Telemedicina, il webinar Anorc spiega il regolamento europeo per tutelare i dati

Il dirigente del servizio internazionale e cura con l'autorità garante dell'Unione europea, Luigi Montuori, ha spiegato l'applicazione delle norme su diversi casi affrontati: "È evidente che la tecnologia oggi ci offre delle possibilità straordinarie ma ci sono anche delle vulnerabilità"

---

ROMA – “E’ evidente che la tecnologia oggi ci offre delle possibilità straordinarie ma ci sono anche delle vulnerabilità, soprattutto in telemedicina perchè ci sono dati che riguardano la salute. L’emergenza Covid-19 ha dimostrato quanto possa esservi grazie alla telemedicina il proseguimento delle cure; il rischio però, quando non c’è una buona governance, può aumentare. Possono esserci dati alterati, modificati e restituire un impatto di distorsione dei dati collettivo. Rispettare la tutela dei dati personali ci consente di produrre la terapia e la cura anche a distanza, accrescendo la nostra fiducia nei confronti di questi strumenti”. Queste le parole di Luigi Montuori, avvocato e dirigente del servizio internazionale e cura dell’Autorità garante dell’Unione Europea, che è intervenuto nel webinar “Telemedicina e confini nazionali” organizzato da Anorc. Il webinar, con l’intervento di Montuori, affronta l’applicazione delle norme per la protezione e la tutela del trattamento dei dati in telemedicina, in un intreccio tra regolamento e corte di giustizia dei diritti dell’uomo, e fornisce la misura di quanto un trattamento limitato ma che è esploso durante il Covid goda però di indicazioni e norme fortemente orientate alla protezione del dato.

“L’elemento transnazionale riveste un oggetto di indagine importante. Garantire la protezione dei dati dei pazienti, nei casi che coinvolgono più Paesi con giurisdizioni differenti, presuppongono accorgimenti e assunzione di speciali tutele. La Norvegia, l’Islanda e il Liechtenstein, sono per esempio nello spazio economico europeo, ma ci sono casi in cui il beneficiario o il titolare si trovano in stati con leggi sulla protezione differenti”, ha aggiunto.

Nel merito della questione confini nazionali e telemedicina, nel corso del webinar organizzato da Anorc, il dirigente del servizio internazionale e cura con l’autorità garante dell’Unione europea, Luigi Montuori spiega i diversi casi affrontati dalle norme europee: “Vediamo quindi quattro scenari, il primo: servizio erogato da soggetto stabilito all’interno dell’UE ma beneficiario fuori. Il regolamento europeo, all’articolo 3, stabilisce che il trattamento dei dati deve essere erogato nel contesto dell’attività effettiva stabilita sul suolo fisico, nel quadro di una sede stabile. Può esservi una filiale con una personalità giuridica, un agente o un dipendente, anche uno solo purché configuri lo stabilimento dell’erogazione della telemedicina. Il regolamento Ue prende in considerazione anche la modalità di ricavo del servizio che è inscindibilmente connesso al luogo dove il servizio viene erogato. C’è poi il caso in cui il beneficiario è fuori dal contesto europeo ma il titolare dello stabilimento è nel contesto economico europeo. Il luogo dove viene effettuato il trattamento medico in telemedicina è indifferente per il regolamento, proprio perché la parte più importante è la tutela nel trattamento e nella protezione dei dati”.

“La Corte europea, dal 2014 in poi – spiega Montuori – ha emesso pronunce molto forti ed a tutela dei dati del paziente. Il secondo scenario ha ricevuto una grande attenzione dalla Corte e dalla stessa Unione che ne ha disciplinato il caso nel regolamento, salvaguardando il bisogno di salute e la tutela dei dati. Lo scenario contempla il titolare fuori dall’Unione ma il beneficiario dentro lo spazio economico europeo: qui il regolamento non prevede il principio dello stabilimento ma il targeting al fine di proteggere il cittadino perché può essere anche in transito sul territorio. In questo modo si garantisce a tutti, anche a non cittadini europei che però si trovano sul vecchio continente, la possibilità di una terapia in telemedicina. Il regolamento, nella sua impalcatura, è a tutti gli effetti europeo: da Cipro, alla Lettonia o all’Italia, è uguale e deve essere applicato allo stesso modo. C’è peraltro un meccanismo che consente di applicare a tutti le stesse regole: il titolare extra Ue se opera nell’Unione, pur avendo più siti di trattamento, deve indicare il paese dove c’è la sede principale, dove si prendono decisioni, per indicare così dove si stabilisce il titolare del trattamento. In assenza di questo meccanismo, scatta la nomina del rappresentante, è però uno svantaggio: il designato agirà per conto del titolare extra Ue avrà rapporti con le autorità competenti di tutti e 27 paesi senza il vantaggio di avere un unico interlocutore”.

Il caso degli Stati Uniti è uno dei più frequenti per l’autorità garante ma soprattutto per la Corte di giustizia europea, che ha disciplinato la questione anche con modifiche del regolamento dell’Unione. Montuori infatti spiega: “È vietato trasferire dati fuori dall’Unione europea o devono esserci norme adeguate per l’Unione. La Corte, in una delle sue pronunce più note, ha infatti detto – ha continuato Montuori – che i dati negli Stati Uniti possono essere passati all’Enforcement americana e quindi non possono essere trasferiti senza che questi passino al vaglio del controllo e delle norme Ue. L’articolo 46 comprende clausole contrattuali, norme vincolanti societarie, e codice di condotta, consente di facilitare in deroga quando non c’è adeguatezza degli strumenti normativi del paese del titolare del trattamento. Ci sono poi delle ‘supplementary measures’ in cui la normativa americana si dimostra non impattante per il trattamento dei dati, con cui si possono cifrare i dati e rendere protetti comunque i dati.

Nel terzo scenario c’è un soggetto stabilito all’interno dell’Unione che si avvale di servizi fuori dall’Unione: si applica l’articolo dello stabilimento ma si aggiunge il responsabile del trattamento dei dati, che può essere anche un’autorità. Il responsabile è sempre la longa manus del titolare del trattamento”.

E questo è uno degli aspetti più interessanti del regolamento europeo, emerge nel webinar, perché consente il principio di massima precauzione ma anche la possibilità per il titolare di adeguare la sua capacità di tutela rivolgendosi ad un soggetto esterno al titolare. Come spiega ancora Montuori, “può quindi esservi una certa discrezionalità per il responsabile nel garantire un adeguamento trattamento ma è sempre tenuto a rispettare strettamente le norme previste. In questo caso la scelta del fornitore dei servizi è determinante: deve essere affidabile, deve verificare le risorse di cui dispone, deve avere un codice di condotta, ed è altresì importante che il contratto non replichi semplicemente le disposizioni del regolamento ma includa informazioni più dettagliate per soddisfare le indicazioni del regolamento”.

È il concetto di accountability su cui le norme europee hanno lavorato di più negli ultimi anni, data anche l’accresciuta attenzione nei confronti del trasferimento dei dati non sanitari, frutto probabilmente anche del lavoro degli stati membri sul GDPR.

“Quarto e ultimo scenario: servizi di telemedicina nello spazio economico europeo per pazienti ricadenti nello stesso spazio. Un caso naturalmente può semplice, anche se va verificato se ci si trovi nel caso di un titolare transfrontaliero, che cioè risiede in più paesi membri. Questo significa che va verificata una trasmissione corretta a livello transfrontaliera, stabilendo una sede principale del titolare del trattamento. Se la sede principale è in Italia, se succede qualcosa al paziente che si trova in Lussemburgo, la questione si risolverà nel paese della sede principale, cioè l’Italia – ha concluso Montuori, intervenendo al webinar ‘Telemedicina e confini nazionali’ organizzato da Anorc.

LEGGI ANCHE: Giovani, Lisi (Anorc): “Servizio civile digitale è ritorno al passato”

WEBINAR ANORC, RABBITO: TELEMEDICINA PARTE INTEGRANTE ASSISTENZA

Già nel 2008 in una comunicazione agli stati membri, la Commissione europea si era già espressa per sollecitare lo sviluppo di sistemi di telemedicina con adeguata protezione dei dati. Accanto a questo, nel corso dell’ultimo decennio, i numeri hanno indicato un impatto sempre più alto sul Pil nella sanità. La telemedicina è quindi esplosa nell’aprile del 2020, nel mezzo della pandemia, ma ha potuto giovarsi di indicazioni ad interim, linee guida ma soprattutto di un regolamento e il coinvolgimento di differenti expertise di professionisti per equilibrare la tutela dei dati, la corretta trasmissione di questi con il bisogno di salute crescente dei pazienti, a causa del distanziamento sociale. La Commissione europea, su tutti questi aspetti, ha lavorato molto, offrendo punti di riflessione sull’uso della telemedicina, e un documento dell’ottobre scorso, che si è rivelato fondamentale per affrontare la questione della protezione dei dati nell’Unione.
Chiara Rabbito, avvocato e presidente del comitato tecnico scientifico della Società di telemedicina, ha spiegato nel corso del talk organizzato da Anorc, ‘Telemedicina e confini nazionali’ in quale contesto si sviluppa e con quali strumenti opera la telemedicina, affiancando le riflessioni dell’avvocato Luigi Montuori, dirigente dell’autorità garante europea; entrambe introdotti da Franco Cardin come moderatore. Innanzitutto, ha chiesto Cardin, ha chiesto a Rabbito, che cos’è la telemedicina e in quale ambiente si sviluppa.

“Ci sono state discussioni annose sull’utilizzo e il significato della telemedicina, sostanzialmente essa ha la capacità di fornire assistenza sanitaria al cittadino tramite l’information technology ma è negli ultimi tempi che questa assistenza è cambiata, e con essa anche il suo significato, che si è ampliato – ha risposto Rabbito – Il balzo in avanti c’è stato quando si è ampliato l’uso della telematica per la gestione dei dati afferenti alla salute della persona tramite le reti, che è un elemento caratterizzante. La telemedicina è quindi partita rispondendo a bisogni in situazioni particolari: la distanza per l’atto medico, per le zone isolate o necessità di soccorso in mare, in cui quindi non era possibile ricorso in presenza del medico. Una storia che parte, persino, dall’utilizzo delle onde radio. Attualmente però questa caratteristica non è più determinante: la distanza oggi non è più rilevante quanto piuttosto le reti hanno trovato maggiore sviluppo, a mano a mano che le infrastrutture sono state migliorate. Con l’accordo Stato-Regioni sulla telemedicina, in emergenza Covid, la distanza è divenuta di nuovo protagonista perché non possiamo più recarci nella struttura sanitaria. Non c’è però una situazione di equivalenza tecnologica tra le varie condizioni di assistenza in presenza e da remoto: l’atto medico è svolto dal curante in scienza e coscienza nella modalità che ritiene utile, se in presenza lo farà in questo modo”.

Ecco allora che la telemedicina si configura come complementare ma dignitaria di diversi e imprescindibili requisiti, vediamo quali. “La telemedicina diventa quindi parte integrante dell’atto medico: la video chiamata, il telemonitoraggio sono sempre possibili ma non c’è, non deve esserci una preponderanza della telemedicina sulla visita in presenza. E’ un caposaldo – ha aggiunto Rabbito – La telemedicina comporta una trasmissione del dato tramite device, indossabili attaccati o staccati dal corpo, l’intervento di un software e la relativa elaborazione, e poi un sistema di invio finalizzato. C’è quindi un elevato livello di complessità che però deve essere al servizio dell’intervento curante: pensiamo all’operazione chirurgica a distanza, con un primario della sala operatoria che si trova ad operare a distanza in un altro continente. Queste varie componenti devono restituire un risultato armonico e sinergico: non deve esserci una pressione da parte della componente tecnica, il curante stabilisce sempre se lo strumento di intervento è adeguato o meno. E’ un’interazione complessa e che ha risvolti penali e civili non da poco. Uno degli elementi caratteristici è l’invio dei dati, ovvero la trasmissione di dati personali anagrafici e sanitari che necessita di una tutela costante e continua, senza che si manifesti mai alcuna lacuna perchè ci sarebbe una perdita di dati, che se pur piccola, compromette la tutela. Serve quindi un sistema a norma, in cui la componente giuridica deve essere rispettata nella sua interezza. Motivo per il quale presiedo il comitato tecnico scientifico della società di telemedicina, ma sono una dei pochi giuristi, assieme agli altri professionisti che danno un contributo essenziale alla società. Essendo un’assistenza sanitaria integrante della medicina e da remoto, la telemedicina può svolgersi tra paesi e continenti diversi; ecco allora come la tutela del dato e la relativa protezione, garantiti da validi strumenti, diventano quindi fondamentali, allo stesso modo alla trasmissione degli stessi dati nel contesto del medesimo paese”.

Rabbito è quindi intervenuta rispetto al ruolo della telemedicina nelle occasioni in cui c’è un atto medico tra due continenti diversi o tra due paesi che hanno due ordinamenti giuridici diversi. “A volte succede che il soggetto beneficiario, una onlus per esempio, si serva di servizi sanitari locali ma i fornitori di infrastruttura tecnologia o i server siano fuori dall’Europa, in Canada, negli Stati Uniti e magari la onlus in Africa. Questo è un classico caso complesso in cui interviene una grande responsabilità da parte dei fornitori. Ci sono poi casi di chi offre servizi nell’Unione europea ma si serve di fornitori extra Ue, a volte più d’uno. E’ bene quindi – ha sottolineato Rabbito – individuare bene i rapporti e le responsabilità per chiarire cosa interviene fuori dai confini nazionali, perché, lo ricordiamo, la protezione e la tutela dei dati del paziente sono sempre da salvaguardare. L’importanza della responsabilità del titolare del dato fa da sfondo in questo ragionamento, ed è imprescindibile”, ha concluso Rabbito.