L’utilizzo dei dati sanitari raccolti nei PSP tra Privacy e GDPR
Tempo di lettura: 3 minuti
In un mondo sanitario che si sta modellando sulla spinta delle nuove tecnologie che introducono nutrite potenzialità di raccolta, di calcolo e di analisi, i dubbi in merito ai limiti imposti dalla legge nel trattamento dei dati non fanno che crescere.
Sono tante le domande che gli operatori sanitari del mondo healthcare si pongono sui cambiamenti introdotti dal Regolamento generale sulla protezione dei dati (GDPR).
E alla luce delle recenti discussioni in materia di Real World Evidence e Real World Data, sono consistenti anche le perplessità riguardo all’utilizzo dei dati raccolti dai Programmi di Supporto al Paziente (PSP).
I PSP fanno del monitoraggio costante del paziente il loro principale ingrediente, si basano sulla raccolta di dati e conseguentemente di evidenze, ma in che modo possono essere maneggiate queste informazioni?
Per cercare di dare una risposta a questi quesiti, abbiamo fatto qualche domanda all’Avvocato Silvia Stefanelli che da anni offre consulenza nelle diverse tematiche inerenti il diritto sanitario.
- Quali sono stati i principali cambiamenti introdotti dal GDPR sui dati sanitari?
I cambiamenti più rilevanti sono senza dubbio quelli relativi alla base di liceità del trattamento.
Mentre il trattamento del dato sanitario nella precedente architettura normativa della dir 95/46/CEE e del “vecchio” Codice Privacy era (quasi) sempre il consenso del paziente, nel nuovo GDPR sposta l’attenzione sulla finalità di trattamento.
In altre parole è la “ragione” per cui i dati vengono trattati che ne determina la base di liceità: così se il dato viene trattato per finalità di diagnosi, assistenza e terapia (art. 9 lett. h) e chi lo tratta è un professionista sottoposto al segreto professionale, non occorrerà alcun consenso perché la base di liceità sarà direttamente nell’art. 9 comma 2 lett h e art. 9 comma 3 del GDPR; viceversa, se la finalità è diversa (per esempio la soddisfazione del paziente) oppure manca il requisito di cui all’art. 9 comma 3 (trattamento da parte di soggetto sottoposto al segreto professionale), occorrerà cercare un’altra base di liceità di trattamento, che presumibilmente potrà essere il consenso del paziente.
- È possibile e con quali “accortezze” utilizzare i dati acquisiti nell’ambito dell’erogazione dei servizi assistenziali?
Si, certo. Anzi i dati relativi alla salute sono considerati un “bacino” di informazioni molto importante. È lo stesso GDPR che al Considerando 157 spiega l’importanza dell’utilizzo dei dati contenuti nei registri anche per finalità diverse rispetto a quelle per cui i dati sono stati raccolti e al Considerando 159 ci spiega che la nozione di ricerca scientifica del GDPR deve essere interpretata “in senso lato e includere ad esempio sviluppo tecnologico e dimostrazione, ricerca fondamentale, ricerca applicata e ricerca finanziata da privati, oltre a tenere conto dell’obiettivo dell’Unione di istituire uno spazio europeo della ricerca ai sensi dell’articolo 179, paragrafo 1, TFUE”.
Chiaro che il trattamento dei dati sanitari per finalità diverse da quelle di diagnosi e cura deve comunque rispettare in primo luogo (e tra gli altri), i principi di liceità e trasparenza: vale a dire che occorre identificare con esattezza la finalità del trattamento – e quindi, di conseguenza, identificare la base giuridica del trattamento – rispettare il principio di trasparenza, cioè informare in maniera chiara e completa il paziente delle finalità di trattamento (attraverso l’informativa) e valutare la corretta base giuridica di trattamento.
- Il dato raccolto nei PSP può essere utilizzato per effettuare analisi di Real Word Evidence, quali sono i passaggi necessari per farlo correttamente?
È una domanda molto complessa che oggi non ha una risposta chiara. Io credo però che il quadro normativo permetta alcune considerazioni.
La Real Word Evidence è un’analisi dei dati raccolti nell’ambito della somministrazione di un farmaco al di fuori di un trial controllato.
Allora, sotto il profilo trattamento dato, il punto cardine è – a parer mio – quello prima analizzato: quale è la finalità di questa analisi che viene effettuata sui dati reali e chi tratta questi dati. Facciamo qualche esempio.
Se la finalità è la valutazione della soddisfazione, o della aderenza del paziente al farmaco o dispositivo, potremmo essere di fronte ad un trattamento per la customer satisfaction oppure una farmacovigilanza o sorveglianza post marketing del dispositivo medico, per le quali occorrerà cercare la corretta base di trattamento anche a seconda di chi è il titolare di questo trattamento, nonché verificare che il paziente sia stato informato di tale trattamento ulteriore.
Se viceversa il trattamento dei RDW ha come finalità quella di estrarre informazioni finalizzate ad una verifica di natura scientifica, allora i riferimenti normativi possono cambiare. In questo caso il quadro normativo si complica perché, mentre il GDPR disciplina solo la ricerca scientifica (art. 89), il nostro Codice Privacy distingue tra ricerca scientifica con dati sanitari (art. 107 del Codice) da ricerca medica ed epidemiologica (art. 110 del Codice privacy), senza però chiarire la distinzione tra la nozione di “scientifico” da quella di “medico”.
La domanda, pertanto, non ha una risposta univoca: la stessa va sempre cercata nelle finalità del trattamento.