eHalth e protezione dei dati personali

anche alla luce del nuovo

Regolamento UE 679/2016

Franco Cardin

Coordinatore Consiglio Direttivo ANORC

Coordinatore nazionale ANORC Privacy

franco.cardin@alice.it

Le sfide dei sistemi di assistenza

sanitaria in Europa 1/2

La spesa pubblica in ambito sanitario nei 27 Stati membri dell’UE

e passata da una media del 5,9% del PIL nel 1990 al 7,2% del

PIL nel 2010 e secondo le proiezioni il dato potrebbe crescere

ulteriormente fino all’8,5% del PIL nel 2060;

Le attuali stime prevedono che la percentuale della popolazione

anziana (over 65) e molto anziana (over 80) nell’UE dovrebbe

crescere rispettivamente dal 17,4% del 2010 al 30,0% nel 2060 e

dal 4,7% del 2010 al 12,1% nel 2060.

Le sfide dei sistemi di assistenza

Sanitaria in Europa 2/2

Lo scenario epidemiologico, socioeconomico e culturale, in cui oggi

operano i sistemi sanitari, e caratterizzato:

da un progressivo invecchiamento della popolazione e dalla conseguente

diffusione di patologie cronico-degenerative che si caratterizzano per

l’elevata onerosità di gestione, sia in fase di ricovero che di assistenza

territoriale;

dall ’assunzione da parte dei cittadini/utenti di un ruolo sempre più

proattivo con conseguenti richieste di maggiore trasparenza e

partecipazione al percorso diagnostico, terapeutico e riabilitativo che li

riguarda, al fine di migliorare il proprio benessere.

Commissione Europea: Piano d’Azione

“Sanità Elettronica” 2012-2020

Le opportunità della sanità elettronica in Europa

L’utilizzo di soluzioni e strumenti di sanità elettronica, comprese le

applicazioni per dispositivi mobili (Mobile Health), accompagnato da

adeguati cambiamenti di ordine organizzativo nei sistemi sanitari, può

comportare:

un miglioramento della salute e della qualità della vita dei

cittadini/utenti, dovuta alla maggiore efficacia dei processi di cura e di

riabilitazione;

una maggiore efficienza e produttività dei sistemi sanitari e,

conseguentemente, la possibilità di preservarne la sostenibilità

economica;

un’opportunità di crescita del mercato delle tecnologie informatiche e

telematiche dedicate alla sanità.

Commissione Europea: Piano d’Azione

“Sanità Elettronica” 2012-2020

Gli ostacoli allo sviluppo della sanità elettronica in Europa

Nonostante queste opportunità e vantaggi, la diffusione su vasta scala

dell’eHealth e, in particolare dell’mHealth, e intralciata dai seguenti

ostacoli:

sensibilizzazione carente e scarsa fiducia nelle soluzioni di sanità

elettronica da parte di cittadini/pazienti e operatori sanitari;

mancanza di interoperabilità tra le diverse soluzioni di sanità

elettronica;

assenza di chiarezza giuridica sulle applicazioni mobili nel settore

sanitario e del benessere e mancanza di trasparenza sull’uso dei

dati rilevati con tali applicazioni;

Il “Privacy sweet 2014”

Indagine realizzata nella settimana tra il 12 e il 18 maggio 2014,

promossa dal Global Privacy Enforcement Network (GPEN), la

rete internazionale nata per rafforzare la cooperazione tra 28

Autorità della privacy di diversi Paesi.

Considerata la particolare natura sensibile dei dati personali

utilizzati, nonché il sempre crescente sviluppo del settore della

mHealth, l’Autorità Garante del nostro paese ha scelto di

effettuare l’indagine nell’ambito delle applicazioni mediche,

accertando che circa il 50% di queste app, non fornisce agli utenti

un’adeguata informativa prima del loro download o raccoglie dati

personali eccedenti e non pertinenti rispetto alle funzionalità

offerte.

Sanità digitale

ePrescription - ricetta medica elettronica;

Dematerializzazione dei referti medici e delle cartelle cliniche;

Referti online;

Fascicolo sanitario elettronico

Strategia per la crescita digitale 2014 - 2020 (Presidenza Consiglio dei Ministri 3.3.2015)

I percorsi assistenziali per il cittadino e

le soluzioni di sanità digitale a supporto

Sanità digitale e protezione dei dati personali Dott. Franco Cardin

9

Il processo di digitalizzazione in sanità va senz'altro promosso

ma anche governato con molta attenzione perché coinvolge

categorie di dati personali tra le più delicate (dati idonei a

rivelare lo stato di salute)

E’ significativo che per i dati sanitari e genetici il nuovo

Regolamento (EU) 2016/679, pur promuovendo con misure di

favore la ricerca medica, scientifica ed epidemiologica, sancisca

non solo una tutela rafforzata ma legittimi i singoli Stati, con una

clausola di flessibilità, ad introdurre ulteriori garanzie.

Opportunità e rischi insiti nel processo di

digitalizzazione dei dati e dei documenti sanitari

La perdita, la sottrazione, l'alterazione, l'abuso di un dato

sanitario non solo viola la dignità di una persona, ma anche

rischia di determinare errori diagnostici o terapeutici, con

conseguenze anche letali. La carente sicurezza dei dati e dei

sistemi che li ospitano può rappresentare, in altri termini, una

causa di malasanità.

Per questo, nel processo di digitalizzazione della sanità la

frammentazione, l'assenza di un piano organico di sicurezza e

la disomogeneità che hanno caratterizzato l'informatizzazione

della pubblica amministrazione nel nostro Paese, sono ancora

più pericolose che in ogni altro settore.

Opportunità e rischi insiti nel processo di

digitalizzazione dei dati e dei documenti sanitari

Recenti ricerche hanno indicato il settore sanitario come uno di quelli

esposti ai maggiori rischi in termini di cyberattacchi perché carente di un

piano organico di sicurezza e protezione, oltre che di risorse necessarie

per investimenti sulle infrastrutture informative.

E’ necessario garantire che il processo di innovazione tecnologica sia

accompagnato da misure tali da assicurare autenticazione dei dati, loro

tracciabilità, accessi selettivi, cifratura, sistemi di alert, attività di auditing.

La protezione del paziente dalle nuove vulnerabilità dev'essere un

obiettivo centrale per un sistema sanitario all'altezza delle sfide della

società digitale, in cui parallelamente alle opportunità (di ricerca, di cura,

di avanzamento della diagnosi e delle terapie) crescono anche i rischi, tra

moltiplicazione delle biobanche, assistenza sanitaria transfrontaliera,

telematizzazione dei percorsi diagnostici, genomica e interoperabilità delle

cartelle cliniche.

Opportunità e rischi insiti nel processo di

digitalizzazione dei dati e dei documenti sanitari

Deliberazione del Garante per la protezione dei dati personali del 16 luglio

2009 “Linee guida in tema di Fascicolo sanitario elettronico e di dossier

sanitario”;

Documento del Ministero della Salute dell’11 novembre 2010 “ Il Fascicolo

Sanitario Elettronico: linee guida nazionali” (approvato in Conferenza Stato –

Regioni il 10.02.2011);

Legge 17 dicembre 2012, n. 221 - art. 12 “Fascicolo sanitario elettronico e

sistemi di sorveglianza nel settore sanitario”;

Legge 9 agosto 2013, n. 98 - art. 17 “Misure per favorire la realizzazione del

Fascicolo sanitario elettronico”;

Provvedimento del Garante per la protezione dei dati personali n. 331 del 4

giugno 2015 “Linee guida in materia di Dossier sanitario”;

DPCM n. 178 del 29 settembre 2015 “Regolamento in materia di fascicolo

sanitario elettronico”;

Quadro normativo di riferimento

sul FSE e sul Dossier sanitario

Sanità digitale e protezione dei dati personali Dott. Franco Cardin

13

Dossier sanitario e trattamento dei dati personali dei pazienti -

10 gennaio 2013 (Azienda Ospedaliero Universitaria Ospedali

riuniti di Trieste);

Trattamento di dati tramite il dossier sanitario aziendale - 3

luglio 2014 (Azienda Sanitaria dell’Alto Adige);

Dossier sanitario elettronico e privacy dei pazienti - 23 ottobre

2014 (Azienda Ospedaliero Universitaria S. Orsola Malpighi di

Bologna);

Provvedimenti prescrittivi del Garante

in materia di dossier sanitario

Dossier sanitario e trattamento dei dati personali dei pazienti - 10 gennaio 2013

(Azienda Ospedaliero Universitaria Ospedali riuniti di Trieste);

Trattamento di dati tramite il dossier sanitario aziendale - 3 luglio 2014 (Azienda

Sanitaria dell’Alto Adige);

Dossier sanitario elettronico e privacy dei pazienti - 23 ottobre 2014 (Azienda

Ospedaliero Universitaria S. Orsola Malpighi di Bologna);

Illeicità nel trattamento di dati personali e sensibili presso una struttura

ospedaliera - 18 dicembre 2014 (Azienda Policlinico Umberto I di Roma);

Dossier sanitario: prescrizioni per il sistema informativo delle prestazioni

sanitarie erogate da un’Azienda sanitaria - 22 ottobre 2015 (Azienda USL 11 di

Empoli);

Dossier sanitario elettronico e trattamento di dati personali da parte di

un’azienda ospedaliera - 22 giugno 2016 (Azienda Ospedaliera Sant’Andrea di

Roma);

Provvedimenti prescrittivi del Garante

in materia di dossier sanitario

Rilievi e relative prescrizioni del Garante

costituire il dossier sanitario del paziente solamente dopo aver acquisito un

suo consenso specifico e informato, distinto da quello prestato per finalità

di cura;

consentire l’accesso al dossier sanitario tramite un adeguato sistema di

autorizzazione;

consentire l’accesso al dossier sanitario al solo personale sanitario

coinvolto nel processo di cura del paziente e per il tempo strettamente

necessario;

consentire l’accesso al dossier sanitario solo attraverso il nome e cognome

del paziente e non anche attraverso richieste effettuate con porzioni di

nome e cognome, date di nascita, o cap di residenza;

garantire al paziente la possibilità di "oscurare" nel proprio dossier sanitario

la visibilità di alcuni eventi clinici ( es. HIV, droga, alcool, ecc. );

prevedere un sistema di log che permetta un’attività di controllo degli

accessi e delle operazioni effettuate ( es. lettura, modifica ecc. ).

Regolamento (UE) 2016/679

Considerando 8

Ove il presente regolamento preveda specificazioni o

limitazioni delle sue norme ad opera del diritto degli Stati

membri, gli Stati membri possono, nella misura

necessaria per la coerenza e per rendere le disposizioni

nazionali comprensibili alle persone cui si applicano,

integrare elementi del presente regolamento nel proprio

diritto nazionale.

Regolamento (UE) 2016/679

Considerando 10

……… In combinato disposto con la legislazione generale e

orizzontale in materia di protezione dei dati che attua la direttiva

95/46/CE gli Stati membri dispongono di varie leggi settoriali in

settori che richiedono disposizioni più specifiche. Il presente

regolamento prevede anche un margine di manovra degli Stati

membri per precisarne le norme, anche con riguardo al trattamento

di categorie particolari di dati personali («dati sensibili»). In tal

senso, il presente regolamento non esclude che il diritto degli Stati

membri stabilisca le condizioni per specifiche situazioni di

trattamento, anche determinando con maggiore precisione le

condizioni alle quali il trattamento di dati personali e lecito.

Regolamento (UE) 2016/679

Considerando 53

………Gli Stati membri dovrebbero rimanere liberi di

mantenere o introdurre ulteriori condizioni, fra cui

limitazioni, con riguardo al trattamento di dati genetici,

dati biometrici o dati relativi alla salute, senza tuttavia

ostacolare la libera circolazione dei dati personali

all'interno dell'Unione quando tali condizioni si applicano

al trattamento transfrontaliero degli stessi.

Regolamento (UE) 2016/679

Considerando 171

Il presente regolamento dovrebbe abrogare la direttiva 95/46/CE. Il

trattamento già in corso alla data di applicazione del presente

regolamento dovrebbe essere reso conforme al presente

regolamento entro un periodo di due anni dall'entrata in vigore del

presente regolamento. Qualora il trattamento si basi sul consenso a

norma della direttiva 95/46/CE, non occorre che l'interessato presti

nuovamente il suo consenso, se questo e stato espresso secondo

modalità conformi alle condizioni del presente regolamento, affinche

il titolare possa proseguire il trattamento in questione dopo la data

di applicazione del presente regolamento. Le decisioni della

Commissione e le autorizzazioni delle autorità di controllo basate

sulla direttiva 95/46/CE rimangono in vigore fino a quando non

vengono modificate, sostituite o abrogate.

Regolamento (UE) 2016/679

Articolo 9 -Trattamento di categorie particolari di dati personali

1. ........

2. ........

3. ........

4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni,

comprese limitazioni, con riguardo al trattamento di dati genetici, dati

biometrici o dati relativi alla salute.

Regolamento (UE) 2016/679

Pur essendo fondamentale che i titolari del

trattamento avviino fin d’ora le attività di analisi e

di adeguamento al nuovo regolamento europeo,

e opportuno evitare iniziative frettolose e

premature che, a seguito dell’eventuale

normativa integrativa o attuativa, sia europea

che nazionale, potrebbero venire vanificate o

rese inadeguate.

Che fare ?

Garantire entro il 25 maggio 2018 un’effettiva e

sostanziale applicazione dei principi, delle regole, e

delle misure di sicurezza previsti nel D. Lgs. 196/03

nonché nelle diverse linee guida del Garante

privacy in materia di sanità digitale, consentirebbe

alle aziende sanitarie pubbliche e private di dare

attuazione alla maggior parte degli obblighi che il

nuovo regolamento europeo prevede in capo ai

titolari del trattamento e di essere in grado di

dimostrarlo.

Un possibile percorso

1. costituire da subito una squadra multidisciplinare (giurista, informatico,

esperto di organizzazione, esperto di processi);

2. mappare tutti i trattamenti in corso o programmati utilizzando anche lo

strumento delle interviste ai dirigenti;

3. effettuare una gap analysis;

4. predisporre un piano di transizione (tutto quello che e già compliance va

mantenuto);

5. designare il DPO;

6. effettuare, se necessario, la valutazione d’impatto sulla protezione dei dati;

7. rivedere informative e consensi;

8. revisionare i testi degli incarichi (soprattutto quelli relativi ai responsabili);

9. predisporre le procedure per garantire e facilitare l’esercizio dei diritti degli

interessati;

10. formare gli incaricati;

11. garantire un presidio continuativo sia legale che informatico;

12. predisporre un piano di sicurezza.

GRAZIE PER L’ATTENZIONE

franco.cardin@alice.it