I requisiti della legge Gelli alla luce del Gdpr

La crisi della responsabilità medica che ha investito il complesso sistema del servizio sanitario nazionale, provocando una profonda frattura nell’alleanza terapeutica tra medico e paziente, è sfociata un anno fa nella promulgazione della legge n. 24/2017, nota come legge Gelli. Il provvedimento completa, amplia e rende più omogenea la precedente legislazione in materia di responsabilità sanitaria, inclusa la cosiddetta legge Balduzzi n. 189/2012, considerata dagli osservatori come un coraggioso tentativo di dirimere gli annosi problemi che da qualche decennio affliggevano il comparto, rimasto tuttavia in gran parte incompiuto.

Scopi dichiarati della nuova normativa, la riduzione dell’enorme contenzioso legale esistente in materia di responsabilità medica, la riduzione del cosiddetto fenomeno della medicina difensiva, indicato dal ministero della Sanità come causa principale di un eccesso di spesa pubblica ammontante a svariati miliardi di euro, e dunque la creazione di un ambiente di lavoro più sicuro e sereno per i professionisti del comparto, il tutto con l’intento di migliorare la qualità  del servizio sanitario pubblico, garantendo al cittadino il rispetto del suo diritto costituzionale alla salute.

Lungo tutto il percorso dei 18 articoli che costituiscono il testo della legge, la nuova normativa prevede un uso intensivo degli strumenti informatici da parte delle strutture, pubbliche e private, nelle quali si svolge l’attività sanitaria, e dei loro dipendenti e collaboratori. In realtà, per ottemperare al disposto della legge Gelli, ogni professionista sanitario è oggi tenuto a gestire e trasferire una mole cospicua di informazioni per via digitale, mettendo così in atto quella gestione virtuosa del rischio clinico che sola può garantire il miglioramento dell’intero sistema.

All’art. 4, infatti, la legge fa esplicito riferimento alla trasparenza dei dati clinici trattati, nel rispetto del codice in materia di protezione dei dati personali ex. Dlgs 196/2003. Sono anche previsti la pubblicazione dei dati relativi ai risarcimenti effettuati negli ultimi cinque anni presso ciascuna struttura (sul sito internet della stessa) e il trasferimento di tutte le informazioni inerenti la gestione del rischio clinico (inclusi gli eventi avversi), mediante procedura telematica unificata a livello nazionale, all’Osservatorio Nazionale delle buone pratiche sulla sicurezza in sanità, istituito proprio per aggregare ed elaborare i dati provenienti da tutto il territorio, contribuendo al miglioramento della gestione del rischio e del servizio offerto in tutto il Paese.

Tutta questa attività viene ora a integrarsi con la gestione del rischio imposta dalla nuova normativa europea sul trattamento dei dati personali, come da Regolamento n. 279/2016, che entrerà definitivamente e completamente in vigore nel nostro paese il 25 maggio prossimo. Si tratta del Gdpr (General data protection regulation), che impone a tutti i soggetti che debbano in qualunque modo gestire, conservare, trasferire o trattare dati personali di adottare un’articolata politica di risk management, allo scopo di garantire la propria conformità ai requisiti di sicurezza previsti dal Regolamento. 

La protezione dei dati delle persone fisiche costituisce infatti un diritto sancito dall’articolo 8 della Carta dei diritti fondamentali e dall’articolo 16 del Trattato sul funzionamento dell’Unione Europea ed è vitale che le norme previste per la loro tutela siano improntate al pieno rispetto delle libertà di chi li possiede. Esempi includono gli archivi di società commerciali, nei quali i nomi dei clienti sono associati alle informazioni sulle loro carte di credito o ad altri dati sensibili, oppure le informazioni mediche conservate da assicuratori, medici e, naturalmente, cliniche ed ospedali di ogni ordine.

Per quanto attiene al comparto sanitario, infatti, la nuova normativa impone di prestare particolare attenzione alla tutela della privacy, meritando i dati sanitari (il cui concetto viene per la prima volta specificamente introdotto dal Regolamento) una tutela rafforzata, proprio per il coinvolgimento di diritti di rilievo costituzionale.

Già a partire dal Codice della Privacy, giurisprudenza e dottrina hanno operato delle distinzioni tra dati personali, sensibili e sensibilissimi, collocando i dati sanitari, per la loro stessa natura, nella categoria dei dati sensibilissimi e facendone oggetto di protezione rafforzata, come si è detto, in modo da impedirne l’uso improprio o illegittimo. Il Considerando n. 35 del Regolamento chiarisce ora il concetto di dati riguardanti la salute della persona e fornisce specifiche definizioni: