I requisiti della Legge Gelli alla luce del nuovo Regolamento Europeo per il trattamento dei dati

La crisi della responsabilità medica che ha investito il complesso sistema del servizio sanitario nazionale, provocando una profonda frattura nell'alleanza terapeutica tra medico e paziente, è sfociata un anno fa nella promulgazione della legge n. 24/2017, più nota come “Legge Gelli”.

Tale provvedimento completa, amplia e rende più omogenea la precedente legislazione in materia di responsabilità sanitaria, ed in particolare la cosiddetta Legge Balduzzi n. 189/2012.

Scopi dichiarati della nuova normativa sono la riduzione del contenzioso legale gravante da anni sulla responsabilità medica, il contenimento del fenomeno della Medicina Difensiva, indicato dal Ministero della Sanità come causa principale di un eccesso di spesa pubblica ammontante a svariati miliardi di euro, e la creazione di un ambiente di lavoro più sicuro e sereno per i professionisti del comparto. Tutto ciò, con l'intento di migliorare la qualità del servizio sanitario nazionale, garantendo al cittadino il rispetto del suo diritto costituzionale alla salute.

La nuova normativa prevede un uso intensivo dello strumento informatico da parte delle strutture, pubbliche e private, nelle quali si svolge l'attività sanitaria, e dei loro dipendenti e collaboratori.

In pratica, per ottemperare al disposto della Legge Gelli, ogni professionista sanitario è oggi tenuto a gestire e trasferire per via digitale una mole assai cospicua di informazioni, come i dati relativi ai risarcimenti effettuati negli ultimi 5 anni dalle strutture (da pubblicarsi sul sito internet delle stesse) e quelli inerenti la gestione del rischio clinico (inclusi gli eventi avversi), da trasferire mediante procedura telematica unificata a livello nazionale, all'Osservatorio Nazionale delle buone pratiche sulla sicurezza in sanità.

Tutta questa attività viene ora ad integrarsi con la gestione del rischio imposta dalla nuova normativa europea sul trattamento dei dati personali, come da Regolamento n. 679/2016, entrato in vigore nel nostro paese il 25 maggio scorso. Si tratta del GDPR (General Data Protection Regulation), che impone a tutti i soggetti che debbano in qualunque modo gestire, conservare, trasferire o trattare dati personali di adottare un'articolata politica di risk management, allo scopo di salvaguardare la privacy dei cittadini, garantendo piena conformità ai requisiti di sicurezza previsti dal Regolamento.

La protezione dei dati delle persone fisiche costituisce un diritto sancito dall'art. 8 della Carta dei diritti fondamentali e dall'art. 16 TFUE. È dunque vitale che le norme previste per la loro tutela siano improntate al pieno rispetto delle libertà di chi li possiede. Questi dati includono naturalmente tutte le informazioni mediche conservate da assicuratori, medici, cliniche e ospedali di ogni ordine.

Per quanto attiene al comparto sanitario, quindi, la nuova normativa impone di prestare particolare attenzione alla tutela della privacy, meritando i dati sanitari (il cui concetto viene per la prima volta specificamente introdotto dal Regolamento) una tutela rafforzata, proprio per il coinvolgimento di diritti di rilievo costituzionale.

Già a partire dal Codice della Privacy, giurisprudenza e dottrina hanno operato delle distinzioni tra dati personali, sensibili e sensibilissimi, collocando i dati sanitari, per la loro stessa natura, nella categoria dei dati sensibilissimi e facendone oggetto di protezione rafforzata, in modo da impedirne l'uso improprio o illegittimo. Il Considerando n. 35 del Regolamento interviene ora a chiarire il concetto di dati riguardanti la salute della persona, fornendo per essi delle precise definizioni:

• Dati personali: qualsiasi informazione riguardante una persona fisica direttamente o indirettamente identificabile (nome, ubicazione, elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale);
• Dati genetici: informazioni sulle caratteristiche genetiche ereditarie o acquisite di una persona fisica (fisiologia e salute), che risultano n particolare dall'analisi di un suo campione biologico;
• Dati biometrici: informazioni ottenute da un trattamento specifico e relative alle caratteristiche fisiche, fisiologiche o comportamentali, come foto e dati dattiloscopici;
• Dati relativi alla salute: informazioni personali attinenti alla salute fisica o mentale di una persona, compresa la prestazione di servizi di assistenza sanitaria, che rivelino informazioni sul suo stato di salute.

La nuova disciplina amplia il novero degli obblighi in capo a tutti coloro che trattino dati personali, ma pone nelle loro mani il compito di individuare le misure che riducano il rischio di violazioni, attraverso l'introduzione del concetto di accountability di tutti i soggetti interessati al trattamento stesso.

In un certo senso, viene capovolto il principio sinora adottato dall'Unione Europea, di imporre dall'alto il rispetto di una particolare normativa, valida per tutti. Dal momento che ogni tipo di attività prevede caratteristiche uniche e differenti e può necessitare di un diverso tipo di approccio, infatti, il dovere di adottare le procedure più adatte alla bisogna viene posto in capo alle figure chiave che il Regolamento impone di individuare in ciascuna azienda.

Sono questi il Titolare ed il Responsabile del Trattamento, che saranno tenuti a:

a) garantire un livello di sicurezza adeguato al tipo ed alla modalità del trattamento effettuato;

b) assicurare la riservatezza, l'integrità, la disponibilità e la flessibilità di sistemi e procedure per la gestione dei dati personali;

c) garantire il ripristino tempestivo dell'accesso ai dati personali, in caso di incidente tecnico;

d) fornire prova dell'intero processo, dimostrando che le scelte operate sono appropriate ed efficaci;

e) garantire che chiunque abbia accesso ai dati trattati sia stato adeguatamente istruito in tal senso.

Queste figure chiave possono essere affiancate da una terza, costituita dal Data Privacy Officer (DPO), il quale può essere un soggetto interno od esterno all'azienda ed ha il ruolo di referente diretto del Garante.

La sua nomina è obbligatoria per gli Enti Pubblici e per le imprese che trattino un rilevante numero di dati, oppure tipologie di dati considerate per loro natura a rischio, com'è il caso dei dati sanitari.

Si tratta di una nuova figura professionale, dotata di competenze giuridiche, informatiche ed organizzative, che svolge un ruolo di controllo e supporto strategico per le decisioni operative del Titolare e per la quale il Garante ha appena fornito precise istruzioni operative, con comunicazione del 19 maggio 2018.

Tale disposizione mira in particolare a garantire che le autorità di controllo possano contattare il Responsabile della Protezione dei Dati in modo facile e diretto, come disposto nelle Linee guida del Regolamento.

I Titolari del trattamento dovranno perciò assicurarsi che ogni altra eventuale funzione professionale della persona che rivestirà il ruolo di DPO sia compatibile con i compiti dello stesso e non dia adito a conflitto di interessi. Egli dovrà quindi essere autonomo, indipendente e non dovrà ricevere alcuna istruzione per l'esercizio delle sue attività.

Il DPO, il cui mandato potrà essere rinnovabile, potrà essere assunto oppure adempiere ai suoi compiti in base a un contratto di servizi. Il Titolare del trattamento, che a seconda della forma contrattuale, potrà essere datore di lavoro o committente, dovrà fornire al DPO tutti i mezzi, inclusi il personale, i locali, le attrezzature e ogni altra risorsa necessaria per adempiere alle sue funzioni.

Trattandosi di un servizio dipendente da un contratto d'opera di tipo intellettuale, la responsabilità del DPO nei confronti del committente assume una connotazione tipicamente contrattuale e per tale ragione si sta provvedendo a predisporre dei testi di polizza ad esso specificamente dedicati.

Nel caso in cui il DPO fosse interno alla struttura dell'azienda, questo tipo di responsabilità viene al momento assimilata a quella di un preposto e quindi coperta nell'ambito delle cosiddette polizze dei Directors & Officers, emesse a garanzia dei rischi inerenti le funzioni di dirigenti ed amministratori di società.

I principali compiti del DPO, il cui nominativo andrà comunicato all'Autorità di Controllo e al pubblico, con le modalità previste nella comunicazione del 19 maggio 2018 più sopra indicata, saranno in particolare:

• sensibilizzare e consigliare il Titolare in merito agli obblighi (misure e procedure tecniche e organizzative) derivanti Regolamento;
• sorvegliare l'applicazione delle politiche aziendali previste, compresa l'attribuzione delle responsabilità, la formazione del personale che partecipa ai trattamenti e l'effettuazione dei relativi audit;
• sorvegliare l'applicazione del Regolamento, con particolare riguardo alla protezione dei dati trattati fin dalla progettazione delle varie procedure aziendali ed alle richieste eventualmente avanzate dagli interessati che volessero far valere i propri diritti;
• controllare che il Titolare effettui la valutazione d'impatto sulla protezione dei dati (il cosiddetto DPIA) e richieda all'Autorità di Controllo l'autorizzazione preventiva o la consultazione preventiva nei casi previsti;
• fungere da punto di contatto per l'Autorità di Controllo per questioni connesse al trattamento e consultarla, eventualmente, di propria iniziativa;
• informare i rappresentanti del personale sui trattamenti che riguardano i dipendenti.

Il Regolamento prevede che ciascuna azienda debba munirsi di misure di sicurezza tanto più sofisticate, quanto più sensibili saranno i dati personali gestiti. Nel caso delle strutture sanitarie è quindi richiesto il più alto livello di attenzione, ovvero l'adozione di particolari misure come la pseudonimizzazione e cifratura dei dati, la capacità di assicurare su base permanente la riservatezza, l'integrità, la disponibilità e la resilienza dei sistemi e dei servizi di trattamento, nonché la capacità di ripristinare tempestivamente la disponibilità e l'accesso dei dati, in caso di incidente fisico o tecnico. È inoltre obbligatoria l'istituzione di una procedura per testare e verificare l'efficacia delle misure tecniche ed organizzative adottate.

In pratica, si tratta di porre in atto le procedure più adatte e di verificarle nel tempo, nel rispetto degli oneri imposti in via generale dalla nuova normativa.

Questi prevedono l'obbligo di definire i tempi di conservazione dei dati e di indicarne la provenienza, in caso di utilizzo, quello di comunicare tempestivamente al Garante le eventuali violazioni dei propri database e l'obbligo di predisporre il documento di valutazione di impatto del trattamento dei dati personali definito PIA (Privacy Impact Assessment).

Ogni azienda, inoltre, è tenuta ad elaborare un sistema documentale di gestione della privacy e ad istituire un Registro del trattamento dei dati, nel quale siano tracciabili e documentabili tutte le operazioni di trattamento.

Nelle aziende sanitarie di ogni ordine, le misure difensive previste in ottemperanza al GDPR dovranno essere strutturate anche attraverso modelli operativi di programmazione e di formazione del personale e non semplicemente ricorrendo ai sistemi di sicurezza tecnologici.

Sotto questo profilo, il training di tutti gli addetti e collaboratori riveste quindi un ruolo fondamentale. Già gli artt. 33 e 35 del Codice della Privacy prevedono che il trattamento dei dati possa essere effettuato solo a condizione che il personale sia stato adeguatamente istruito. Ora è certo che il grado di formazione debba essere adeguato alla tipologia dei dati trattati e l'omissione di un'adeguata istruzione di tutti gli incaricati del trattamento costituirà a tutti gli effetti un'omissione di misure minime di sicurezza.

L'importanza di un adeguato training di tutti gli operatori sanitari è anche dettata dal fatto che in quest'ambito le attività che prevedono l'uso di dati personali sono piuttosto diffuse e vengono effettuate a tutti i livelli. Quasi ogni operatore, di fatto, può trovarsi nella necessità di interfacciarsi col paziente ed in questo caso assume un ruolo chiave la qualità delle comunicazioni fornite all'interessato.

Il trattamento di dati personali, soprattutto se sanitari, è infatti considerato lecito solo previa informativa e consenso dell'interessato. Il Regolamento prevede inoltre che il consenso prestato in sanità debba avvenire per mezzo di una dichiarazione inequivocabile ed esplicita. Tale consenso può essere revocato in ogni momento e vi è obbligo di informazione preventiva anche sulla sua revocabilità.

L'art. 9 del GDPR, relativo al trattamento dei dati particolari (tra cui i genetici, i biometrici e quelli relativi alla salute), prevede tuttavia che non sia necessario il consenso «per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell'Unione o degli Stati membri o conformemente al contratto con un professionista della sanità». Viene però lasciata agli Stati membri la possibilità di «mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute».

V'era quindi il dubbio che il legislatore italiano intendesse confermare la necessità di un consenso scritto per i dati sanitari, come tuttora previsto dal Codice della Privacy. L'articolo 8 della bozza del decreto di recepimento ancora in lavorazione, intitolato «Misure di garanzia per il trattamento dei dati genetici, biometrici e relativi alla salute», prevede che il trattamento di queste particolari categorie di dati sia subordinato all'osservanza di misure di garanzia, stabilite dal Garante per la protezione dei dati personali, con provvedimento adottato con cadenza almeno biennale, a seguito di consultazione pubblica. Nell'adozione del provvedimento il Garante dovrà tenere in considerazione, oltre alle linee guida e raccomandazioni pubblicate dal Comitato Europeo per la protezione dei dati, anche l'evoluzione tecnologica e scientifica del settore a cui tali misure sono rivolte, nonché l'interesse alla libera circolazione dei dati nel territorio europeo. Le misure di garanzia dovranno perciò essere adottare tenendo in considerazione le specifiche finalità di trattamento ed è possibile che non sia più necessario il consenso del paziente per il trattamento dei suoi dati, ai meri fini di diagnosi e cura.

La questione è assai rilevante, dal momento che i Titolari e Responsabili del trattamento presso le strutture sanitarie, nonché i relativi DPO, dovranno misurarsi con l'obbligo di gestire e proteggere nel migliore dei modi una serie di documenti particolari che caratterizzano l'attività del comparto e che assumono un'importanza centrale nell'era della cosiddetta Sanità Elettronica o Digitalizzata, quali il Fascicolo Sanitario Elettronico (FSE), il Dossier Sanitario, la Cartella Clinica Elettronica (CCE) ed il Referto On-Line.

Anche la pratica della telemedicina, alla quale la Legge Gelli fa esplicito riferimento, sarebbe da segnalare come possibile obbiettivo per la violazione di dati.

Altre possibili cause di violazione possono essere l'errata consegna del dato (invio elettronico del referto al destinatario sbagliato) e l'errata pubblicazione (informazioni sanitarie erroneamente diffuse sul sito internet), nonché la mancata o errata distruzione dei dati dopo il loro uso.

Anche l'utilizzo di devices personali può costituire una violazione del Regolamento: bisognerà quindi dedicare particolare attenzione alla pratica di copiare i dati su chiavetta o laptop personali: l'insider misuse è infatti segnalato nell'ultimo Rapporto Clusit come una delle più comuni cause di violazione dei dati sanitari in Italia.

Come si è detto, i dati sanitari (o PHI - Protected Health Information) costituiscono un materiale estremamente delicato. Essi rappresentano infatti una vera miniera d'oro per i cyber criminali, che li rivendono sul mercato nero per favorire frodi o altre attività criminose.

Inoltre, le attività di ransomware (frode informatica effettuata con lo scopo di ricavarne un riscatto) rappresentano un problema particolare nel settore sanitario, perché il danneggiamento dei sistemi informatici di una clinica può avere un drammatico impatto anche sulla sua reputazione.

I cosiddetti Hackers hanno così preso l'abitudine di insinuarsi nei programmi di gestione, bloccando l'intera attività delle strutture sanitarie e pretendendo un riscatto per rivelare le chiavi necessarie a fare ripartire l'operatività dei sistemi.

Si tratta quasi sempre di importi abbastanza limitati, ma che moltiplicati per un grandissimo numero di intrusioni ammontano a vere e proprie fortune.

In un articolo pubblicato il 7 maggio scorso sul quotidiano finanziario Il Sole 24 Ore, il giornalista Alessandro Longo ha rivelato che i cyber criminali si stanno specializzando nell'attacco alle strutture sanitarie, riuscendo addirittura ad accedere ai sistemi informatici principali attraverso le centraline elettroniche delle apparecchiature per i raggi X o per le risonanze magnetiche.

Secondo il primo Verizon Protected Health Information Data Breach Report, pubblicato dal colosso americano della comunicazione, nel corso del 2017 ben 18 aziende sanitarie su 20 sono state interessate da furti di dati personali.

Le violazioni confermate hanno coinvolto oltre 392 milioni di record in 1.931 incidenti occorsi in 25 nazioni differenti, incluse alcune europee, come la Germania.

In seguito a tale escalation l'FBI ha diffuso un allarme per gli operatori sanitari americani, evidenziando la possibilità di un incremento delle intrusioni informatiche in questo settore.

In realtà, come si evince dalla tabella qui sotto riportata, il segmento sanitario mantiene da tempo il primato in termini di violazioni subite: non desta alcuna meraviglia, quindi, che il nuovo Regolamento europeo attribuisca tanta importanza alla protezione di dati così sensibili.

L'avvento del GDPR comporta ora specifici adempimenti, per i quali ogni azienda è responsabile, che esulano dalla semplice adeguatezza dei sistemi informatici ed esigono che venga attuata una nuova organizzazione, improntata al rispetto del Regolamento.

I danni subiti dalle strutture sanitarie in caso di inadempienza possono essere ingenti, sia sul piano diretto che reputazionale, e possono comportare esposizioni anche molto gravi a livello di responsabilità verso terzi. Chiunque subisca un danno materiale o immateriale causato dalla violazione del Regolamento, ha infatti diritto di ottenerne il risarcimento dal Titolare e dal Responsabile del trattamento, individuati espressamente quali responsabili, anche ai fini risarcitori. Se dovessero essere coinvolti entrambi, la responsabilità opererà in solido, salva l'eventuale azione di regresso.

E se è pur vero che i risarcimenti per questo tipo di danni, per lo più di tipo non patrimoniale, restano quasi sempre limitati a poche decine di migliaia di euro, la grande quantità di informazioni che possono essere sottratte e la possibilità di ricorrere ad azioni collettive di risarcimento potrebbero causare cumuli assai rilevanti, che sommati alle ingenti spese necessarie per l'individuazione delle modalità delle violazioni e per mitigare i loro effetti (come le spese per le indagini forensi e per la notifica obbligatoria alle vittime della sottrazione) possono determinare danni anche molto gravi.

Il Garante potrà poi infliggere elevate sanzioni pecuniarie agli autori delle violazioni (fino a 20 milioni di euro per i privati e per le imprese non facenti parte di gruppi e fino al 4% del fatturato consolidato complessivo per i gruppi societari). Oltre a ciò egli avrà il potere di emanare misure interdittive, come limitazioni provvisorie o definitive al trattamento, fino alla revoca delle autorizzazioni, che in ambito sanitario potrebbe facilmente comportare la cessazione dell'attività svolta.

AAVV, Rapporto CLUSIT sulla sicurezza ICT in Italia;

CINZIA ALTOMARE, Cyber Security: cosa cambia, alla luce del nuovo regolamento europeo sul trattamento dei dati personali, in RiDaRe;

GIUSEPPE CARRO, SARAH MASATO, MASSIMILIANO DOMENICO PARLA, La privacy nella sanità, Giuffrè Editore;

RESPONSABILE DELLA PROTEZIONE DEI DATI (RPD), Comunicazione dei dati di contatto.