seguito alle elezioni europee di maggio.
furto_identia NOVITÀ LEGISLATIVE SULLA FRODE INFORMATICA CON FURTO D’IDENTITÀ
di Michele Iaselli ( n.IV_MMXIII )
Il decreto legge 14 agosto 2013, n. 93, convertito dalla legge 15 ottobre 2013, n. 119 ha introdotto, per la prima volta, nel codice penale, la nozione di “identità digitale”, prevedendo un’aggravante per il delitto di frode informatica (art. 640-ter), “se il fatto è commesso con sostituzione dell’identità digitale in danno di uno o più soggetti”. Le ipotesi di reato collegate a simili forme di abuso possono essere le più varie, ma si riconducono tutte senz’altro al furto di identità. Il Garante sta esaminando questo problema del furto d’identità con viva preoccupazione, ponendo la sua attenzione in tutti quei settori particolarmente delicati collegati alle nuove tecnologie.
razionalizzazione IL PIANO DI RAZIONALIZZAZIONE DEI CED DELLE PP.AA.
di Michele Iaselli ( n.III_MMXIII )
Il 6 ottobre 2013 è stato reso disponibile sul sito web dell’Agenza dell’Italia Digitale (AgID) lil documento riportante le linee guida per la razionalizzazione delle infrastrutture digitali delle PP.AA., che costituisce il risultato del recente censimento effettuato dalla stessa Agenzia. Tale analisi ha messo in luce varie problematicità, tra cui la frammentazione delle risorse ICT e la mancanza di interoperabilità tra i sistemi informativi delle amministrazioni pubbliche.
Translate »