La Protezione dei Dati Personali nei Sistemi Sanitari: Profili Normativi, Criticità e Prospettive

La gestione dei dati personali in ambito sanitario rappresenta uno degli ambiti più delicati della normativa sulla protezione dei dati, alla luce della particolare natura delle informazioni trattate e del contesto in cui il trattamento avviene. I dati sanitari rientrano, infatti, nelle categorie particolari di dati personali di cui all’art. 9 del Regolamento (UE) 2016/679 (GDPR), soggette a un regime di protezione rafforzato.

L’attuale impianto normativo, integrato da normative nazionali e regolamenti specifici, si confronta con l’evoluzione digitale dei sistemi sanitari, che include l’utilizzo del Fascicolo Sanitario Elettronico (FSE), la telemedicina, la sanità mobile (m-health) e l’intelligenza artificiale applicata alla diagnostica e alla pianificazione sanitaria. Il quadro normativo di riferimento è rappresentato  dal GDPR e trattamento dei dati sanitari in particolare l’articolo 9 del GDPR vieta in via generale il trattamento di dati relativi alla salute, salvo specifiche eccezioni. Tra le basi giuridiche più rilevanti per il settore sanitario si segnalano in particolare:

• 9, par. 2, lett. h): trattamento necessario per finalità di medicina preventiva, diagnosi, prestazione di assistenza o terapia sanitaria;
• 9, par. 2, lett. i): trattamento necessario per motivi di interesse pubblico nel settore della sanità pubblica;
• 9, par. 2, lett. a): consenso esplicito dell’interessato.

Tali basi devono essere integrate da garanzie appropriate, conformemente all’art. 9, par. 3, e da eventuali disposizioni nazionali specifiche ex art. 9, par. 4.

La  Normativa nazionale con   Il D.Lgs. 82/2005 (Codice dell’Amministrazione Digitale) e il D.L. 179/2012, convertito nella L. 221/2012, hanno introdotto e disciplinato il FSE(FASCICOLO SANITARIO ELETTRONICO), successivamente riformato dal D.L. 34/2020 (“Decreto Rilancio”).

La disciplina prevede che il FSE sia alimentato automaticamente con i dati e i documenti digitali sanitari e sociosanitari, generati nell’ambito del Servizio Sanitario Nazionale. È previsto il diritto dell’assistito all’opposizione all’alimentazione automatica (fino al 30 giugno 2025, salvo proroghe), nonché la possibilità di oscurare singoli documenti.

Le Regioni, titolari del trattamento, sono tenute a garantire:

• accesso selettivo da parte dei professionisti;
• audit e tracciabilità degli accessi;
• conservazione sicura dei dati;
• nomina formale del DPO e adozione di misure di sicurezza adeguate ex artt. 24-32 GDPR.

Le Nuove prospettive in ambito europeo prevedono  lo European Health Data Space (EHDS) in particolare nel maggio 2022 la Commissione europea ha proposto un Regolamento volto alla creazione di uno Spazio Europeo dei Dati Sanitari (EHDS). L’obiettivo è duplice:

• Primary use: migliorare la continuità assistenziale e la mobilità dei pazienti, consentendo l’accesso transfrontaliero ai dati sanitari tramite formati interoperabili e sicuri.
• Secondary use: consentire il riutilizzo dei dati sanitari per ricerca, politiche pubbliche e innovazione, previa pseudonimizzazione e sotto controllo di enti accreditati (Health Data Access Bodies).

La proposta prevede obblighi rafforzati per i titolari del trattamento, nuovi ruoli di responsabilità (data holder, data user), e un sistema armonizzato di autorizzazione per i trattamenti secondari.

Le Criticità applicative e profili di rischio sono caratterizzati:

• Base giuridica e consenso: nella pratica, permane confusione tra le basi giuridiche applicabili. Spesso si invoca il consenso anche laddove non necessario, oppure si omette nei casi in cui è indispensabile.
• Informativa e trasparenza: molte strutture sanitarie non forniscono informative chiare, esaustive e multicanale, in violazione dell’art. 12 GDPR.
• Accessi non autorizzati: i sistemi FSE e le piattaforme di telemedicina sono esposte a rischi di accesso improprio da parte di soggetti non legittimati. Sono fondamentali log di accesso, sistemi di strong authentication e audit periodici.
• Profilazione algoritmica: l’uso dell’IA solleva questioni relative alla liceità dei trattamenti automatizzati (art. 22 GDPR), all’accountability e alla trasparenza degli algoritmi.

Quindi possiamo certamente sostenere chea protezione dei dati personali in ambito sanitario richiede un approccio integrato che coniughi:

• conformità normativa (compliance);
• governance efficace dei dati;
• cultura organizzativa orientata alla protezione dei diritti degli interessati.

La figura del Responsabile della Protezione dei Dati (DPO), affiancata da un team multidisciplinare (IT, legale, sanitario), è cruciale per assicurare una gestione corretta e sicura dei dati. Il futuro passa attraverso la costruzione di una fiducia informata tra cittadini e istituzioni sanitarie, in un contesto dove la privacy è parte integrante del diritto alla salute e non un ostacolo al progresso.

Autore: Dott. Nico De Nicoli