Privacy e telemedicina: quali sono le regole da rispettare?

Nadia Martini, avvocato, iscritta all’Albo degli Avvocati di Milano e fellow dell’Istituto Italiano Privacy, è ritenuta tra i maggiori esperti italiani in materia di privacy e trattamento dei dati. Partner dello studio Nunziante Magrone, è a capo del team IP, IT e Data Protection. Da oltre dieci anni si occupa di assistere le aziende, in particolare farmaceutiche e sanitarie, nonché gli operatori medici nel campo del trattamento dati sanitario, affiancandoli in audit, nella quotidiana compliance e nel contenzioso. Core business è, in tale ambito, l’eHealth; ma nel corso degli anni ha acquisito specifiche competenze in campo contrattuale e nel contenzioso in materia di proprietà intellettuale e industriale (tra cui diritto d’autore, marchi, licenze, modelli, disegni, internet, moda, concorrenza sleale, pubblicità), Information Technologies (hardware e software, data centers e cloud computing, technology procurement e outsourcing, digital/social media, internet ed e-commerce, apps, e-payment e smart devices).

Avvocato, la sperimentazione dei farmaci da parte delle azienda è una pratica ricorrente. Si tratta però di dati clinici e sanitari molto delicati per l’ospedale e lo sponsor della sperimentazione, nonché per i pazienti, il cui trattamento ingenera rilevanti problematiche privacy. Come viene regolamentata a tal riguardo la sperimentazione?

La sperimentazione dei farmaci trova, lato clinico, una specifica regolamentazione nella dichiarazione di Helsinky del 1964, negli standard di buona pratica clinica (Gcp) adottati anche dalla UE e recepiti in Italia (D.Lgs. 200/2007, 211/2003) e nelle procedure standard delle società promotrici (Sop). Norme a cui tutti i promotori e gli enti sperimentatori debbono attenersi. Lato privacy, invece, è dettata una specifica regolamentazione, speciale rispetto a quella generale introdotta dal D.Lgs. 196/2003, dettata dal provvedimento del Garante per la protezione dei dati personali del 24.7.2008. Tale provvedimento impone, in sintesi, l’obbligo di sponsor ed ente sperimentatore (l’Ospedale) – ossia dei titolari del trattamento – di: (i) fornire un’adeguata informativa al paziente; (ii) raccoglierne il consenso ad hoc alla sperimentazione e al trasferimento dati estero (che può essere regolato con Binding Corporate Rules); (ii) adottare una pluralità di misure di sicurezza volte alla protezione dei dati trattati (es. codificazione del dato con codici numerici che consentono di identificare univocamente il paziente senza utilizzarne nominativo o altri elementi identificativi; conservazione con modalità protette per sette anni); (iii) notificare il trattamento, se imposto dalla legge (es. dati genetici); (iv) nominare ad hoc e per iscritto gli incaricati e i responsabili (es. laboratori di analisi) che intervengono nella sperimentazione. Tutti questi elementi saranno oggetto, prima dell’avvio di una sperimentazione, del vaglio preventivo dei Comitati Etici. Per la complessità degli obblighi e la gravità delle sanzioni (civile, amministrative e penali), è suggerito farsi assistere da un consulente legale specializzato in materia.

Nel trattamento dei dati sanitari, la privacy compliance è fondamentale ed è facile sconfinare nell’illecito sia civile che penale. Che cosa devono fare le aziende farmaceutiche e ospedaliere per tutelarsi?

Nella mia esperienza, le aziende, pensando di risparmiare sul budget, affrontano le problematiche di privacy compliance solo quando “il danno è fatto”. Ma ciò comporta sanzioni penali, civili e amministrative ben più elevate delle modiche spese di prevenzione. Ma come spesso accade, la prevenzione è la migliore soluzione per le aziende: infatti, l’impostazione preventiva, col proprio consulente legale specializzato, di una corretta infrastruttura privacy formale e sostanziale (in termine di informative, consensi, nomine incaricati e responsabili, misure di sicurezza, notificazione) aiuta non solo ad evitare sanzioni, ma soprattutto ad acquisire una credibilità ed un’immagine etica agli occhi del paziente. Immagine fondamentale nel settore sanitario. Il suggerimento alle aziende è quindi di prevenire … anziché curare.

Spesso le aziende farmaceutiche delegano a call center esterni l’attività di informazione medico – scientifica, di recente sempre più condotta in via multicanale (con sms, email e telefonate da operatore). Quali sono le regole da rispettare in questi casi?

Quelle del D.Lgs. 196/2003. Tali regole impongono, in sintesi, l’obbligo all’azienda farmaceutica – ossia del titolare del trattamento – di: (i) fornire un’adeguata informativa al soggetto che viene contattato; (ii) raccoglierne il consenso ad hoc al trattamento per fini marketing e di profilazione; (ii) adottare una pluralità di misure di sicurezza volte alla protezione dei dati trattati; (iii) notificare il trattamento, se imposto dalla legge (es. profilazione); (iv) nominare ad hoc e per iscritto gli incaricati e i responsabili (es. Call center) che operano per conto dell’azienda farmaceutica. In alternativa il rapporto tra azienda e Call Center può essere impostato anche come rapporto tra titolari autonomi e non titolare (azienda) e responsabile (Call Center). La scelta dell’una o dell’altra soluzione dipenderà dall’autonomia o meno del trattamento posto in essere dal Call Center. Naturalmente, si tratta di una valutazione tecnica che non può essere improvvisata e che impone il coinvolgimento di un consulente legale specializzato in materia.

In molti casi le banche dati delle aziende farmaceutiche contengono informazioni idonee a profilare migliaia di medici. In questo caso, quali sono le norme da seguire per una corretta privacy?

Quelle del D.Lgs. 196/2003. Tali regole impongono, in sintesi, l’obbligo all’azienda farmaceutica – ossia del titolare del trattamento – di: (i) fornire un’adeguata informativa al soggetto interessato; (ii) raccoglierne il consenso ad hoc al trattamento per fini di profilazione; (ii) adottare una pluralità di misure di sicurezza volte alla protezione dei dati trattati; (iii) notificare il trattamento; (iv) nominare ad hoc e per iscritto gli incaricati e i responsabili che operano per conto dell’azienda farmaceutica.

L’informatore medico ha un ruolo nella privacy dei medici a cui si rivolge. E il dipendente/collaboratore non informatore?

Certamente. Trattandosi di norma di un collaboratore/dipendente di un’azienda farmaceutica, questa deve nominarlo per iscritto incaricato del trattamento, fornendogli tutte le istruzioni necessarie.

Le aziende farmaceutiche possono trasferire dati extra UE. Con quali accortezze?

Certamente. Occorre però informarne l’interessato con adeguata informativa e raccoglierne il consenso ad hoc. Inoltre, nel caso di trasferimento in paesi che non garantiscono un adeguato livello di protezione, tra cui a seguito della recente sentenza della Corte di Giustizia del 6 ottobre scorso rientrano anche gli USA, occorrerà adottare le BCR (Binding Corporate Rules).

Che cosa è il FSE e che obblighi privacy impone?

Il FSE, regolato dal Provvedimento del 19 novembre 2009 del Garante Privacy e dalla L. 221/2012, è il Fascicolo Sanitario Elettronico del Paziente, ossia il fascicolo formato con riferimento a dati sanitari originati da diversi titolari del trattamento operanti più frequentemente, ma non esclusivamente, in un medesimo ambito territoriale (es. azienda sanitaria, laboratorio clinico privato operanti nella medesima regione o area vasta). Il nucleo minimo, uguale per tutti i fascicoli istituiti da Regioni e Province autonome, è costituito da: dati identificativi e amministrativi dell’assistito; referti; verbali di pronto soccorso; lettere di dimissione; profilo sanitario sintetico; dossier farmaceutico; consenso o diniego alla donazione degli organi e tessuti.  Il FSE può inoltre contenere, a seconda delle scelte regionali in materia di politica sanitaria e del livello di maturazione del processo di digitalizzazione, contenuti quali: prescrizioni, ossia ricette elettroniche (specialistiche, farmaceutiche, etc.); prenotazioni (specialistiche, di ricovero, etc.); cartelle cliniche; bilanci di salute; assistenza domiciliare: scheda, programma e cartella clinico-assistenziale; piani diagnostico-terapeutici; assistenza residenziale e semiresidenziale; scheda multidimensionale di valutazione; erogazione farmaci; vaccinazioni; prestazioni di assistenza specialistica; prestazioni di emergenza urgenza (118 e pronto soccorso); prestazioni di assistenza ospedaliera in regime di ricovero; certificati medici; taccuino personale dell’assistito; relazioni relative alle prestazioni erogate dal servizio di continuità assistenziale; autocertificazioni; partecipazione a sperimentazioni cliniche; esenzioni; prestazioni di assistenza protesica; dati a supporto delle attività di telemonitoraggio; dati a supporto delle attività di gestione integrata dei percorsi diagnostico-terapeutici. Ovviamente, il FSE, cosi come tutti i suoi contenuti, comportano il trattamento di dati sanitari del paziente e impongono quindi una pluralità di obblighi in capo al titolare del trattamento (es. azienda ospedaliera): informativa, richiesta di consenso ad hoc dell’interessato alla costituzione del FSE, richiesta di consenso ad hoc dell’interessato alla alimentazione del FSE, nomine incaricati e responsabili, adozione di misure di sicurezza idonee a garantire la protezione dei dati trattati, comunicazione all’Autorità Garante, notificazione del trattamento.

In cosa consiste il servizio di refertazione online e che obblighi privacy impone?

Il referto on line, regolato dal Provvedimento del 19 novembre 2009 del Garante Privacy e dalla L. 106/2011, può essere oggi messo a disposizione tramite web e posta elettronica e anche con altre modalità digitali di consegna, e cioè mediante il Fascicolo sanitario elettronico (FSE) o la posta elettronica certificata, anche presso il domicilio digitale del cittadino ovvero con supporto elettronico. Inoltre, possono essere forniti al paziente, unitamente al referto online, servizi aggiuntivi per favorire o facilitare l’utilizzo dei servizi di refertazione on-line, ovvero per migliorare in generale la qualità del servizio offerto. Tra questi nuovi servizi rientrano, in particolare, quelli di notifica, che permettono al paziente di essere avvisato della messa a disposizione del referto digitale attraverso l’invio di uno short message service (sms) sul numero di telefono mobile, ovvero per mezzo di un messaggio alla casella di posta elettronica indicata all’atto di adesione ai servizi di refertazione on-line. Un altro innovativo servizio consiste nell’inoltro dei referti digitali a un medico designato dall’interessato: esso offre la possibilità all’assistito di richiedere la consegna del referto digitale al medico curante indicato. Ovviamente, tali servizi comportano il trattamento di dati sanitari del paziente e impongono quindi una pluralità di obblighi in capo al titolare del trattamento (es. azienda ospedaliera o clinica privata): informativa, richiesta di consenso ad hoc al servizio di refertazione, nomine incaricati e responsabili, adozione di misure di sicurezza idonee a garantire la protezione dei dati trattati.

La telemedicina è la nuova frontiera della sanità elettronica. Che obblighi privacy impone?

Per telemedicina si intende una modalità di erogazione di servizi di assistenza sanitaria, tramite il ricorso a tecnologie innovative, in particolare alle Information and Communication Technologies (ICT), in situazioni in cui il professionista della salute e il paziente (o due professionisti) non si trovano nella stessa località. I servizi di telemedicina sono normalmente distinti in telemedicina specialistica, telesalute e teleassistenza. La prima problematica attinente alla telemedicina sta nel fatto che essa non ha ad oggi ancora ricevuto una specifica regolamentazione né da parte del legislatore, né da parte del Garante Privacy. Salvo infatti una primitiva disciplina contenuta nelle Linee Guida della Conferenza Stato Regioni del 20 febbraio 2014, manca una regolamentazione che chiarisca agli operatori sanitari obblighi e contenuti in termini di trattamento dati.  Circostanza che rende ancor più problematica la situazione se si considera che (i) la telemedicina comporta la trasmissione, spesso all’estero, di informazioni e dati di carattere medico per la prevenzione, la diagnosi, il trattamento e il successivo controllo dei pazienti e (ii) coinvolge una pluralità di soggetti che possono acquistare, lato privacy, una pluralità di ruoli e diverse responsabilità (es. azienda ospedaliera, che è titolare del trattamento; provider del servizio di telemedicina, che può essere responsabile o titolare a seconda del caso). Pertanto, una disciplina legislativa privacy si rende urgente. Nell’attesa, il suggerimento agli operatori e alle aziende farmaceutiche fornitrici dei dispositivi di telemedicina è di ottemperare agli obblighi generali privacy dettati dal D.Lgs. 196/2003 (fornendo l’informativa relativa al servizio di telemedicina e richiedendo il consenso ad hoc del paziente) e di adottare misure di sicurezza idonee, più robuste di quelle previste dal Codice Privacy: quindi, ad es., quelle di separazione e cifratura dei dati sanitari, dettate dal provvedimento Garante sul FSE e sul Dossier sanitario. Le problematiche relative ai ruoli e al trasferimento dati all’estero (es. con conservazione su server di back up) vanno invece, per la loro problematicità, gestiti caso per caso, con l’aiuto di un consulente legale specializzato in materia.

Dossier sanitario e obblighi di privacy. Quali sono i punti cardine?

Il Dossier Sanitario è lo strumento costituito presso un’unica struttura sanitaria (un ospedale, un’azienda, una casa di cura) che raccoglie informazioni sulla salute di un paziente al fine di documentarne la storia clinica e fornirgli un migliore processo di cura. Si differenzia dal FSE, in cui confluisce l’intera storia clinica di un paziente, generata da più strutture sanitarie. E’ regolato, tra l’altro, dal provvedimento del Garante, pubblicato sulla Gazzetta ufficiale n. 164 del 17 luglio 2015, che stabilisce, in particolare, che ai pazienti deve essere consentito di scegliere, in piena libertà, se far costituire o meno il dossier sanitario. In assenza del consenso il medico avrà a disposizione solo le informazioni rese in quel momento dal paziente o in precedenti prestazioni fornite dallo stesso professionista. La mancanza del consenso non deve incidere minimamente sulla possibilità di accedere alle cure richieste. Per poter inserire nel dossier informazioni particolarmente delicate (infezioni Hiv, interventi di interruzione volontaria della gravidanza, dati relativi ad atti di violenza sessuale o pedofilia) sarà necessario un consenso specifico. Per consentire al paziente di scegliere in maniera libera e consapevole, la struttura dovrà informarlo in modo chiaro, indicando in particolare, chi avrà accesso ai suoi dati e che tipo di operazioni potrà compiere. La struttura sanitaria inoltre, dovrà garantire al paziente l'esercizio dei diritti riconosciuti dal Codice privacy (accesso ai dati, integrazione, rettifica, etc.) e la conoscenza del reparto, della data e dell'orario in cui è avvenuta la consultazione del suo dossier. Al paziente dovrà essere garantita anche la possibilità di "oscurare" alcuni dati o documenti sanitari che non intende far confluire nel dossier. Considerata la particolare delicatezza del dossier il Garante ha prescritto l'adozione di elevate misure di sicurezza. I dati sulla salute dovranno essere separati dagli altri dati personali, e dovranno essere individuati criteri per la cifratura dei dati sensibili. L'accesso al dossier sarà consentito solo al personale sanitario coinvolto nella cura. Ogni accesso e ogni operazione effettuata, anche la semplice consultazione, saranno tracciati e registrati automaticamente in appositi file di log che la struttura dovrà conservare per almeno 24 mesi. Infine, eventuali violazioni di dati o incidenti informatici dovranno essere comunicati all'Autorità, entro quarantotto ore dalla conoscenza del fatto, attraverso un modulo predisposto dal Garante all'indirizzo: databreach.dossier@pec.gpdp.it.

Si sta diffondendo la consuetudine, approvata da una legge, di consegnare i farmaci a domicilio In questo caso, quali norme deve rispettare il farmacista per la tutela della privacy del paziente?

Quelle del D.Lgs. 196/2003. Tali regole impongono, in sintesi, l’obbligo del farmacista – ossia del titolare del trattamento – di: (i) fornire un’adeguata informativa al soggetto interessato; (ii) raccoglierne il consenso ad hoc al trattamento; (ii) adottare una pluralità di misure di sicurezza volte alla protezione dei dati trattati; (iii) nominare ad hoc e per iscritto gli incaricati e i responsabili che operano per conto dell’azienda farmaceutica.

Sono sorte questioni di privacy con riguardo alla consegna da parte dei MMG delle prescrizioni o dei certificati medici presso gli studi medici o le farmacie. Il paziente come va salvaguardato?

Anzitutto, gli MMG non possono decidere autonomamente di inviare il paziente nella tale farmacia per ritirare le ricette che gli ha prescritto. Occorre una specifica richiesta del paziente in tal senso, che potrà anche selezionare la propria farmacia presso cui ritirare le ricette. Il paziente può quindi delegare il farmacista o un suo collaboratore a ritirare la ricetta dal medico curante. Il MMG a sua volta consegnerà al delegato le ricette in busta chiusa.