Garante privacy: le ultime indicazioni in tema di trattamento di dati sanitari.

Il Garante per la privacy, con il provvedimento del 5 marzo 2020, ha fornito un parere su una questione sollevata dal Ministero della Salute, in relazione al progetto di elaborare un “database di livello individuale” finalizzato alla ripartizione delle risorse del Sistema Sanitario Nazionale in base allo stato di salute individuale e alla relativa situazione economica.

Secondo il progetto, il database sarebbe stato compilato elaborando i dati sanitari estratti dai flussi informativi del NSIS (Nuovo Sistema Informativo Sanitario del Ministero della salute) e  di altri enti pubblici (quali l’Agenzia delle Entrate, l’anagrafe e l’ISTAT).

Per ogni utente del SSN sarebbe stato creato un profilo individuale basato sulle patologie croniche e sulla situazione reddituale per essere utilizzato, attraverso l’uso di algoritmi, per suddividere tutta la popolazione in gruppi.

Il Garante per la privacy ha ritenuto indispensabile un bilanciamento tra l’interesse pubblico connesso alla ripartizione della spesa sanitaria e il diritto alla protezione dei dati personali di tutti gli assistiti, rilevando nel progetto diverse criticità in relazione ai principi di necessità e proporzionalità.

L’attuale normativa di settore non consente al Ministero della salute l’elaborazione in tal senso dei flussi del NSIS e manca un’adeguata base normativa anche per l’acquisizione di dati raccolti da altre amministrazioni.

Il Garante per la privacy ha sottolineato inoltre che la definizione di un “profilo sanitario individuale” legato alla presenza di patologie croniche e alla situazione reddituale costituisce attività di profilazione in mancanza di un’apposita base giuridica, sollevando ulteriori riflessioni anche sui risvolti etici relativi alla profilazione sanitaria e sociale di massa.

Il progetto di ripartizione proposto dal Ministero della Salute potrà quindi essere realizzato solo attraverso un intervento normativo puntuale, con l’individuazione delle garanzie opportune per la tutela dei dati personali di tutti gli assistiti.

Sempre in tema di trattamento di dati sanitari, Il Garante per la privacy, recentemente, ha provveduto ad archiviare un procedimento avviato nei confronti di una ASL in riferimento a un servizio online per fornire informazioni ai familiari sui pazienti che accedono al pronto soccorso dell’ospedale.

Il servizio esaminato prevede che il paziente, all’esito delle attività di triage, possa autorizzare un familiare a consultare informazioni sulle procedure di cura, i tempi di attesa, le eventuali dimissioni e altro, mediante la ricezione di un link a un’apposta pagina web recante tali informazioni.

Il Garante, inizialmente, aveva rilevato che il servizio presentava diverse criticità (rispetto alla necessità e proporzionalità dei trattamenti svolti, alle informazioni fornite ai familiari, al modello di raccolta dei dati ecc.).

In seguito, la ASL ha provveduto a una più approfondita valutazione d’impatto e alla modifica di taluni aspetti del servizio, prevedendo, ad esempio, di non fornirlo in caso di condizioni cliniche gravi, di possibilità che queste siano derivate da episodi di violenza, o di non indicare nel dettaglio la tipologia di visita specialistica effettuata. Questi interventi hanno consentito di ridurre i rischi posti dal trattamento per i diritti fondamentali degli interessati e hanno comportato, di conseguenza, l’archiviazione del procedimento da parte del Garante privacy.

(Garante per la privacy, parere del 5 marzo 2020)