Trattamento di dati sanitari: le recenti pronunce del Garante privacy italiano e dei Garanti europei

Dossier sanitario, base giuridica del trattamento per finalità di ricerca scientifica e European Health Data Space: questi i temi in materia di dati sanitari esaminati dal Garante per la protezione dei dati personali italiano e dai Garanti europei, il Comitato europeo per la protezione dei dati (Edpb) e il Garante europeo della protezione dei dati (Edps), che di recente hanno diffuso alcune pronunce utili per fotografare l'esistente e contemporaneamente dare uno sguardo al futuro.

1.I provvedimenti del Garante nazionale

In primo luogo, abbiamo appreso che il Garante privacy italiano ha comminato a due ASL del Friuli-Venezia Giulia due sanzioni pecuniarie, pari ad euro 50.000 e 70.000, contestando l'illiceità del trattamento di dati personali effettuato tramite il sistema informativo di archiviazione e refertazione delle prestazioni erogate dalle due strutture (provv. n. 200 e n. 201 del 26 maggio 2022.

Gli addebiti riguardavano, in particolare, la configurazione e la gestione del dossier sanitario, lo strumento deputato a raccogliere, previo consenso del paziente, le informazioni relative agli eventi clinici occorsi presso la singola struttura sanitaria affinché siano condivise tra i professionisti sanitari che ivi lo assistono.

Dall'attività istruttoria del Garante, emergeva che la configurazione del dossier sanitario consentiva a tutti coloro che prestassero servizio nelle due Asl, e in tutte quelle della Regione, di acquisire informazioni su ogni paziente, a prescindere dalla sussistenza di uno specifico rapporto di cura tra il singolo professionista e il paziente e dalla presenza fisica del paziente presso l'Azienda.

In uno dei due casi, il sistema consentiva anche agli operatori sanitari di una casa circondariale di accedere ai dossier sanitari di tutti i pazienti dell'Asl, non soltanto a quelli dei detenuti.

Inoltre, si accertavano illeciti imputabili alla società di gestione del dossier sanitario, tra cui la mancata predisposizione di un sistema di alert per l'individuazione di comportamenti anomali o a rischio relativi alle operazioni eseguite dai soggetti autorizzati al trattamento. Così, il Garante è tornato a ribadire quanto affermato nelle "linee guida in materia di dossier sanitario" del 4 giugno 2015 – tutt'oggi applicabili in quanto compatibili con il Reg. (UE) 2016/679 (nel prosieguo anche "GDPR"), ha sottolineato l'Autorità.

Secondo le linee guida, l'accesso al dossier deve essere limitato al solo personale sanitario della singola struttura sanitaria che interviene nel processo di cura del paziente in un dato momento, solo per il lasso di tempo in cui si articola tale processo.

Successivamente, il Garante nazionale si è misurato con il tema del trattamento di dati sanitari per finalità di ricerca scientifica nell'ambito di una consultazione preventiva ex art. 110 del Codice in materia di protezione dei dati personali ( provv. n. 238 del 30 giugno 2022 , ).

In base all'art. 110, 1° comma del Codice, ove si trattino dati personali per ricerca medica, biomedica e epidemiologica, il consenso dell'interessato non è necessario allorché "a causa di particolari ragioni" informare gli interessati risulti impossibile, implichi uno sforzo sproporzionato o rischi di rendere impossibile o di pregiudicare gravemente il conseguimento delle finalità della ricerca.

In tali casi, il titolare del trattamento è chiamato ad adottare misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, nonché a sottoporre il programma di ricerca al competente comitato etico a livello territoriale e alla consultazione preventiva del Garante ai sensi dell' art. 36 del Reg. (UE) 2016/679.

Presentava istanza di consultazione preventiva l'Azienda Ospedaliera Universitaria Integrata di Verona, promotore di uno studio osservazionale interdipartimentale, prospettico, retrospettivo, mirato alla creazione del registro, o banca dati, "DB Torax", sul quale "costruire analisi e studi futuri volti a migliorare le conoscenze e la pratica clinica nel settore delle patologie del distretto toracico".

Stante il decesso di numerosi pazienti e la non reperibilità di altri, non più in carico presso la struttura per il follow up, l'Azienda Ospedaliera si rivolgeva al Garante, che ha espresso parere favorevole, ma ad alcune condizioni.

La più rilevante: l'Azienda deve acquisire ulteriori e specifici consensi presso i pazienti censiti nel registro per ognuno dei futuri studi da realizzare mediante lo stesso, ovvero avanzare nuove istanze di consultazione preventiva, ai sensi dell'art. 110 del Codice, in riferimento ai pazienti non contattabili o deceduti.

Dunque, secondo l'Autorità, "i consensi raccolti per la creazione del DB Torax (o, in alternativa, la procedura di consultazione preventiva in esame) non possono costituire anche la base giuridica per ulteriori trattamenti, poiché essi rappresentano una manifestazione di volontà ancora parziale che si andrà a completare in maniera progressiva con le ulteriori e specifiche richieste di consenso che dovranno essere avanzate dall'Azienda in occasione della realizzazione degli studi futuri".

Insomma, un consenso a "fasi progressive", riconducibile, ha rilevato il Garante, al considerando 33 del Regolamento "che, in circostanze residuali, ammette che gli interessati possano prestare un consenso a fasi progressive per il trattamento dei dati personali per scopi di ricerca scientifica, quando al momento della raccolta non è possibile individuare pienamente le specifiche finalità del trattamento".

2.La joint opinion Edps-Edpb: lo European Health Data Space

Entrambe le fattispecie oggetto delle menzionate pronunce, il trattamento dei dati sanitari per finalità di cura e il trattamento per finalità di ricerca scientifica, ricorrono nella "Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space" di Edps e Edpb.

La proposta di Regolamento relativa ad uno "spazio europeo dei dati sanitari", infatti, è imperniata sulla distinzione tra uso "primario" e uso "secondario" dei dati personali sanitari elettronici.

Il primo è definito "il trattamento dei dati sanitari elettronici personali per la prestazione di servizi sanitari al fine di valutare, mantenere o ripristinare lo stato di salute della persona fisica cui si riferiscono tali dati". Il secondo è da intendersi come il trattamento di dati sanitari elettronici effettuato per finalità differenti: la ricerca scientifica; l'innovazione di prodotti e servizi; la definizione di discipline normative e di politiche regolatorie; la sorveglianza della sanità pubblica e la garanzia di elevati livelli di qualità e sicurezza dell'assistenza sanitaria, di medicinali o dispositivi medici; l'istruzione nel settore sanitario o dell'assistenza; l'addestramento dei sistemi di intelligenza artificiale e l'erogazione di un'assistenza sanitaria personalizzata.

Nell'ambito dell'uso primario, lo spazio europeo dei dati sanitari intende rafforzare i diritti di accesso, portabilità e controllo dei dati sanitari elettronici delle persone fisiche e, allo stesso tempo, garantire che tutti i professionisti sanitari abbiano accesso ai dati sanitari elettronici delle persone che abbiano in cura, indipendentemente dallo Stato membro di affiliazione e dallo Stato membro di cura.

Quanto all'uso secondario, nello spazio europeo dei dati sanitari sarà fornito accesso ai dati sanitari elettronici a chi intenda trattarli per le sopra menzionate finalità da appositi organi "responsabili dell'accesso ai dati sanitari".

Nella specie, i dati saranno forniti in forma anonimizzata o, solo ove non sia possibile realizzare la finalità perseguita tramite dati anonimizzati, in forma pseudonimizzata, fermi il divieto per chi li riceva di reidentificarli e la sola disponibilità delle informazioni necessarie per invertire la pseudonimizzazione in capo agli organi responsabili dell'accesso ai dati.

La realizzazione di questo impianto passa per un'architettura normativa complessa, che comprende la disciplina dei sistemi di cartelle cliniche elettroniche, per i quali è previsto uno schema di autocertificazione obbligatoria, l'istituzione di nuove infrastrutture tecnologiche e l'introduzione di nuovi organismi e autorità, quali le "Autorità nazionali di sanità digitale" e il "Comitato dello spazio europeo dei dati sanitari".

Edpb e Edps, nella loro joint opinion, hanno evidenziato la necessità di chiarire al meglio l'interazione tra il nuovo Regolamento e il Reg. (UE) 2016/679.

In altri termini, a preoccupare le Autorità europee di protezione dei dati è soprattutto il coordinamento tra i due impianti normativi. La proposta, hanno rilevato, aggiungerà un ulteriore strato ad un quadro normativo già multi-livello, che vede intersecarsi normativa europea e fonti nazionali, cui il GDPR ha lasciato un certo spazio di manovra.

"The interplay between those different pieces of legislation needs to be (crystal) clear", si avverte nella joint opinion.

Le Autorità si sono soffermate anche sul punto della sicurezza dei dati, giungendo a proporre che nel Regolamento si preveda espressamente la conservazione dei dati nel solo territorio europeo.

Edpb e Edps hanno altresì evidenziato criticità connesse al modello di governance proposto, invitando ad una definizione accorta delle competenze e delle funzioni delle nuove autorità pubbliche, soprattutto alla luce delle competenze e delle funzioni delle autorità nazionali per la protezione dei dati personali, nonché dei medesimi Edpb e Edps ("overlap of competences should be avoided and fields of and requirements for cooperation should be specified", si raccomanda).

3.Panorama nazionale e prospettive europee

La giustapposizione delle pronunce brevemente descritte impone una riflessione.

Mentre il dossier sanitario è saldamente ancorato alla singola struttura sanitaria, il Fascicolo Sanitario Elettronico, costruito su base regionale, finora ha faticato a trovare applicazione uniforme su tutto il territorio nazionale e ad assumere il carattere dell'interoperabilità, tant'è che il PNRR ne ha espressamente previsto il potenziamento "al fine di garantirne la diffusione, l'omogeneità e l'accessibilità su tutto il territorio nazionale".

La circolazione dei dati sanitari per finalità di cura nel territorio nazionale, allora, risulta ancora difficoltosa, con tutte le conseguenze che ne derivano in termini di qualità ed efficienza delle prestazioni sanitarie.

Il trattamento per finalità di ricerca scientifica è ancora incentrato sul consenso dell'interessato, una base giuridica che, anche quando si formi progressivamente, può risultare dispendiosa in termini di risorse e tempistiche per chi voglia far avanzare la ricerca scientifica.

D'altro canto, rimane ancora inespresso il potenziale dell'art. 6, 4° comma e del considerando 50 del GDPR, che prevedono, rispettivamente, un meccanismo di compatibilità per cui l'ulteriore trattamento di dati personali è legittimo qualora le finalità di quest'ultimo risultino compatibili con gli scopi iniziali del trattamento e una presunzione di compatibilità in favore del trattamento dei dati personali per finalità di ricerca scientifica.

Come ribadito dal Garante nazionale nel parere sopra menzionato, sul punto si attendono chiarimenti da parte dell'Edpb, che, interrogato dalla Commissione europea nel corso dell'emergenza sanitaria a proposito dell'applicazione del GDPR nell'ambito della ricerca sanitaria, ha rimesso la definizione della questione a delle specifiche linee guida sul trattamento dei dati sanitari per finalità di ricerca scientifica, ad oggi non ancora emanate.

Nel frattempo, la Commissione europea continua a correre verso l'attuazione della strategia europea per i dati, introducendo nuovi paradigmi.

Lo spazio europeo dei dati sanitari, il primo degli "spazi comuni europei di dati specifici per dominio" annunciato nella strategia ad essere proposto, intende garantire la circolazione dei dati sanitari elettronici tra gli operatori sanitari dell'intero territorio dell'Unione, nonché consentire l'accesso a tali dati a ricercatori, innovatori, e regolatori, "con una governance affidabile e a costi inferiori rispetto all'opzione basata sul consenso", si legge nel memorandum esplicativo.

Del resto, l'art. 33 del nuovo Regolamento, norma di apertura del capo dedicato all'uso secondario dei dati, al 5° comma dispone che qualora il diritto nazionale prescriva il consenso della persona fisica, gli organismi responsabili dell'accesso ai dati sanitari si basino sugli obblighi di cui al Regolamento per fornire l'accesso ai dati.

La proposta, presentata dalla Commissione europea il 3 maggio 2022, è solo all'inizio del suo iter legislativo e certamente si interverrà per migliorarne il coordinamento con il GDPR, che però, occorre ricordarlo, ora rappresenta solo uno dei tasselli della normativa europea in materia di dati, recentemente arricchitasi del Data Governance Act (pubblicato nella Gazzetta Ufficiale dell'Unione europea il 3 giugno u.s.) e destinata a comporsi anche del Data Act, con i nuovi paradigmi di cui sono portatori.

*a cura della Dott.ssa Giorgia Bianchini, DigitalMediaLaws