L’attuazione del GDPR in ambito sanitario, a che punto siamo?

Il 19 Settembre 2018 è stato pubblicato in Gazzetta Ufficiale il decreto di adeguamento su base nazionale delle disposizioni del nuovo regolamento Privacy, meglio noto come GDPR (di cui abbiamo precedentemente parlato QUI).

L’attuazione delle nuove norme sul trattamento dati trova l’Italia parzialmente impreparata e gli operatori sanitari molto confusi sull’implementazione e il rispetto delle nuove regole. Il GDPR rimane la disciplina fondante delle nuove regole, ma il vecchio decreto del 2003 risulta non ancora totalmente abrogato.

Il prossimo periodo sarà abbastanza complesso sia per l’interpretazione che per l’attuazione delle norme del GDPR, per le quali non mancheranno controversie, in particolare riguardo la liceità di sanzioni, sia amministrative che penali. Il Garante della Privacy infatti oltre a vedere un considerevole aumento di poteri, diventa l’organo di indirizzo e di controllo di norme deontologiche di soft law, con poco o nessun valore coercitivo.

Un altro limite è rappresentato dal sistema di accreditamento dei certificatori. Infatti l’art.43 del GDPR permette sia al Garante sia all’Ente nazionale di accreditamento ACCREDIA di accreditare i certificatori, con la possibilità che il Garante si sostituisca coattamente ad ACCREDIA in caso di grave inadempimento. In questo modo, quindi, l’accreditamento può essere attestato da entrambi gli enti, che entrano di fatto in concorrenza l’uno con l’altro, e che mettono in atto criteri di valutazione complessi e per alcuni aspetti ambigui.

Nei prossimi mesi il Garante dovrà verificare e in alcuni casi riscrivere i codici deontologici e di condotta, per adeguarli alle norme di indirizzo previste dal GDPR. Nel frattempo, restano in vigore le norme del regolamento del 2003, in attesa delle verifiche del Garante e dell’adozione da parte sua delle nuove regole deontologiche, dei provvedimenti generali e delle misure di garanzia previsti dal nuovo decreto delegato. Sino a quando il Garante non avrà terminato questo lavoro, le norme del GDPR non potranno essere pienamente attuate e saranno comunque oggetto di numerosi contenziosi.

Gli operatori sanitari si trovano, considerando la delicatezza dei dati trattati e gestiti, in una situazione di ambiguità in cui se l’adozione del GDPR è certa, non lo sono le regole attuative dello stesso. Le ispezioni da parte del Garante saranno sicuramente rimandate, anche per gli aspetti sopra elencati, ma saranno certamente operative nel 2019.

Riguardo i controlli e l’apparato sanzionatorio, il testo definitivo del Codice Privacy contiene tre fattispecie di reato nuove, già previste nello schema di decreto, a cui se ne aggiunge una quarta.

Le prime due fattispecie riguardano:

• La comunicazione e diffusione illecita di dati personali oggetto di trattamento su larga scala;
• L’acquisizione fraudolenta di dati personali oggetto di trattamento su larga scala.

Le norme sono state riformulate modificando la locuzione “riferibili ad un numero rilevante di persone” con il concetto di trattamento su larga scala. Con ciò, probabilmente, si è voluto fornire maggior chiarezza all’elemento della fattispecie, in considerazione del fatto che il concetto di larga scala è presente anche nel GDPR. In verità, il GDPR non chiarisce in modo certo e definitivo cosa debba intendersi con la locuzione “larga scala”, offrendo criteri alternativi non fondati su elementi quantitativi, ma su indicazioni generiche suscettibili di diversa interpretazione.

Le altre due nuove fattispecie riguardano:

• La falsità nelle dichiarazioni al Garante e l’interruzione dei compiti o dell’esercizio dei poteri del Garante;
• L’inosservanza dei provvedimenti del Garante.

Una zona grigia nell’ambito sanitario riguarda l’operatività del fascicolo sanitario elettronico, di cui abbiamo parlato QUI, che rappresenta uno degli sviluppi fondanti della sanità digitale. Infatti le informazioni e i dati sanitari raccolti dai diversi attori, quali ASL, medico di base, pronto soccorso, etc., sono spesso stati acquisiti senza il necessario consenso e quindi non in linea con le regole del GDPR. Per queste ragioni, il lavoro svolto negli ultimi anni per uniformare la refertazione, il percorso di cura del paziente e il suo storico, potrebbe essere vanificato da norme più stringenti in materia. Un possibile metodo per ovviare all’impossibilità di utilizzare questi macrodati potrebbero essere le misure di pseudononimizzazione introdotte dal GDPR, ossia dati non collegati al nominativo del paziente ai quali viene assegnato un codice univoco identificativo, tutelando il paziente stesso. Infine, un’ulteriore criticità potrebbe essere rappresentata dall’introduzione del diritto alla portabilità dei dati in quanto spesso le tecnologie e i software utilizzati dalle strutture sanitarie non sono predisposti ad un dialogo tra di loro, rendendo illeggibile il dato trasferito.

L’art. 2 che prevede l’inutilizzabilità dei dati trattati in violazione della disciplina è stato integrato con un rinvio al nuovo art. 160 –bis, in cui correttamente viene previsto un rinvio alle pertinenti disposizioni processuali per la valutazione dell’utilizzabilità, validità ed efficacia di atti, documenti e provvedimenti introdotti in un procedimento giudiziario contenenti tali dati.

Per il momento, la strategia degli operatori sanitari e dei responsabili del trattamento dati è quella di una lunga attesa, nella speranza che entro l’anno il Garante possa fornire indirizzi in materia di verifica delle policies, controllo di regole deontologiche, provvedimenti generali, misure di garanzia e scioglimento dei nodi relativi all’accredito.