Stringenti e rigorosi sono oggigiorno gli obblighi imposti, in materia di trattamento dei dati dei pazienti, agli operatori che forniscono servizi di sanità elettronica (tra cui quelli di refertazione on line e fascicolo sanitario elettronico, c.d. FSE) e di medicina telematica (come il telemonitoraggio medicale, la teleassistenza domiciliare, il teleconsulto specialistico).

Nel caso della sanità elettronica, la normativa privacy vigente (D.Lgs. 196/2003) e il Garante hanno imposto severe misure a tutela dei dati. Per fornire il servizio di referti on line, gli operatori sanitari sono tenuti tra l’altro (cfr. Provv. Garante 19.11.2009) a rendere all’interessato preventiva informativa sulle caratteristiche del servizio di refertazione on line, distinta da quella relativa al trattamento per finalità di cura (artt. 13, 79 e 80 D.Lgs. cit) e ad acquisirne specifico consenso. Inoltre, nel caso in cui sia fornito anche il servizio di archiviazione dei referti, gli operatori debbono rendere un’ulteriore informativa e richiedere al paziente relativo consenso. Infine, essi sono obbligati ad adottare elevate misure di sicurezza tecnologica (tra cui, utilizzo di standard crittografici, sistemi di strong authentication, uso di password per l’apertura di file), a notificare il trattamento (art. 37 D.Lgs. cit), a nominare responsabili e amministratori di sistema. Regole sostanzialmente analoghe sono previste per il FSE (cfr. Provv. Garante 16.7.2009), che ha ricevuto recente riconoscimento normativo con il DDL Fazio approvato dal CdM il 24 settembre scorso.

Nel caso della medicina telematica, un settore oggi in forte crescita, la disciplina del trattamento dati è solo quella generale del D.Lgs. 196/2003. Manca invece una regolamentazione specifica che disciplini titolarità, finalità, modalità e misure di sicurezza del trattamento dati. Ciononostante, nella pratica quotidiana, gli operatori – supplendo alla lacuna normativa - ritengono generalmente applicabili per analogia anche le rigide prescrizioni dettate dal Garante in tema di sanità elettronica.

Le misure in commento sono rivolte a salvaguardare i dati personali e gli inviolabili diritti alla riservatezza, alla libera manifestazione del consenso ed all’adeguata informazione del paziente. Tuttavia, se interpretate troppo rigorosamente, rischiano di ostacolare l’attività degli operatori, che per prudenza si trovano costretti a conformarsi - preventivamente alla fornitura del servizio - a tutti gli obblighi sopra menzionati. E quindi di posticipare o addirittura impedire l’erogazione al cittadino di servizi invece molto utili, idonei a migliorarne sensibilmente le prospettive di cura.

Il problema è particolarmente sentito da parte delle aziende che forniscono servizi di telemonitoraggio medicale. In più occasioni esse si sono lamentate della mancanza di una regolamentazione specifica del trattamento dati in materia di telemedicina e di una interpretazione troppo rigorosa degli obblighi privacy dettati per la sanità elettronica. Inoltre, hanno segnalato l’opportunità che il Garante chiarisca meglio la portata degli obblighi, specificando le misure di sicurezza da adottare e predisponendo per detto trattamento modelli ad hoc d’informativa, di consenso e di nomine responsabili/incaricati, ad oggi invece mancanti.

E’ quanto è avvenuto, ad esempio, ad una nota impresa, nostra cliente, che sta lanciando nel mercato italiano un dispositivo cardiaco che consente agli operatori sanitari di interrogare, monitorare e gestire a distanza le condizioni cardiache del paziente e quindi di prevenirne le situazioni di aggravamento della salute. La distribuzione in Italia di tale innovativo dispositivo è stata spesso ostacolata da un’interpretazione troppo rigida della disciplina in commento. Da un lato, infatti, l’azienda – in mancanza di una normativa ad hoc in materia di telemedicina - ha dovuto per prudenza adeguarsi a tutti i rigorosi obblighi imposti per la sanità elettronica. Dall’altro, in più occasioni, si è scontrata con gli enti ospedalieri sui temi dell’applicabilità della disciplina della sanità elettronica, della completezza della documentazione privacy predisposta, della titolarità in capo all’azienda del proprio trattamento dati, della facoltà della stessa di nominare responsabili esterni e delle misure di sicurezza da adottare. Ciò, ovviamente, ha ritardato la distribuzione del dispositivo sul mercato italiano ed impedito ai pazienti di fruirne.
La situazione ora descritta rischia così di pregiudicare la diffusione di servizi idonei a migliorare la salute del paziente e quindi, in ultima analisi, di danneggiare il cittadino. Per evitarlo, sarebbe opportuna una presa di posizione del legislatore o del Garante che, contemperando sapientemente i diritti costituzionali alla riservatezza dei dati e alla salute del paziente, dettino una disciplina adeguata del trattamento dei dati nel campo della medicina telematica (chiarendone la titolarità, le finalità, le misure di sicurezza) e semplifichino gli obblighi privacy a carico degli operatori in materia di sanità elettronica. Inoltre, forniscano modelli ad hoc dei documenti privacy (informativa, modelli di consenso e nomine). In tal modo, gli operatori saranno in grado di rendere più agevolmente i servizi in commento e il cittadino potrà più facilmente fruirne, senza dover essere costretto a recarsi all’estero per ottenerli. Ne conseguiranno una tutela migliore del diritto alla salute del cittadino ed un più corretto bilanciamento dell’interesse del paziente alla riservatezza dei dati.

Avv. Nadia Martini, studio legale Nunziante Magrone.