L’evoluzione normativa del GDPR ha portato a una maggiore protezione dei dati, rafforzando i diritti degli individui e adattandosi alle sfide poste dall’innovazione tecnologica e dall’integrazione europea. Questi cambiamenti riflettono un equilibrio tra la necessità di proteggere la privacy e i dati personali degli individui e la necessità di consentire un trattamento efficace dei dati per la fornitura di servizi sanitari.
In ambito sanitario, il trattamento dei dati ha sempre rappresentato una questione delicata a causa della natura sensibile delle informazioni gestite. Prima dell’introduzione del GDPR, il codice privacy italiano, ad esempio, poneva il consenso dell’interessato come base principale per il trattamento dei dati sanitari. Tuttavia, questa impostazione presentava diverse problematiche, in particolare per quanto riguardava i casi in cui il consenso non poteva essere liberamente espresso o era considerato “obbligatorio” per l’erogazione delle prestazioni mediche, situazione che di fatto comprometteva la validità del consenso stesso.
L’introduzione del GDPR nel 2016 ha segnato una svolta significativa, definendo i “dati relativi alla salute” come una categoria particolare di dati personali e ha previsto specifiche basi giuridiche alternative al consenso per il loro trattamento, come quelle legate alla necessità di trattamento per finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria. Inoltre, il GDPR ha chiarito che in molti casi, in particolare per le finalità di cura, il consenso del paziente non è più richiesto quando i trattamenti sono effettuati da professionisti sanitari soggetti al segreto professionale.
L’evoluzione normativa ha quindi portato a una maggiore protezione dei dati, rafforzando i diritti degli individui e adattandosi alle sfide poste dall’innovazione tecnologica e dall’integrazione europea. Questi cambiamenti riflettono un equilibrio tra la necessità di proteggere la privacy e i dati personali degli individui e la necessità di consentire un trattamento efficace dei dati per la fornitura di servizi sanitari.
La tutela dei dati, sia personali che non, richiede un’approfondita considerazione sotto due principali prospettive: quella tecnologica e quella legale. Dal punto di vista tecnologico, è fondamentale gestire con attenzione il “ciclo di vita” dei dati, assicurando la loro riservatezza, mantenendo l’integrità e garantendo la resilienza dei sistemi utilizzati per la loro conservazione ed elaborazione. Questo include anche il monitoraggio meticoloso delle operazioni effettuate sui dati, identificando chi ha accesso, quali azioni sono state intraprese e in quale momento.
Parallelamente, l’aspetto legale riveste una complessità equiparabile a quella tecnica: questo ambito copre non solo i requisiti legali per la sicurezza tecnica dei dati ma si estende anche a un insieme di obblighi che spaziano dal rispetto di procedure standardizzate a compiti più specificamente burocratici. In sintesi, la protezione dei dati nell’ecosistema sanitario contemporaneo richiede un’armonizzazione tra le misure tecniche di sicurezza e un solido quadro giuridico che regoli e garantisca la conformità alle normative vigenti.
Questa necessità di garantire la sicurezza e la privacy delle informazioni sensibili dei pazienti sta diventando ancora più critica alla luce dei recenti dati sulle sanzioni emesse per violazioni della normativa.
Secondo il report “GDPR fines and data breach survey: January 2024” pubblicato da Dla Piper (figura 1), le multe accumulate per non conformità al GDPR ammontano a 1,78 miliardi di euro dall’entrata in vigore del regolamento fino al 28 gennaio 2023. L’Italia figura al quarto posto con sanzioni pari a 145 milioni di euro dal 25 maggio 2018.
In questo contesto, i medici si trovano quindi ad affrontare una doppia sfida: rispettare scrupolosamente le leggi sulla protezione dei dati, che si fanno sempre più stringenti, e allo stesso tempo integrare soluzioni tecnologiche avanzate nella loro pratica quotidiana, soluzioni che, seppur necessarie, possono aumentare il rischio di compromissione dei dati sensibili. Ciò li pone in una posizione di responsabilità legale notevole, ma introduce anche un significativo onere etico, poiché devono assicurarsi di proteggere l’integrità e la riservatezza delle informazioni sanitarie dei loro pazienti, salvaguardando al contempo la loro fiducia e il loro benessere.
La trasformazione digitale, inoltre, sta modificando radicalmente il modo e il momento in cui i dati vengono generati e utilizzati. Attraverso la digitalizzazione dei processi clinici, si garantisce la produzione di dati non solo affidabili e precisi ma anche estremamente attuali, grazie alla loro disponibilità in tempo reale. Questo contrasta nettamente con i metodi tradizionali, per cui i dati clinici vengono raccolti e archiviati in modalità differita, attraverso sistemi o archivi disgiunti dalla gestione quotidiana dei pazienti, introducendo il rischio di inesattezze o di informazioni non completamente aggiornate.
L’implementazione di sistemi clinici avanzati e ben strutturati, come ad esempio piattaforme gestionali basate su cloud, sta aprendo la strada all’estrazione di volumi significativi di dati, che potrebbero essere utilizzati non solo per la mera quantificazione degli interventi, ma anche per analizzare i fattori di rischio, prevedere l’evoluzione delle patologie e ottimizzare i percorsi terapeutici, contribuendo in maniera sostanziale al miglioramento della qualità dell’assistenza e alla personalizzazione dei trattamenti. Il concetto di “sanità data-driven” incarna questa tendenza, proponendo un modello in cui decisioni cliniche, operative e strategiche sono informate e guidate da un’analisi approfondita dei dati.
In sostanza, la raccolta sistematica e strutturata dei dati clinici consente di superare i limiti della gestione cartacea e di sfruttare appieno il potenziale dell’analisi dati.
Questa trasformazione digitale è essenziale per garantire la completezza, l’accuratezza e la tempestività delle informazioni, elementi fondamentali per una medicina personalizzata sul paziente.
L’analisi degli interessi dei pazienti nell’ambito digitale (figura 2) rivela un quadro estremamente rilevante per il settore sanitario, in particolare in relazione al GDPR e alla privacy. Secondo un recente studio condotto da Quorum Youtrend, la sicurezza informatica si colloca in cima alle preoccupazioni dei pazienti, con un significativo 68% che sottolinea la sua importanza. Questo dato non sorprende, considerando l’enorme quantità di dati sensibili gestiti quotidianamente dal settore sanitario, e sottolinea l’urgente necessità di sistemi di sicurezza robusti e conformi alle normative vigenti.
La sanità digitale segue da vicino, con il 60% degli intervistati che esprime interesse per questo ambito. Ciò riflette una crescente consapevolezza dell’importanza della digitalizzazione nel migliorare l’accesso alle cure e la qualità dei servizi sanitari, pur sollevando questioni critiche legate alla privacy dei dati personali e sanitari dei pazienti.
Interessante notare come anche l’e-commerce (59%) e i social network (58%) rivestano un ruolo significativo nelle preoccupazioni dei pazienti, probabilmente a causa della crescente intersezione tra questi settori e la sanità, come dimostrato dall’uso di piattaforme online per la consultazione medica o l’acquisto di farmaci. L’educazione digitale e l’intelligenza artificiale, rispettivamente al 57% e 51%, sottolineano ulteriormente le potenziali implicazioni etiche e di privacy introdotte dall’uso dell’IA nel trattamento dei dati sanitari.
Infine, il diritto informatico, con il 42%, evidenzia una crescente consapevolezza della necessità di quadri legali solidi per regolare l’uso e la condivisione dei dati digitali, in particolare nel contesto altamente sensibile della sanità.
Come avviene con ogni grande ondata di innovazione e cambiamento, sarà necessario trovare un equilibrio delicato e strategico tra diversi fattori critici: da un lato, la necessità di bilanciare gli investimenti economici con i benefici tangibili e concreti che queste innovazioni possono apportare in termini di efficienza, accessibilità e qualità delle cure; dall’altro, considerare il bilanciamento tra le esigenze commerciali e le normative sulla privacy dei dati, assicurando che l’avanzamento tecnologico non comprometta la riservatezza e la protezione delle informazioni personali dei pazienti.
