Diritti interna

Doveri interna

ricerca avanzata

Autodeterminazione terapeutica ed autodeterminazione informativa: i nuovi aspetti della dignità - Intervento di Antonello Soro al convegno "La smaterializzazione dei documenti e il suo impatto sul sistema salute", 6 maggio 2016, Roma

Convegno

"La smaterializzazione dei documenti e il suo impatto sul sistema salute"

6 maggio 2016, Roma

INTERVENTO DEL PRESIDENTE DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, ANTONELLO SORO

Autodeterminazione terapeutica ed autodeterminazione informativa: i nuovi aspetti della dignità

Il passaggio dalla dimensione materiale a quella digitale rappresenta una delle sfide più importanti per la sanità ( non solo) italiana, per la sua efficienza e, quindi, per la garanzia dell´unico diritto che la nostra Costituzione espressamente qualifica, ad un tempo, come diritto fondamentale e interesse della collettività.

E per il quale contempla una riserva di legge rafforzata, prevedendo che nessun trattamento sanitario, ancorché  previsto per legge, possa violare "i limiti imposti dal rispetto della persona umana".

Formula, questa, che Costantino Mortati riconosceva come complementare alla tutela della dignità, sancita dall´art. 2.

Ed è significativo che  la Carta di Nizza (che non a caso si apre con l´enunciazione della dignità quale presupposto di ogni libertà e diritto fondamentale) preveda un analogo livello di tutela del diritto alla salute, codificando nel consenso informato l´essenziale presidio della libertà di autodeterminazione terapeutica.

E questo, con un singolare parallelismo rispetto al consenso informato per il trattamento dei dati personali, su cui si incentra la libertà di autodeterminazione informativa, ovvero il "nuovo diritto" sancito dalla stessa Carta di Nizza autonomamente rispetto al tradizionale diritto alla riservatezza.

Questo parallelismo dimostra come tanto l´autodeterminazione informativa quanto l´autodeterminazione terapeutica siano due aspetti essenziali della libertà e della dignità della persona oggi, entrambi meritevoli di una tutela tanto intensa quanto dinamica così da potersi adeguare alla rapidità propria dell´evoluzione tecnologica e scientifica, con cui questi diritti costantemente si rapportano.

L´equilibrio tra i due è garanzia di qualità ed efficienza delle cure e del sistema sanitario cui il paziente si affida: tanto più in un contesto di progressiva digitalizzazione dei percorsi diagnostici e terapeutici.

L´applicazione della tecnologia digitale a fini di cura, di ricerca medico-scientifica e persino di governance e razionalizzazione della spesa sanitaria costituisce, infatti, un fattore essenziale di sviluppo, crescita e benessere per il Paese e per i cittadini, oltre che di miglioramento dell´efficienza delle prestazioni.

Questo processo va senz´altro promosso ma, insieme, governato con molta attenzione: perché coinvolge categorie di dati personali (c.d. ipersensibili) tra le più delicate e, per questo, meritevoli di quella tutela rafforzata che il nostro ordinamento loro assegna.

Questa speciale tutela si articola, in particolare negli obblighi di:

- conservazione separata da ogni altro dato,

- cifratura e conservazione in modo da rendere tali dati inintellegibili anche ai soggetti legittimati;

- nel criterio del "pari rango" per l´ostensione di tali dati nel procedimento amministrativo e nel divieto assoluto di pubblicazione da parte delle pubbliche amministrazioni, persino in materia di trasparenza;

- nella possibilità di trattare tali dati, da parte di soggetti pubblici, solo per fini di rilevante interesse pubblico, tra i quali la ricerca scientifica.

Ed è significativo che per i dati sanitari (al pari di quelli genetici) il nuovo regolamento europeo sulla protezione dati, (pubblicato due giorni fa) pur promuovendo con misure di favore la ricerca medica, scientifica ed epidemiologica, sancisca non solo una tutela rafforzata ma legittimi i singoli ordinamenti, con una clausola di flessibilità, ad introdurre ulteriori garanzie.

I dati sanitari, se illecitamente trattati o – come avvenuto più volte – addirittura "rubati", sono suscettibili di esporre l´interessato a forme di discriminazione rese possibili, appunto, soltanto dalla conoscenza di aspetti così intimi quali quelli "idonei a rivelare lo stato di salute dell´interessato".

La perdita, la sottrazione, l´alterazione, l´abuso di un dato sanitario rende vulnerabili banche dati essenziali e, insieme, viola quanto di più intimo e privato vi è nella persona: ne tocca la dignità.

Ma soprattutto, la vulnerabilità del dato sanitario e, quindi, la suscettibilità di alterazione o modificazione, rischia – come abbiamo sottolineato anche rispetto al FSE - di determinare errori diagnostici o terapeutici, con conseguenze anche letali.

La carente sicurezza dei dati e dei sistemi che li ospitano può rappresentare, in altri termini, una causa di malasanità.

E, per converso, la protezione dei dati personali e dei sistemi (informativi, biomedicali) è un fattore determinante di efficienza sanitaria.

Per questo, nel processo di trasferimento della sanità nella dimensione digitale la frammentazione, l´assenza di un piano organico di sicurezza e la disomogeneità che hanno caratterizzato, purtroppo, l´informatizzazione della pubblica amministrazione nel nostro Paese sono ancora più pericolose che in ogni altro settore.

Sotto questo profilo, la strada da fare è ancora tanta: recenti ricerche hanno indicato, infatti, il settore sanitario come uno di quelli esposti ai maggiori rischi in termini di cyberattacchi perché carente di un piano organico di sicurezza e protezione, oltre che di risorse necessarie per investimenti sulle infrastrutture informative.

Eppure proprio questo dovrebbe essere, invece, il settore su cui investire di più in termini di sicurezza informatica e digitale, per garantire che il processo di innovazione tecnologica sia accompagnato da misure tali da assicurare autenticazione dei dati, loro tracciabilità, accessi selettivi con credenziali univoche, cifratura, sistemi di alert, attività di auditing.

La salute dei cittadini e l´efficienza del sistema sanitario devono, infatti, essere protette dalle nuove, spesso ignote vulnerabilità della società digitale.

Che si aggiungono alle vecchie e non meno importanti, soprattutto in questo settore.

Si pensi al banale scambio di provette o, peggio, allo scambio degli embrioni da impiantare nell´utero di donne sottopostesi a procreazione assistita, come nel caso dell´ospedale Pertini di Roma, ove un mancato rispetto di elementari misure di sicurezza per la protezione dei dati personali ha portato addirittura ad attribuire a una coppia un figlio non geneticamente suo, sottraendolo a quella dai cui gameti derivava.

O si pensi ancora alla ricetta medica da cui possa evincersi la condizione di sieropositività del paziente o alla creazione, da parte di un oncologo, di una mailing list con, in chiaro e a tutti visibili, i nomi delle sue pazienti (è un caso di cui ci siamo occupati).

Rischi in un certo qual modo derivanti (ma non per questo tollerabili) dalla stessa natura delle prestazioni sanitarie e del percorso terapeutico, fondati sull´interrelazione di una serie di soggetti, pubblici e privati, che appunto "prendono in carico" il paziente, ne seguono la posizione anche dal punto di vista amministrativo, accedendo così a una notevole quantità di suoi dati, non solo sanitari (si pensi ad esempio all´esenzione per reddito che il medico di base e poi la asl, dovranno verificare).

E non va trascurato l´effetto che sui dati personali dei pazienti può avere una scorretta interpretazione di obblighi di pubblicità funzionali al monitoraggio della spesa anche a fini anticorruzione.

Nonostante, infatti, il d.lgs. 33/2013, accogliendo in parte qua una nostra indicazione, abbia escluso la pubblicazione di atti amministrativi ampliativi da cui possano evincersi, tra gli altri, dati sanitari, i casi di violazione (certamente non dolosa) di tale norma sono moltissimi.

Si va dalla pubblicazione delle ordinanze sindacali applicative dei t.s.o. alla diffusione in rete dei rimborsi nominativi per le spese sanitarie sostenute, con indicazione della tipologia di prestazione ricevuta e della patologia sofferta. Interpretazioni scorrette di una normativa che ha invece inteso tutelare il paziente, ma che comunque illustrano l´entità del pregiudizio suscettibile di derivare da una violazione della riservatezza del paziente, amplificato oltretutto dagli effetti inevitabilmente connessi alla presenza del dato in rete.

Si pensi  agli effetti di un uso non troppo meditato della rete per ottenere, sui vari fora di discussione, una consulenza medica da un esperto cui si esponga, coram populo, la propria patologia. Ed anche qualora la consulenza avvenga non su un canale di discussione pubblica ma in via privata, è importante che l´interlocutore garantisca la massima riservatezza dei dati del paziente.

Altrimenti quella che da un lato può apparirci come la più rapida e rassicurante soluzione ai dubbi sulla nostra salute rischia di divenire uno strumento per rendere note informazioni sulla nostra condizione clinica che devono invece restare riservate.

La protezione del paziente da queste vecchie e nuove vulnerabilità dev´essere un obiettivo centrale per un sistema sanitario all´altezza delle sfide della società digitale, in cui parallelamente alle opportunità (di ricerca, di cura, di avanzamento della diagnosi e delle terapie) crescono anche i rischi, tra moltiplicazione delle biobanche, assistenza sanitaria transfrontaliera, telematizzazione dei percorsi diagnostici, genomica e interoperabilità delle cartelle cliniche.

In questo senso il Garante si è fatto carico più volte dell´esigenza di adeguare le garanzie previste per i pazienti alla realtà in continuo progresso della medicina e della sanità, colmando spesso la distanza tra realtà e norma derivante dall´asimmetria tra la velocità di evoluzione della scienza (e soprattutto della tecnica ad essa applicata) e la rigidità del diritto e delle sue liturgie.

Il fascicolo e il dossier sanitari elettronici (il primo contiene dati e documenti digitali di tipo socio-sanitario generati da eventi clinici presenti e trascorsi, relativi al paziente,  generati dai vari attori del SSN, mentre il secondo riguarda l´insieme dei documenti sanitari relativi al singolo paziente nella disponibilità, tuttavia, di una singola struttura) ne sono un esempio significativo.

Nel 2009 il Garante ha adottato delle linee guida relative a entrambi, al fine di dettare alcune garanzie a tutela della riservatezza del paziente, in assenza di una regolamentazione legislativa che sarebbe stata introdotta soltanto tre anni dopo.

Tra le indicazioni delle linee guida si ricordano, in particolare,

- la necessità di garantire al paziente la piena libertà sull´an e sul quantum dell´fse o del dossier (se cioè costituirlo o meno, senza pregiudizi per le cure ed eventualmente con quale ampiezza) in base a uno specifico consenso informato che preveda anche la possibilità di oscurare alcuni eventi clinici;

- l´esigenza di informare l´interessato sui soggetti legittimati all´accesso e sulle operazioni loro consentite;

- la necessità di adottare misure di sicurezza elevate per proteggere i dati da accessi abusivi.

Alcune di queste indicazioni (come del resto quelle sui referti on-line contenute nelle linee guida del 2009) non sono state pienamente recepite in alcune strutture, costringendoci ad adottare provvedimenti prescrittivi e inibitori.

Essi hanno tuttavia consentito di migliorare notevolmente la qualità delle prestazioni erogate e la stessa legittimazione dei presidi sanitari interessati, rassicurando così i pazienti in ordine alla riservatezza loro garantita anche aderendo alla proposta di costituzione di fascicoli o dossier sanitari, al fine di assicurare quel diritto all´autodeterminazione informativa che, rispetto alla salute, è l´aspetto complementare del diritto all´autodeterminazione terapeutica.

Le indicazioni fornite nelle linee guida e nel parere sul regolamento attuativo del maggio 2014  sono ancor più rilevanti alla luce della previsione – introdotta nonostante le nostre perplessità con il d.l. 69/2013 – della possibilità per Ministeri e Regioni di utilizzare, per finalità di ricerca e governo, anche i documenti clinici contenuti nel fse, sia pur anonimizzando i relativi dati.

Sul dossier sanitario ulteriori precisazioni sono state rese con le linee guida del giugno scorso, incentrate essenzialmente

- sulla certezza dell´origine del dato, la sua esattezza;

- la legittimazione soggettiva e differenziata del personale autorizzato ad accedervi

- il diritto del paziente a verificare gli accessi effettuati (restituendo così centralità all´interessato nel processo di gestione dei suoi dati), nonché

- l´obbligo per il titolare di segnalare al Garante eventuali data breaches occorsi nella propria struttura, anche a seguito di incidenti e attacchi informatici.

Il tema del rapporto tra analisi epidemiologica, ricerca medica e diritto alla riservatezza dei pazienti si è posto, in particolare, con i registri di patologia, su cui abbiamo reso diversi pareri in relazione alle leggi regionali che, prima di quella nazionale, li hanno disciplinati e, in seguito all´istituzione, nel 2012, dei sistemi di sorveglianza e dei registri sanitari, abbiamo reso parere, lo scorso 23 luglio, sul dPCM attuativo.

Sul punto fornivamo alcune indicazioni volte

- a estendere le garanzie per i dati personali dei pazienti anche ai registri già istituiti;

- a meglio delineare i profili inerenti la titolarità del trattamento rispetto agli enti di livello nazionale;

- a precisare le condizioni, tassative e specifiche, che legittimano la decodifica delle generalità dell´interessato, nell´ambito di un sistema di codifica reversibile;

- a prevedere che i trattamenti per fini statistici riguardino dati resi anonimi in modo (invece) irreversibile;

- a specificare l´ambito del trattamento per fini di cura riferibile ai centri di riferimento regionale;

- a introdurre l´obbligo di comunicazione al Garante nel caso di data breach.

Molte di queste indicazioni sono state recepite dalle regioni che autonomamente stanno procedendo all´istituzione dei registri nonostante l´incompletezza del quadro legislativo nazionale, carente dei regolamenti attuativi che avrebbero dovuto delineare, in particolare, le garanzie fondamentali per la protezione dei dati trattati nei registri: dai presupposti, soggettivi e oggettivi, di legittimazione all´accesso (comunque selettivo a livelli diversificati) alle categorie di dati suscettibili di consultazione, alle misure di sicurezza da adottare per scongiurare ogni tipo di trattamento illecito.

Alla Camera dei deputati si stanno peraltro discutendo varie proposte di legge istitutive di specifici registri dei tumori, sulle quali siamo stati auditi, sottolineando in particolare l´importanza del sistema della codifica reversibile che è il solo a poter garantire ampi margini di analisi e ricerca su dati personali per fini epidemiologici, senza per questo violare la riservatezza dei pazienti.

Si tratta della pseudoanonimizzazione del dato, codificata dal nuovo regolamento europeo quale strumento necessario per coniugare le esigenze della ricerca biomedica ed epidemiologica con il diritto alla riservatezza del paziente, la cui identificazione è possibile solo in caso di necessità.

In questo, essenzialmente, la codifica reversibile si distingue dall´anonimizzazione tout court, che va invece assicurata rispetto ai dati personali di pazienti trattati per fini statistici o di governance del sistema sanitario.

Su questo tema abbiamo, in particolare, insistito rispetto all´interconnessione (o comunque alla moltiplicazione) delle banche dati del Ministero della salute o di altri dicasteri (dal sistema informativo sulle dipendenze o sulla salute mentale al casellario dell´assistenza), comprensive dei dati sulle prestazioni sanitarie erogate attraverso strutture sanitarie regionali e locali e, indirettamente, di dati sanitari di diversi cittadini.

Se è infatti indispensabile, ai fini del monitoraggio, della programmazione e dell´efficientamento della spesa sanitaria, disporre della visione organica delle prestazioni erogate dai vari organi costitutivi del Sistema sanitario nazionale, è altrettanto necessario pretendere che tale analisi sia condotta senza utilizzare dati identificativi e nell´ambito di sistemi informativi adeguatamente protetti da accessi abusivi ed attacchi cibernetici.

Un´ultima considerazione.

Il tema dei big data nella sanità va  attentamente seguito in tutto il complesso percorso su cui si snoda, rispetto ai vari soggetti che vi prendano parte e ai condizionamenti che ciascun tipo di analisi determina sulle decisioni politiche.

La scelta di quali dati selezionare, come proteggerli e da chi farli analizzare non può essere rimessa alla estemporanea iniziativa dei privati ma va ricondotta all´interno di una visione lungimirante e responsabile del governo della sanità.

Quali dati si raccolgono, come li si misura e come li si mette a disposizione dei vari soggetti coinvolti sono elementi ormai fondamentali per il governo strategico e dipendono da scelte politiche di fondo che devono essere oggetto di riflessione attenta.

Se non si controlla l´architettura dei dati, non si sarà autonomi e consapevoli neppure nella definizione degli obiettivi e delle priorità e verrà meno l´autonomia di chi deve definire sul piano politico i risultati attesi e gli incentivi.