Privacy Ed E-Health

1
PRIVACY ED E-HEALTH: PROBLEMATICHE E SOLUZIONI

di Nadia Martini (*)
______________________________________________________________________________

Sommario

Introduzione .................................................................................................................................... 1
Capitolo I - Problematiche giuridiche: liniziale vuoto normativo .................................................. 4
Capitolo II Le recenti soluzioni adottate dal Garante e dal Legislatore: i referti on-line ................ 5
Capitolo III - Le recenti soluzioni adottate dal Garante e dal Legislatore: il fascicolo sanitario
elettronico ..................................................................................................................................... 11
Capitolo IV - La telemedicina: problematiche e soluzioni ............................................................. 18
Capitolo V - Un caso pratico al vaglio del Garante della Privacy: il telemonitoraggio cardiaco ... 26
Conclusioni .................................................................................................................................... 31

Introduzione
Le-Health - o Sanit in rete - un neologismo universalmente accettato, nonostante la man-
canza di una definizione chiara e condivisa
1
.
Per la Commissione delle Comunit Europee le-Health descrive lapplicazione delle tecnologie
dellinformazione e delle comunicazioni attraverso lintera gamma di funzioni che riguardano il
settore sanitario
2
.
Di pari avviso, lOrganizzazione Mondiale della Sanit (OMS), che definisce le-Health quale
utilizzo dellICT per la salute
3
.
Tuttavia, le definizioni ora esaminate - recepite per oltre un decennio in molti paesi, tra cui
lItalia - si limitano a una confusa identificazione tra tecnologia e rete, che porta a materializza-
re e a rendere statico il concetto di e-Health. Esso viene infatti identificato in una politica di
forniture tecnologiche al settore della sanit: in altre parole, nella complesso delle risorse, solu-
zioni e tecnologie informatiche applicate alla sanit
4
.
Ma le-Health molto di pi.
Come chiarisce Eysenbach, le-Health non un semplice sviluppo tecnologico: un campo
emergente nellintersezione tra linformatica medica, la salute pubblica e il commercio, che fa
riferimento ai servizi sanitari e allinformazione, prodotti o potenziati attraverso Internet e le
tecnologie correlate. In un senso pi ampio, il termine caratterizza non solo uno sviluppo tecni-
co, ma anche uno stato mentale, un modo di pensare, unattitudine e un impegno per un pen-
siero globale basato sulla rete. Le-Health volto a migliorare la cura della salute a livello locale,
regionale e mondiale attraverso la tecnologia dellinformazione e della comunicazione
5
.

(*) Avvocato in Milano, specializzata in Diritto della Privacy e delle Nuove Tecnologie presso lo studio legale Nunziante Magrone.
1
MORUZZI, e-health e fascicolo sanitario elettronico, Milano, 2009; OH RIZO ENKIN JADAD, What is eHealth (3): A systematic review of pub-
lished definitions, in Journal of Medical Internet Research, VII, 2005.
2
COMMISSION OF THE EUROPEAN COMMUNITIES (30.04.2004), e-Health making healthcare better for European citizens: an action plan for a Europe-
an e-Health Area.
3
GLOBAL OBSERVATORY FOR EHEALTH in http://www.who.int/kms/initiatives/ehealth/en/.
4
MORUZZI, op. cit., Milano, 2009.
5
EYSENBACH, What is eHealth, in Journal of Medical Internet Research, III, 2001.
Privacy ed e-Health: problematiche e soluzioni
2

In altre parole, la Sanit in Rete un innovativo approccio ai servizi sanitari fondato sullutilizzo
di strumenti basati sulle tecnologie dellinformazione e della comunicazione per sostenere e
promuovere la prevenzione, la diagnosi, il trattamento e il monitoraggio delle malattie e la ge-
stione della salute e dello stile di vita.
Nel corso degli ultimi anni, le applicazioni delle-Health sono aumentate sensibilmente.
Si progressivamente affermata la refertazione digitale on-line, ossia la consegna allassistito
mediante procedure telematiche (web, posta elettronica certificata o altre modalit digitali) di
referti medici dopo un esame clinico
6
.
Altra applicazione e-Health in grande sviluppo larchiviazione, la condivisione e la gestione dei
documenti sanitari in formato digitale: in altre parole, il c.d. Fascicolo Sanitario Elettronico, os-
sia linsieme di dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi cli-
nici presenti e trascorsi, riguardanti lassistito
7
.
Ma liniziativa e-Health che oggigiorno vanta il maggiore incremento e che ha significative pro-
spettive di crescita senza dubbio la telemedicina, ossia quellinsieme di tecnologie di teleco-
municazione e informatiche attraverso il quale possibile fornire servizi diagnostici e, pi in ge-
nerale, assistenza medica a pazienti che si trovano in siti distanti da ospedali o presidi speciali-
stici
8
. O ancora, come chiarisce lOrganizzazione Mondiale della Sanit (OMS), lerogazione di
servizi sanitari, quando la distanza un fattore critico per cui necessario usare, da parte degli
operatori, le tecnologie dellinformazione e delle telecomunicazioni al fine di scambiarsi infor-
mazioni utili alla diagnosi, al trattamento e alla prevenzione delle malattie e per garantire
uninformazione continua degli erogatori di prestazioni sanitarie e supportare la ricerca e la va-
lutazione della cura
9
.
Insomma, con la telemedicina lospedale ad andare a casa del paziente, non viceversa
10
.
Essa si sostanzia in svariate applicazioni: il teleconsulto (la richiesta da parte di un medico di un
parere a distanza di un collega pi qualificato), la teleradiologia (il trasferimento attraverso la
rete di immagini radiografiche), la telepatologia (la trasmissione di immagini ad un anatomopa-
tologo), il telesoccorso (lassistenza telefonica che garantisce il pronto intervento in caso di ma-
lori improvvisi, incidenti domestici, cadute accidentali).
Ma lapplicazione pi rivoluzionaria , soprattutto, il telemonitoraggio, anche nelle peculiari
forme della telecardiologia, ossia un servizio di telemedicina il cui obiettivo di sorvegliare le
condizioni di salute dei pazienti a distanza. Esso si presenta particolarmente utile nel caso di in-
dividui affetti da malattie croniche come linsufficienza cardiaca: molti di questi pazienti, spesso
anziani, necessitano infatti di un controllo regolare a distanza delle condizioni di salute e il te-
lemonitoraggio permette, per lappunto, di controllare costantemente la situazione clinica degli
ammalati e quindi di prevenire situazioni demergenza e di adottare per tempo misure corretti-
ve
11
.
E facile comprendere le ragioni del recente sviluppo delle-Health e, in particolare, della tele-
medicina.

6
Cfr. art. 6 c. 2 lett. d) n. 1 e 2 D.L. 13.5.2011 n. 70, convertito in legge da L. 12.7.2011 n. 106.
7
Cfr. art. 12 D.L. 18.10.2012 n. 179, convertito in legge da L. 17.12.2012 n. 221.
8
BETELLO, CICCARELLI, Le tecnologie satellitari in campo sanitario, in Telemedicina, n. 5, 1997, 32.
9
CANGELOSI, I servizi pubblici sanitari: prospettive e problematiche della telemedicina, in Dir. Famiglia, n. 1, 2007, 431.
10
CONSOLE, Telemedicina e comunicazione medica on-line: il caso italiano, Palermo, 2006-2007.

11
MORUZZI, op. cit., Milano, 2009.

3

Le-Health, come evidenziato da autorevole dottrina
12
e recentemente riconosciuto anche dal
Ministero della Salute
13
, infatti in grado di offrire soluzioni migliori rispetto alle tradizionali
forme di assistenza sanitaria: rende accessibili al domicilio del paziente, in tempi generalmente
rapidi, servizi che prima erano disponibili solo in ospedale; riduce la necessit di visite di ospe-
dali e ambulatori, consentendo un risparmio di tempo e costi di trasporto; migliora laccesso ai
servizi sanitari anche in aree pi lontane o disagiate; offre un accesso diretto ad un operatore
sanitario, annullando i tempi di attesa per un appuntamento; fornisce un monitoraggio conti-
nuato 24 ore su 24.
In sostanza le-Health, evitando lo spostamento del medico e il ricovero del paziente, migliora
laccesso allassistenza specializzata in settori che soffrono di carenza di risorse costose; miglio-
ra la qualit della vita dei pazienti affetti da malattie croniche; riduce i costi dellassistenza me-
dica e contribuisce a risolvere il problema decisamente attuale dei tagli al sistema sanita-
rio
14
.
In altre parole, le iniziative e-Health migliorano laccesso alle cure, ponendo il cittadino al cen-
tro dei sistemi sanitari; inoltre, contribuiscono ad accrescere lefficienza generale e la sostenibi-
lit del settore sanitario.

12
ARGO, PASSAVANTI, ZERBO, PROCACCIANTI, Problematiche medico legali connesse alla telemedicina: illustrazione del sistema Cardiovox
nellazienda sanitaria locale n. 9 di Trapani, in Riv. It. Medicina legale, n. 4-5, 1999, 1125; nonch il sito http://www.it.european-lung-
foundation.org
13
Cfr. intervento del Ministro della Salute R. BALDUZZI al III Congresso nazionale della SIT Societ Italiana di Telemedicina, tenutosi a Bologna il
16-18 maggio 2012.
14
Sul punto mi permetto di rimandare a MARTINI, Privacy e telemedicina: problematiche giuridiche e soluzioni pratiche nella prassi degli operato-
ri, in Diritto, Economia e Tecnologie della Privacy, n. 2, 2012, 329.

4

CAPITOLO I
PROBLEMATICHE GIURIDICHE: LINIZIALE VUOTO NORMATIVO
Sommario: 1. Problematiche giuridiche: il vuoto normativo
1. Problematiche giuridiche: il vuoto normativo
Nonostante i diversi vantaggi sopra evidenziati, le-Health e in particolare la telemedicina, pur
essendo in forte crescita, non hanno per ancora raggiunto in Italia piena diffusione.
Ci dipeso senza dubbio dalliniziale vuoto normativo in materia, che ne ha rallentato
laffermazione.
Per molti anni e fino a tempi recentissimi , infatti, mancato in Italia un quadro normativo di ri-
ferimento che disciplinasse in maniera chiara e univoca le varie problematiche giuridiche, in
particolare quelle attinenti ai profili di privacy, che hanno ostacolato e rallentano tuttora il
completo affermarsi della Sanit in Rete.
Non vi dubbio, infatti, che linformatizzazione nel settore sanitario implica la registrazione, la
comunicazione e il trasferimento dei dati sanitari e solleva quindi vari problemi in materia di
norme applicabili, di riservatezza dei dati, di sicurezza delle reti sulle quali i dati viaggiano; non-
ch dubbi interpretativi in tema di ruoli e responsabilit professionale dei soggetti che erogano
i servizi telematici in medicina, della necessit di un consenso informato e delle misure di sicu-
rezza che i fornitori del servizio debbono adottare per garantire la riservatezza dei dati
15
.
Tutti problemi che per lungo tempo sono rimasti insoluti e che gli operatori sanitari supplen-
do alla lacuna normativa hanno tentato di risolvere nella pratica quotidiana mediante
ladozione di molteplici (e spesso non univoche) soluzioni.
Anzitutto, la normativa ritenuta in origine generalmente applicabile quella generale dettata
dal D.Lgs. 30 giugno 2003, n. 196
16
(in seguito, Codice Privacy), che tuttavia non prevede solu-
zioni specifiche per le-Health.
In alcuni casi, gli operatori hanno fornito al paziente una preventiva informazione sulle caratte-
ristiche del servizio on-line rigorosamente distinta da quella relativa al trattamento per finalit
di cura. In altri casi, invece, non lhanno provvista affatto.
Parimenti, in alcune situazioni, gli operatori hanno ritenuto applicabili le misure minime di sicu-
rezza previste dal Codice Privacy, meno tutelanti rispetto a quelle ben pi efficaci dellutilizzo di
standard crittografici e di sistemi di wrong authentication. In altre, hanno preferito adottare
misure altamente protettive.
La mancanza di un chiaro quadro normativo di riferimento ha rischiato quindi per molto tempo
di ostacolare lattivit degli operatori.
E pertanto di posticipare o addirittura impedire lerogazione al cittadino di servizi di e-Health
invece molto utili, idonei a migliorare sensibilmente le prospettive di cura della collettivit
17
.

15
Cfr. SARZANA, IPPOLITO, La protezione dei dati personali nel campo sanitario: problemi giuridici e tecnologici, in Dir. Informatica, 1, 1999, 29.
16
Si tratta del Codice in materia di protezione dei dati personali, pubblicato nella Gazzetta Ufficiale del 29.07.2003, n. 174.
17
Sul punto mi permetto di rimandare a MARTINI, Privacy, il vuoto normativo della telemedicina, in Il Sole 24 Ore Sanit, n. 48/49, 2010, 16.

5

CAPITOLO II
LE RECENTI SOLUZIONI ADOTTATE DAL GARANTE E DAL LEGISLATORE: I REFERTI ON-LINE
Sommario: 1. Le recenti soluzioni adottate dal Garante e dal Legislatore 2. Segue: I referti on-line
2.1. Le soluzioni nella prassi del Garante: Le Linee Guida - definizioni, obblighi degli operatori sanitari,
misure di sicurezza 2.1.1. Segue: definizioni 2.1.2. Segue: obblighi privacy degli operatori sanitari
2.1.3. Segue: misure di sicurezza 2.2. Le soluzioni legislative
1. Le recenti soluzioni adottate dal Garante e dal Legislatore
Finalmente, dopo liniziale vuoto normativo di cui si esposto al precedente capitolo, prima
lAutorit Garante per la protezione dei dati personali e poi il Legislatore sono recentemente in-
tervenuti a normare alcune delle applicazioni delle-Health, cos definitivamente agevolandone
lo sviluppo.
In particolare, stata compiutamente regolata la refertazione digitale on-line e quasi ultimata
la normazione del Fascicolo Sanitario Elettronico. Si inoltre avviata la disciplina del servizio di
telemedicina, che per si trova ancora a uno stadio crepuscolare ed quindi inidonea a fornire
risposte certe e adeguate ai molteplici quesiti giuridici posti dagli operatori sanitari, in partico-
lare in materia di privacy.
2. Segue: i referti on-line
La refertazione on-line stata regolamentata in primis dallAutorit Garante per la Protezione
dei Dati Personali, che svolgendo un lodevole ruolo di supplenza del Legislatore in attesa di una
normazione pi adeguata, ha approvato le Linee guida in materia di referti on-line del 19 no-
vembre 2009
18
, sviscerando approfonditamente tutte le questioni giuridiche in materia di pri-
vacy implicate dal servizio e-Health in analisi.
Tale disciplina poi stata integrata, ampliata e migliorata dal Legislatore, che ha normato il ser-
vizio in commento allart. 6 comma 2 lett. d) n. 1 e 2 del decreto legge del 13 maggio 2011, n.
70, convertito dalla legge 12 luglio 2011, n. 106, recante Semestre europeo prime disposi-
zioni urgenti per leconomia
19
e con il recente decreto del Presidente del Consiglio dei Ministri
dell8 agosto 2013
20
, che ha dato effettiva attuazione allapplicazione e-Health in esame.
2.1. Le soluzioni nella prassi del Garante: Le Linee Guida - definizioni, obblighi degli operatori
sanitari, misure di sicurezza.
2.1.1. Segue: definizioni
Le Linee Guida hanno anzitutto il pregio di chiarire lambito di applicazione del provvedimento
e quindi di definire nel dettaglio il contenuto dei servizi di refertazione on-line.
Pi precisamente, esse statuiscono che i servizi oggetto della regolamentazione in commento
sono quelli idonei a permettere allassistito di accedere al referto inteso come la relazione

18
Provvedimento Garante per la Protezione dei Dati Personali del 19.11.2009 in Boll. n. 110/novembre 2009, doc. web n. 1679033, pubblicato
in Gazzetta Ufficiale dell11.11.2009, n. 288.
19
In Gazzetta Ufficiale del 12.07.2011, n. 160.
20
DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI del 08.8.2013 Modalit di consegna, da parte delle Aziende sanitarie, dei referti
medici tramite web, posta elettronica certificata e altre modalit digitali, nonch di effettuazione del pagamento online delle prestazioni eroga-
te, ai sensi dellarticolo 6, comma 2, lettera d), numeri 1) e 2) del decreto-legge 13 maggio 2011, n.70, convertito, con modificazioni, dalla legge
12 luglio 2011, n. 106, recante Semestre europeo - prime disposizioni urgenti per leconomia in Gazzetta Ufficiale del 16.10.2013, n.243.

6

scritta sullo stato clinico del paziente dopo un esame clinico o strumentale, rilasciata con moda-
lit informatica da parte del medico curante.
Tale conoscibilit dei referti viene realizzata come precisa il Garante - con due modalit: i) la
ricezione del referto presso la casella di posta elettronica dellinteressato; ii) il collegamento al
sito Internet della struttura sanitaria ove stato eseguito lesame clinico, al fine di effettuare il
download del referto.
In questi casi, vengono forniti al paziente un nome utente e una password allatto della preno-
tazione o delleffettuazione dellesame, oppure gli data la possibilit di effettuare il download
del reperto (inteso come il risultato dellesame clinico o strumentale effettuato, come ad es.
unimmagine radiografica, unecografica o un valore ematico) assieme al referto stilato dal me-
dico.

2.1.2. Segue: obblighi privacy degli operatori sanitari
Il provvedimento del Garante esamina poi nel dettaglio le caratteristiche del servizio in com-
mento e gli obblighi in materia di trattamento dati degli operatori sanitari, chiarendo che questi
ultimi, nel fornire i servizi di refertazione on-line, devono anzitutto assicurare la disponibilit, la
gestione, laccesso, la trasmissione, la conservazione e la fruibilit dellinformazione in modalit
digitale utilizzando le tecnologie dellinformazione e della comunicazione, nel rispetto della di-
sciplina rilevante in materia di trattamento dei dati personali.
Inoltre, il documento ha il pregio di specificare con chiarezza che tali servizi, mancando una
normativa che ne prescriva lobbligatoriet, vanno considerati facoltativi: gli operatori sanitari
debbono quindi offrirli con modalit tali da rendere possibile agli assistiti di poter comunque
scegliere di non aderire e di ritirare il referto in formato cartaceo.
Conseguentemente, gli operatori debbono permettere allinteressato di scegliere - in piena li-
bert - se accedere o meno al servizio di refertazione on-line, garantendogli in ogni caso la pos-
sibilit di continuare a ritirare i referti cartacei presso la struttura erogatrice della prestazione.
A tal fine precisa il provvedimento - la struttura sanitaria quindi tenuta a fornire
allinteressato una specifica informativa privacy sulle caratteristiche del servizio di refertazione
on-line e a richiedergli un apposito consenso ad hoc al trattamento dei dati personali connessi a
tale servizio.
Le Linee Guida chiariscono con precisione che linformativa - che pu essere resa anche unita-
mente a quella relativa al trattamento dei dati personali per finalit di cura, ma distinta da essa
- deve indicare, con linguaggio semplice, tutti gli elementi richiesti dallart. 13 Codice Privacy. In
particolare, va evidenziata la facoltativit delladesione ai servizi di refertazione on-line, aventi
la finalit di rendere pi rapidamente conoscibile allinteressato il risultato dellesame clinico
effettuato.
Inoltre, il modulo in esame deve rendere note allinteressato anche le modalit attraverso le
quali rivolgersi al titolare per esercitare i diritti di cui agli artt. 7 e ss. Codice Privacy.
A ci si aggiunga che linformativa deve chiarire che linteressato pu liberamente decidere di
non aderire ai servizi e-Health in commento: in tal caso, al paziente andr comunque garantito
il diritto di usufruire delle prestazioni mediche richieste e di ricevere i referti in formato carta-
ceo.
Infine, il modulo fornito allinteressato deve prevedere, qualora lassistito abbia scelto di aderi-
re ai suddetti servizi di refertazione, che gli sia concesso - in relazione ai singoli esami clinici a
cui si sottoporr di volta in volta - di manifestare una volont contraria, ovvero che i relativi re-
ferti non siano oggetto del servizio di refertazione on-line precedentemente scelto.

7

Peraltro auspica correttamente il Garante allo scopo di assicurare una piena comprensione
degli elementi indicati nellinformativa, loperatore sanitario titolare del trattamento dovrebbe
formare adeguatamente il personale coinvolto sugli aspetti rilevanti della disciplina sulla prote-
zione dei dati personali, anche ai fini di un pi efficace rapporto con gli interessati.
Le Linee Guida statuiscono, infine, che loperatore - dopo aver fornito linformativa tenuto
ad acquisire un autonomo e specifico consenso dellinteressato a trattare i suoi dati personali,
anche sanitari, attraverso le suddette modalit di refertazione.
In altre parole, il titolare del trattamento deve richiedere al paziente un consenso ad hoc distin-
to dal consenso generale al trattamento per finalit di cura - di norma raccolto dalloperatore
a cui il primo si aggiunge e non si sostituisce.

2.1.3. Segue: misure di sicurezza
In ultimo, il pregio pi rilevante delle Linee Guida consiste, senza dubbio alcuno, nella dettaglia-
ta regolamentazione delle misure di sicurezza che gli operatori sanitari, titolari del trattamento,
sono tenuti ad adottare per la protezione dei dati personali trattati per le finalit del servizio di
refertazione on-line.
Per la prima volta, infatti, stato fornito agli operatori sanitari, sino a quel momento privi di
qualsivoglia guida (non solo normativa, ma anche di prassi), un dettaglio chiaro e preciso sulle
cautele da adottare.
Tali misure sono distinte in due classificazioni a seconda del servizio di refertazione offerto.
Nel caso in cui il servizio che si intenda offrire consti nella possibilit per linteressato di colle-
garsi al sito Internet della struttura sanitaria che ha eseguito lesame clinico, al fine di effettuare
la copia locale (download) o la visualizzazione interattiva del referto, il Garante richiede
ladozione di cautele quali:
- protocolli di comunicazione sicuri, basati sullutilizzo di standard crittografici per la comunica-
zione elettronica dei dati, con la certificazione digitale dellidentit dei sistemi che erogano il
servizio in rete (protocolli https ssl Secure Socket Layer);
- tecniche idonee ad evitare la possibile acquisizione delle informazioni contenute nel file elet-
tronico nel caso di sua memorizzazione intermedia in sistemi di caching, locali o centralizzati, a
seguito della sua consultazione on-line;
- lutilizzo di idonei sistemi di autenticazione dellinteressato attraverso ordinarie credenziali o,
preferibilmente, tramite procedure di strong authentication;
- disponibilit limitata nel tempo del referto on-line (per un massimo di 30 giorni);
- possibilit da parte dellutente di sottrarre alla visibilit in modalit on-line o di cancellare dal
sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano.
Qualora invece il titolare del trattamento intenda inviare copia del referto alla casella di posta
elettronica dellinteressato, lAutorit afferma la necessit di adottare le seguenti misure:
- spedizione del referto in forma di allegato a un messaggio e-mail e non come testo compreso
nella body part del messaggio;
- protezione del file contenente il referto con modalit idonee a impedire lillecita o fortuita ac-
quisizione delle informazioni trasmesse da parte di soggetti diversi da quello cui sono destinati,
che potranno consistere in una password per lapertura del file o in una chiave crittografica rese
note agli interessati tramite canali di comunicazione differenti da quelli utilizzati per la spedi-
zione dei referti (Cfr. regola 24 del Disciplinare tecnico allegato B) al Codice Privacy)
21
;

21
Cfr. nota n. 16.
8

- convalida degli indirizzi e-mail tramite apposita procedura di verifica on-line, in modo da evita-
re la spedizione di documenti elettronici, pur protetti con tecniche di cifratura, verso soggetti
diversi dallutente richiedente il servizio.
In ogni caso, precisa il Garante, per il trattamento dei dati nellambito dellerogazione del servi-
zio on-line dovr essere garantita:
- la disponibilit di idonei sistemi di autenticazione e di autorizzazione per gli incaricati in fun-
zione dei ruoli e delle esigenze di accesso e trattamento (ad esempio, in relazione alla possibili-
t di consultazione, modifica e integrazione dei dati), prevedendo il ricorso alla strong authenti-
cation con utilizzo di caratteristiche biometriche nel caso del trattamento di dati idonei a rivela-
re lidentit genetica di un individuo;
- la separazione fisica o logica dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli
altri dati personali trattati per scopi amministrativo-contabili.
Le misure in commento, dettagliate dal Garante, sono poi state riprese, ampliate e integrate
dalla normazione del Legislatore, che le Linee Guida - vuoi per il loro apprezzabile dettaglio,
vuoi per la loro chiara individuazione - hanno avuto il pregio di guidare e indirizzare.

2.2. Le soluzioni legislative
La regolamentazione del Garante per la Protezione dei Dati Personali, ora esaminata, stata di
recente integrata, ampliata e migliorata dal Legislatore, che ha normato il servizio in commento
allart. 6 comma 2 lett. d) n. 1 e 2 del decreto legge del 13 maggio 2011, n. 70, convertito dalla
legge 12 luglio 2011, n. 106, recante Semestre europeo prime disposizioni urgenti per
leconomia
22
e con il recente decreto del Presidente del Consiglio dei Ministri dell8 agosto
2013 (DPCM)
23
, che ha dato effettiva attuazione allapplicazione e-Health in esame.
Il DPCM, che definisce le modalit con cui le aziende sanitarie del Servizio Sanitario Nazionale
adottano procedure telematiche per consentire la consegna, tramite web, posta elettronica
certificata e altre modalit digitali, dei referti medici, amplia anzitutto rispetto alle Linee Gui-
da del Garante lambito di applicazione della disciplina.
Essa regola, infatti, non pi il referto messo a disposizione soltanto tramite web e posta elet-
tronica, ma anche con altre modalit digitali di consegna, e cio mediante il Fascicolo sanitario
elettronico (FSE) o la posta elettronica certificata, anche presso il domicilio digitale del cittadino
ovvero con supporto elettronico.
Inoltre, il Legislatore incrementa anche il novero dei servizi al paziente, permettendo
allazienda sanitaria di fornire allinteressato servizi aggiuntivi per favorire o facilitare lutilizzo
dei servizi di refertazione on-line, ovvero per migliorare in generale la qualit del servizio offer-
to.
Tra questi nuovi servizi rientrano, in particolare, quelli di notifica, che permettono al paziente di
essere avvisato della messa a disposizione del referto digitale attraverso linvio di uno short
message service (sms) sul numero di telefono mobile, ovvero per mezzo di un messaggio alla
casella di posta elettronica indicata allatto di adesione ai servizi di refertazione on-line.
Un altro innovativo servizio consiste nellinoltro dei referti digitali a un medico designato
dallinteressato: esso offre la possibilit allassistito di richiedere la consegna del referto digitale
al medico curante indicato.

22
Vedi nota n. 19.
23
Vedi nota n. 20.

9

Il Legislatore, poi, fa proprie le regole formulate dal Garante in merito alla possibilit per gli
operatori di riconoscere allinteressato di scegliere di ricevere copia cartacea e non digitale del
referto; nonch in punto di informativa e di consenso ad hoc al servizio di refertazione.
Infine, con specifico riguardo alle misure di sicurezza, il DPCM integra e completa le cautele det-
tate dal Garante, fornendo in questo modo agli operatori sanitari un quadro chiaro e univoco
sulle misure da adottare per la protezione dei dati nel contesto della fornitura dei servizi di re-
fertazione.
Come fatto in precedenza dal Garante, le misure sono distinte in due classificazioni, a seconda
del servizio offerto.
Nel caso in cui si offra allinteressato la possibilit di collegarsi al sito Internet dellazienda sani-
taria al fine di visualizzare on-line il referto digitale ed effettuarne il download, le cautele pre-
scritte dal Legislatore sono le seguenti:
- utilizzo di idonei sistemi di identificazione dellinteressato, quali la carta di identit elettronica
(CIE) e la carta nazionale dei servizi (CNS);
- utilizzo di protocolli di comunicazione sicuri, basati su standard crittografici per la comunica-
servizio in rete (protocolli https ssl - Secure Socket Layer);
- fissazione di un limite temporale per la disponibilit on-line del referto digitale (non superiore
a 45 giorni), permettendo comunque allinteressato, in tale intervallo di tempo, di richiedere di
oscurare dal sistema web il referto digitale.
Nel caso, invece, in cui il servizio permetta allinteressato di ricevere il referto digitale alla casel-
la di posta elettronica da esso indicata, devono essere adottate dallazienda sanitaria le seguen-
ti misure:
- il referto digitale deve essere spedito in forma di allegato a un messaggio e non come testo
compreso nel corpo del messaggio;
- il referto digitale va protetto con tecniche di cifratura e reso accessibile tramite una password
per lapertura del file consegnata separatamente allinteressato.
Ancora, per i servizi che permettono di ricevere il referto digitale alla casella di posta elettroni-
ca certificata indicata dallinteressato ovvero al proprio domicilio digitale, gli operatori sanitari
sono tenuti a garantire che il referto sia spedito in forma di allegato a un messaggio e non come
testo compreso nel corpo del messaggio.
Se invece il servizio offra allinteressato la possibilit di ricevere il referto tramite apposito sup-
porto elettronico (quali memorie USB, DVD, CD, etc), lazienda sanitaria tenuta a proteggere il
supporto con opportune credenziali di sicurezza (es. username e password), che vanno conse-
gnate allinteressato separatamente o in busta chiusa ad un suo delegato.
Infine, nel caso in cui si permetta allinteressato di ricevere il referto tramite il proprio fascicolo
sanitario elettronico (FSE), debbono essere adottate le seguenti cautele:
- utilizzo di idonei sistemi di identificazione dellinteressato, quali la carta di identit elettronica
(CIE) e la carta nazionale dei servizi (CNS);
- utilizzo di protocolli di comunicazione sicuri, basati su standard crittografici per la comunica-
servizio in rete (protocolli https ssl - Secure Socket Layer);
- le ulteriori specifiche misure disposte nelle Linee guida in tema di Fascicolo sanitario elettroni-
co e di dossier sanitario del 16 luglio 2009 del Garante per la protezione dei dati personali e dal-
le disposizioni, attuative dellart. 12, comma 7, del decreto-legge 18 ottobre 2012, n. 179, con-
vertito in legge, con modificazioni, dallart. 1 della legge 17 dicembre 2012, n. 221, che saranno
meglio esaminate nel prossimo capitolo.
10

In conclusione, grazie agli interventi chiarificatori del Garante e del Legislatore, la refertazione
on-line ha ricevuto una puntuale e accurata regolamentazione, che sta contribuendo gi ora e
determiner senzaltro nel prossimo futuro la piena ed effettiva attuazione dellapplicazione e-
Health in commento.


11

CAPITOLO III
LE RECENTI SOLUZIONI ADOTTATE DAL GARANTE E DAL LEGISLATORE:
IL FASCICOLO SANITARIO ELETTRONICO
Sommario: 1. Le recenti soluzioni adottate dal Garante e dal Legislatore: Il Fascicolo Sanitario Elettro-
nico 2. Le soluzioni nella prassi del Garante: Le Linee Guida - definizioni, titolari del trattamento, ob-
blighi degli operatori sanitari, misure di sicurezza 2.1. Segue: definizioni 2.2. Segue: titolari del
trattamento 2.3. Segue: obblighi privacy degli operatori sanitari 2.4. Segue: misure di sicurezza 3.
Le soluzioni legislative
1. Le recenti soluzioni adottate dal Garante e dal Legislatore: Il Fascicolo Sanitario Elettronico
Altra applicazione e-Health di recente normazione il c.d. Fascicolo Sanitario Elettronico (FSE).
Come avvenuto per i referti on-line, tale servizio stato regolamentato in primis dallAutorit
Garante per la Protezione dei Dati Personali, che svolgendo un ammirevole ruolo di supplenza
del Legislatore in attesa di una normazione pi adeguata, ha approvato le Linee guida in tema
di Fascicolo sanitario elettronico e di dossier sanitario 16 luglio 2009
24
, affrontando nel detta-
glio le molteplici questioni giuridiche in materia di privacy implicate dal servizio e-Health in ana-
lisi.
Tale disciplina poi stata integrata, ampliata e migliorata dal Legislatore, che ha normato il ser-
vizio in commento allart. 12 del decreto legge del 18 ottobre 2012, n. 179, convertito dalla leg-
ge del 17 dicembre 2012, n. 221
25
. In corso di esame e approvazione poi il recente Schema di
decreto del Presidente del Consiglio dei Ministri
26
, approvato dalla Conferenza Stato-Regioni
del 13 marzo 2014
27
e destinato a dare effettiva attuazione allapplicazione e-Health in esame.
2. Le soluzioni nella prassi del Garante: Le Linee Guida - definizioni, titolari del trattamento,
obblighi degli operatori sanitari, misure di sicurezza
2.1. Segue: definizioni
Le Linee Guida hanno anzitutto il pregio di chiarire lambito di applicazione del provvedimento
e quindi di definire nel dettaglio il contenuto dei servizi di FSE.
Si intende per FSE il fascicolo formato con riferimento a dati sanitari originati da diversi titolari
del trattamento operanti pi frequentemente, ma non esclusivamente, in un medesimo ambito
territoriale (es., azienda sanitaria, laboratorio clinico privato operanti nella medesima regione o
area vasta).
Il FSE costituito preferendo, di regola, soluzioni che non prevedano una duplicazione in una
nuova banca dati delle informazioni sanitarie formate dai professionisti od organismi sanitari
che hanno preso in cura linteressato.
In secondo luogo, le finalit che possono essere perseguite attraverso la costituzione del FSE
possono essere ricondotte esclusivamente a scopi di prevenzione, diagnosi, cura e riabilitazione
dellinteressato medesimo, con esclusione di ogni altra finalit (in particolare, le attivit di pro-

24
Provvedimento Garante per la Protezione dei Dati Personali del 16.7.2009, doc. web n. 1634116, pubblicato in Gazzetta Ufficiale del
03.08.2009, n. 178.
25
Pubblicato in Gazzetta Ufficiale del 18.12.2012, n.294.
26
Cfr. Allegato 1 alle Linee Guida per la presentazione di appositi piani di progetto regionali per il FSE del 31.03.2014, consultabili al link
http://www.salute.gov.it/portale/documentazione/p6_2_2_1.jsp?lingua=italiano&id=2141
27
Cfr. Atti n. 35/CSR del 13.03.2014
12

grammazione, gestione, controllo e valutazione dellassistenza sanitaria, che possono essere,
peraltro, espletate in vari casi anche senza la disponibilit di dati personali).

2.2. Segue: titolari del trattamento
Le Linee, adottando una rigida interpretazione poi modificata dal Legislatore, chiariscono poi
che il trattamento di dati personali effettuato attraverso il FSE deve essere posto in essere
esclusivamente da parte di titolari del trattamento che siano soggetti operanti in ambito sanita-
rio.
Restano quindi esclusi i periti, le compagnie di assicurazione, i datori di lavoro, le associazioni
od organizzazioni scientifiche e gli organismi amministrativi anche operanti in ambito sanitario.
Analogamente, laccesso precluso anche al personale medico nellesercizio di attivit medico-
legale (es. visite per laccertamento dellidoneit lavorativa o alla guida), in quanto tali profes-
sionisti svolgerebbero la loro attivit nellambito dellaccertamento di idoneit o status, e non
anche allinterno di un processo di cura dellinteressato.
Chiarisce ancora il Garante che la titolarit del trattamento dei dati personali effettuato tramite
il FSE deve essere di regola riconosciuta alla struttura od organismo sanitario inteso nel suo
complesso e presso cui sono state redatte le informazioni sanitarie (es. azienda sanitaria o
ospedale) (artt. 4 e 28, comma 1, lett. f) del Codice Privacy)
28
.
I titolari hanno la facolt di designare gli eventuali soggetti responsabili del trattamento, men-
tre devono preporre in ogni caso le persone fisiche incaricate, che possono venire lecitamente a
conoscenza dei dati personali trattati (artt. 4, comma 1, lett. g) e h), 29 e 30 del Codice Priva-
cy)
29
.
Le persone fisiche legittimate a consultare il FSE devono essere adeguatamente edotte delle
particolari modalit di creazione e utilizzazione di tali strumenti.
Allatto della designazione degli incaricati, il titolare o il responsabile sono quindi tenuti a indi-
care con chiarezza lambito delle operazioni consentite (operando, in particolare, le opportune
distinzioni tra il personale con funzioni amministrative e quello con funzioni sanitarie), avendo
cura di specificare se gli stessi abbiano solo la possibilit di consultare il Fascicolo o anche la fa-
colt di integrarlo o modificarlo.

2.3. Segue: obblighi privacy degli operatori sanitari
Il provvedimento del Garante esamina poi, nel dettaglio, le caratteristiche del servizio in com-
mento e gli obblighi in materia di trattamento dati degli operatori sanitari, chiarendo che questi
ultimi, nel fornire il servizio di FSE, devono anzitutto assicurare la disponibilit, la gestione,
laccesso, la trasmissione, la conservazione e la fruibilit dellinformazione in modalit digitale,
utilizzando le tecnologie dellinformazione e della comunicazione nel rispetto della disciplina ri-
levante in materia di trattamento dei dati personali.
Inoltre, il documento ha il pregio di specificare con chiarezza che tali servizi, mancando una
normativa che ne prescriva lobbligatoriet, vanno considerati facoltativi per linteressato: gli
operatori sanitari debbono quindi offrirli con modalit tali da rendere possibile agli assistiti di
poter comunque scegliere di non aderire al FSE.

28
Vedi nota n. 16.
29
Vedi nota n. 16.

13

Conseguentemente, essi debbono permettere allinteressato di scegliere - in piena libert - se
accedere o meno al servizio di FSE, garantendogli in ogni caso la possibilit di continuare a usu-
fruire delle prestazioni mediche.
A tal fine precisa il provvedimento - la struttura sanitaria quindi tenuta a fornire
allinteressato una specifica informativa privacy sulle caratteristiche del servizio di FSE (artt. 13,
79 e 80 Codice Privacy
30
) e a richiedergli un apposito consenso ad hoc al trattamento dei dati
personali connessi a tale servizio.
Le Linee Guida chiariscono con precisione che linformativa deve indicare lintenzione di costi-
tuire un FSE il pi possibile completo, che documenti la storia sanitaria dellinteressato per mi-
gliorare il suo processo di cura e, quindi, per fini di prevenzione, diagnosi, cura e riabilitazione.
Inoltre, essa spiega in modo semplice le opportunit che offrono tali strumenti, ma, al tempo
stesso, lampia sfera conoscitiva che essi possono avere.
A garanzia del diritto alla costituzione o meno del FSE, linteressato deve essere informato che il
mancato consenso totale o parziale non incide sulla possibilit di accedere alle cure mediche ri-
chieste.
Linformativa, anche con formule sintetiche, ma agevolmente comprensibili, deve indicare in
modo chiaro le categorie di soggetti diversi dal titolare (ad esempio, medico di medicina gene-
rale, farmacista) che, nel prendere in cura linteressato, possono accedere a tali strumenti, non-
ch la connessa possibilit di acconsentire che solo alcuni di questi soggetti possano consultar-
lo.
Linformativa e la relativa manifestazione del consenso possono essere formulate distintamente
per ciascuno dei titolari o, pi opportunamente, in modo cumulativo, avendo comunque
cura di indicare con chiarezza lambito entro il quale i singoli soggetti trattano i dati del FSE.
Linteressato deve essere poi informato anche della circostanza che il FSE potrebbe essere con-
sultato, anche senza il suo consenso, ma nel rispetto dellautorizzazione generale del Garante,
qualora sia indispensabile per la salvaguardia della salute di un terzo o della collettivit (Auto-
rizzazione generale del Garante n. 2/2013 al trattamento dei dati idonei a rivelare lo stato di sa-
lute e la vita sessuale del 12 dicembre 2013)
31
.
In aggiunta, ferma restando lindubbia utilit di un FSE completo, deve essere comunque garan-
tito allassistito il diritto di oscuramento, ossia la possibilit di scegliere di non far confluire in
esso alcune informazioni sanitarie relative a singoli eventi clinici (ad esempio, con riferimento
allesito di una specifica visita specialistica o alla prescrizione di un farmaco).
Loscuramento dellevento clinico (revocabile nel tempo) deve peraltro avvenire con modalit
tali da garantire che, almeno in prima battuta, tutti (o alcuni) soggetti abilitati allaccesso non
possano venire automaticamente (anche temporaneamente) a conoscenza del fatto che
linteressato ha effettuato tale scelta.
Inoltre, il modulo in esame rende note allinteressato anche le modalit attraverso le quali ri-
volgersi al titolare per esercitare i diritti di cui agli artt. 7 e ss. Codice Privacy.
In aggiunta, si rileva che le Linee Guida statuiscono che loperatore sanitario - dopo aver fornito
linformativa tenuto ad acquisire un autonomo consenso generale dellinteressato a costi-
tuire il FSE e consensi specifici ai fini della sua successiva alimentazione e consultazione o meno
da parte dei singoli titolari del trattamento (es. medico di medicina generale, pediatra di libera
scelta, farmacista, medico ospedaliero).

30
Vedi nota n. 16.
31
In Gazzetta Ufficiale del 27.12.2013, n. 302, doc. web n. 2818529, consultabile al link
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/2818529
14

Infine, il Garante pone a carico delloperatore sanitario, titolare del trattamento, lulteriore
onere di comunicare allAutorit la costituzione del FSE, mediante una apposita comunicazione
da effettuarsi secondo il modello adottato dallAutorit.

2.4. Segue: misure di sicurezza
A differenza di quanto fatto in precedenza per la refertazione on-line, il Garante non ha partico-
larmente approfondito il tema delle misure di sicurezza che gli operatori sanitari, titolari del
trattamento, sono tenuti ad adottare per la protezione dei dati personali trattati per le finalit
del servizio FSE.
Le Linee Guida si sono infatti limitate a prevedere che i titolari del trattamento debbono utiliz-
zare idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusi-
vo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di ela-
borazione portatili o fissi (ad esempio, attraverso lapplicazione anche parziale di tecnologie
crittografiche a file system o database, oppure tramite ladozione di altre misure di protezione
che rendano i dati inintelligibili ai soggetti non legittimati).
Pi precisamente, il Garante ha prescritto ladozione delle seguenti cautele:
- idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e del-
le esigenze di accesso e trattamento (ad esempio, in relazione alla possibilit di consultazione,
modifica e integrazione dei dati);
- procedure per la verifica periodica della qualit e coerenza delle credenziali di autenticazione
e dei profili di autorizzazione assegnati agli incaricati;
- individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato
di salute e la vita sessuale dagli altri dati personali;
- tracciabilit degli accessi e delle operazioni effettuate;
- sistemi di audit log per il controllo degli accessi al database e per il rilevamento di eventuali
anomalie;
- protocolli di comunicazione sicuri basati sullutilizzo di standard crittografici per la comunica-
zione elettronica dei dati tra i diversi titolari coinvolti.
Le misure in commento, dettagliate dal Garante, sono poi state integrate dalla normazione del
Legislatore.
3. Le soluzioni legislative
La regolamentazione del Garante per la Protezione dei Dati Personali ora esaminata stata di
recente ampliata e migliorata dal Legislatore, che ha normato il servizio in commento allart. 12
del decreto legge del 18 ottobre 2012, n. 179, convertito dalla legge del 17 dicembre 2012, n.
221
32
. In corso di esame e approvazione poi il recente Schema di decreto del Presidente del
Consiglio dei Ministri
33
, approvato dalla Conferenza Stato-Regioni del 13 marzo 2014 e destina-
to a dare effettiva attuazione allapplicazione e-Health in esame
34
.
La legge 221/2012 succitata che, facendo propria la determinazione del Garante, definisce il
FSE come linsieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da
eventi clinici presenti e trascorsi riguardanti lassistito aggiunge anzitutto che il FSE va istituito
dalle regioni e province autonome entro il termine (che pare perentorio) del 30 giugno 2015.

32
Vedi nota n. 25.
33
Vedi nota n. 26.
34
Vedi nota n. 27.

15

Inoltre, amplia rispetto al dettato delle Linee Guida del Garante lambito di applicazione del-
la disciplina, prevedendo che il FSE possa essere costituito non soltanto per le finalit di pre-
venzione, diagnosi, cura e riabilitazione, ma anche per quelle di studio e ricerca scientifica in
campo medico, biomedico ed epidemiologico; nonch per gli scopi di programmazione sanita-
ria, di verifica delle qualit delle cure e di valutazione dellassistenza sanitaria.
Il Legislatore conferma poi la prescrizione del Garante in merito al diritto dellinteressato di
scegliere se e quali dati inserire nel FSE.
Infine, la legge in commento molto opportunamente auspica la pronta adozione di un decreto
attuativo, che stabilisca i contenuti del FSE nonch i limiti di responsabilit e i compiti dei sog-
getti che concorrono alla sua implementazione, i sistemi di codifica dei dati, le garanzie e le mi-
sure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti
dellassistito, le modalit e i livelli diversificati di accesso al FSE, la definizione e le relative mo-
dalit di attribuzione di un codice identificativo univoco dellassistito che non consenta
lidentificazione diretta dellinteressato, i criteri per linteroperabilit del FSE a livello regionale,
nazionale ed europeo, nel rispetto delle regole tecniche del sistema pubblico di connettivit.
Tale decreto stato di recente finalizzato nel suo Schema dal Tavolo Tecnico coordinato
dallAgenzia per lItalia Digitale e dal Ministero della Salute - con i rappresentanti del Ministero
dellEconomia e delle Finanze, delle Regioni e delle Province Autonome, nonch dal Consiglio
Nazionale delle Ricerche e del CISIS (Centro Interregionale per i Sistemi Informatici, Geografici e
Statistici) che il 31 marzo 2014 hanno pubblicato le Linee Guida per la presentazione di appo-
siti piani di progetto regionali per la realizzazione del FSE, prospettando anche allallegato 1
lo Schema attuativo da emanarsi a cura del Presidente del Consiglio
35
.
Lo Schema in commento approvato dalla Conferenza Stato-Regioni del 13 marzo 2014 e at-
tualmente in corso di esame e approvazione coglie nel segno, regolamentando puntualmente
le svariate problematiche giuridiche implicate dal servizio in commento, e in particolare quelle
privacy.
Il documento ha anzitutto il pregio di chiarire, per la prima volta, i contenuti obbligatori e facol-
tativi del FSE.
In particolare, prevede che il FSE possa includere un nucleo minimo di dati e documenti, non-
ch dati e documenti integrativi che permettono di arricchire il Fascicolo stesso.
Precisamente, il nucleo minimo, uguale per tutti i fascicoli istituiti da Regioni e Province auto-
nome, costituito da: dati identificativi e amministrativi dellassistito; referti, inclusi quelli con-
segnati ai sensi del decreto del Presidente del Consiglio dei Ministri 8 agosto 2013
36
; verbali di
pronto soccorso; lettere di dimissione; profilo sanitario sintetico; dossier farmaceutico; consen-
so o diniego alla donazione degli organi e tessuti.
Il FSE pu inoltre contenere, a seconda delle scelte regionali in materia di politica sanitaria e del
livello di maturazione del processo di digitalizzazione, contenuti quali: prescrizioni (specialisti-
che, farmaceutiche, etc.); prenotazioni (specialistiche, di ricovero, etc.); cartelle cliniche; bilanci
di salute; assistenza domiciliare: scheda, programma e cartella clinico-assistenziale; piani dia-
gnostico-terapeutici; assistenza residenziale e semiresidenziale; scheda multidimensionale di
valutazione; erogazione farmaci; vaccinazioni; prestazioni di assistenza specialistica; prestazioni
di emergenza urgenza (118 e pronto soccorso); prestazioni di assistenza ospedaliera in regime
di ricovero; certificati medici; taccuino personale dellassistito; relazioni relative alle prestazioni
erogate dal servizio di continuit assistenziale; autocertificazioni; partecipazione a sperimenta-

35
Vedi nota n. 26.
36
Cfr. Capitolo n. II e nota n. 20.
16

zioni cliniche; esenzioni; prestazioni di assistenza protesica; dati a supporto delle attivit di te-
lemonitoraggio; dati a supporto delle attivit di gestione integrata dei percorsi diagnostico-
terapeutici.
Ancora, lo Schema individua - con maggior precisione rispetto al Garante - i contenuti
dellinformativa che gli operatori sanitari sono tenuti a rendere allinteressato e le prescrizioni
in merito al consenso al trattamento effettuato mediante il FSE.
Precisamente, con riguardo allinformativa, essa deve indicare tutti gli elementi richiesti
dallarticolo 13 Codice Privacy
37
. In particolare, necessario che contenga:
- la definizione del FSE sopra esaminata;
- le finalit del fascicolo, cos come indicate dal comma 2 dellarticolo 12 del decreto legge 18
ottobre 2012, n. 179, pocanzi commentato;
- le modalit del trattamento, specificando che i dati sono trattati con lausilio di strumenti elet-
tronici e sono trasmessi attraverso reti telematiche;
- lindicazione che necessario esprimere un consenso specifico al trattamento dei dati per
lalimentazione del FSE e linformazione che il mancato consenso, o la revoca dello stesso in un
momento successivo, non comporta conseguenze in ordine allerogazione delle prestazioni del
Servizio Sanitario Nazionale e dei servizi socio-sanitari;
- lindicazione che necessario esprimere un ulteriore specifico consenso limitatamente alla
consultazione dei dati e documenti presenti nel FSE;
- lindicazione delle categorie di soggetti, diversi dai titolari del trattamento, che in qualit di re-
sponsabili o incaricati possono accedere al FSE;
- linformazione che il FSE, qualora sia indispensabile per la salvaguardia della salute di un terzo
o della collettivit, pu essere consultato anche senza il consenso dellassistito ma nel rispetto
dellAutorizzazione Generale al trattamento dei dati idonei a rivelare lo stato di salute e la vita
sessuale, rilasciata dallAutorit Garante
38
;
- gli estremi identificativi del/dei titolare/i del trattamento dei dati personali trattati mediante il
FSE e di almeno un responsabile se individuato, indicando le modalit per conoscere lelenco
aggiornato dei responsabili;
- le modalit con cui rivolgersi al titolare o al responsabile designato, per esercitare i diritti di
cui allarticolo 7 del Codice Privacy.
Con riferimento al consenso dellinteressato, invece, lo Schema chiarisce che occorre sia
lautorizzazione alla costituzione del FSE sia quella alla sua successiva alimentazione.
Il FSE pu essere quindi alimentato esclusivamente sulla base del consenso libero e informato
da parte dellassistito, che pu essere espresso (e poi revocato) anche per via telematica, previo
accesso al FSE.
Vengono inoltre per la prima volta puntualmente distinti i titolari del trattamento per ogni sin-
gola finalit per cui il FSE sia istituito.
Infatti, nel caso di trattamenti per finalit di cura, sono qualificati come titolari i soggetti del
Servizio Sanitario Nazionale e dei servizi socio-sanitari regionali che prendono in cura lassistito.
Per i trattamenti effettuati per scopi di ricerca, sono invece titolari le regioni e province auto-
nome e il Ministero della salute, nei limiti delle rispettive competenze attribuite dalla legge.
Inoltre, per le finalit di governo, titolari sono le regioni e province autonome, il Ministero della
salute e il Ministero del lavoro e delle politiche sociali.

37
Vedi nota n. 16.
38
Si veda nota n. 31.

17

Infine, lo Schema dettaglia (con maggior chiarezza rispetto al Garante) le misure di sicurezza
che gli operatori debbono adottare per la protezione dei dati trattati mediante il FSE.
In particolare, nellutilizzo di sistemi di memorizzazione o archiviazione dei dati vanno attuati
idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, fur-
to o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazio-
ne portatili o fissi (ad esempio, attraverso lapplicazione anche parziale di tecnologie crittografi-
che a file system o database, oppure tramite ladozione di altre misure di protezione che ren-
dano i dati inintelligibili ai soggetti non legittimati).
Mentre per la consultazione in sicurezza dei dati contenuti nel FSE debbono essere assicurati:
- idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e del-
le esigenze di accesso e trattamento;
- procedure per la verifica periodica della qualit e coerenza delle credenziali di autenticazione
e dei profili di autorizzazione assegnati agli incaricati;
- protocolli di comunicazione sicuri basati sullutilizzo di standard crittografici per la comunica-
zione elettronica dei dati tra i diversi titolari coinvolti;
- individuazione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato
di salute e la vita sessuale dagli altri dati personali;
- tracciabilit degli accessi e delle operazioni effettuate;
- sistemi di audit log per il controllo degli accessi e per il rilevamento di eventuali anomalie;
Inoltre, molto prudentemente, lo Schema prescrive che nel caso in cui dati trattati nellambito
del FSE subiscano violazioni tali da comportare la perdita, la distruzione o la diffusione indebita
di dati personali, il titolare del trattamento tenuto ad effettuare una segnalazione al Garante
entro una settimana dal verificarsi dellevento, contenente: una descrizione della natura della
violazione dei dati personali occorsa, compresi le categorie e il numero di interessati coinvolti;
lindicazione dellidentit e delle coordinate di contatto del responsabile della protezione dei
dati; la descrizione delle conseguenze della violazione dei dati personali subita; le misure pro-
poste o adottate per porre rimedio alla violazione dei dati personali.
In conclusione, lo Schema di decreto attuativo ha puntualmente integrato e senzaltro migliora-
to la regolamentazione del Garante: quindi a nostro avviso pienamente idoneo a determinare,
una volta approvato, la piena ed effettiva attuazione dellapplicazione e-Health in commento.
Se ne auspica pertanto una pronta e rapida adozione.

18

CAPITOLO IV
LA TELEMEDICINA: PROBLEMATICHE E SOLUZIONI
Sommario: 1. La telemedicina 2. Le Linee Guida: definizioni, finalit, vantaggi e altri contenuti 2.1.
Segue: definizioni 2.2. Segue: finalit e vantaggi 2.3. Segue: altri contenuti 2.4. Le Linee Guida e
gli aspetti di privacy 3. La telemedicina e le problematiche senza risposta normativa: I ruoli e le re-
sponsabilit 3.1. Segue: Il consenso informato 3.2. Segue: Le misure di sicurezza 3.3. Segue: Il
trasferimento dei dati allestero
1. La telemedicina
Lapplicazione e-Health di pi recente regolamentazione la telemedicina.
Il 20 febbraio 2014, la Conferenza Stato-Regioni ha infatti approvato il documento Telemedici-
na Linee di indirizzo nazionali
39
, che per la prima volta indirizza loperato nel campo delle ini-
ziative di telemedicina, dando indicazioni per la disciplina uniforme della telemedicina
nellambito del Servizio Sanitario Nazionale
40
.
Le Linee Guida sono state predisposte dal Tavolo di lavoro per la telemedicina, istituito il 24
febbraio 2011 dal Ministro della Salute Prof. Ferruccio Fazio in seno al Consiglio Superiore di
Sanit, con lobiettivo di creare i presupposti abilitanti alla diffusione di servizi di telemedicina
concretamente integrati nella pratica clinica e fornire risposte efficaci ai modificati bisogni di sa-
lute dei cittadini.
Come chiarito dal Tavolo di lavoro, il documento ha il pregio di rappresentare il riferimento uni-
tario nazionale per limplementazione di servizi di telemedicina e di individuare gli elementi di
riferimento necessari per una coerente progettazione e impiego di tali sistemi nellambito del
Servizio Sanitario Nazionale e del pi ampio contesto europeo.
Infatti, le Linee Guida propongono un modello di governance condivisa, indicando gli elementi
imprescindibili alla progettazione e allimpiego di dispositivi di telemedicina nellambito del Si-
stema Sociosanitario Nazionale; definiscono con chiarezza i servizi in commento ed evidenziano
i vantaggi dellapplicazione in esame.
Tuttavia, il documento dedica poco spazio alle problematiche in materia di privacy e di tratta-
mento dati, che per frequentemente si verificano in telemedicina e che restano, quindi, per la
gran parte insolute.
2. Le Linee Guida: definizioni, finalit, vantaggi e altri contenuti
2.1. Segue: definizioni
Le Linee Guida hanno anzitutto il pregio di definire con chiarezza i servizi di telemedicina.
Per telemedicina, il documento in commento, intende infatti una modalit di erogazione di ser-
vizi di assistenza sanitaria, tramite il ricorso a tecnologie innovative, in particolare alle Informa-
tion and Communication Technologies (ICT), in situazioni in cui il professionista della salute e il
paziente (o due professionisti) non si trovano nella stessa localit.
La telemedicina - chiarisce ancora il provvedimento - comporta la trasmissione sicura di infor-
mazioni e dati di carattere medico nella forma di testi, suoni, immagini o altre forme necessarie
per la prevenzione, la diagnosi, il trattamento e il successivo controllo dei pazienti.

39
Consultabile al link http://www.nsis.salute.gov.it/imgs/C_17_pubblicazioni_2129_allegato.pdf
40
Cfr. sul punto le dichiarazioni del Ministero della Salute consultabili al link www.salute.gov.it

19

Comunque mette in guardia il documento - i servizi di telemedicina vanno assimilati a qua-
lunque servizio sanitario diagnostico/ terapeutico, dovendo quindi ottemperare a tutti i diritti e
obblighi propri di qualsiasi atto sanitario.
Essi non sostituiscono quindi la prestazione sanitaria tradizionale nel rapporto personale medi-
co-paziente, ma la integrano per potenzialmente migliorare efficacia, efficienza e appropriatez-
za.

2.2. Segue: finalit e vantaggi
Inoltre, il provvedimento specifica i vantaggi e le finalit dellapplicazione e-Health in esame.
Quanto ai vantaggi, il documento chiarisce che la telemedicina anzitutto idonea a garantire
equit di accesso allassistenza sanitaria, rendendo disponibile unassistenza sanitaria qualifica-
ta in aree remote.
Inoltre, lapplicazione in esame pu migliorare la qualit dellassistenza garantendo la continui-
t delle cure: infatti idonea a portare direttamente presso la casa del paziente il servizio del
medico, senza che questo si allontani dal suo studio e senza che il paziente stesso sia costretto
a muoversi.
Lutilizzo di strumenti di telemedicina garantisce maggiore efficacia, efficienza, appropriatezza:
ad esempio, pu anche essere previsto a supporto della terapia farmacologica per migliorare la
compliance del farmaco.
Infine, uno dei pi importanti vantaggi dei nuovi modelli organizzativi rappresentato da una
potenziale razionalizzazione dei processi sociosanitari con un possibile impatto sul contenimen-
to della spesa sanitaria, riducendo il costo sociale delle patologie.
Con riguardo invece alle finalit, la telemedicina pu avere scopi di prevenzione secondaria,
diagnosi, cura, riabilitazione e monitoraggio, intendendosi per:
- prevenzione: i servizi dedicati alle categorie di persone gi classificate a rischio o persone gi
affette da patologie (ad esempio diabete o patologie cardiovascolari), le quali, pur conducendo
una vita normale devono sottoporsi a costante monitoraggio di alcuni parametri vitali (ad
esempio, del tasso di glicemia per il paziente diabetico);
- diagnosi: i servizi che hanno come obiettivo quello di muovere le informazioni diagnostiche
anzich il paziente. Un iter diagnostico completo difficilmente eseguibile attraverso luso
esclusivo di strumenti di telemedicina, ma essa pu costituire un completamento o consentire
approfondimenti utili al processo di diagnosi e cura, ad esempio, attraverso la possibilit di usu-
fruire di esami diagnostici refertati dallo specialista presso lambulatorio del medico di medicina
generale, la farmacia, il domicilio del paziente;
- cura: i servizi finalizzati a operare scelte terapeutiche e a valutare landamento prognostico ri-
guardante pazienti per cui la diagnosi ormai chiara. Si tratta ad esempio, di servizi di teledialisi
o della possibilit di interventi chirurgici a distanza;
- riabilitazione: i servizi erogati presso il domicilio (o altre strutture assistenziali) a pazienti cui
viene prescritto lintervento riabilitativo, tra cui i bambini, i disabili, i cronici, gli anziani;
- monitoraggio: la gestione, anche nel tempo, dei parametri vitali, definendo lo scambio di dati
(parametri vitali) tra il paziente (a casa, in farmacia, in strutture assistenziali dedicate, etc.) in
collegamento con una postazione di monitoraggio per linterpretazione dei dati.

2.3. Segue: altri contenuti
Le Linee propongono, inoltre, una classificazione delle prestazioni erogate mediante servizi di
telemedicina e una descrizione delle caratteristiche e dei processi di attuazione.
20

In particolare, i servizi di telemedicina sono distinti in telemedicina specialistica, telesalute e te-
leassistenza.
La categoria della telemedicina specialistica comprende le varie modalit con cui si forniscono
servizi medici a distanza allinterno di una specifica disciplina medica. Dipendentemente dal ti-
po di relazione tra gli attori coinvolti, le prestazioni della telemedicina specialistica si possono
realizzare secondo le seguenti modalit:
- televisita: un atto sanitario in cui il medico interagisce a distanza con il paziente. La dia-
gnosi che scaturisce dalla visita pu dar luogo alla prescrizione di farmaci o di cure. Durante
la televisita un operatore sanitario, che si trovi vicino al paziente, pu assistere il medico. Il
collegamento deve consentire di vedere e interagire con il paziente e deve avvenire in tem-
po reale o differito.
- teleconsulto: unindicazione di diagnosi e/o di scelta di una terapia senza la presenza fisica
del paziente. Si tratta di unattivit di consulenza a distanza fra medici che permette a un
professionista di chiedere il consiglio di uno o pi medici, in ragione di specifica formazione
e competenza, sulla base di informazioni mediche legate alla presa in carico del paziente.
- telecooperazione sanitaria: un atto consistente nellassistenza fornita da un medico o al-
tro operatore sanitario ad un altro medico o altro operatore sanitario impegnato in un atto
sanitario. Il termine viene anche utilizzato per indicare la consulenza fornita a quanti pre-
stano un soccorso durgenza.
La telesalute attiene principalmente allassistenza primaria. Essa riguarda i sistemi e i servizi che
collegano i pazienti, in particolar modo cronici, con i medici. Ci al fine di assisterli nella diagno-
si, monitoraggio, gestione, responsabilizzazione degli stessi.
Tale applicazione permette a un medico (spesso di medicina generale in collaborazione con uno
specialista) di interpretare a distanza i dati necessari al telemonitoraggio di un paziente, preve-
dendo un ruolo attivo sia del medico (presa in carico del paziente) che dellassistito (autocura).
Per teleassistenza, si intende invece un sistema socio-assistenziale per la presa in carico della
persona anziana o fragile a domicilio, tramite la gestione di allarmi, di attivazione dei servizi di
emergenza, di chiamate di supporto da parte di un centro servizi.
La teleassistenza ha un contenuto prevalentemente sociale, con confini sfumati verso quello
sanitario, con il quale dovrebbe connettersi al fine di garantire la continuit assistenziale.
In aggiunta, le Linee Guida analizzano i modelli, i processi e le modalit di integrazione dei rela-
tivi servizi a distanza nella pratica clinica, giungendo a proporre un modello organizzativo di tipo
relazionale, basato sui rapporti tra gli attori che partecipano alla erogazione di una prestazione
in telemedicina (pazienti/caregivers, medici e altri operatori sanitari).
Poi, esse si dedicano agli aspetti di informazione e formazione dei pazienti/caregivers, medici e
altri operatori sanitari, segnalando come sia indispensabile ai fini di una ampia diffusione della
telemedicina, che non solo gli assistiti ma anche i professionisti sanitari ricevano unadeguata
formazione in materia.
Infine, le Linee descrivono le modalit di integrazione della telemedicina nel servizio sanitario
nazionale, con riferimento ai criteri di autorizzazione e accreditamento e agli accordi contrat-
tuali con i Sistemi Sanitari Regionali, affrontando anche gli aspetti di remunerazione e valuta-
zione economica dei servizi di telemedicina.

2.4. Le Linee Guida e gli aspetti di privacy
Purtroppo, per, le Linee Guida dedicano poco spazio alle problematiche in materia di privacy e
di trattamento dati, che frequentemente si verificano in telemedicina.

21

Il documento in esame ha infatti senzaltro il pregio di chiarire che le operazioni sui dati perso-
nali e sanitari del cittadino necessarie per lerogazione di servizi di telemedicina rientrano tra i
trattamenti di dati sensibili effettuati mediante strumenti elettronici, che sono regolati dalle di-
sposizioni del Codice Privacy
41
.
Ci comporta, dunque, che le modalit e le soluzioni necessarie per assicurare confidenzialit,
integrit e disponibilit dei dati dovranno essere adottate in coerenza con le misure di sicurezza
espressamente previste dal Codice Privacy e dal relativo Allegato B (Disciplinare Tecnico in ma-
teria di misure minime di sicurezza)
42
.
Inoltre, le Linee Guida hanno lulteriore valore di precisare gli adempimenti privacy a cui gli
operatori sanitari sono obbligati nei confronti degli assistiti.
Precisamente, essi sono tenuti a fornire ai pazienti anzitutto unadeguata informativa, a richie-
dere il consenso informato dellinteressato e a informare lassistito in merito ai propri diritti
dellassistito sui propri dati personali.
Ciononostante, le Linee non forniscono un modulo unitario di informativa, limitandosi ad auspi-
care che essa venga elaborata sulla base di modelli di informative precise e il pi possibile uni-
formi (nei contenuti) a livello nazionale, in quanto le prestazioni a distanza si possono svolgere
anche in Regioni differenti e, in prospettiva, anche a livello europeo.
N contemplano la possibilit che il consenso non debba, in taluni casi, essere necessariamente
richiesto (ad esempio, in caso di urgenza).
Inoltre, le Linee Guida non danno soluzione a svariate problematiche che, da tempo, affliggono
gli operatori del settore sanitario.
In particolare, quelle concernenti i ruoli e le responsabilit - lato privacy - dei soggetti che ero-
gano i servizi di telemedicina; le misure di sicurezza che bisogna adottare per proteggere op-
portunamente i dati trattati nel contesto dei servizi de quibus; la fornitura della prestazione da
parte di outsourcees collocati in nazioni diverse da quella in cui ha sede il provider del servizio
di telemedicina.
Insomma, le Linee guida rappresentano senzaltro un importante risultato che, per la prima vol-
ta, individua gli elementi di riferimento necessari per una coerente implementazione dei servizi
in commento. Tuttavia, molte questioni vanno ancora risolte.
Pertanto, solo una pi puntuale presa di posizione del Legislatore potr chiarire, finalmente, le
problematiche ancora pendenti e, quindi, agevolare una volta per tutte lerogazione al cittadino
dei servizi di telemedicina.
3. La telemedicina e le problematiche senza risposta normativa: I ruoli e le responsabilit
Una fondamentale problematica ancora aperta e non risolta dalle Linee Guida sulla telemedici-
na anzitutto quella concernente i ruoli e le responsabilit dei soggetti che erogano i servizi di
telemedicina.
Infatti, come evidenzia compiutamente autorevole dottrina
43
, in ogni applicazione di telemedi-
cina possibile identificare essenzialmente tre soggetti a cui attribuire, in maniera diversa e
ponderata, una porzione di responsabilit legale per la prestazione che viene erogata. Primo tra
questi chi trasmette i dati, vale a dire il fruitore del servizio cio il paziente stesso (c.d. inte-
ressato). Il secondo soggetto chi tratta i dati a fini di tutela della salute dellinteressato, ossia
lospedale o il professionista sanitario che esegue a distanza la prestazione e lassistenza sanita-

41
Vedi nota n. 16.
42
Vedi nota n. 16.
43
Cfr. CANGELOSI, I servizi pubblici sanitari: prospettive e problematiche della telemedicina, in Dir. Famiglia, n. 1, 2007, 431.
22

ria e che appalta a terzi in outsourcing la fornitura del servizio di telemedicina (outsourcee). In-
fine, vi il fornitore dei servizi e degli strumenti necessari alla realizzazione della prestazione di
telemedicina (outsourcer), che nellesercizio della propria attivit pu venire a conoscenza dei
dati dellinteressato.
Nella pratica, il rapporto interessato outsourcer - outsourcee in commento posto in essere
facendo ricorso alternativamente a una pluralit di accordi contrattuali che individuano, a livel-
lo di privacy, i ruoli e le responsabilit dei protagonisti della telemedicina.
Mentre il fruitore del servizio riveste sempre la posizione di interessato
44
, varia invece nella ca-
sistica quotidiana la qualificazione delloutsourcee che appalta a terzi il servizio (il medico o
lente sanitario) e delloutsourcer che fornisce il servizio di telemedicina.
Infatti, come ben evidenzia un noto autore
45
, quando sussiste in capo alloutsourcer e
alloutsourcee unampia libert decisionale nel definire i caratteri essenziali del trattamento, si
in presenza di due distinti controller
46
, con la conseguenza che il flusso di informazioni che si
instaurer fra di essi verr necessariamente qualificato in termini di trasmissione di dati fra au-
tonomi titolari del trattamento; quando invece la gestione dei dati risulti diretta
dalloutsourcee, questultimo sar il controller, mentre loutsourcer il processor.
Rilevanti, continua lautore ora citato, sono le implicazioni collegate alladozione di uno o
dellaltro modello organizzativo.
Se infatti viene privilegiata lindipendenza dei soggetti, loutsourcer beneficer di una riduzione
degli oneri in termini di adempimenti normativi in relazione ai trattamenti esternalizzati.
Tuttavia, ladozione del modello in commento fa venir meno il controllo delloutsourcee sul
trattamento posto in essere dalloutsourcer, con conseguente rischio per loutsourcee di subire
danni a causa delleventuale illecito trattamento posto in essere dalloutsourcer nella gestione
dei dati.
Qualora invece venga adottato il secondo modello organizzativo sopra evidenziato, loutsourcee
controller direttamente e puntualmente la gestione dei dati, ma ovviamente continuer ad
essere responsabile sia per il trattamento dallo stesso posto in essere direttamente, sia per
lattivit di gestione dei dati svolta dalloutsourcer.
Pertanto, in entrambi i casi, loutsourcee dovr puntualmente regolamentare i propri rapporti
con loutsourcer e adottare apposite clausole contrattuali o che prevedano specifiche ipotesi di
risoluzione del contratto nel caso di inadempimenti delloutsourcer; o che quantifichino preven-
tivamente i danni con clausole penali ad hoc; oppure che impongano alloutsourcer di adottare
adeguate misure di sicurezza e/o efficaci soluzioni assicurative. Nonch, ovviamente, specifica-
re nellinformativa che verr resa allinteressato il potere delloutsourcee di mettere i dati a di-
sposizione di terzi autonomi titolari o responsabili (ad esempio, loutsourcer) ed i limiti entro cui
i dati potranno essere resi disponibili al responsabile o comunicati allautonomo titolare.
Varie sono le soluzioni che gli operatori hanno prospettato con riguardo al problema in oggetto.
Tuttavia, tutte sono parziali e lasciate al libero arbitrio delloperatore di turno: pertanto, solo
una presa di posizione del Legislatore in merito al modello organizzativo da adottare in materia
di e-Health potr chiarire, finalmente, ruoli e responsabilit dei protagonisti della medicina te-
lematica e, quindi, agevolare una volta per tutte lerogazione al cittadino dei servizi di teleme-
dicina.

44
Art. 4 lett. i), Codice in materia di protezione dei dati personali, citato in nota n. 16.
45
MANTELERO, Processi di outsourcing informatico e cloud computing: la gestione dei dati personali e aziendali, in Il diritto dellinformazione e
dellinformatica, n. 4-5, 2010.
46
Art. 4 lett. f) e 28, Codice in materia di protezione dei dati personali, citato in nota n. 16.

23

3.1. Segue: Il consenso informato
Nella telemedicina riveste poi importanza cruciale il c.d. consenso libero, specifico e informato
dellinteressato. Anche questa tematica non ancora stata sviscerata dal Legislatore.
Secondo la sua accezione privacy, il consenso informato lautorizzazione del paziente al trat-
tamento dei propri dati correlato allatto di telemedicina, a fronte di preventiva e idonea infor-
mativa.
Qualsiasi applicazione delle-Health implica, infatti, un trattamento dati e pertanto il paziente,
giusta gli artt. 13, 77-80 Codice Privacy
47
, deve essere adeguatamente informato sulle caratteri-
stiche del servizio di medicina a distanza che sar fornito, sul trattamento dati che detto servi-
zio implica, sui possibili rischi collegati, sulle misure di sicurezza che loperatore ha adottato per
proteggere i dati sensibili raccolti e garantirne la riservatezza
48
.
Nella prassi quotidiana, gli operatori dopo una prima fase di adeguamento al nuovo obbligo di
informativa sono andati pacificamente conformandosi al principio de quo, eleggendo a norma
limpiego di moduli informativi di varia densit e chiarezza, predisposti dalloperatore, che spe-
cificano le finalit e le modalit del trattamento posto in essere nellambito della fornitura del
servizio di e-Health, nonch sul riparto dei ruoli privacy fra outsourcee e outsourcer
49
.
Mentre pacifico nella prassi il rispetto dellobbligo di informativa, resta tuttavia ancora con-
troversa la questione del consenso dellinteressato al trattamento correlato alla fornitura dei
servizi di telemedicina.
Sul tema, duplice lorientamento degli operatori sanitari.
Alcuni, infatti, interpretando rigidamente le norme di cui agli artt. 26 e 81 Codice Privacy, su-
bordinano lerogazione del servizio di telemedicina al previo consenso scritto del paziente al
trattamento dei dati. Se questi non ha acconsentito per iscritto al trattamento dei dati correlato
allerogazione di prestazioni con modalit e-Health, il servizio di telemedicina non potr essere
erogato.
Secondo altri, invece, il trattamento dei dati correlato alla fornitura del servizio di telemedicina
non necessita sempre e in ogni caso del consenso dellinteressato
50
.
Infatti, secondo lart. 76 Codice Privacy, il trattamento pu avvenire anche senza il consenso
dellinteressato, quando effettuato per finalit di tutela della salute e dellincolumit fisica
della collettivit. In tal caso opera, infatti, lAutorizzazione Generale del Garante Privacy n.
2/2013, che permette alloperatore sanitario di trattare i dati senza il consenso dellinteressato.
Analoghe considerazioni valgono anche per il caso in cui il trattamento dei dati sia finalizzato
allo svolgimento di attivit amministrative correlate a quelle di telemedicina, come ad esempio
quelle relative ad attivit di carattere socio-assistenziale, con particolare riferimento ai servizi di
assistenza economica o domiciliare, di telesoccorso, di accompagnamento e trasporto.
Infatti, a norma degli artt. 20 e 85 Codice Privacy, almeno nel settore della sanit pubblica, la
comunicazione dei dati dovrebbe potere avvenire senza il consenso dellinteressato, dato che le
attivit amministrative in commento rivestono proprio ai sensi dellart. 85 (relativo ai compiti
del Servizio Sanitario Nazionale) - rilevante interesse pubblico.

47
Si veda nota n. 16.
48
CANGELOSI, op. cit., in Dir. Famiglia, n. 1, 2007, 431.
49
IZZO, Medicina e diritto nellera digitale: i problemi giuridici della cybermedicina, in Danno e resp., n. 8-9, 2000, 807.
50
CANGELOSI, op cit., in Dir. Famiglia, n. 1, 2007, 431.
24

Anche in questo caso, simpone quindi lintervento chiarificatore del Legislatore o del Garante:
esso permetterebbe infatti di determinare, una volta per tutte, se il paziente fruitore del servi-
zio di telemedicina debba o meno fornire il preventivo consenso al trattamento dei dati correla-
to alla prestazione e-Health.

3.2. Segue: Le misure di sicurezza
Altro aspetto non adeguatamente normato e causa di resistenza alla diffusione dei sistemi di
telemedicina costituito dal rischio per la sicurezza dei dati.
Tutte le comunicazioni di dati in via telematica implicano, infatti, svariati problemi concernenti
la sicurezza e la privatezza dei dati comunicati a distanza.
In particolare
51
, frequenti possono essere i rischi generati dal comportamento degli operatori
(come la violazione di procedure di autorizzazione e autenticazione), dal malfunzionamento dei
sistemi (a causa di virus informatici e di programmi dannosi che possono pregiudicare lintegrit
dei dati trasmessi), da azioni esterne (quali gli accessi non autorizzati ai sistemi).
Per far fronte a queste problematiche, gli operatori usano anzitutto adottare una serie di misu-
re di sicurezza a carattere preventivo.
A titolo esemplificativo, si menzionano le tecniche di cifratura dei dati sensibili, che permettono
di identificare gli interessati solo in caso di necessit; nonch i sistemi di strong authentication e
luso di credenziali per laccesso ai sistemi informatici, allo scopo di impedire laccesso abusivo
ai sistemi.
Inoltre, al fine di proteggere ancor pi opportunamente la riservatezza del dato, si affermata
tra gli operatori la buona prassi di affiancare alle misure di sicurezza esaminate opportuni rime-
di contrattuali ed efficaci soluzioni assicurative.
In tal modo, infatti, gli operatori riescono a fronteggiare al meglio i danni potenziali che, in caso
di perdita o di furto di informazioni, potrebbero raggiungere anche notevoli entit in ragione
della natura dei dati interessati.
In ogni caso, ovvio che unadeguata soluzione della problematica della sicurezza potr essere
raggiunta solo mediante un intervento normativo, che indichi nel dettaglio le pi opportune mi-
sure di sicurezza e i pi adeguati mezzi di tutela che gli operatori debbono adottare al fine di
proteggere i dati trattati nel contesto delle operazioni di telemedicina.

3.3. Il trasferimento dei dati allestero
Ulteriore tematica che il Legislatore non ha ad oggi opportunamente esaminato attiene ai servi-
zi di telemedicina che implicano la fornitura della prestazione e-Health da parte di outsourcees
collocati in nazioni diverse da quella in cui ha sede loutsourcer: servizi spesso visti con sospetto
dagli operatori sanitari.
In tal caso, infatti, viene a instaurarsi un flusso di dati tra Paesi che sovente assicurano un diver-
so livello di tutela ai diritti delle persone fisiche e che quindi, in alcuni casi, possono non fornire
garanzie sufficienti per la tutela della riservatezza delle persone.
Per questo motivo, nella prassi quotidiana, molti operatori preferiscono evitare ogni problema
adottando servizi di telemedicina che non implicano il trasferimento transfrontaliero di dati, ma
unicamente un trasferimento intra UE.

51
MANTELERO, op. cit., in Il diritto dellinformazione e dellinformatica, n. 4-5, 2010.

25

Tuttavia, per maggiore chiarezza della problematica e per convenienza degli operatori, si segna-
la che la disciplina comunitaria
52
, cos come quella nazionale
53
, hanno posto molta attenzione al
profilo dei flussi transfrontalieri di dati in commento e lhanno precisamente regolato
54
.
In particolare, le norme citate postulano che linvio di dati verso un Paese terzo ammesso ove
linteressato abbia manifestato espressamente e per iscritto il proprio consenso al trasferimen-
to di dati allestero
55
; nonch, anche in difetto di consenso, quando la Commissione Europea
constata che un Paese non appartenente alla UE dotato di una normativa privacy che garanti-
sce un livello di protezione adeguato
56
.
Comunque, laddove manchi una congrua normativa a tutela dei dati, gli operatori possono fis-
sare per contratto le garanzie minime a difesa dei soggetti interessati del trattamento, anche
avvalendosi delle clausole tipo approvate dalla Commissione Europea
57
.
Tali clausole, infatti, come ben chiarisce lart. 1 delle decisioni in commento, costituiscono ga-
ranzie sufficienti ai fini della tutela della riservatezza, dei diritti e delle libert fondamentali del-
le persone, nonch per lesercizio dei diritti connessi a norma dellarticolo 26, paragrafo 2, della
direttiva 95/46/CE.
In altre parole, anche un servizio di telemedicina che implichi il trasferimento transfrontaliero
idoneo - se acconsentito dallinteressato o se ben regolato a livello normativo e/o contrattuale -
a proteggere nella maniera pi adeguata la riservatezza dellinteressato.

52
Cfr. Direttiva 95/46/CE del Parlamento Europeo e del Consiglio del 24.10.1994, sulla Tutela delle persone fisiche con riguardo al trattamento
dei dati personali, nonch alla libera circolazione di tali dati.
53
Vedi nota n. 16.
54
MANTELERO, op. cit., in Il diritto dellinformazione e dellinformatica, n. 4-5, 2010.
55
Cfr. art. 26 c. 1 lett. a) Direttiva 95/46/CE e art. 43 c. 1 lett. a) Codice in materia di protezione dei dati personali, indicato in nota n. 16.
56
Cfr. art. 25 Direttiva 95/46/CE e art. 44 c. 1 lett. b) Codice in materia di protezione dei dati personali, in nota n. 16.
57
Cfr. Decisione della Commissione del 15.06.2001, C (2010) 1539 e Decisione della Commissione del 05.02.2010, C (2010) 593.
26

CAPITOLO V
UN CASO PRATICO AL VAGLIO DEL GARANTE DELLA PRIVACY: IL TELEMONITORAGGIO CARDIACO
Sommario: 1. Il provvedimento del Garante sul trattamento dei dati personali attraverso un sistema
"Rfid" di monitoraggio a distanza di pazienti portatori di defibrillatori cardiaci impiantabili attivi: con-
tenuti 2. Riflessioni critiche
1. Il provvedimento del Garante sul trattamento dei dati personali attraverso un sistema
"Rfid" di monitoraggio a distanza di pazienti portatori di defibrillatori cardiaci impiantabili at-
tivi: contenuti
Le problematiche giuridiche pocanzi esaminate hanno fatto da sfondo e trovato concreta solu-
zione in un recente e interessante caso di telemonitoraggio cardiaco, affrontato dallAutorit
Garante per la protezione dei dati personali con provvedimento del 29 novembre 2012
58
.
LAzienda Ospedaliera Spedali Civili di Brescia e la Sorin CRM Sas hanno, infatti, rappresentato
allAutorit di voler attivare un sistema Rfid di monitoraggio remoto per consentire agli opera-
tori sanitari di controllare a distanza i pazienti portatori di defibrillatori cardiaci impiantabili at-
tivi.
Con riferimento alle finalit che si intendono perseguire tramite il predetto sistema chiamato
"Remote Monitoring System" (di seguito RMS), stato rappresentato che il RMS sviluppato
dalla societ Sorin CRM Sas (che produce e commercializza tecnologie mediche per la cardiochi-
rurgia e per la cura di patologie cardiovascolari), per permettere agli operatori sanitari di effet-
tuare il controllo a distanza dei dati clinici registrati dal dispositivo cardiaco impiantato nel pa-
ziente, cos monitorando eventuali anomalie ed effettuando la defibrillazione, ove necessaria,
senza bisogno che il paziente si sottoponga a visite ospedaliere.
Per quanto concerne poi le modalit di funzionamento del RMS, stato illustrato che i dati regi-
strati dal dispositivo impiantato sono inviati in modalit wireless - tramite tecnologia Rfid - a un
monitor installato a casa del paziente in date ed ad ore predeterminate dai medici preposti al
controllo medico dellinteressato. I dati cos ricevuti sono quindi trasferiti, attraverso linea tele-
fonica o GPRS, dal monitor a un server centrale, dove vengono memorizzati ed elaborati per
generare dei report (in formato PDF) consultabili e analizzabili, attraverso uninterfaccia web,
dai medesimi medici senza che il paziente debba recarsi presso la struttura sanitaria per la visita
di controllo.
Nella rappresentazione delle modalit di funzionamento del sistema, stato evidenziato che
esso composto dai seguenti elementi:
- un monitor (HM) situato a casa del paziente e costituito da un box elettronico il quale, tramite
una connessione in radio frequenza, consente di collegarsi al dispositivo impiantato e di trasfe-
rire automaticamente i dati grezzi memorizzati dallimpianto cardiaco al server centrale, per
mezzo della rete telefonica pubblica fissa o mobile;
- il back office (BO), costituito da un server centrale che, attraverso un applicativo con
uninterfaccia web resa disponibile dal sistema, consente ai medici di consultare ed esaminare i
report contenenti i dati memorizzati dallimpianto cardiaco e di programmare visite di controllo
a distanza ad intervalli prestabiliti, nonch di pianificare visite di controllo su richiesta del pa-
ziente;

58
Cfr. Provvedimento Garante per la Protezione dei Dati Personali, Trattamento dei dati personali attraverso un sistema "Rfid" di monitoraggio
a distanza di pazienti portatori di defibrillatori cardiaci impiantabili attivi. Verifica preliminare richiesta da Azienda Ospedaliera Spedali Civili di
Brescia e Sorin CRM Sas, del 29.11.2012, doc. web n. 2276103.

27

- il back office analyzer (BA), costituito da diverse applicazioni software che elaborano i dati
grezzi ottenuti dallimpianto cardiaco generando i predetti report, consultabili attraverso
linterfaccia web, ovvero memorizzabili dai medici sui loro personal computer.
stato precisato, altres, che per il corretto funzionamento del sistema di monitoraggio a di-
stanza sono stati predisposti dei servizi di assistenza tecnica su tre livelli: il servizio di primo li-
vello volto a fornire assistenza per via telefonica ai pazienti e agli operatori sanitari che utiliz-
zano il sistema; il secondo e il terzo livello intervengono invece qualora lassistenza di primo li-
vello non sia in grado di risolvere telefonicamente i problemi prospettati e si renda necessario
un intervento sui sistemi per assicurare la manutenzione della rete e della infrastruttura tecnica
del sistema.
In tal modo, loperatore senza che il paziente debba recarsi dal sanitario per sottoporsi a visi-
te mediche - monitora costantemente la situazione clinica del malato, individuando e gestendo
tempestivamente sia i problemi legati al device impiantato (come lesaurimento della batteria)
sia i problemi clinici che precedono la comparsa dei sintomi e lo scompenso del paziente (dia-
gnosi precoce di fibrillazione atriale e/o di compenso cardiaco). Cos riuscendo efficacemente a
prevenire e impedire le situazioni demergenza e di morte cardiaca improvvisa.
La fornitura del servizio in esame implica, inoltre, la raccolta e la trasmissione dallabitazione
del paziente al server del sistema RMS tramite la rete telefonica di dati del paziente, e precisa-
mente:
- di dati identificativi del paziente (nominativo, indirizzo, numero di telefono, numero seriale
del dispositivo, numero seriale del monitor), che vengono registrati nel sistema, attraverso
lapplicativo web, dai medici dellAzienda Ospedaliera che hanno in cura lassistito cui impian-
tato il dispositivo;
- di dati clinici registrati dal defibrillatore, che sono trasmessi al monitor tramite tecnologia Rfid
e da questo al server del sistema RMS mediante la linea telefonica, quindi elaborati sotto forma
di report dalle applicazioni rese disponibili dal sistema e consultabili in sola lettura dai predetti
operatori sanitari mediante linterfaccia web;
- di dati di carattere tecnico relativi al funzionamento del sistema (ad esempio, lo stato della
batteria del dispositivo, i livelli di assorbimento di potenza) generati automaticamente dal Tag
Rfid e dal monitor, i quali sono accessibili al fornitore e agli altri operatori cui sono affidati in
outsourcing compiti di manutenzione e di sicurezza del sistema.
In altre parole, il trattamento in commento solleva svariate problematiche in termini di privacy,
specialmente in tema di ruoli e responsabilit dei protagonisti del servizio, di modalit di infor-
mazione sul telemonitoraggio e di acquisizione del consenso da parte dellinteressato, nonch
in materia di misure di sicurezza delle reti sulle quali i dati viaggiano.
Per tali ragioni, lAzienda Ospedaliera Spedali Civili di Brescia e la Sorin CRM Sas si sono corret-
tamente rivolte al Garante per la Privacy perch indicasse le necessarie e opportune prescrizio-
ni idonee a rendere il trattamento conforme alle disposizioni vigenti.
LAutorit - supplendo allattuale vuoto normativo in tema di telemedicina in attesa dellambito
intervento del Legislatore - ha prescritto ladozione di una pluralit di cautele.
Anzitutto, con riguardo alla questione concernente i ruoli e le responsabilit dei protagonisti del
servizio, ha ritenuto che nella fattispecie in esame lAzienda Ospedaliera si configuri come tito-
lare del trattamento dei dati personali dei pazienti trattati attraverso il sistema di monitoraggio
a distanza, mentre la Sorin CRM Sas assuma il ruolo di responsabile.
Ci in quanto, come espressamente chiarito dal Garante, nello specifico caso di specie stato
puntualmente accertato che la Sorin CRM Sas non effettua alcuna attivit di raccolta diretta
dei dati dei pazienti e che essa non ha accesso ai locali dellAzienda Ospedaliera (non potendo
quindi interloquire con le persone), ma richiesta di trattare i dati personali necessari a fini di
28

manutenzione e di sicurezza del sistema per conto della struttura sanitaria. Sono invece gli ope-
ratori sanitari dellAzienda Ospedaliera a raccogliere i dati identificativi dei pazienti impiantati
direttamente da questi ultimi e a crearne il relativo "profilo" nel sistema inserendo tali dati at-
traverso lapplicazione web.
Inoltre, la problematica dellinformativa stata risolta prevedendo in primis la consegna ai pa-
zienti da parte degli operatori di un idoneo modulo di informativa al trattamento dati che speci-
fichi, in particolare, le caratteristiche del servizio di telemonitoraggio che sar fornito e men-
zioni chiaramente il ruolo di responsabile della Sorin CRM Sas.
Con riguardo al consenso, il Garante ha poi prescritto che linteressato debba fornire un con-
senso libero, espresso e scritto al trattamento correlato al servizio di telemedicina in commen-
to, non rilevando a tal fine il semplice comportamento concludente (art. 23, commi 1 e 3 Codice
Privacy
59
).
Pertanto, il Garante ha escluso che la soluzione del silenzio-assenso (opt-out), per leventuale
consultazione dei dati sanitari dellinteressato da parte di medici non appartenenti alla struttu-
ra sanitaria presso la quale in cura linteressato, soddisfi i requisiti della disciplina sulla prote-
zione dei dati, ancorch si tratti di medici coinvolti nella cura dellinteressato (es. il medico di
medicina generale, il cardiologo specialista).
Chiarisce quindi lAutorit che necessario che leventuale messa a disposizione di dati clinici
dellinteressato, registrati dal servizio RMS, a favore di altri operatori sanitari che abbiano in cu-
ra linteressato, quali titolari autonomi del trattamento, sia resa possibile soltanto a condizione
che linteressato stesso vi abbia acconsentito espressamente e specificamente (ad esempio, sul-
la base dellautorizzazione fornita di volta in volta dallinteressato attraverso la consegna di una
smart card mediante la quale sia reso possibile a singoli operatori sanitari, quali autonomi tito-
lari, accedere al servizio RMS).
Infine, relativamente alle misure di sicurezza, il Garante dimostrando una notevole perspica-
cia non prescrive di applicare per analogia le rigide prescrizioni dettate per gli altri servizi di
sanit elettronica (tra cui quelli di refertazione on-line e di fascicolo sanitario elettronico, sopra
esaminati), ma suggerisce ladozione di misure ad hoc pensate per lo specifico caso di telemoni-
toraggio in esame, tra cui:
- sistemi di memorizzazione e archiviazione (file system o data-base system) con funzioni critto-
grafiche avanzate basate su algoritmi robusti dei dati clinici dei pazienti registrati nel server
centrale, inclusi i report elaborati sulla base (i) dei dati raccolti dal dispositivo, (ii) di quelli regi-
strati dagli operatori sanitari attraverso linterfaccia web resa disponibile, nonch (iii) di quelli
gestiti dal sistema di backup;
- protocolli di comunicazione sicuri basati sullutilizzo di standard crittografici per la trasmissio-
ne dei dati grezzi dal defibrillatore al monitor, per la trasmissione elettronica dei dati grezzi rac-
colti dal defibrillatore al server centrale e per tutte le comunicazioni via Internet assicurate dal
protocollo SSL basato sullo scambio di chiavi asimmetriche;
- idonee procedure per lattribuzione dei profili di autorizzazione degli incaricati del trattamen-
to in funzione dei ruoli e delle esigenze di accesso e trattamento (es. procedure di autenticazio-
ne per laccesso ai dati dei pazienti e procedure di controllo per verificare che le richieste di ac-
cesso ai dati siano effettuate da utenti debitamente autorizzati);
- opportuni accorgimenti (basati su tecnologie crittografiche) al fine di assicurare lintegrit dei
dati clinici trasmessi al server centrale e di garantire linalterabilit dei medesimi dati;

59
Vedi nota n. 16.

29

- duplicazione periodica dei dati in un sito di emergenza in modo da prevenire perdite acciden-
tali dei medesimi;
- procedure preventive anti-intrusione quali firewall e intrusion detection systems (IDS) a prote-
zione del server centrale;
- verifiche periodiche sulla qualit e coerenza delle credenziali di autenticazione e dei profili di
autorizzazione assegnati agli incaricati del trattamento;
- sistemi di audit log per il controllo degli accessi al sistema e per il rilevamento di eventuali
anomalie;
- misure di sicurezza perimetrali quali la predisposizione di uninfrastruttura con caratteristiche
idonee di robustezza e affidabilit.
2. Riflessioni critiche
Il provvedimento del Garante della Privacy, ora commentato, ha senza dubbio il pregio di sup-
plire alla mancanza di una disciplina normativa che affronti puntualmente le problematiche giu-
ridiche in ispecie in campo di trattamento dati implicate da un servizio di telemedicina.
Tuttavia, mentre alcune delle soluzioni adottate dallAutorit possono costituire utili indicazioni
per titolari di analoghi trattamenti effettuati in campo sanitario, altre invece non possono a no-
stro avviso avere applicazione generalizzata a casi simili a quello in esame.
Tra le soluzioni senzaltro estensibili per analogia (ed eventualmente integrabili con altre richie-
ste dal caso concreto) rientrano le prescrizioni in tema di misure di sicurezza.
Fino alla presa di posizione del Garante, gli operatori sanitari avevano infatti preferito tenere un
comportamento prudente e applicare per analogia le rigide prescrizioni dettate dal Garante del-
la Privacy per la fattispecie dei servizi di sanit elettronica (tra cui quelli di refertazione on-line e
del fascicolo sanitario elettronico). In particolare, si erano adottate elevate misure di sicurezza
tecnologica come lutilizzo di standard crittografici e di sistemi di strong authentication.
Con il rischio, per, che la previsione di onerosi (e forse non necessari) obblighi in capo al provi-
der del servizio, rallentasse e posticipasse la distribuzione sul mercato italiano di un servizio di
telemedicina di particolare utilit.
La prescrizione del Garante in punto di misure di sicurezza d quindi una guida chiara e precisa
agli operatori, semplificandone lodevolmente loperato.
Diversa invece la questione concernente i ruoli e le responsabilit dei protagonisti del servizio,
risolta dal Garante con la qualificazione di Sorin CRM Sas quale responsabile del trattamento.
Tale soluzione non pu essere infatti generalizzata, dipendendo dal caso concreto.
Nella specie, il Garante ha infatti rilevato che la Sorin CRM Sas non effettua alcuna attivit di
raccolta diretta dei dati dei pazienti e che essa non ha accesso ai locali dellAzienda Ospedalie-
ra. Conseguentemente, lha correttamente qualificata come responsabile (e non invece titolare)
del trattamento.
LAutorit avrebbe invece giudicato diversamente, giungendo a qualificare la Sorin come titola-
re del trattamento, se avesse accertato che questultima compie attivit di raccolta diretta dei
dati dei pazienti e trattamento indipendente e autonomo dei dati per i propri fini (ad esempio,
per le finalit di gestione, controllo, funzionamento e manutenzione del sistema di telemonito-
raggio).
Anche la soluzione prescelta alla problematica del consenso informato (risolta prevedendo la
richiesta di un consenso libero, espresso e scritto dellinteressato al trattamento correlato al
servizio di telemedicina in commento) non pu essere automaticamente generalizzata.
Infatti, il trattamento dei dati correlato alla fornitura di un servizio sanitario non necessita sem-
pre e in ogni caso del consenso dellinteressato.
30

Secondo lart. 76 Codice Privacy
60
, il trattamento pu avvenire anche senza il consenso
dellinteressato, quando effettuato per finalit di tutela della salute e dellincolumit fisica
della collettivit. In tal caso opera, infatti, lAutorizzazione Generale del Garante Privacy n.
2/2013
61
, che permette alloperatore sanitario di trattare i dati senza il consenso
dellinteressato.
Infine, alcune problematiche non verificatesi nel caso concreto non sono state ovviamente
esaminate dal Garante. Ad esempio, la questione del trasferimento di dati o di conservazione
di dati allestero, che resta quindi ancora priva di ununivoca soluzione.
Pertanto, evidente che solo una pi puntuale presa di posizione del Legislatore potr chiarire,
finalmente, le problematiche ancora pendenti e agevolare una volta per tutte lerogazione al
cittadino dei servizi di telemedicina.

60
Vedi nota n. 16.
61
Vedi nota n. 31.

31

CONCLUSIONI

Riassumendo, le-Health senza dubbio uno strumento rivoluzionario in grado di offrire solu-
zioni migliori rispetto alle tradizionali forme di assistenza sanitaria: rende, infatti, accessibili al
domicilio del paziente, in tempi generalmente rapidi, servizi che prima erano disponibili solo in
ospedale; riduce la necessit di visite di ospedali e ambulatori, consentendo un risparmio di
tempo e costi di trasporto; migliora laccesso ai servizi sanitari anche in aree pi lontane o disa-
giate; offre un accesso diretto ad un operatore sanitario, annullando i tempi di attesa per un
appuntamento; fornisce un monitoraggio continuato 24 ore su 24.
In sostanza, migliora laccesso allassistenza specializzata in settori che soffrono di carenza di ri-
sorse costose; migliora la qualit della vita dei pazienti affetti da malattie croniche; riduce i co-
sti dellassistenza medica e contribuisce a risolvere il problema decisamente attuale dei tagli
al sistema sanitario.
Tuttavia, nonostante i diversi vantaggi sopra evidenziati, le-Health e soprattutto lapplicazione
della telemedicina non sono ancora riusciti a raggiungere in Italia piena diffusione.
Ci a causa di varie problematiche giuridiche, attinenti prevalentemente ai profili di privacy, che
hanno rallentato lo sviluppo dei servizi di e-Health e ostacolano tuttoggi il completo affermarsi
della medicina a distanza.
Tra le pi rilevanti, la mancanza di un quadro normativo di riferimento - supplito more tempore
solo per il servizio di refertazione on-line e, seppur in parte, per quello di Fascicolo Sanitario
Elettronico - ma totalmente carente per quello di telemedicina.
Nonch i dubbi relativi ai ruoli e alle responsabilit dei soggetti che erogano i servizi di teleme-
dicina, allobbligatoriet del consenso dellinteressato, alle misure di sicurezza che debbono es-
sere adottate nella fornitura della prestazione e-Health e alla trasferibilit dei dati allestero.
Le problematiche descritte, che pure hanno trovato una condivisibile e compiuta soluzione nel
caso di telemonitoraggio cardiaco pocanzi esaminato, rischiano per di pregiudicare la diffu-
sione di servizi idonei a migliorare la salute del paziente e quindi, in ultima analisi, di danneggia-
re il cittadino.
Per evitare tutto ci opportuna una presa di posizione del Legislatore che, contemperando
sapientemente i diritti costituzionali alla riservatezza dei dati e alla salute del paziente, ultimi la
normazione del servizio e-Health del Fascicolo Sanitario Elettronico e detti una disciplina ade-
guata del trattamento dei dati nel campo della medicina telematica, chiarendone la titolarit, le
finalit e le misure di sicurezza e fornendo altres modelli ad hoc dei documenti privacy neces-
sari nel caso di specie (informativa, modelli di consenso e nomine). In tal modo, gli operatori sa-
ranno in grado di rendere pi agevolmente i servizi in commento e il cittadino potr pi facil-
mente fruirne.
Ne conseguiranno una tutela migliore del diritto alla salute del cittadino e un pi corretto bilan-
ciamento dellinteresse del paziente alla riservatezza dei dati.

Privacy Ed E-Health

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Privacy Ed E-Health

Diunggah oleh

Hak Cipta:

Format Tersedia

1

PRIVACY ED E-HEALTH: PROBLEMATICHE E SOLUZIONI

Anda mungkin juga menyukai