I requisiti della legge Gelli alla luce del Gdpr
Prima parte - La nuova normativa sulla responsabilità sanitaria basa i suoi aspetti operativi sull’informatizzazione del settore sanitario, in particolare finalizzata alla fruibilità e alla trasparenza dei dati che riguardano i pazienti. In questo contesto è necessario saper valutare l’impatto del regolamento Ue sulla privacy
12/06/2018
La crisi della responsabilità medica che ha investito il complesso sistema del servizio sanitario nazionale, provocando una profonda frattura nell’alleanza terapeutica tra medico e paziente, è sfociata un anno fa nella promulgazione della legge n. 24/2017, nota come legge Gelli. Il provvedimento completa, amplia e rende più omogenea la precedente legislazione in materia di responsabilità sanitaria, inclusa la cosiddetta legge Balduzzi n. 189/2012, considerata dagli osservatori come un coraggioso tentativo di dirimere gli annosi problemi che da qualche decennio affliggevano il comparto, rimasto tuttavia in gran parte incompiuto.
Scopi dichiarati della nuova normativa, la riduzione dell’enorme contenzioso legale esistente in materia di responsabilità medica, la riduzione del cosiddetto fenomeno della medicina difensiva, indicato dal ministero della Sanità come causa principale di un eccesso di spesa pubblica ammontante a svariati miliardi di euro, e dunque la creazione di un ambiente di lavoro più sicuro e sereno per i professionisti del comparto, il tutto con l’intento di migliorare la qualità del servizio sanitario pubblico, garantendo al cittadino il rispetto del suo diritto costituzionale alla salute.
Lungo tutto il percorso dei 18 articoli che costituiscono il testo della legge, la nuova normativa prevede un uso intensivo degli strumenti informatici da parte delle strutture, pubbliche e private, nelle quali si svolge l’attività sanitaria, e dei loro dipendenti e collaboratori. In realtà, per ottemperare al disposto della legge Gelli, ogni professionista sanitario è oggi tenuto a gestire e trasferire una mole cospicua di informazioni per via digitale, mettendo così in atto quella gestione virtuosa del rischio clinico che sola può garantire il miglioramento dell’intero sistema.
Il ruolo chiave della gestione informatica
All’art. 4, infatti, la legge fa esplicito riferimento alla trasparenza dei dati clinici trattati, nel rispetto del codice in materia di protezione dei dati personali ex. Dlgs 196/2003. Sono anche previsti la pubblicazione dei dati relativi ai risarcimenti effettuati negli ultimi cinque anni presso ciascuna struttura (sul sito internet della stessa) e il trasferimento di tutte le informazioni inerenti la gestione del rischio clinico (inclusi gli eventi avversi), mediante procedura telematica unificata a livello nazionale, all’Osservatorio Nazionale delle buone pratiche sulla sicurezza in sanità, istituito proprio per aggregare ed elaborare i dati provenienti da tutto il territorio, contribuendo al miglioramento della gestione del rischio e del servizio offerto in tutto il Paese.
Tutta questa attività viene ora a integrarsi con la gestione del rischio imposta dalla nuova normativa europea sul trattamento dei dati personali, come da Regolamento n. 279/2016, che entrerà definitivamente e completamente in vigore nel nostro paese il 25 maggio prossimo. Si tratta del Gdpr (General data protection regulation), che impone a tutti i soggetti che debbano in qualunque modo gestire, conservare, trasferire o trattare dati personali di adottare un’articolata politica di risk management, allo scopo di garantire la propria conformità ai requisiti di sicurezza previsti dal Regolamento.
Dati sensibili, tutela rafforzata
La protezione dei dati delle persone fisiche costituisce infatti un diritto sancito dall’articolo 8 della Carta dei diritti fondamentali e dall’articolo 16 del Trattato sul funzionamento dell’Unione Europea ed è vitale che le norme previste per la loro tutela siano improntate al pieno rispetto delle libertà di chi li possiede. Esempi includono gli archivi di società commerciali, nei quali i nomi dei clienti sono associati alle informazioni sulle loro carte di credito o ad altri dati sensibili, oppure le informazioni mediche conservate da assicuratori, medici e, naturalmente, cliniche ed ospedali di ogni ordine.
Per quanto attiene al comparto sanitario, infatti, la nuova normativa impone di prestare particolare attenzione alla tutela della privacy, meritando i dati sanitari (il cui concetto viene per la prima volta specificamente introdotto dal Regolamento) una tutela rafforzata, proprio per il coinvolgimento di diritti di rilievo costituzionale.
La definizione dei dati sanitari
Già a partire dal Codice della Privacy, giurisprudenza e dottrina hanno operato delle distinzioni tra dati personali, sensibili e sensibilissimi, collocando i dati sanitari, per la loro stessa natura, nella categoria dei dati sensibilissimi e facendone oggetto di protezione rafforzata, come si è detto, in modo da impedirne l’uso improprio o illegittimo. Il Considerando n. 35 del Regolamento chiarisce ora il concetto di dati riguardanti la salute della persona e fornisce specifiche definizioni:
- dati personali: qualsiasi informazione riguardante una persona fisica direttamente o indirettamente identificabile (nome, ubicazione, elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale);
- dati genetici: informazioni sulle caratteristiche genetiche ereditarie o acquisite di una persona fisica (fisiologia e salute), che risultano n particolare dall’analisi di un suo campione biologico;
- dati biometrici: informazioni ottenute da un trattamento specifico e relative alle caratteristiche fisiche, fisiologiche o comportamentali, come foto e dati dattiloscopici;
- dati relativi alla salute: informazioni personali attinenti alla salute fisica o mentale di una persona, compresa la prestazione di servizi di assistenza sanitaria, che rivelino informazioni sul suo stato di salute.
© RIPRODUZIONE RISERVATA
👥