EntiOnLine
Categorie
indietro
02/07/2021 GARANTE - Iniziative di livello regionale nell'ambito della cd. medicina di iniziativa

Stratificazione della popolazione per rischio sanitario - Iniziative di livello regionale nell’ambito della cd. medicina di iniziativa

Il documento è riservato agli abbonati

Per qualsiasi informazione inerente i prezzi o le modalità di effettuazione del servizio, contatta l'agente di zona oppure scrivi a info@entionline.it
o telefona allo 030/2531939.

Come accennato, l’Ufficio ha continuato ad affrontare la tematica del rispetto della disciplina in materia di protezione dei dati personali nell’ambito della cd. medicina di iniziativa, vale a dire di un modello assistenziale orientato alla promozione attiva della salute dell’individuo, specie se affetto da malattie croniche o disabilità, e alla responsabilizzazione delle persone nel proprio percorso di cura (cfr., tra i molti richiami, Ministero della salute, Assemblea generale del Consiglio Superiore di Sanità, “Telemedicina − linee guida nazionali”, 10 luglio 2012, cfr. par. 2.3.2, decreto 2 aprile 2015, n. 70).

Al riguardo il Garante, nell’ambito di un parere reso alla Provincia autonoma di Trento sul disegno di legge provinciale concernente ulteriori misure di sostegno per le famiglie, i lavoratori e i settori economici connesse all’emergenza epidemiologica da Covid-19 e conseguente variazione al bilancio di previsione della Provincia autonoma di Trento per gli esercizi finanziari 2020-2022, ha fornito indicazioni in merito alla base giuridica dei trattamenti di dati personali effettuati nell’ambito della medicina di iniziativa (pareri 8 maggio 2020, n. 84, doc. web n. 9344635 e 1° ottobre 2020, n. 275, doc. web n. 9469372). In particolare, l’Autorità ha evidenziato che, al fine di realizzare tale modello assistenziale, la disposizione in parola avrebbe previsto che l’Azienda provinciale per i servizi sanitari potesse operare la stratificazione del rischio degli assistiti e degli assistibili attraverso l’analisi statistica, l’interconnessione, l’elaborazione dei dati gestiti nell’ambito dei diversi archivi del servizio informativo sanitario provinciale e dell’Azienda stessa, ivi inclusi i dati forniti dai soggetti accreditati o convenzionati con il servizio sanitario provinciale. La disposizione, secondo l’Autorità, presentava non poche criticità in quanto perseguiva una pluralità di finalità (statistiche, di cura e amministrative) che si fondano su diversi presupposti di liceità, che la disposizione, così come formulata, non consente di rispettare. Ciò in violazione dei principi di liceità, correttezza, limitazione della finalità, minimizzazione e sicurezza dei dati, in quanto si accomunano, senza le necessarie distinzioni, trattamenti effettuati per scopi statistici, finalità amministrative e di cura.

Il Garante ha poi evidenziato che l’attività di stratificazione pone elementi di riflessione sia di tipo giuridico che etico. Il modello assistenziale proposto dalla disposizione comporta infatti una profilazione dell’utente del servizio sanitario provinciale, in quanto consiste in un trattamento automatizzato di dati personali volto a valutarne determinati aspetti sanitari, sulla base dei dati registrati nei diversi archivi del servizio informativo provinciale, in particolare per analizzarne e prevederne la situazione sanitaria, con specifico riferimento alle patologie croniche. Sul punto, il Regolamento prevede requisiti specifici e garanzie adeguate per i diritti degli interessati, specie ove si faccia ricorso alla profilazione per adottare decisioni che incidano su singoli individui (cfr. artt. 13, par. 1, lett. f ); 14, par. 2, lett. g), 15, par. 1, lett. h), 21, par. 1 e 35, par. 3, lett. a), del RGPD).

Sono stati evidenziati gli specifici vincoli, in termini di protezione dei dati e trasparenza, che dovrebbero essere rispettati nel caso in cui tale attività di profilazione fosse realizzata attraverso l’uso di algoritmi. Al riguardo, l’Autorità ha richiamato la sentenza del Consiglio di Stato (sez. VI, 13 dicembre 2019, n. 8472) secondo la quale “dal diritto sovranazionale emergono tre principi, da tenere in debita considerazione nell’esame e nell’utilizzo degli strumenti informatici. In primo luogo, il principio di conoscibilità, per cui ognuno ha diritto a conoscere l’esistenza di processi decisionali automatizzati che lo riguardino ed in questo caso a ricevere informazioni significative sulla logica utilizzata […] il principio di non esclusività della decisione algoritmica […]. In terzo luogo, dal cons. 71 del regolamento 679/2016, il diritto europeo trae un ulteriore principio fondamentale, di non discriminazione algoritmica, secondo cui è opportuno che il titolare del trattamento utilizzi procedure matematiche o statistiche appropriate per la profilazione, mettendo in atto misure tecniche e organizzative adeguate al fine di garantire, in particolare, che siano rettificati i fattori che comportano inesattezze dei dati e sia minimizzato il rischio di errori e al fine di garantire la sicurezza dei dati personali, secondo una modalità che tenga conto dei potenziali rischi esistenti per gli interessi e i diritti dell’interessato e che impedisca tra l’altro effetti discriminatori nei confronti di persone fisiche sulla base della razza o dell’origine etnica, delle opinioni politiche, della religione o delle convinzioni personali, dell’appartenenza sindacale, dello status genetico, dello stato di salute o dell’orientamento sessuale, ovvero che comportano misure aventi tali effetti”. Tale attività di stratificazione dovrebbe essere, in ogni caso, suffragata da una compiuta analisi circa i rischi per i diritti e le libertà fondamentali degli interessati che ne potrebbero derivare, alla luce dei principi di responsabilizzazione e di protezione dei dati personali fin dalla progettazione, nonché preceduta da una valutazione di impatto per i trattamenti che presentano rischi significativi per i diritti degli interessati (artt. 5, par. 2; 25 e 35 del RGPD).

L’Autorità ha evidenziato pertanto la necessità di procedere a una revisione delle disposizioni sottoposte al parere, al fine di tenere conto dei principi di liceità, correttezza, limitazione della finalità, minimizzazione e sicurezza, e ha poi ricordato gli specifici vincoli, in termini di protezione dei dati e trasparenza, che devono essere rispettati nel caso in cui la medicina di iniziativa sia basata sulla profilazione degli assistiti attraverso l’uso di un algoritmo. In tale contesto è stato evidenziato che la raccolta e l’elaborazione di dati sanitari al fine di realizzare, con riferimento a specifiche patologie, un profilo sanitario di rischio dell’interessato configura un trattamento autonomo rispetto a quello principale finalizzato alla cura dell’assistito; esso deve essere pertanto effettuato sulla base del consenso dell’interessato, in quanto trattamento automatizzato non strettamente necessario per finalità di cura (artt. 9, par. 2, lett. h) e 22 del RGPD).

Tali considerazioni sono state ribadite anche nel parere reso dall’Autorità su uno schema di regolamento relativo alle disposizioni attuative della ricordata legge provinciale per la medicina di iniziativa nel servizio sanitario provinciale trentino (parere 1° ottobre 2020, n. 175, doc. web n. 9469372).

Analoghe considerazioni sono state espresse nei confronti della Regione Friuli Venezia Giulia. In particolare, l’Ufficio, oltre ad evidenziare quanto sopra rappresentato in ordine alla base giuridica del trattamento effettuato attraverso la medicina di iniziativa, ha sollevato profili di criticità in ordine alle tecniche di anonimizzazione dei dati descritte dalla Regione per la realizzazione di una analoga iniziativa, all’individuazione del titolare del trattamento e alle informazioni da rendere agli interessati, con particolare riferimento agli obblighi connessi alla descrizione della logica applicata al trattamento dei dati (artt. 24 e 25, 32, 13 e 14 del RGPD).

Con riguardo ai trattamenti di dati personali effettuati nell’ambito della medicina di iniziativa, l’Autorità ha sanzionato un’azienda sanitaria della Regione Toscana per avere promosso un modello organizzativo-assistenziale al fine di favorire “un approccio metodologico alla presa in carico e al processo di cura del paziente” che si traduceva in un “richiamo attivo e periodico del paziente per sottoporlo ad attività educative e clinico assistenziali, volte alla correzione dei stili di vita, all’empowerment, alla diagnosi precoce” (provv. 17 dicembre 2020, n. 278, doc. web n. 9529527). Tale modello è stato promosso con alcune delibere della Regione, ma ciascuna azienda sanitaria lo aveva avviato di propria iniziativa nell’ambito territoriale di competenza. In particolare, è stato contestato all’azienda in questione di non aver istituito il registro delle attività di trattamento previsto dall’art. 30 del RGPD, di non avere effettuato un’adeguata designazione a responsabile del trattamento di un ente esterno alla stessa al quale era stato affidato il compito di procedere a numerosi e complessi trattamenti per conto dell’azienda, ivi compresi quelli relativi alla medicina di iniziativa, di aver individuato modalità attuative di quest’ultima in contrasto con i principi e criteri di sicurezza descritti dagli artt. 5, par. 2, lett. f ) e 32 del RGPD. Tali modalità di trattamento hanno messo in luce l’assenza di una valutazione dei rischi del trattamento che si sarebbe dovuta effettuare nell’ambito della valutazione di impatto che invece non risulta essere stata condotta. È stato altresì contestato all’azienda sanitaria che il modello di informativa realizzato per le finalità di monitoraggio, valutazione e qualità dell’assistenza erogata attraverso il modello assistenziale della cd. sanità di iniziativa, fornito ai medici di medicina generale affinché ne venissero messi a parte i pazienti all’atto dell’arruolamento, era privo di alcuni degli elementi essenziali previsti dalla disciplina vigente.

Fonte : Relazione GPDP 2020

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9676435

Banca dati