Ambiente e politica

La costituzione del dossier senza che il diretto interessato ne sappia nulla   

Ebbene, se cerchiamo una risposta, pare proprio di no. 

Poiché si parla qui di dati riservati e personali, non è possibile omettere qui la mia testimonianza personale, secondo cui il DPO di una grossa Azienda sanitaria pubblica non ha mostrato alcun interesse per il suo ruolo delicato. 

C'è di più. Se leggiamo attentamente le Linee guida in materia di dossier sanitario del 2015, è scritto a chiare lettere come il dossier sanitario (DSE) possa essere costituito solo dopo aver assolto l'obbligo da parte della struttura sanitaria di un'informativa specifica che deve essere elargita al diretto interessato o al suo tutore. All'informativa deve conseguire quindi il consenso del suddetto interessato, che oltretutto deve essere informato sul fatto che un eventuale suo rifiuto non pregiudicherà l'erogazione delle prestazioni sanitarie, che deve essere sempre garantita. 

Ebbene, nulla di tutto questo è avvenuto. La sottoscritta si è trovata a suo carico la costituzione di un dossier sanitario, senza che abbia fornito il suo consenso in alcun modo; avendo prova inconfutabile della sua esistenza dall'accesso diretto ad esso da parte di sanitari in regime di libera professione. 

Di fatto, pur avendo nelle proprie mani una TAC eseguita (a pagamento) in altro Reparto, la sottoscritta ha appurato la presenza delle immagini della stessa sul dossier in oggetto, rendendo completamente inutile e superfluo il dischetto portato di persona. 

Ma questa purtroppo non è una vicenda meramente personale, che oltretutto ha visto il totale disinteresse del DPO dell'Azienda sanitaria in questione. Il DPO non si è premurato neppure di rispondere a due mail inviate dalla sottoscritta, pur essendo stato informato per via telefonica dell'invio delle stesse, superando il termine di tempo massimo stabilito dal GDPR che fa obbligo al DPO di rispondere entro un mese dal ricevimento della comunicazione. E successivamente, rendendosi anche irreperibile telefonicamente. 

Questi illeciti commessi assumono anche rilevanza penale. Come riporta il Garante per la Protezione dei Dati Personali nelle Linee guida in materia di dossier sanitario (Allegato A alla deliberazione del Garante del 4 giugno 2015), «si evidenzia che il trattamento dei dati personali effettuato mediante il dossier sanitario in assenza del consenso informato dell'interessato non è lecito e, di conseguenza, i dati personali in tal modo trattati non possono essere utilizzati da parte del titolare (artt. 11, comma 2, 13, 23 e 76 e ss. del Codice). Il trattamento dei dati personali in violazione delle disposizioni sul consenso costituisce una fattispecie sanzionabile amministrativamente, rilevante anche in sede penale (artt. 18, comma 4, 23, 26, 76, 81, 82, 162, comma 2-bis e 167 del Codice). Si precisa poi, che, come anzidetto, la diffusione dei dati personali è espressamente vietata dal Codice e, oltre a comportare l'applicazione della sanzione amministrativa prevista dall'art. 162, comma 2-bis, può integrare la fattispecie di reato stabilita dall'art. 167, comma 2». 

Ma questa cattiva e inaccettabile pratica ha già dei precedenti. 

Più di un'Azienda sanitaria ha infatti attivato dossier a tappeto a tutti gli assistiti, i quali ne ignoravano del tutto l'esistenza oppure avevano espressamente negato il consenso alla creazione del dossier. 

Come ha riportato l'avvocato Ciro Galliano nel 2023: 

«Nel recente passato sotto la lente dell'Autorità Garante per la protezione dei dati personali sono passate diverse gestioni di Dossier Sanitario Elettronici operate da Aziende sanitarie dove è emerso come la gestione venisse effettuata senza la previsione delle giuste tutele dei dati personali tale che, nei fatti, i dati particolari degli assistiti potevano (e lo erano stati effettivamente) essere oggetto di attenzioni indebite di soggetti non autorizzati anche esterni all'Azienda. 

All'esito dell'accertamento ispettivo è risultato che le aziende non avessero posto in essere le procedure idonee alla corretta gestione del trattamento, cosicché gli accessi abusivi erano avvenuti ad opera di soggetti che non avevano preso parte al processo di cure o ancora era stato attivato il dossier sanitario per tutti gli assistiti della Azienda sebbene gli interessati avessero espressamente negato il consenso all'uso del dossier oppure non lo avessero mai prestato. 

I procedimenti in esame si sono conclusi con provvedimenti ingiuntivi di adeguamento che hanno interessato in un caso pure il soggetto erogatore dell'architettura informatica oltre ad elevare sanzioni per diverse decine di migliaia di euro (da 40.000 euro a 70.000 euro)». 

E ancora, Galliano riporta un caso di hackeraggio dei dati riservati contenuti nei dossier sanitari: 

«L'ASL 1 Avezzano Sulmona L'Aquila è stata vittima di un attacco di un gruppo di hacker che pare sia riuscito a introdurre nel sistema informatico dell'Azienda Sanitaria un sofisticato ransomware progettato per crittografare al fine di richiedere il pagamento in bitcoin per fornire gli strumenti di decrittazione. 

Sembrerebbe, inoltre, che vi sia stata anche un'attività di esfiltrazione dei dati contenuti nei dossier sanitari gestiti dall'Azienda sanitaria in quanto risulterebbero pubblicati nel "dark web" oltre 389 Gigabyte di dati possibilmente riconducibili all'ASL 1 Abruzzo (al momento in cui si scrive questa ultima notizia è in fase di accertamento). 

L'Autorità Garante, ricevuta la comunicazione di Data breach in data 5 maggio 2023 (effettuata ai sensi dell'art. 33 del Regolamento dalla ASL stessa), ha aperto un procedimento di accertamento e ha ingiunto all'ASL 1 di provvedere a comunicare entro 15 gg a ciascun dei soggetti i cui dati sono stati oggetto dell'attacco informatico la violazione, in quanto la stessa si presenta come un rischio elevato per i diritti e le libertà delle persone fisiche a causa della potenziale compromissione di dati personali di cui agli articoli 6, 9 e 10 del Regolamento 679/2016». 

Dunque, e le Linee guida in materia di dossier sanitario ce lo ricordano, la costituzione del dossier stesso può esporre concretamente l'interessato a una serie di gravi rischi, come già descritto nella Premessa riportata sopra. 

Tuttavia, come viene dichiarato nelle stesse Linee guida, a fronte di ciò, il Garante si accontenta di chiedere in materia di consenso informato, richiesto per la costituzione del dossier sanitario elettronico, un consenso validamente espresso dal paziente nella forma orale. Non si rende necessaria quindi una forma scritta, benché venga specificato che l'acquisizione del consenso debba essere ben circostanziata ed annotata nel dossier stesso perché possa considerarsi valida. 

Ma rimane evidente come un consenso che risulti validamente espresso anche solo in forma orale, pur se l'onere della prova di averlo acquisito spetta al titolare del trattamento, permetta più facilmente di perpetrare gravi abusi. 

Come la più agevole costituzione del dossier all'insaputa stessa del diretto interessato, di cui abbiamo parlato e che abbiamo toccato, purtroppo, con mano.   

Il trattamento dei dati sanitari   

A questi rischi si deve aggiungere anche la possibilità che i dati sanitari riservati e personali vengano usati per determinati scopi. Come ci informa il Garante: 

«Si evidenzia, inoltre, che i dati sanitari raccolti attraverso il dossier sanitario possono essere trattati, al pari di ogni altra informazione clinica, anche per fini di ricerca nel rispetto di quanto previsto dal Codice per tali tipi di trattamenti, ovvero, in via generale, previa acquisizione del consenso informato del paziente (art. 110 del Codice)». 

E' possibile che i dati sanitari personali vengano usati anche in situazioni che sono ritenute di emergenza: 

«Qualora l'interessato abbia acconsentito al trattamento dei suoi dati personali mediante il dossier sanitario, questo potrà essere consultato, nel rispetto dell'Autorizzazione generale del Garante, qualora ciò sia ritenuto indispensabile per la salvaguardia della salute di un terzo o della collettività (art. 76 del Codice e Autorizzazione generale del Garante n. 2/2014 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale dell'11 dicembre 2014 - doc. web n. 3619954) ad es., nei casi di rischio di insorgenza di patologie su soggetti terzi a causa della condivisione di ambienti con l'interessato». 

Mentre i casi di illeciti commessi nel tempo da numerose Aziende sanitarie si moltiplicano: un esempio qui il caso di tre Asl friulane che, attraverso l'uso di algoritmi, avevano classificato gli assistiti in relazione al rischio di avere o meno complicanze in caso di infezione da COVID-19. 

Siamo nel 2022 e «le Asl avevano elaborato i dati presenti nelle banche dati aziendali allo scopo di attivare nei confronti degli assistiti opportuni interventi di medicina di iniziativa e individuare per tempo i percorsi diagnostici e terapeutici più idonei». 

«Nel corso dell'istruttoria dell'Autorità è emerso che i dati degli assistiti erano stati trattati in assenza di una idonea base normativa, senza che fosse stato fornito agli interessati tutte le informazioni necessarie (in particolare sulle modalità e finalità del trattamento) e senza fosse stato effettuato preliminarmente la valutazione d'impatto prevista dal Regolamento Ue in materia di protezione dati». 

«Il Garante per la privacy ha ribadito che la profilazione dell'utente del servizio sanitario, sia regionale o nazionale, determinando un trattamento automatizzato di dati personali volto ad analizzare e prevedere l'evoluzione della situazione sanitaria del singolo assistito e l'eventuale correlazione con altri elementi di rischio clinico, può essere effettuata solo in presenza di un idoneo presupposto normativo, nel rispetto di requisiti specifici e garanzie adeguate per i diritti e le libertà degli interessati, mancanti, secondo il Garante, nel caso di specie. 

Accertate dunque le violazioni e valutato che nel caso specifico le operazioni, attraverso l'uso di algoritmi, avevano riguardato dati sulla salute di un ingente numero di assistiti, il Garante ha ordinato a ognuna delle tre Aziende di pagare la sanzione di 55.000 euro e di procedere alla cancellazione dei dati elaborati».   

No al risarcimento danni automatico per la violazione del GDPR   

Infine quello che potrebbe apparire come l'ultimo smacco: alla vittima l'onere di provare pure il nesso casuale; non si ha diritto a risarcimento automatico in caso di violazione del Regolamento europeo in materia di protezione dei dati personali. Lo ha stabilito in una sentenza del 2024 la Corte di Giustizia dell'Unione Europea.

«Chi subisce una violazione dei propri dati personali non può pretendere automaticamente un risarcimento, anche se ciò causa danni materiali o morali». 

La Corte di Giustizia Europea «afferma un principio di per sé non innovativo, ma che rinnova l'attenzione su di una questione importante: non si può pensare di chiedere il risarcimento del danno morale, senza dimostrare la violazione di legge, il danno e il nesso causale». 

Lo strumento messo a disposizione dal Garante per la Protezione dei Dati Personali al fine di tutelarsi i propri diritti e difendersi dagli abusi, è quello del reclamo o della segnalazione. Al reclamo segue sempre, da parte del Garante, un'istruttoria preliminare e un eventuale successivo procedimento amministrativo formale che può portare all'adozione dei provvedimenti di cui all'articolo 58 del Regolamento. Mentre nel caso della segnalazione, essa non prevede particolari vincoli di forma: viene vagliata dall'Autorità ma non comporta la necessaria adozione di un provvedimento. 

In entrambi i casi non si ha comunque diritto ad alcun risarcimento.   

Conclusioni   

Se può essere vero che la costituzione e l'attivazione di un dossier sanitario contenente i dati sanitari riservatissimi di ogni persona può rivelarsi senz'altro utile, specialmente per persone molto anziane o nel caso in cui il paziente giunga in Pronto Soccorso in stato di incoscienza, è vero anche che il prezzo da pagare può essere la perdita irrimediabile della propria privacy e la diffusione a terzi di dati riservatissimi, con i relativi gravissimi abusi che ciò potrebbe comportare. 

Tutto ciò che noi diremo nel chiuso di una stanza a un medico che abbiamo scelto personalmente (e pagato), il quale è vincolato dal segreto professionale, potrebbe divenire potenzialmente oggetto di diffusione a terzi non autorizzati. 

I possibili abusi, come abbiamo visto, sono molteplici, anche quando il diretto interessato non ha affatto prestato il suo consenso all'attivazione del dossier sanitario. 

Abbiamo ormai detto addio alla vecchia ricetta scritta dal medico sul classico foglio di carta. Eppure, per secoli era la prassi e ancora lo è stata fino a poco tempo fa. 

Oggi, il medico batte di volta in volta su un'anonima tastiera tutto quello che noi riferiamo quando parliamo del nostro stato di salute, e i nostri referti saranno interamente digitali. Saremo probabilmente contenti di trovarci fra le mani un foglio stampato ben leggibile, ricordando senza nostalgia i tempi andati in cui non si capiva per nulla o si capiva poco la scrittura quasi indecifrabile del medico. 

Ma, ricordiamolo, tutto ciò ha un prezzo: il foglio di carta era solo nostro e nessuno ne poteva conoscere il contenuto, oltre a noi e a chi lo aveva redatto. 

Ciò che viene digitato sulla tastiera di un computer lascia sempre una traccia indelebile che non è affatto facile cancellare. Qui si pone anche il problema della cancellazione dei dati riservati, ove ciò sia ritenuto necessario. 

Le Aziende sanitarie non sono sicuramente ben preparate ad affrontare questi delicati problemi, né gli oneri e le garanzie di riservatezza che essi comportano. 

I tempi che corrono, questi "ultimi tempi", ci conducono pian piano verso un sistema in cui la vita di una persona diviene totalmente informatizzata, trasformandola suo malgrado in un "individuo", non più persona, il quale a sua volta viene trasformato in numero. 

L'Apocalisse di Giovanni ci parla di numeri, e del numero della Bestia impresso «sulla mano destra e sulla fronte» che rende gli uomini suoi schiavi, i quali acconsentono a portare su di sé questo marchio (cfr. Apocalisse 13,16-18).

Il Cardinale Joseph Ratzinger  

Papa Benedetto XVI, allora il Cardinale Joseph Ratzinger, ha ricordato al mondo nell'anno 2000 che invece Dio chiama ciascuno per nome: 

Secondo la logica della macchina, secondo i proprietari della macchina, l'uomo deve essere interpretato da un computer, e questo è possibile solo se l'uomo viene tradotto in numeri... 

La Bestia è un numero e ci trasforma in numeri. Dio nostro Padre invece ha un nome e chiama ciascuno di noi per nome. È una Persona e quando guarda ognuno di noi vede una persona, una persona amata.   

Sta soltanto a noi, qui e adesso, non consentire a nessuno di trasformarci in numeri.             

Qui la prima parte dell'articolo.