Home

Le nuove frontiere sanitarie si misurano sul piano giudiziario: lockdown, algoritmi e pazienti fragili

Fonte: Trib. Pordenone , 13 ottobre 2023
27 Novembre 2023

Fondamentale l'individuazione delle responsabilità, la trasparenza e la necessità di valutare preventivamente tutti i rischi dei trattamenti. È opportuno mettere mano alla corretta definizione dei ruoli privacy prima di avviare applicazioni, algoritmi e sperimentazioni mediche regolando le informative e valutando bene le basi giuridiche del trattamento.

Lo ha evidenziato il tribunale di Pordenone con la sentenza del 13 ottobre 2023. Durante l'emergenza pandemica alcune Aziende Sanitarie friulane hanno avviato dei sistemi sperimentali di valutazione dei pazienti fragili facendo ricorso anche ad algoritmi e nuove tecnologie.

A seguito del reclamo di un medico il Garante per la protezione dei dati personali ha aperto un'istruttoria che si è conclusa con l'applicazione di una pesante sanzione amministrativa a carico dell'Azienda Sanitaria per evidenti carenze sostanziali come la mancanza di un'idonea base giuridica, di un'informativa e di una necessaria valutazione di impatto privacy.

Il sistema sanitario regionale rappresenta un modello organizzativo complesso costituito da un organo politico, una serie di Direzioni intermedie e le Aziende Sanitarie, titolari del trattamento dei dati dei pazienti. A parere dell'Autorità centrale, infatti, la Regione è un soggetto terzo e solo l'Azienda Sanitaria è il titolare effettivo del trattamento dei dati.

Ma per il tribunale di Pordenone le Aziende sanitarie «sono titolari dei trattamenti effettuati per finalità di cura mentre le Regioni lo sono per le attività di governo sanitario». Inoltre, l'art. 28 del regolamento europeo sul trattamento dei dati personali, prosegue la sentenza, indica che, se un responsabile esterno, il fornitore tecnico, viola il regolamento, determinando le finalità e i mezzi del trattamento, diventa egli stesso il titolare del trattamento.

In buona sostanza a parere del Tribunale la società partecipata della Regione (il braccio tecnico ed operativo della stessa), ha determinato il trattamento con la creazione di un algoritmo e pertanto il titolare di tale operazione non può essere l'Azienda Sanitaria ma la Regione medesima.

Quindi il provvedimento sanzionatorio del Garante, a parere del tribunale, è viziato per l'errata individuazione dei ruoli privacy.

Emerge poi più di un dato oggettivo che non va trascurato.

Il trattamento da attenzionare non è la gestione della banca dati degli assistiti per ordinari fini di cura, rilievo che farebbe quasi certamente propendere l'ago della titolarità del trattamento verso le aziende sanitarie locali, bensì la «profilazione degli assistiti del servizio sanitario regionale in base alle informazioni relative allo stato di salute individuale» e quindi «la relativa collocazione in classi di rischio sanitario, per procedere alla presa in carico degli stessi».

Un altro dato oggettivo.

L'iniziativa è frutto di intese tra la Regione Friuli-Venezia Giulia e le Organizzazioni sindacali dei Medici di Medicina Generale nel perimetro, peraltro, delle attività connesse all'emergenza da Covid-19. Le linee Guida 07/2020 dell'EDPB sui concetti di titolare del trattamento e responsabile del trattamento, peraltro citate dal giudice di Pordenone, ricalcano una geometria piuttosto semplice. Il titolare del trattamento è l'entità che determina le finalità e i mezzi del trattamento dei dati personali. Il responsabile del trattamento agisce solo in base alle istruzioni fornite dal titolare e deve garantire la sicurezza e la riservatezza dei dati.

Nel caso delle Aziende friulane, abbiamo finalità (programmazione e valutazione dell'assistenza sanitaria) e mezzi del trattamento (applicazione dell'algoritmo) sulle banche dati presenti nel sistema di archiviazione regionale che sono stati di fatto stabiliti tramite una delibera della Regione. Il disconoscimento della qualità di titolare del trattamento in capo all'Azienda Sanitaria travolge ed annulla, poi, con effetto domino anche gli oneri tipici della titolarità, fra cui l'idonea informativa che avvisa l'assistito che sarebbe stato profilato. In buona sostanza, l'esito della sentenza appare scontato e tuttavia non banale. Annullamento dell'ordinanza ingiunzione nei confronti dell'Azienda Sanitaria e pubblicazione della sentenza sul sito istituzionale dell'Autorità.

In conclusione, la corretta individuazione dei ruoli nella gestione della privacy tra Regioni e Aziende Sanitarie continua ad essere un passo cruciale per garantire la sicurezza e la riservatezza dei dati sanitari. La collaborazione e la comunicazione costante tra Regioni e Aziende Sanitarie sono fondamentali per garantire una gestione efficiente e sicura dei dati. Le tecnologie digitali, se utilizzate correttamente, possono facilitare la trasmissione sicura delle informazioni tra i vari attori coinvolti, riducendo al minimo i rischi di violazione della privacy.

Un altro aspetto fondamentale è rappresentato dalla trasparenza. È importante che le Regioni e le Aziende Sanitarie informino i pazienti in modo chiaro su come i loro dati vengono raccolti, utilizzati e protetti. La consapevolezza dei cittadini nella gestione di queste informazioni contribuisce a consolidare la fiducia degli utenti nella sanità pubblica e a promuovere la cultura della protezione dei dati.

(Fonte: Diritto e Giustizia)

Vuoi leggere tutti i contenuti?

Attiva la prova gratuita per 15 giorni, oppure abbonati subito per poter
continuare a leggere questo e tanti altri articoli.