Soggetti fragili a rischio in caso di contagio da Covid-19: il monitoraggio preventivo deve rispettare la loro privacy

Sanzionate tre Aziende sanitarie locali del Friuli. Multa di 55mila euro per ciascuna. A far scoppiare il caso è stata la segnalazione di un medico. Il Garante sottolinea la gravità dell’illecito e non autorizzato trattamento dei dati sanitari relativi a oltre 40mila persone.

Prevenzione e monitoraggio sì a tutela della salute dei cittadini ma garantendo a questi ultimi il rispetto della loro privacy. Questo, in sintesi, il pensiero del Garante per la protezione dei dati personali, che ha sanzionato, con 55mila euro di multa a testa, tre differenti Aziende sanitarie locali del Friuli, colpevoli di avere classificato, attraverso l’uso di specifici algoritmi, oltre 40mila persone in relazione all’eventuale rischio di avere o meno complicanze in caso di infezione da Covid-19 Provvedimenti del 15 dicembre 2022 del Garante per la protezione dei dati personali . La Delibera della Regione Friuli-Venezia Giulia. A far scoppiare il caso è stata la segnalazione di un medico. A finire sotto i riflettori è stata una delibera della giunta della Regione Friuli-Venezia Giulia con cui, nel novembre del 2020, in piena pandemia, è stato imposto ai medici di famiglia l’obbligo di fornire i dati relativi alle condizioni salute dei loro assistiti con schede informatiche in cui riportare dati bio-umorali personali, terapie, stato patologico, indirizzi familiari, condizioni e abitudini di vita, tra l’altro , omettendo completamente ogni riferimento all’eventuale consenso fornito dai privati cittadini seguiti dai medici. Tutto ciò era collocato, va precisato, nell’ottica della cosiddetta medicina di iniziativa , definizione con cui si identifica un modello assistenziale orientato alla promozione attiva della salute delle persone, specie se affetto da malattie croniche o disabilità, e alla loro responsabilizzazione nel rispettivo percorso di cura. Alle perplessità manifestate dal Garante per la privacy, però, la Regione ha risposto innanzitutto dichiarando che l’identificazione degli assistiti e il loro inserimento nelle liste trova il fondamento giuridico nel consenso generico fornito loro e relativo alla visibilità da parte medico di medicina generale . Poi, alla luce della necessità di fronteggiare la diffusione dei contagi da Covid-19 e, soprattutto, prevenire accessi impropri alle strutture ospedaliere , si è puntato sulla vaccinazione, chiariscono dalla Regione, e si è fatto poi riferimento al concetto di profilo sanitario sintetico , che è il documento socio-sanitario informatico redatto e aggiornato dal medico di medicina generale o pediatra di libera scelta, che riassume la storia clinica dell’assistito e la sua situazione corrente conosciuta . Non trascurabile, aggiungono dalla Regione, la finalità di tale documento , cioè favorire la continuità di cura , permettendo un rapido inquadramento dell’assistito al momento di un contatto con il Servizio sanitario nazionale , e, nel caso specifico riguardante le tre Aziende sanitarie locali, puntare l’attenzione su quegli assistiti catalogati come soggetti fragili e quindi a maggiore rischio in caso di contagio da Covid-19. Profilazione dell’utente del servizio sanitario. Il riferimento al contesto pandemico non può, però, consentire una gestione meno attenta dei dati relativi alla salute delle persone. In premessa, il Garante sottolinea che l’iniziativa esaminata ha previsto l’estrazione di dati sulla salute delle persone attraverso l’utilizzo di un algoritmo e tale attività ha determinato la raccolta e l’elaborazione di dati sanitari al fine di realizzare, con riferimento a specifiche patologie che sono quelle che possono esporre i soggetti più fragili a contrarre infezioni più gravi da Covid-19 , un profilo sanitario di rischio, utile per mettere in atto interventi preventivi di presa in carico del paziente . In sostanza, ci si trova di fronte ad una attività di stratificazione del rischio sanitario della popolazione , ossia un’attività amministrativa prodromica all’attività di cura , consistente nella presa in carico del paziente, in quanto consente di classificare i soggetti ritenuti a maggior rischio, al fine di predisporre nei loro confronti una precoce e specifica attività di presa in carico . Ma tali trattamenti devono essere considerati ulteriori e autonomi , precisa il Garante, rispetto a quelli strettamente necessari alle ordinarie attività di cura e prevenzione, e quindi sono effettuabili solo sulla base dello specifico consenso informato del singolo soggetto . Di conseguenza, nel caso delle tre Aziende sanitarie locali del Friuli, è palese la violazione della normativa in materia di privacy in relazione al trattamento di dati personali relativi alla salute, seppur trattati in forma pseudonimizzata , sancisce il Garante, il quale sottolinea che non sono state fornito alle oltre 40mila persone coinvolte le informazioni specifiche in ordine a tali trattamenti di dati personali . Ampliando poi l’orizzonte, il Garante chiarisce che la profilazione dell’utente del servizio sanitario , sia regionale che nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l’evoluzione della situazione sanitaria del singolo assistito e l’eventuale correlazione con altri elementi di rischio clinico nel caso di specie, l’infezione da Covid-19 , può essere effettuata solo nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà delle persone . E difatti l’utilizzo di sistemi di medicina predittiva è stato previsto da una specifica disposizione normativa che riconosce al Ministero della Salute la possibilità di trattare dati personali, anche relativi alla salute degli assistiti, raccolti nei sistemi informativi del Servizio sanitario nazionale, per lo sviluppo di metodologie predittive dell’evoluzione del fabbisogno di salute , a fronte, però, di un regolamento per individuare i dati personali, anche inerenti alle categorie particolari di dati che possono essere trattati, le operazioni eseguibili, le modalità di acquisizione dei dati dai sistemi informativi dei soggetti che li detengono e le misure appropriate e specifiche per tutelare i diritti dei privati cittadini, nonché i tempi di conservazione dei dati trattati . E in questa ottica il Garante precisa che il consenso manifestato per i trattamenti effettuati attraverso il cosiddetto fascicolo sanitario elettronico non può considerarsi un idoneo presupposto di liceità per i trattamenti svolti dalle tre Aziende sanitarie locali friulane . Tirando le somme, ci si trova di fronte ad un trattamento di dati personali, anche relativi alla salute degli assistiti del Servizio sanitario regionale, effettuato in assenza di un idoneo presupposto giuridico , sancisce il Garante, il quale poi sottolinea il peso specifico delle condotte prese in esame, condotte che hanno riguardato i dati relativi alla salute di un numero elevato di soggetti vulnerabili , cioè oltre 40mila persone. Ecco spiegata la multa inflitta a tutte e tre le Aziende sanitarie locali del Friuli 55mila euro a testa. Multa sacrosante nonostante l’idea originaria fosse quella di elaborare i dati presenti nelle banche dati allo scopo di attivare nei confronti degli assistiti più fragili opportuni interventi di medicina di iniziativa e individuare per tempo i percorsi diagnostici e terapeutici più idonei, a fronte dei rischi connessi a un eventuale contagio da Covid-19.