Il Garante per la protezione dei dati personali richiama l’attenzione delle Regioni e degli enti sulla delicatezza dei trattamenti di dati sanitari, sul ruolo centrale della formazione degli operatori e della vigilanza.
Il Garante interviene in materia di trattamenti di dati sanitari con una specifica nota trasmessa agli assessorati della sanità delle Regioni a firma del proprio presidente di informazione, sensibilizzazione e richiesta di interventi. La materia del trattamento dei dati sanitari è di estrema attualità in quanto negli ultimi mesi sono aumentate le ispezioni e le sanzioni del Garante privacy alle strutture sanitarie sia private che pubbliche. La recente situazione di emergenza sanitaria connessa alla pandemia, l'aumento degli attacchi informatici, la mancanza di fondi e il potenziamento della digitalizzazione espongono, infatti, i dati dei pazienti e le stesse strutture a nuovi rischi. Il GDPR riconosce una tutela elevata ai dati sanitari alla luce dei rischi concreti di discriminazione sulle persone più fragili i pazienti. Il Garante richiama l'attenzione degli operatori sul valore dei dati in ambito sanitario i dati sono, infatti, fonte e risultati di analisi e valutazioni cliniche che consentono di assicurare le migliori cure all'interessato. Il Garante evidenzia come il dato deve essere preservato e trattato nel rispetto della dignità dell'individuo e dei principi fondamentali del regolamento europeo in materia di protezione dei dati personali. L'Autorità richiama nella nota l'attenzione sulla visione antropocentrica del regolamento europeo in materia di protezione dei dati personali il trattamento delle informazioni deve essere, infatti, al servizio dell'uomo. Il Garante privacy sottolinea, nella nota, l'importanza della tutela della dignità della persona nel trattamento dei dati sanitari. Il tema della centralità della tutela della dignità nel trattamento dei dati sanitari era stato approfondito dal Garante nell'importante provvedimento generale del 9 novembre 2005, che ha prescritto ad organismi sanitari pubblici e privati una serie di misure da adottare per adeguare il funzionamento e l'organizzazione delle strutture sanitarie a quanto stabilito nel Codice sulla privacy e per assicurare il massimo livello di tutela delle persone. L'Autorità ha, infatti, ricordato nella nota del 2023 alle strutture e agli operatori la necessità che l'erogazione delle prestazioni sanitarie, anche in emergenza, sia effettuata nel pieno rispetto soprattutto delle fasce più deboli quali i disabili, fisici e psichici, i minori, gli anziani e i soggetti che versano in condizioni di disagio o bisogno , garantendo altresì le specifiche tutele previste a favore delle vittime di violenza, di chi chiede l'accesso a percorsi clinici in anonimato e dei pazienti affetti da HIV. Il Garante approfondisce il profilo dei trattamenti di dati all'interno dei pronti soccorsi ed evidenzia come le condizioni con cui operano i professionisti sanitari, caratterizzate dalla mancanza di spazi adeguati e di risorse organizzative e umane, non può costituire un ostacolo al pieno rispetto dei diritti fondamentali dell'individuo specie in un contesto come quello sanitario in cui le fragilità sono più evidenti. Il Garante richiede alle strutture di intervenire in modo concreto su due profili la formazione del personale e la vigilanza sul rispetto dei principi privacy by design e privacy by default nella progettazione dei servizi sanitari. Gli enti devono garantire il pieno rispetto dei diritti fondamentali dell'individuo connessi al trattamento dei dati sanitari e in questo complesso percorso sono invitati dal Garante a proseguire l'opera di formazione degli operatori sanitari prevista dal Regolamento. La formazione è una misura organizzativa del titolare del trattamento, costituisce una leva imprescindibile per sensibilizzare le persone sull'importanza dei dati e sui rischi del trattamento e sulle relative contromisure da adottare per mitigare gli stessi rischi. La protezione dei dati deve essere pertanto considerata non un ostacolo ma un valore fondante. Il Garante richiama l'attenzione delle strutture regionali sul ruolo della vigilanza sul rispetto dei principi della protezione dei dati nella progettazione dei servizi sanitari. La nota informativa del Garante in materia di dati sanitari costituisce un importante tentativo di costruire un dialogo con le strutture regionali e con le aziende sanitarie nel percorso di tutela della protezione dei dati personali, tentativo prezioso e apprezzabile alla luce dello sviluppo della sanità digitale dalle app, alla telemedicina, dai sensori, ai Chatbot e all'utilizzo degli algoritmi e dell'Intelligenza artificiale . Come osservato dalla più attenta dottrina ed esperti del settore, si registra, in materia, una grave mancanza di coordinamento in ambito sanitario tra le Regioni e le stesse aziende sanitarie nei progetti di innovazione. Il Garante negli ultimi mesi è intervenuto in ambito sanitario con diverse sanzioni amministrative sia alle aziende sanitarie sia, in tempi più recenti alle Regioni. Le sopra citate sanzioni dimostrano come il profilo della protezione dei dati nei progetti di sanità digitale sia stato sottovalutato e non presidiato a dovere da parte delle direzioni generali e sanitarie delle Asl e da parte delle Regioni. Le recenti sanzioni del Garante privacy hanno rilevato, ad esempio, l'assenza in diversi casi di una valutazione di impatto privacy prevista dall'art. 35 del GDPPR, valutazione che risulta obbligatoria ai sensi delle indicazioni delle Linee-guida del Gruppo Articolo 29 in materia di valutazione di impatto sulla protezione dei dati WP248 in presenza di due fattori, spesso concomitanti, in ambito sanitario quali il trattamento di dati sensibili o aventi carattere altamente personale” e di dati relativi ad interessati vulnerabili”. Le sanzioni amministrative in materia di protezione dei dati personali a strutture pubbliche Asl hanno inoltre, comportato, in passato, in molteplici casi la responsabilità per danno erariale Corte dei Conti, Toscana, Sentenza del 12 novembre 2019 n. 445 . Come evidenziato nella nota del Garante, la protezione dei dati personali e il rispetto della dignità umana costituiscono una pietra angolare sia delle disposizioni etiche sia deontologiche del mondo sanitario.
Garante Privacy, Trattamento dei dati personali in ambito sanitario e tutela della dignità degli interessati