Legali.com
il sito degli avvocati italiani

Sito per gli avvocati italiani, per tenersi aggiornati, sfruttare le nuove tecnologie, dialogare con i colleghi, sottoporre quesiti giuridici, fare ricerche in ambito legale.
I giuristi che vogliono inviare articoli o notizie, si possono registrare online inserendo i propri dati dal link "Connettersi", posto in fondo alla pagina a sinistra. Clicca qui per vedere il video con le istruzioni per la pubblicazione degli articoli.

Istituzione dei servizi sanitari nazionali elettronici: profili legali e di sicurezza nella gestione dei dati sensibili
Articolo pubblicato online il 12 ottobre 2007

di Stefano Bendandi
Stampare logo imprimer

La gestione della sanit, non soltanto in un ottica di trattamento e prevenzione delle malattie, ma anche dal punto di vista della pianificazione e somministrazione dei servizi ad essa correlati, richiede la conservazione e la disponibilit di una grande quantit di dati di natura differente.

In molti paesi i costi relativi ai servizi sanitari sono in rapida ascesa ponendo la necessit e l’urgenza di individuare ed approntare nuove forme di gestione pi efficienti e flessibili.

Tra le possibili alternative si vanno affermando con forza quelle basate sull’utilizzo delle nuove tecnologie, in particolare elettroniche ed informatiche, ed in questo ambito di applicazione pu essere ricondotto il cd. "EHR o Electronic Health Record" ovvero la registrazione sanitaria elettronica.

Secondo la definizione formale di cui al documento [2] del gruppo di lavoro indipendente, previsto dall’art. 29 della direttiva 95/46/CE [3,4], questa pu essere intesa come: "una registrazione medica o una analoga documentazione in forma elettronica concernente lo stato di salute mentale e fisico, passato e presente, di un individuo al fine di fornire un immediato accesso a questi dati per finalit di trattamento medico o per altri scopi correlati con quest’ultimo".

Considerata l’importanza cruciale che l’Unione Europea riconosce ai servizi di sanit elettronica, l’EHR si pone l’ambizioso obiettivo di consolidare in un unica fonte, sicura e sempre disponibile, tutta la documentazione sanitaria proveniente da fonti/strutture differenti e relativa a periodi temporali diversi, onde costituire la cd. "storia clinica" di una persona.

Inteso in questa particolare accezione si ritiene che un EHR sia in grado di soddisfare alcuni requisiti strategici, ai fini della evoluzione verso modelli di gestione della sanit maggiormente efficienti, e cio:

- garantire una migliore qualit dei trattamenti grazie ad una migliore qualit delle informazioni sulla base delle quali vengono assunte le decisioni;
- migliorare il rapporto costi/efficienza e contenere la crescente spesa in
materia;
- fornire i dati a supporto del controllo della qualit, delle statistiche e della pianificazione dei servizi del settore sanitario;

A fronte di tali innegabili vantaggi vi tuttavia da notare il fatto che tali sistemi introducono un nuovo scenario di rischio in quanto, non soltanto elaborano una mole di dati maggiore, ma sono altres in grado di rendere tali informazioni potenzialmente disponibili ad una cerchia molto ampia di soggetti di cui fanno parte, oltre agli esercenti le professioni sanitarie, anche terze parti (ad. es. compagnie di assicurazione, organi investigativi e di polizia, ecc...).

Ne deriva dunque la necessit di gestire adeguatamente questi nuovi rischi attraverso un apposito framework legale, organizzativo e tecnologico che tenga conto dei pi recenti orientamenti europei (vedi documento del gruppo di lavoro dell’art. 29 sopra citato).

I. Principi generali

Le funzionalit di un tipico un sistema EHR devono essere conformi ai seguenti principi di carattere generale:

- principio della finalit: sono assolutamente vietati i trattamenti non conformi con le finalit della raccolta dei dati;
- principio della qualit: i dati devono essere accurati, aggiornati, coerenti e non eccessivi rispetto alle finalit della raccolta;
- principio della conservazione: i dati vanno conservati per il tempo strettamente necessario a soddisfare le finalit della raccolta;
- rispetto dell’obbligo di informazione: i titolari dei dati devono fornire agli interessati informazioni fondamentali come quelle inerenti alla loro identificazione, alle finalit per le quali avviene la raccolta, ai diritti di accesso, ecc...;
- rispetto dei diritti di accesso degli interessati: gli interessati hanno il diritto di verificare l’esistenza, l’accuratezza e l’aggiornamento dei dati;
- adempimento delle obbligazioni in materia di sicurezza: i titolari hanno l’obbligo di adottare tutte le misure dirette a garantire la riservatezza, l’integrit e la disponibilit dei dati;

Per definizione i dati relativi allo stato di salute di un individuo sono sensibili: mentre alcune informazioni possono essere cos classificate con facilit, per altre possono sorgere delle difficolt di interpretazione.

Per sgombrare il campo da ogni ambiguit interpretativa il gruppo di lavoro dell’articolo 29 della direttiva 95/46/CE ritiene che tutti i dati memorizzati all’interno di una documentazione medica, nei sistemi EHR, debbano considerarsi sensibili anche se concernenti informazioni non direttamente attinenti la salute (vedi dati amministrativi come ad es. la data di ricovero).

Le ragioni di questa interpretazione estensiva si rinvengono nella circostanza che se tali dati non fossero rilevanti nel contesto di un trattamento sanitario essi non dovrebbero essere memorizzati nel fascicolo (file) medico ma, per il semplice fatto di essere stati registrati, essi dovrebbero usufruire delle maggiori tutele inerenti i dati sensibili.

Quando ammesso il trattamento dei dati di natura sensibile ?

La direttiva 95/46/CE stabilisce, come principio generale, il divieto di trattamento dei dati inerenti la salute ponendo per le seguenti eccezioni tassative:

- consenso esplicito dell’interessato (art. 8.2 a);
- protezione degli interessi vitali di un soggetto (art. 8.2 c);
- trattamento dei dati da parte del personale sanitario (art. 8.3);
- tutela di altri interessi pubblici sostanziali (art. 8.4);

Le prime tre ipotesi rappresentano casi di deroga di natura obbligatoria mentre l’ultima opzionale essendo rimessa all’iniziativa dei singoli Stati Membri.

Il consenso esplicito

Rappresenta la prima delle cause di giustificazione del trattamento dei dati sanitari, a condizione che esso sia:

- libero: tale il consenso inteso quale risultato di una decisione volontaria assunta da un individuo, nella pienezza delle sue facolt intellettuali, e in totale assenza di qualsivoglia forma di coercizione, sia essa di natura psicologica, finanziaria, sociale o di altro tipo;
- esplicito: il soggetto deve essere pienamente consapevole che sta rinunciando ad una forma di tutela particolare dei propri dati;
- specifico: deve fare riferimento ad una situazione concreta nell’ambito della quale inquadrare il trattamento dei dati (quindi forme di consenso generalizzate non possono considerarsi valide a tal fine);
- informato: deve essere basato sulla considerazione da parte del soggetto interessato di tutti i fatti e le implicazioni derivanti dalle sue azioni;

Il soddisfacimento di tali criteri non esclude l’onere in capo al titolare dei dati di provare di aver ricevuto un consenso esplicito fornito sulla base di un numero di informazioni sufficientemente precise e dettagliate.

Inoltre la stessa direttiva fa salvo il potere degli Stati Membri di stabilire e regolamentare nel dettaglio i casi in cui neppure il consenso esplicito pu ritenersi sufficiente a derogare al divieto generale di trattamento dei dati sensibili.

La protezione degli interessi vitali di un soggetto

La necessit di proteggere gli interessi vitali di un soggetto o di un altra persona, nel caso in cui il soggetto si trovi nella impossibilit fisica o legale di fornire il proprio consenso, pu giustificare altres il trattamento dei dati sensibili.

In tal caso tuttavia il trattamento deve potersi inquadrare in un contesto medico e rappresentare un "conditio sine qua non" per salvare la vita di un soggetto che non sia in condizione di poter fornire il proprio consenso.

Al di fuori della specificit del caso in esame l’eccezione non trova applicazione e quindi sono esclusi dal suo campo di applicazione ipotesi differenti come ad es. quella di un trattamento necessario per effettuare ricerche mediche che non producano risultati se non in futuro.

Trattamento dei dati da parte del personale sanitario

L’operativit di questa deroga richiede la presenza cumulativa di tre condizioni:

- la specificit del fine che deve essere quello di fornire servizi sanitari di natura preventiva, diagnostica, terapeutica o post-traumatica nonch quella della gestione di tali servizi (contabilit, statistiche, ecc...);
- la natura necessaria del trattamento in relazione alla realizzazione del fine di cui al precedente punto 1;
- l’esecuzione del trattamento da parte del personale medico o di altro personale comunque assoggettato al segreto medico o ad una equivalente obbligazione di segretezza;

In relazione al punto 2 deve essere chiarito che la semplice utilit del trattamento non pu essere considerata sufficiente.

L’obbligo del segreto di cui al punto 3 pu indifferentemente derivare da normative nazionali degli Stati Membri oppure da organizzazioni professionali di carattere nazionale che abbiano il potere di fissare delle regole professionali di natura vincolante.

Tutela di altri interessi pubblici sostanziali

Infine, quale ultima deroga, di carattere opzionale, viene riconosciuto agli Stati Membri il potere di stabilire delle ulteriori eccezioni al divieto generale di trattamento dei dati sensibili.

Le eccezioni devono essere contenute in previsioni di natura legislativa o derivanti da decisioni dell’autorit garante ed il trattamento deve essere giustificato nell’ambito di un interesse sostanziale di carattere pubblico come, ad esempio, la salute pubblica e la sicurezza sociale.

Viene comunque posto a carico degli Stati Membri l’obbligo di notificare alla Commissione ogni eccezione prevista e di fornire una chiara indicazione di quali siano le contromisure specifiche per la protezione del diritto fondamentale alla privacy in tale contesto.

Peraltro opportuno notare come il gruppo di lavoro dell’art. 29 ritenga che il tenore della norma sia tale da rappresentare il "fondamento legale" alla istituzione dei sistemi EHR, specialmente in quelle legislazioni in cui il diritto alla tutela della salute abbia una natura costituzionale o privilegiata.

II. La gestione dei sistemi di registrazione elettronica sanitaria

Considerato lo scenario di rischio introdotto dai sistemi EHR e l’impatto che ne deriva sotto il profilo della riservatezza, il gruppo di lavoro dell’art. 29 della direttiva 95/46/CE ritiene assolutamente necessaria l’adozione di speciali contromisure che si sovrappongono, senza sostituirle, a quelle gi previste in materia di trattamento dei dati personali non sensibili.

Principio della autodeterminazione del paziente

La prima misura, valida anche nei casi precedentemente esaminati in cui il trattamento non rinviene il suo fondamento giuridico nel consenso, il rispetto della autodeterminazione del paziente in relazione alla scelta dei tempi e dei modi in cui i suoi dati possono essere oggetto di elaborazione.

L’autodeterminazione che pu manifestarsi non soltanto come esercizio di un potere di scelta iniziale, ma anche sotto il profilo di una dissociazione o esercizio successivo del diritto di rifiuto, pone alcune questioni relative:

- al riconoscimento in capo al paziente di un diritto di opporsi alla divulgazione dei propri dati medici, documentati nel corso di un trattamento da parte di un esercente la professione sanitaria, ad altri soggetti pure se appartenenti alla medesima categoria professionale;
- alla necessit di specificare le modalit operative con le quali gestire le eventuali successive inibizioni dell’accesso alle informazioni dell’EHR, attraverso una valutazione delle possibili opzioni consistenti nella soppressione, nel mascheramento o nella propagazione dei messaggi espliciti;
- alla necessit di fissare delle regole per l’adempimento degli obblighi che nascono in dipendenza di casi specifici come, ad esempio, la circostanza che il soggetto interessato cambi idea optando, in un momento successivo, per la estrusione dei suoi dati dal sistema (stabilire quindi se, in dipendenza di tale evento, i dati devono essere cancellati oppure se ne deve essere semplicemente vietato l’accesso);

Sicurezza dei dati

La sicurezza dei dati comporta l’esigenza di garantire la loro confidenzialit, integrit e disponibilit attraverso una analisi dei rischi e la considerazione delle misure concretamente applicabili per raggiungere tale scopo.

In linea di massima questa attivit deve contemplare obbligatoriamente la necessit di:

- sviluppare un sistema affidabile di identificazione ed autenticazione dei soggetti e mantenere costantemente aggiornati i registri per la verifica delle autorizzazioni delle persone che hanno o richiedono accesso all’EHR;
- adottare un modello organizzativo contraddistinto da una chiara separazione di ruoli, compiti e responsabilit;
- adottare meccanismi di logging e predisporre la documentazione di tutte le procedure coinvolte nell’accesso e nella elaborazione dei dati all’interno dell’EHR;
- predisporre idonei meccanismi di backup e ripristino dei dati;
fare largo uso di algoritmi di crittografia, sia per prevenire l’alterazione dei dati in transito o a seguito della loro memorizzazione, che per mitigare gli effetti di accessi non autorizzati;
- diffondere presso tutto il personale autorizzato istruzioni chiare e specifiche sulle modalit di utilizzo dei sistemi e di prevenzione e contrasto dei rischi di sicurezza;
- intraprendere azioni di auditing interno ed esterno sulla sicurezza dei dati e dei sistemi;

Identificazione ed autenticazione

La speciale natura dei dati sanitari sottintende il bisogno di stabilire un generale divieto di accesso e l’adozione di un complesso di misure per identificare univocamente ed autenticare sia i pazienti che il personale sanitario (per i primi, in realt, un problema di autenticazione si pone soltanto nel caso in cui agli stessi sia attribuita la facolt di accedere ai propri dati all’interno dell’EHR).

Mentre il soddisfacimento di questi requisiti non pu essere assicurato attraverso forme di autenticazione deboli, come quelle basate sulla conoscenza di un segreto (password), considerati i rischi da esse derivanti, si reputano invece normalmente idonee le misure consistenti nell’adozione di carte sanitarie elettroniche o smart cards che fanno uso di tecniche di autenticazione cd. forte.

Per il personale sanitario inoltre opportuna la predisposizione di sistemi in grado di fornire quelle informazioni necessarie ad identificare il ruolo con il quale ciascun utente agisce nel particolare contesto tecnologico/informatico/organizzativo.

Livelli di autorizzazione e controllo degli accessi

Soltanto il personale sanitario autorizzato coinvolto nella cura di un paziente pu avere accesso ai suoi dati medici.

Peraltro, considerata la differente natura delle informazioni, appare necessario determinare il livello di visibilit pi appropriato per ciascuna categoria sanitaria.

Questa attivit di profilatura pu essere facilitata attraverso il ricorso ad un sistema di gestione dei privilegi di natura modulare che, basandosi su una preventiva classificazione dei dati, attribuisca diritti di accesso ed autorizzazioni limitate soltanto ad un sottoinsieme di essi.

Inoltre nei casi in cui sia richiesta, la prova dell’accordo del paziente per ci che riguarda l’accesso ai suoi dati, dovrebbe essere fornita per mezzo di procedure di verifica elettronica di token o, meglio ancora, tramite sistemi basati sulla firma elettronica.

In tutti i casi comunque la presentazione della prova dovrebbe formare oggetto di una specifica documentazione elettronica diretta anche ad agevolare la successiva fase di auditing.

In un ottica di trasparenza e speditezza nella risoluzione delle questioni riguardanti la responsabilit e l’accuratezza dei trattamenti effettuati, deve invece potersi giustificare l’adozione di procedure di registrazione elettronica (logging) che tengano traccia degli autori dei vari inserimenti e di tutte le altre modifiche rilevanti apportate ai dati.

Infine merita di essere valutato anche il problema concernente il coinvolgimento diretto del paziente, sia in relazione alla scelta di non includere certi dati all’interno del suo fascicolo/file elettronico, sia per quanto riguarda l’eventuale accesso, sia pure in sola lettura, ai suoi stessi dati.

Per quanto riguarda il primo punto, una delle possibili soluzioni potrebbe essere quella basata sul confinamento di alcuni dati all’interno di apposite sezioni del fascicolo elettronico non consultabili se non con il consenso esplicito dell’interessato.

Al contrario la soluzione del secondo punto richiede soprattutto una preliminare valutazione di convenienza: se vero, infatti, che l’accesso diretto ai dati pu contribuire ad accrescere sensibilmente i livelli di fiducia dei pazienti nei sistemi EHR, altrettanto innegabile che esso non pu avvenire senza l’ausilio di misure tecnologiche deputate a gestire la necessaria fase di autenticazione di tali soggetti, potendo pertanto comportare un aggravio degli oneri di gestione dei sistemi stessi.

Finalit dell’accesso

Secondo un orientamento espresso dal gruppo di lavoro dell’art. 29 l’accesso ai dati dei sistemi EHR per finalit diverse da quelle previste dall’art. 8.3 della citata direttiva - trattamento da parte del personale sanitario - dovrebbe essere in linea di principio vietato, con la sola eccezione rappresentata dalle finalit di ricerca medico-scientifica o statistiche, purch queste ultime soddisfino comunque i requisiti previsti dall’art. 8.4 della direttiva stessa.

In tali ipotesi specifiche le informazioni dovrebbero essere rese disponibili in forma anonima o pseudoanonima mediante l’impiego di tecniche, preferibilmente crittografiche, che comportino una trasformazione degli identificatori tale da rendere impossibile l’accertamento della identit dei soggetti interessati.

Per rafforzare il valore e l’efficacia del divieto suddetto comunque necessaria sia una regolamentazione specifica dei casi di violazione da parte del personale sanitario, sia l’individuazione di misure precauzionali dirette ad evitare che i pazienti possa essere indotti illecitamente a divulgare i propri dati.

Modelli di gestione

Con riferimento alle possibili alternative esistenti sotto il profilo della memorizzazione dei dati (storage), possiamo classificare i modelli di gestione dei sistemi EHR nel seguente modo:

- modelli centralizzati in cui l’EHR funge da vero e proprio sistema di memorizzazione al quale i professionisti sanitari trasmettono la documentazione;
- modelli decentralizzati in cui l’EHR funge da intermediario, garantendo l’accesso alla documentazione che continua ad essere gestita direttamente dai professionisti sanitari;

I vantaggi del primo modello si concentrano in una maggiore garanzia di affidabilit e disponibilit dei dati: questo dovuto alla presenza di un unica entit, incaricata della gestione tecnica ed organizzativa della struttura, fermo restando la necessit di approntare speciali contromisure per bilanciare i rischi insiti nell’adozione del modello centralizzato.

Nei modelli decentralizzati, invece, il vantaggio principale quello che permette di mantenere immutata la documentazione medica: ci nonostante le complessit architetturali insite nel modello potrebbero rendere comunque opportuna l’istituzione di un organismo centrale investito della funzione di supervisione del funzionamento e della sicurezza delle operazioni dell’intero.

Esiste peraltro anche un "tertium genus" in cui il paziente stesso diviene la sorgente dei dati presenti nel suo fascicolo medico che viene alimentato attraverso l’accesso diretto ad appositi servizi elettronici/telematici.

Quest’ultima possibilit, pur inquadrandosi perfettamente in un ottica di rispetto per l’autodeterminazione del paziente, pone dei problemi non facilmente risolvibili sotto il profilo della qualit e della accuratezza della documentazione, soprattutto nei casi in cui non siano previsti interventi correttivi da parte di personale in possesso delle adeguate competenze tecnico-scientifiche.

Completezza e rappresentazione dei dati

La finalit tipica dei sistemi EHR pone alcune problematiche anche sotto il profilo della completezza e della presentazione dei dati.

In ordine al primo punto opportuno precisare quali categorie di informazioni possono essere memorizzate in un EHR e per quanto tempo si pu giustificare la loro conservazione.

La soluzione in questo caso pu essere rinvenuta direttamente nei principi di rilevanza e proporzionalit che limitano le possibilit della raccolta ai soli dati rilevanti e non eccessivi rispetto alle finalit perseguite e per il tempo necessarie a perseguirle.

In merito invece al secondo punto va ribadito che l’esistenza di differenti categorie di dati, contraddistinti da un diverso livello di riservatezza, rende quanto meno conveniente e consigliata la loro organizzazione/strutturazione in sottoinsiemi (moduli) separati.

Trasferimento dei dati all’estero

La velocit e la facilit di trasmissione dei dati sanitari rappresentano un evidente vantaggio anche dal punto di vista del miglioramento dei tempi necessari ad ottenere risposte di natura diagnostica.

Si pensi, a tale proposito, alle possibilit offerte dall’immediatezza con la quale possibile instaurare forme di consultazione di quelle strutture mediche estere che risultino in possesso di elevata esperienza e competenza medica in relazione al trattamento di particolari malattie.

Ci determina tuttavia il problema di gestire e regolamentare in modo appropriato gli aspetti concernenti il trasferimento delle informazioni.

Peraltro, considerato che le consultazioni di natura medico-scientifica non richiedono come requisito la divulgazione dell’identit del paziente, senza dubbio necessario che la trasmissione dei dati avvenga in forma anonima o pseudoanonima.

D’altra parte queste stesse misure precauzionali trovano applicazione nel caso specifico concernente la comunicazione di risultati derivanti da ricerche o studi clinici ad entit esterne commercialmente (sponsor) o legalmente interessate alla valutazione ed all’analisi dei dati.

Ulteriori meccanismi di controllo

Il mantenimento degli adeguati livelli di sicurezza, affidabilit e disponibilit richiede la predisposizione di meccanismi di controllo diretti a valutare l’efficacia delle misure di sicurezza esistenti ed suggerire, se del caso, l’adozione di accorgimenti ulteriori.

In questo particolare contesto non bisogna inoltre sottovalutare l’importanza di alcune iniziative rivolte ad incrementare la fiducia complessiva nei sistemi citati mediante:

- la previsione di apposite procedure di arbitraggio alle quali i soggetti interessati possano accedere liberamente e gratuitamente per dirimere le controversie concernenti il corretto utilizzo dei dati;
- la realizzazione di effettive garanzie per quanto concerne l’esercizio dei propri diritti da parte degli interessati, senza che essi debbano sopportare difficolt od imprevisti non necessari;
- la previsione di procedure per informare periodicamente i soggetti interessati degli accessi effettuati sui loro dati medici;

Riferimenti in rete

[1] Sito dell’Unione Europea dedicato al tema della protezione dei dati personali, http://europa.eu.int/comm/justice_home/fsj/privacy/index_en.htm

[2] Documento di lavoro sul trattamento dei dati personali relativi alla salute contenuti nelle cartelle clicniche elettroniche, http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp131_it.pdf

[3] Direttiva 95/46/CE, parte 1, http://ec.europa.eu/justice_home/fsj/privacy/docs/95-46-ce/dir1995-46_part1_it.pdf

[4] Direttiva 95/46/CE, parte 2, http://ec.europa.eu/justice_home/fsj/privacy/docs/95-46-ce/dir1995-46_part2_it.pdf



Sito realizzato con SPIP
con il modello ESCAL-V3
Versione: 3.79.33