La medicina d’iniziativa, quale moderno approccio alle cure e all’organizzazione del sistema sanitario, costituisce una necessità sempre più impellente sia per gli Enti che detengono la funzione gestoria e la responsabilità del sistema di cure sia per i singoli professionisti sanitari, soprattutto MMG (Medici di Medicina Generale), che realizzano per conto dell’Ente la prestazione di cura.
In questo contesto – e a fronte degli ultimi provvedimenti dell’Autorità Garante sul punto – è opportuno chiedersi come occorre impostare il trattamento dei dati che la medicina d’iniziativa presuppone affinché risulti legittimo e conforme alla normativa.
Indice degli argomenti
La definizione: medicina d’iniziativa come modello organizzativo assistenziale
Sono diverse le definizioni di medicina d’iniziativa che si rintracciano in dottrina e tutte convergono nel definirla come un modello sia organizzativo che assistenziale diretto alla gestione delle malattie croniche.
Si veda, ad esempio, la definizione di medicina d’iniziativa riportata dal Garante per la Privacy in un provvedimento reso nei confronti di tre ASL (si veda anche la nota 1):
“per medicina d’iniziativa si intende un modello assistenziale orientato alla ‘promozione attiva’ della salute dell’individuo, specie se affetto da malattie croniche o disabilità, e alla responsabilizzazione delle persone nel proprio percorso di cura (fonte: Ministero della Salute)”.
Medicina d’iniziativa, anticipatoria e di opportunità: le differenze
In questo senso, la medicina d’iniziativa presuppone il coinvolgimento del paziente nel proprio percorso di cura (empowerment del paziente) sulla base dell’individuazione preventiva delle esigenze di cura del paziente prima che lo stesso le esprima o al di là del fatto che le abbia in qualche modo riferite al medico e/o al sistema sanitario.
Sotto tale profilo, la medicina d’iniziativa incrocia ed attua la medicina anticipatoria e si distingue dalla medicina di opportunità che interviene quando il paziente si reca presso il proprio medico per determinate esigenze e – in quella occasione – viene coinvolto in accertamenti, verifiche e approfondimenti differenti da parte del medico in ragione dell’opportunità dell’incontro e della richiesta iniziale avanzata dal paziente.
La medicina d’iniziativa costituisce, quindi, una forma di efficientamento del sistema di cure e un sistema di approccio al paziente che si distacca dalla richiesta di assistenza dello stesso e la previene coinvolgendolo in una forma di cura della propria salute più globale e complessiva che passa anche per la conduzione di stili di vita differenti e, in tale contesto, agisce anche ai fini di prevenzione.
Medicina d’iniziativa e normativa di protezione dei dati
Il ricorso allo strumento della medicina d’iniziativa è previsto anche negli atti di pianificazione e programmazione del Sistema Sanitario Nazionale quali il Patto per la salute 2019-2021 [1], il Piano Nazionale della Cronicità, il Piano di governo delle liste di attesa e il Piano Nazionale della Prevenzione, a dimostrazione di quanto sia centrale questo approccio e ormai di applicazione sempre più diffusa.
Di qui la necessità, sempre più impellente, di individuare una forma di coordinamento e compatibilità con la normativa di protezione dei dati.
L’anticipazione del bisogno di salute del paziente, infatti, viene realizzata attraverso la correlazione ed elaborazione dei dati relativi alle condizioni di salute dei pazienti di un determinato territorio per ottenere una stratificazione degli stessi pazienti in profili di rischio.
Al riguardo, il Patto per la salute riconosce la necessità di coordinare l’impianto normativo volto ad attuare la medicina di iniziativa con la normativa sulla protezione dei dati di provenienza europea e, precisamente, di “definire una normativa che abiliti il Ministero della salute, le Regioni, le Aziende Sanitarie pubbliche e gli enti del servizio sanitario nazionale alla raccolta, interconnessione ed elaborazione dei dati, su base individuale, relativi alla salute degli assistiti dal Servizio sanitario nazionale, per finalità previsionali, di programmazione, per la gestione condivisa dell’assistenza sanitaria all’interno di reti di professionisti pubbliche e private accreditate e strutture sanitarie pubbliche e private accreditate e per lo sviluppo da parte della PA delle attività necessarie alla medicina di iniziativa”.
Pareri e provvedimenti del Garante
Il legame tra medicina d’iniziativa ed elaborazione dei dati di salute in possesso del Servizio Sanitario Nazionale è quindi molto stretto ed il tema della medicina di iniziativa, negli ultimi anni, è stato oggetto di continui approfondimenti da parte del Garante che si è espresso dapprima nel parere d’urgenza reso l’8 maggio 2020 sul disegno di legge divenuto poi legge n. 3 del 2020; poi con un parere reso alla Provincia di Trento sullo schema di regolamento concernente la medicina d’iniziativa nel servizio sanitario provinciale (1° ottobre 2020).
Da ultimo, il Garante si è pronunciato con provvedimenti sanzionatori nei confronti di tre Asl (doc. web n. 9844989, 9845156, 9845312) che avevano elaborato, attraverso l’uso di algoritmi, i dati presenti nei database aziendali allo scopo di attivare nei confronti degli assistiti alcuni interventi di medicina di iniziativa volti ad individuare i percorsi terapeutici più idonei.
In questa occasione, il Garante aveva concluso, tra gli altri profili, che la medicina d’iniziativa non rientra nelle ordinarie attività di cure e prevenzione ed il relativo trattamento dei dati sanitari e richiede, pertanto, l’individuazione di una base giuridica differente dalla c.d. finalità di cura di cui all’art. 9, paragrafo 2, lett. h) del Regolamento.
Dati sanitari e GDPR
Come noto, il Regolamento, se da una parte stabilisce un generale divieto di trattamento delle c.d. “categorie particolari di dati” tra cui rientrano quelli sulla salute, dall’altra parte, elenca nell’art. 9 par. 2 una serie di eccezioni che rendono lecito il trattamento.
Con riferimento specifico alla fattispecie della medicina d’iniziativa, potremmo primariamente considerare le seguenti eccezioni tra quelle previste dall’art. 9 par. 2 del Regolamento (valutando solo in via residuale l’ipotesi generale del consenso):
- motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri(art. 9, par. 2, lett. g) del Regolamento), individuati dall’art. 2-sexies del Codice
- motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che preveda misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale (art. 9, par. 2, lett. i) del Regolamento e considerando n. 54) (es. emergenze sanitarie conseguenti a sismi e sicurezza alimentare)
- finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali(c.d. “finalità di cura”) sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, (art. 9, par. 2, lett. h) e par. 3 del Regolamento e considerando n. 53; art. 75 del Codice) perseguite da (o sotto la responsabilità di) un professionista soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza.
Quali sono i trattamenti per “finalità di cura”
In riferimento al punto 3) – ossia alla finalità di cura – il Garante, con il provvedimento del 7 marzo 2019, “chiarimenti per il trattamento dei dati relativi alla salute in ambito sanitario”, ha specificato che i trattamenti per “finalità di cura”, sulla base dell’art. 9, par. 2, lett. h) e par. 3 del Regolamento, sono propriamente quelli effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza e, per quanto riguarda l’ambito oggettivo, quelli “necessari” al perseguimento delle specifiche “finalità di cura” previste dalla norma, cioè quelli essenziali per il raggiungimento di una o più finalità determinate ed esplicitamente connesse alla cura della salute (cfr. considerando 53 del Regolamento).
Gli eventuali trattamenti attinenti, solo in senso lato, alla cura, ma non strettamente necessari, richiedono, quindi, anche se effettuati da professionisti della sanità, una distinta base giuridica da individuarsi, eventualmente, nel consenso dell’interessato o in un altro presupposto di liceità (artt. 6 e 9, par. 2, del Regolamento).
La duplice natura della medicina d’iniziativa
Definire, pertanto, quale base giuridica possa essere utilizzata per il trattamento dei dati sanitari ai fini di medicina d’iniziativa richiede previamente di rispondere alla domanda se tale approccio alla salute del paziente possa rientrare o meno nella finalità di cura, quantomeno sotto il profilo del concetto di prevenzione, che è previsto dall’art. 9, paragrafo due, lett. h.
Come sopra evidenziato, però, il Garante ha escluso tale ipotesi.
Al riguardo, una parte della dottrina medica evidenzia che la medicina di iniziativa costituisce una forma attuale e moderna – necessaria per certi versi – di assistenza al paziente e che può essere considerata una forma efficace di prevenzione.
In questo senso, potrebbe stupire il fatto che il trattamento di stratificazione dei dati di salute – che è prodromico all’attuazione di tale approccio di cura – non possa trovare la sua legittimazione nella finalità di cura, ritenuta la sua sede naturale.
Per altro verso, appare indubbia la doppia natura di tale approccio di cura secondo le definizioni di medicina d’iniziativa citate in precedenza.
Non possiamo, quindi, ignorare che – accanto ad una finalità di cura del paziente coinvolto in un percorso di prevenzione della sua salute prima che lo stesso manifesti delle esigenze di cura della patologia – esista nella medicina di iniziativa una finalità di organizzazione e gestione delle risorse del sistema sanitario. E tale finalità non può rientrare in un trattamento necessario per la cura, in quanto costituisce, tutt’al più, una premessa organizzativa e gestionale alla cura.
La strada indicata dal Garante
In ragione di tale profilo e tale finalità della medicina d’iniziativa, specie quando applicati dalle Regioni al fine di dirigere e pianificare i modelli di intervento del Sistema Sanitario, il Garante ha indicato la strada da seguire quanto all’individuazione della base giuridica di trattamento: il combinato disposto dell’art. 9, paragrafo due, lett. g) – motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri – e dell’art. 2 sexies del Codice Privacy.
Il Garante, nei provvedimenti dedicati alle ASL citate, ha infatti rammentato come l’art. 7 del D.L. 34/2020 abbia attribuito al Ministero della Salute l’utilizzo di sistemi di medicina predittiva ed ha ricordato che tale previsione normativa rinvia ad un regolamento, da adottarsi con decreto del Ministero della Salute e previo parere del Garante, con cui dovranno essere individuati i dati che potranno essere trattati, le operazioni eseguibili, le modalità di raccolta e le misure di sicurezza adeguate e specifiche.
Tale regolamento non risulta ancora adottato, di qui l’impossibilità per il Ministero di procedere a trattamenti di dati sanitari finalizzati alla medicina d’iniziativa, salva l’introduzione di altre disposizioni di legge [2].
Quanto agli altri Enti, ove volessero avviare trattamenti di dati sanitari in qualità di titolari e ai fini di medicina d’iniziativa, potrebbero realizzare modelli predittivi adeguati alla normativa per la protezione dei dati, prevedendo essi stessi una regolamentazione che risponda ai requisiti richiesti dall’art. 2 sexies Codice Privacy attraverso l’emissione di atti amministrativi che definiscano i dati trattati, le operazioni eseguibili, le modalità di raccolta e le misure di sicurezza adeguate e specifiche per la realizzazione dei trattamenti prodromici alla medicina d’iniziativa.
Ed in effetti, a ben vedere, la critica implicitamente mossa dal Garante agli Enti sanzionati per trattamento illecito in ambito di medicina d’iniziativa è l’inadeguatezza della normativa di settore dagli stessi emessa, che non era idonea a fondare e rendere legittimo, ai sensi dell’art. 2 sexies del Codice Privacy, il trattamento effettuato.
Una diversa base giuridica a seconda del soggetto che tratta i dati del paziente
Alla luce dell’impianto normativo esistente e dell’interpretazione che, ad oggi, ne ha fornito il Garante per la protezione dei dati personali, con riferimento alle attività di trattamento legate alla medicina d’iniziativa potrebbe ritenersi ammissibile l’adozione di una base giuridica differenziata a seconda del soggetto che applica l’approccio alle cure della medicina di iniziativa.
In particolare, ove a trattare i dati del paziente sia il medico curante che, di fatto, e per legge oltre che per deontologia professionale, ha quale unico scopo quello della cura dello stesso, potrebbe darsi rilievo a quella parte della dottrina medica che evidenzia come la finalità primaria della medicina di iniziativa sia quella di cura. In tale contesto, il ricorso alla medicina di iniziativa costituirebbe una scelta del medico curante che ha in carico il paziente per la migliore assistenza allo stesso: un’attività sanitaria in sé e per sé. In tal caso, potrebbe quindi ritenersi applicabile la finalità di cura quale base giuridica di trattamento.
Laddove, invece, a trattare i dati del paziente ai fini della medicina d’iniziativa sia l’Ente erogatore del sistema di cure che ha, quindi, una finalità gestoria del sistema stesso in chiave di efficientamento ed uniformità delle prestazioni offerte ai cittadini, più difficilmente potrebbe farsi rientrare nel concetto di trattamento necessario alla cura l’azione di stratificazione dei pazienti in profili di rischio.
In tali casi, anche per la rilevante capacità di correlazione di diversi dati di cui l’Ente che ha in carico il Sistema Sanitario solitamente è titolare e per la delicatezza del ruolo pubblico dallo stesso svolto, sarà opportuno e coerente con l’impianto normativo di protezione dei dati, applicare la base giuridica dei motivi di interesse pubblico rilevante con necessità di prevedere con legge o con atto amministrativo le modalità precise di trattamento del dato ai sensi dell’art. 2 sexies Codice Privacy. In questo modo si garantisce, nell’ambito dell’uso dei dati del privato cittadino da parte del potere pubblico, un controllo preventivo e regolamentato, oltre che trasparente.