L’ evoluzione del sistema sanitario verso la collaborazione territoriale e la telemedicina prevista nell’ambito del PNRR e del DM77, richiede la disponibilità e la condivisione di dati dettagliati.
Il prerequisito fondamentale per adottare questo scenario è che l’organizzazione e la gestione dei dati rappresentino l’infrastruttura informatica, disponibili in forma elementare, in modo da essere utilizzabili individualmente da strumenti automatici e non solo aggregati in documenti.
Le linee guida, nate in vigenza del quadro giuridico vigente prima del GDPR, oltre a definire requisiti – tecnologicamente realizzabili – in termini di controllo e tracciabilità degli accessi da parte degli operatori autorizzati, richiedono anche l’esplicito consenso del paziente come base giuridica per l’ integrazione nel CDR (Clinical Data Repository) dei suoi dati fra i vari sistemi nei quali sono frammentati.
Le linee guida del Garante sono applicabili?
Nel nuovo quadro giuridico del GDPR che prevede all’art. 9 par. 2 molte altre basi giuridiche utilizzabili in questa tipologia di trattamento: lo stesso art. 9 lett. h che richiama non solo la locuzione “trattamenti per diagnosi e cura” ma anche quella di “gestione dei sistemi sanitari”, la lett. i) che legittima il trattamento dei dati per “la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria” oppure la lett. g sull’interesse pubblico.
Le posizioni del Garante Privacy appaiono molto restrittive sul punto. Basta vedere le Prescrizioni Garante 9 marzo 2019 e Ingiunzione nei confronti della Valle D’Aosta 10 novembre 2022.
Il tema non rappresenta solo un esercizio giuridico, ma anche un elemento di reale implementazione del sistema.
Allo stato attuale due sono gli scenari della telemedicina in ambito PNRR:
- L’azienda che ha preso in carico il paziente consente l’accesso al proprio repository, per la consultazione e l’aggiornamento dei dati di interesse, a tutti gli attori coinvolti sul territorio nella gestione del percorso di cura del paziente stesso. Può essere il caso di un singolo specialista, di un MMG, di una farmacia, coinvolti nella cura del paziente e che non dispongano e/o abbiano necessità di un proprio sistema informativo articolato e completo.
- L’azienda ospedaliera, che con i propri specialisti ha in cura il paziente per una o più specifiche patologie, deve collaborare con i servizi territoriali della ASL sia per prestazioni legate alle specifiche patologie trattate dagli specialisti stessi sia per servizi diagnostici, terapeutici ed assistenziali complementari, necessari al paziente in relazione alle sue condizioni di salute. In questo caso si può ipotizzare che i due repository (quello della ASL e quello dell’ospedale) interagiscano – direttamente o tramite i servizi delle piattaforme nazionali – per condividere i dati necessari e integrarli nel proprio contesto clinico, organizzativo e tecnologico, in modo da consentire la pianificazione e l’erogazione dei servizi in modo sicuro ed efficiente, mantenendo sempre -in ambedue i repository – un quadro completo ed aggiornato dell’evoluzione del percorso del paziente.
Quali sono, dunque, i ruoli privacy?
Allo stato attuale della disciplina è possibile ipotizzare solo tre soluzioni:
- un soggetto (ospedale) assume il ruolo di titolare e tutte le altre strutture sanitarie (es. azienda territoriale, ente di assistenza eccetera) vengono nominati come responsabili ex art. 28 GDPR: soluzione percorribile, ma è senza dubbio molto complessa nella gestione dei contratti e della eventuale e connessa responsabilità solidale (art. 82 GDPR);
- i soggetti coinvolti nel percorso diventano tutti contitolari (art. 26 GDPR): anche questa percorribile in teoria ma molto articolata nella pratica, perché comporterebbe la stipula di contratti di contitolarità con diversi soggetti (che tra l’atro potrebbero cambiare ove cambi il percorso di cura);
- la titolarità autonoma delle diverse persone giuridiche coinvolte nel percorso di cura: questa appare più semplice ma si porta dietro il tema della base giuridica autonoma per ogni soggetto e, altresì, il tema della legittimità dei trasferimenti dei dati da un soggetto ad un altro.
È plausibile un intervento del legislatore.
Resta informato, seguici sulla nostra pagina LinkedIn e consulta la sezione News nel sito