Intervista al Dott. Stefano Corso e all’Avv. Davide Tuzzolino. “La protezione dei dati sanitari. Privacy e innovazione tecnologica tra salute pubblica e diritto alla riservatezza”

18 Novembre 2022
Redazione DIMT

In occasione dell’evento formativo La protezione dei dati sanitari. Privacy e innovazione tecnologica tra salute pubblica e diritto alla riservatezza curato dalla Prof.ssa Arianna Thiene e tenutosi lo scorso 4 novembre 2022, abbiamo intervistato i relatori Dott. Stefano Corso e l’Avv. Davide Tuzzolino, i quali hanno preso parola rispettivamente su: “Sanità digitale e riservatezza. Il fascicolo sanitario elettronico” e “Il diritto alla portabilità dei dati sanitari”.

Nei prossimi mesi sarà inoltre pubblicato, dalla collana del Dipartimento di Giurisprudenza dell’Università di Ferrara sede Rovigo, il volume che raccoglierà gli atti del seminario curato dalla Prof.ssa Arianna Thiene e dal Dott. Stefano Corso.

Il Dott. Stefano Corso è dottorando di ricerca in Diritto privato, presso la Scuola di Dottorato in Diritto internazionale e Diritto privato e del lavoro dell’Università di Padova, nonché Cultore in Diritto privato, presso il Dipartimento di Giurisprudenza dell’Università di Ferrara. È membro della Redazione della Nuova giurisprudenza civile commentata e del Comitato di redazione di Responsabilità medica. Diritto e pratica clinica e di Pampaedia – Bollettino AsPeI.

L’Avv. Davide Tuzzolino è dottorando in Diritto privato presso l’Università Europea di Roma e Cultore della materia per l’insegnamento di Diritto privato presso il Dipartimento di Scienze Umane della medesima Università. Teaching assistant per l’insegnamento di Business Cyberlaw e Cultore della materia in Informatica giuridica per l’insegnamento di Algorithm and Data Management Law, rispettivamente, presso il Dipartimento di Impresa e management e il Dipartimento di Giurisprudenza dell’Università LUISS Guido Carli di Roma. Fellow dell’Italian Academy of the Internet Code.

Il Dott. Stefano Corso

L’Avv. Davide Tuzzolino

Dati sanitari: perché è importante parlarne e contestualmente portare avanti una campagna di sensibilizzazione sulla tutela dei diritti fondamentali delle persone?

Dott. S. Corso: I dati relativi alla salute, definiti dall’art. 4, n. 15, del Regolamento generale sula protezione dei dati personali (c.d. GDPR) come «i dati personali attinenti alla salute fisica o mentale di una persona fisica, compresa la prestazione di servizi di assistenza sanitaria, che rivelano informazioni relative al suo stato di salute», appartengono al novero delle particolari categorie di dati personali, il cui trattamento è vietato dall’art. 9, par. 1, GDPR, salvo il ricorrere di una delle eccezioni elencate al successivo par. 2. Essi sono quindi ‘dati sensibili’, rappresentano informazioni il cui trattamento, anche a seconda del suo contesto, potrebbe creare rischi significativi per i diritti e le libertà fondamentali delle persone.

È importante parlarne e sensibilizzare gli interessati, perché, con un’auspicabile maggiore consapevolezza dei benefici e dei rischi derivanti dal trattamento di questi dati, nonché della portata dei diritti di cui gli individui sono titolari, in ordine alla protezione dei loro dati personali, è possibile prevedere, da un lato, un migliore impiego dei dati stessi e dei servizi che da questo dipendono e, dall’altro, una maggiore responsabilizzazione di tutti i soggetti coinvolti nelle operazioni di trattamento, non solo titolare e responsabile del trattamento, ma anche medici e sanitari in genere, oltreché gli utenti stessi.

La conoscenza della tematica e dei problemi ad essa connessi contribuisce a garantire la tutela dei diritti della persona così come il buon funzionamento del Servizio Sanitario Nazionale, oggi al banco di prova del processo di digitalizzazione.

Come enunciato all’art. 1 della l. n. 24 del 2017 (c.d. legge Gelli-Bianco), la sicurezza delle cure, che «è parte costitutiva del diritto alla salute ed è perseguita nell’interesse dell’individuo e della collettività», «si realizza anche mediante l’insieme di tutte le attività finalizzate alla prevenzione e alla gestione del rischio connesso all’erogazione di prestazioni sanitarie e l’utilizzo appropriato delle risorse strutturali, tecnologiche e organizzative», comprese, dunque, quelle inerenti alla protezione dei dati personali e, specificamente, sanitari.

Entrando nel dettaglio, Avv. Tuzzolino, a Suo avviso quali sono i limiti della portabilità dei dati sanitari? È sempre possibile assicurare la sicurezza dei dati sottoposti a portabilità?

Avv. D. Tuzzolino: Alcuni limiti sono quelli riconosciuti dalla Proposta di Regolamento sullo spazio europeo dei dati sanitari, che intende offrire soluzioni per l’interoperabilità e per la portabilità delle informazioni contenute nei sistemi delle cartelle cliniche elettroniche. La Commissione europea mette in luce alcune restrizioni che attualmente caratterizzano il diritto e che necessitano di essere riconsiderate, come la condizione di liceità su cui poggia il trattamento e la tipologia dei dati da assoggettare alla portabilità. Tali vincoli, pur essendo già noti, se riferiti all’ambito delle informazioni sanitarie, conducono a considerazioni specifiche.

Il problema della base giuridica deriva dal fatto che, per la portabilità, il GDPR richiede un trattamento basato sul consenso dell’interessato, anche prestato tramite contratto, che deve essere esplicito in caso di dati particolari, come quelli sanitari. Questo induce, però, a chiedersi, come gestire effettivamente l’interazione tra la condizione di liceità e quella eccettuativa, in considerazione dei limiti specifici posti dal GDPR per il trattamento di dati particolari. La soluzione non è sempre univoca e pacifica e può condurre a conseguenze aberranti, anche dal lato del possibile esercizio del diritto alla portabilità, il cui ambito operativo risulta, nei fatti, più ampio, spesso proprio in ragione del cumulo tra le due disposizioni.

L’altro problema su cui indugia la Proposta è quello della tipologia di dati assoggettabili al diritto. L’interessato, infatti, ha, attualmente, la possibilità di ricevere le sole informazioni fornite al titolare e, dunque, i dati comunicati consapevolmente. Ad esempio, può ottenere le notizie riferite al medico, riguardanti la sua storia clinica (l’anamnesi), ma anche i dati osservati o raccolti direttamente, come quelli rilevati al momento della visita. Non rientrano, invece, nella portata del diritto, i dati inferenziali, ovvero quelli desunti da informazioni fornite (in senso stretto) e osservate (dati forniti, in senso lato). Per questa ragione, è escluso tutto ciò che si ricava tramite procedimento logico-deduttivo o che viene elaborato da apparecchi intelligenti del titolare. Pertanto, la diagnosi effettuata dal medico, ma anche l’output di un sistema di intelligenza artificiale, che identifica eventuali fattori di rischio, non sono informazioni ‘portabili’.

Quello che l’attuale formulazione non sembra cogliere, e che la Proposta non può risolvere, è il mancato recepimento, nel disposto normativo, delle diverse sfumature che i dati sanitari possono assumere, risultando, gli stessi, più o meno vicini alla sfera intima del soggetto, tanto da indurre a riflettere sulla già nota linea di confine tra dati sanitari e dati personali comuni, dati sensibili e dati sensibilissimi, di cui il contesto del trattamento non può certamente rappresentare un criterio adeguato per distinguerli.

La questione si presenta nuovamente se si considera che la portabilità non deve ledere i diritti e le libertà altrui, inerenti, tra l’altro, al trattamento dei dati personali. Per esemplificare, si può riprendere il caso dell’anamnesi, in cui vengono spesso richieste informazioni relative ai collaterali e agli ascendenti del paziente o, anche, ai figli, per avere un quadro clinico completo e per l’accertamento di eventuali caratteri di familiarità o di trasmissibilità ereditaria, come nel caso delle malattie genetiche. Il potenziale squilibrio nel far circolare liberamente tali dati, nella totale inconsapevolezza dell’interessato e con automatismi che non sempre sono ragionati, risulta evidente. Si badi, la questione riguarda maggiormente da vicino la portabilità, rispetto all’accesso, per l’intrinseca natura del diritto, che mira, appunto, a un successivo utilizzo dei dati. Si rinnova, dunque, l’esigenza che la portabilità ponga maggiore attenzione alla sensibilità delle informazioni, alle finalità del trattamento e alle caratteristiche del titolare che le riceve.

Per quel che concerne i profili di sicurezza, devono essere predisposte misure stringenti e idonee a limitare i rischi derivanti dalle fasi esecutive di maggiore vulnerabilità, rappresentate dalla trasmissione tra sistemi, dalla corretta individuazione del destinatario e dalla conservazione dei dati personali nei sistemi di destinazione.

Per mitigare il rischio durante la trasmissione, in sede europea sono state da tempo suggerite misure di crittografia end-to-end, mentre per la corretta identificazione dei destinatari sono state proposte soluzioni basate sull’autenticazione forte. Quanto al profilo della conservazione, è stato raccomandato un approccio volto a sensibilizzare l’interessato alla corretta tutela delle informazioni ricevute.

In caso di portabilità da titolare a interessato, tuttavia, sembra giusto considerare – stante, nella maggior parte dei casi, il presumibile divario di competenze tra le due figure – che il titolare debba adoperarsi per consentire la conservazione in sicurezza nel sistema di destinazione, escludendo, per quanto possibile, l’affidamento a misure di contesto, che dipendano, magari, dal livello di sicurezza delle attrezzature informatiche dell’interessato. Meglio, dunque, maggiore attenzione, da parte del titolare, che lasciare tutto a un sistema che non si conosce.

Quanto, invece, al trasferimento da titolare a titolare, il soggetto che trasferisce i dati deve garantirne la sicurezza fino al buon fine del trasferimento al ricevente, che deve essere identificato senza alcun margine di dubbio già prima dell’invio.

Tuttavia, anche sotto il profilo della sicurezza, è chiara l’esigenza che le misure tengano in considerazione la tipologia dei dati sanitari trattati ed il loro livello di sensibilità e, dunque, non è possibile una indicazione univoca, valida per tutte le situazioni, ma si deve necessariamente adottare una logica case by case.

Dott. Corso, potrebbe spiegarci in cosa consiste oggi il Fascicolo sanitario elettronico – FSE e quali sono stati i più recenti sviluppi legislativi in merito?

Dott. S. Corso: Il FSE, di cui si sente spesso parlare negli ultimi tempi, è stato in realtà formalmente istituito una decina di anni fa, con il d.l. n. 179 del 2012.

All’art. 12, comma 1, del suddetto decreto legge, così come modificato dal d.l. n. 34 del 2020, esso è definito come: «l’insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito, riferiti anche alle prestazioni erogate al di fuori del Servizio sanitario nazionale».

Tale articolo risulta, finora, ritoccato dal legislatore per ben nove volte, da ultimo, con l. 28 marzo 2022 n. 25, di conversione, con modificazioni, del d.l. 27 gennaio 2022, n. 4. Ciò può far intuire immediatamente la delicatezza e, per certi versi, anche la problematicità del tema che affronta. A ciò si aggiunga la cospicua attività del Garante per la protezione dei dati personali sul tema, non solo di monitoraggio e sanzionatoria, ma anche consultiva.

Si tratta di uno strumento digitale in grado di apportare grandi benefici per il paziente, in termini, ad esempio, di accessibilità delle informazioni inerenti al proprio stato di salute e di conservazione dei referti, ma anche per i sanitari che lo utilizzino, nonché per le strutture sanitarie e il SSN, in relazione all’esecuzione della prestazione sanitaria. I vantaggi che derivano dal suo utilizzo giovano anche alla ricerca, principalmente in ambito medico, e alla Pubblica Amministrazione, in generale, per il governo della sanità.

Nonostante la disciplina, tratteggiata ancora dal d.P.C.M. n. 178 del 2015 – applicabile, come enunciato all’art. 1 del Decreto del Ministero della salute del 18 maggio 2022, recante “Integrazione dei dati essenziali che compongono i documenti del Fascicolo sanitario elettronico”, in quanto compatibile con le vigenti disposizioni, nelle more dell’adozione del decreto di cui all’art. 12, comma 7, d.l. n. 179/2012 – sancisca una serie di diritti in capo all’interessato, tra cui, in particolare, si ricordi il diritto all’oscuramento, sembrano persistere profili di criticità, dovuti, soprattutto, alla potenziale incompletezza del FSE stesso e alla sicurezza del mezzo informatico.

Oltre a ciò, e da un punto di vista strettamente giuridico, restano – a mio avviso – alcuni dubbi interpretativi, legati all’eliminazione tout court del consenso dell’interessato all’alimentazione del FSE, operata con l’abrogazione del comma 3 bis dell’art. 12, da parte del d.l. n. 34 del 2020.

È appena il caso di ricordare come il potenziamento del FSE sia uno degli obiettivi dell’investimento 1.3, nell’ambito della seconda componente, “Innovazione, ricerca e digitalizzazione del servizio sanitario nazionale”, della missione 6, dedicata alla salute, del Piano Nazionale di Ripresa e Resilienza, alla quale sono complessivamente destinate risorse per un ammontare di 15,63 miliardi di euro.

Riguardo alla riservatezza dei dati sanitari, abbiamo da poco ricevuto il parere negativo del GPDP al Ministero della salute e al Ministero per l’innovazione tecnologica e la transizione digitale sullo schema di decreto che prevede la realizzazione della nuova banca dati denominata Ecosistema Dati Sanitari (EDS), previsto dalla riforma del Fascicolo sanitario elettronico. Quali sono i rischi nel creare una banca dati così grande sulla salute del nostro Paese?

Dott. S. Corso: Il Garante per la protezione dei dati personali, con i provvedimenti nn. 294 e 295 del 22 agosto 2022, ha espresso, ex art. 58, par. 3, lett. b, GDPR, pareri non positivi in relazione agli schemi di decreto, rispettivamente, sul Fascicolo Sanitario Elettronico (FSE) e sull’Ecosistema Dati Sanitari (EDS). Questi schemi, da adottare assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell’economia e delle finanze – ex art. 12, d.l. 18 ottobre 2012, n. 179, il primo schema, ai sensi del comma 7, e il secondo, ai sensi del comma 15 quater – sono stati trasmessi all’Autorità dal Ministero della salute, con la nota del 15 luglio 2022.

Entrambi gli schemi affrontano tematiche che riguardano pure la proposta della Commissione europea di Regolamento per uno spazio europeo dei dati sanitari, su cui il Comitato europeo per la protezione dei dati e il Garante europeo per la protezione dei dati hanno espresso un parere congiunto, il 12 luglio 2022, auspicando di raggiungere un equilibrio tra l’agevolazione della disponibilità di dati sanitari elettronici e l’impatto sui diritti e le libertà delle persone, in linea con la normativa di settore.

Il comma 15 quater dell’art. 12, d.l. n. 179/2012, dispone che il Ministero della salute curi la realizzazione dell’Ecosistema Dati Sanitari (EDS), assicurando in ciò l’adeguatezza delle infrastrutture tecnologiche e la sicurezza cibernetica in raccordo con l’Agenzia per la cybersicurezza nazionale.

Tale ecosistema risulta strettamente legato al FSE, poiché, come indicato nel comma 3 dello stesso articolo, quest’ultimo lo alimenta di dati. Per questo i caratteri dell’EDS non possono apprendersi compiutamente senza la comprensione di come funzioni il FSE e così pure non è possibile risolvere del tutto le criticità del primo senza superare quelle del secondo.

I rischi insiti in quella che è stata definita proprio dal Garante come «la più grande banca di dati sulla salute» sono, in aggiunta a quelli che contraddistinguono il trattamento di dati sanitari che avviene per mezzo di strumenti informatici e nella rete, i rischi propri di una «duplicazione dei dati e dei documenti generati per finalità di cura», rischi che discendono da un sempre più allargato e sfuggevole flusso di dati relativi alla salute e un minore – o forse quasi impossibile – controllo sulla loro circolazione.

Lungi dall’essere fenomeni infrequenti, la violazione dei sistemi informatici e la diffusione illecita di dati (c.d. data breach) si verificano anche nelle realtà più grandi e strutturate. Si pensi all’attacco hacker all’Asl di Torino, di agosto 2022, quello all’Azienda di Padova, di dicembre 2021, e, prima ancora, nello stesso anno, quello subito nella Regione Lazio.

Inoltre, la frammentarietà, la complessità e, in certo qual modo, l’opacità normativa in materia, atteso il moltiplicarsi delle fonti che la regolano, aumentano le difficoltà per l’interprete di ricostruire con esattezza il quadro giuridico di riferimento e, conseguentemente, vanno a discapito della certezza del diritto.

a cura di

Valeria Montani

Approfondimenti:

“La protezione dei dati sanitari. Privacy e innovazione tecnologica tra salute pubblica e diritto alla riservatezza”. L’evento formativo a cura della Prof.ssa Arianna Thiene.

Intervista al Dott. Stefano Corso e all’Avv. Davide Tuzzolino. “La protezione dei dati sanitari. Privacy e innovazione tecnologica tra salute pubblica e diritto alla riservatezza”

Redazione DIMT

Ultimi articoli

Via libera dalla Commissione UE a 612 milioni di euro di aiuti di Stato del Portogallo per le imprese ad alta intensità energetica

La Commissione UE aggiorna le norme per strade più sicure, meno inquinamento e documenti digitali dei veicoli

UE multa Apple e Meta per violazioni alla legge sui mercati digitali

UE: Apple promossa su browser e app predefinite, ma sotto osservazione per gli store alternativi

Prossimi eventi

TFDI Connect @ Token2049 – Dubai

Le tutele dei diritti d’autore. Arti contemporanee ed età digitale

La sanità digitale e il trattamento dei dati dei pazienti fra teoria e prassi applicative

Intelligenza artificiale e responsabilità civile. Problema, Sistema, Funzioni

Condividi