Sanità digitale: quando gli interventi del Legislatore determinano complicazioni

di avv. Andrea Lisi e dott.ssa Sarah Ungaro – Digital & Law Department

Qual è l’attuale stato di salute della normativa in tema di digitalizzazione dei documenti?
A ben guardare, negli ultimi anni, gli interventi del nostro Legislatore si sono succeduti in maniera a dir poco compulsiva, provocando un affastellamento di norme e principi i quali, ben lontano dall’essere soluzioni scaturite da una lucida analisi delle strategie di digitalizzazione, agli occhi del giurista appaiono piuttosto come gli effetti illusori di estemporanee operazioni taumaturgiche.
D’altronde, nel complicato quadro della normativa emanata in ambito di digitalizzazione documentale, accanto alla ponderosa mole di principi generali dettati dalla normativa europea e internazionale, dalla legislazione nazionale (contenuta non solo nel Codice dell’Amministrazione digitale – di cui al D.Lgs. n. 82/2005 – e nel Codice di protezione dei dati personali – D.Lgs. 196/2003 -, ma in vari provvedimenti legislativi, anche di natura finanziaria e in molteplici decreti ministeriali), dai provvedimenti del Garante Privacy, dalle Deliberazioni del CNIPA, nonché dai diversi usi e prassi, anche giurisprudenziali, ci sono le nuove Regole tecniche che sono ancora in attesa di definitiva approvazione: senza queste, infatti, non è possibile un’applicazione certa e uniforme di tali principi generali.
Solo per citare gli ultimi provvedimenti, nell’ultimo periodo sono state introdotte nuove norme sulla decertificazione, sull’attuazione degli obiettivi dell’Agenda digitale italiana (le cui parole chiave sono smart communities, e-government, open data, cloud computing), sull’accorpamento delle funzioni degli enti, sul glifo, sull’accessibilità totale ai dati e documenti delle pubbliche amministrazioni, sullo sviluppo delle firme biometriche; inoltre, è stata istituita l’Agenzia per l’Italia Digitale, a seguito della soppressione di DigitPA.
Ma tutto ciò vuol dire davvero attuare una politica nazionale istituzionale sull’amministrazione digitale? E cosa accade, in particolare, in uno dei settori maggiormente interessati dal cambiamento digitale, quale quello sanitario?

Solo a titolo esemplificativo, nel 2010 era stato predisposto il disegno di legge n. 2243 che imponeva la conservazione delle cartelle cliniche esclusivamente in modalità digitale: la relativa copia cartacea, infatti, sarebbe stata rilasciata solo su richiesta dell’interessato, previo pagamento di un corrispettivo stabilito dall’amministrazione detentrice delle stesse. Naturalmente, tale disposizione non è stata mai approvata…
Il recente D.L. n.179/2012 (Decreto Crescita 2.0) all’art. 13 ha invece disposto che a decorrere dal 1° gennaio 2013, la conservazione delle cartelle cliniche può essere effettuata, senza nuovi o maggiori oneri a carico della finanza pubblica, anche solo in forma digitale, nel rispetto di quanto previsto dal decreto legislativo 7 marzo 2005, n. 82, e dal decreto legislativo 30 giugno 2003, n. 196.
Il paradosso è evidente: non solo ciò che prima il nostro Legislatore intendeva rendere obbligatorio, ora è solo facoltativo, ma cosa ancor più grave è che tale maldestro tentativo di incentivare l’utilizzo della conservazione digitale delle cartelle cliniche finisce con il delegittimare tutte le operazioni di questo tipo che sono state correttamente messe in atto fin’ora, poiché, fissando la decorrenza di tale norma al 1° gennaio 2013, la disposizione in commento lascerebbe intendere che soltanto a partire da quella data è possibile conservare esclusivamente in modalità digitale le cartelle cliniche.

Per altro verso, l’art. 12 del citato D.L. n. 179/2012 riprende quanto già affermato nel parere del Gruppo dei Garanti europei sulla cartella clinica informatizzata: in tale documento, infatti, è stata sottolineata la necessità di: rispettare il principio di autodeterminazione del paziente; definire le garanzie rispetto all’accesso alla CCE da parte di operatori sanitari, del paziente e di soggetti terzi; predisporre una struttura modulare delle cartelle elettroniche per garantire la separazione fra le diverse categorie di dati in base alle finalità del trattamento e ai soggetti che vi accedono (principio, peraltro, già espresso all’art. 22, comma 7, del D.Lgs. 196/03); prevedere misure di autenticazione forte e di autorizzazione per l’accesso e la comunicazione dei dati, nonché meccanismi di controllo e accountability.
Il citato art. 12, seppur da un lato definisce correttamente il fascicolo sanitario elettronico (FSE) come un «insieme di dati e documenti digitali» (di tipo sanitario e socio sanitario), dall’altro si limita a riaffermare principi già espressi dal documento dei Garanti europei.

Le difficoltà nel mettere in atto i processi di conservazione digitale dei fascicoli sanitari elettronici quindi permangono. Come agire in concreto per superarle?
Nella perdurante attesa che siano emanate le Linee guida per la dematerializzazione della documentazione clinica in laboratorio e in diagnostica per immagini (il cui parere favorevole da parte del Garante Privacy è stato espresso con il provvedimento datato 26 novembre 2009), molti operatori del settore possono oggi “adottare”” le indicazioni contenute nel documento “Cartella clinica elettronica ospedaliera. Indicazioni per un progetto sostenibile”, redatto a cura dell’AISIS (Associazione Italiana Sistemi Informativi in Sanità), in collaborazione con ANORC (Associazione Nazionale per Operatori e Responsabili della Conservazione digitale dei documenti) e Clusit (Associazione Italiana per la Sicurezza informatica).

Anche la disciplina dell’e-prescription presenta, in verità, alcuni aspetti singolari.
L’ultima norma intervenuta sul tema è l’art 13 del D.L. 179/2012, concernente la dematerializzazione della ricetta cartacea, il quale dispone espressamente che «al fine di migliorare i servizi ai cittadini e rafforzare gli interventi in tema di monitoraggio della spesa del settore sanitario» si intende accelerare «la sostituzione delle prescrizioni mediche di farmaceutica e specialistica a carico del Servizio sanitario nazionale-SSN in formato cartaceo con le prescrizioni in formato elettronico, generate secondo le modalità di cui al decreto del Ministero dell’economia e delle finanze in data 2 novembre 2011».
Già dall’incipit della disposizione, dunque, appare nitidamente quale sia il reale intento che muove il Legislatore nella stesura di tali norme, ossia il «monitoraggio della spesa del settore sanitario». Interpretazione avvalorata dalla circostanza che per la disciplina delle specifiche modalità di generazione delle prescrizioni mediche digitali si fa esclusivo rinvio a un Decreto del Ministero dell’economia e delle finanze (del 2 novembre 2011), dimenticandosi, forse, che tali documenti costituiscono prima di tutto attestazioni dei medici prescrittori (e il comma 3 dello stesso articolo stabilisce che l’inosservanza di tale obbligo comporta per i medici l’applicazione di quanto previsto dall’articolo 55-septies, comma 4, del D.Lgs. 30 marzo 2001, n. 165), che in tale sede agiscono in qualità di pubblici ufficiali, e solo da ultimo rappresentano dati utili al controllo della spesa pubblica in ambito sanitario.

Nello stesso art. 13, desta poi ulteriore perplessità la gestione delle tempistiche relative alla diffusione delle prescrizioni in formato elettronico in relazione alla data in cui il legislatore ha stabilito la decorrenza della validità delle stesse.
La previsione di cui al comma 1, infatti, in cui si fissano gli scaglioni temporali («in percentuali che, in ogni caso, non dovranno risultare inferiori al 60 percento nel 2013, all’80 percento nel 2014 e al 90 percento nel 2015») entro cui ogni Regione sarà tenuta ad effettuare la graduale sostituzione delle prescrizioni in formato cartaceo con le equivalenti in formato elettronico, difficilmente potrà essere conciliata con quanto stabilito al comma successivo dello stesso articolo 13. Questo, infatti, statuisce che «dal 1° gennaio 2014, le prescrizioni farmaceutiche generate in formato elettronico sono valide su tutto il territorio nazionale».
Tale formulazione, a tacer d’altro incoerente con la previsione del 60% di prescrizioni da generarsi in formato elettronico entro il 2013 (in quanto queste sembrerebbero comunque costituire documenti non validi fino al 1° gennaio 2014, attesa la disposizione di cui al citato secondo comma), è emblematica dello stato confusionale in cui sembra versare il Legislatore nella redazione della normativa in tema di digitalizzazione.
La scelta più o meno consapevole di fissare la validità su tutto il territorio nazionale delle prescrizioni farmaceutiche generate in formato elettronico al 1° gennaio 2014 rischia, infatti, di mettere in dubbio il valore giuridico di tutte le prescrizioni farmaceutiche sin’ora (e fino a quella data) generate come documenti informatici. In altre parole, da tale infelice formulazione si evince che in questa norma sono stati erroneamente sovrapposti e confusi il piano della validità del documento generato in modalità elettronica e quello della sua utilizzabilità (in questo caso, su tutto il territorio nazionale dal 1° gennaio 2014).

Il minimo, dunque, è auspicare maggiore competenza nella redazione dei provvedimenti normativi in ambiti così delicati.
Ma non è tutto. Particolare attenzione, inoltre, merita il sistema di autenticazione dei medici predisposto per l’utilizzo della piattaforma del SAC per la generazione di certificati di malattia e per le ricette mediche digitali.
Ai sensi di quanto stabilito dal punto 4 del Disciplinare tecnico di cui all’Allegato 1 del DPCM 26 marzo 2008 (a cui fa espresso rinvio anche l’art. 2 dell’Allegato tecnico al DM 26 febbraio 2010, dedicato alla «Definizione delle modalità tecniche per la predisposizione e l’invio telematico dei dati delle certificazioni di malattia al SAC»), infatti, l’accesso ai servizi sarà consentito attraverso i dispositivi standard (CNS/CIE), ma, «in alternativa, nel caso in cui le Regioni non sviluppino un proprio sistema di accoglienza, il SAC, in base alle informazioni pervenute, genera le credenziali di accesso al sistema per ogni utente, presente nell’elenco trasmesso che deve essere abilitato. Le credenziali sono composte da un codice identificativo (codice fiscale) e un pincode per consentire l’identificazione degli utenti abilitati alle operazioni di trasmissione telematica».
Sul punto, tuttavia, appare di fondamentale importanza evidenziare che, se il medico si identifica nel sistema attraverso id e password, il documento informatico costituente la prescrizione medica risulterà provvisto della sola firma elettronica semplice, ai sensi dell’art. 21 del Codice dell’Amministrazione Digitale.
Pertanto, sul piano probatorio, la prescrizione così rilasciata acquisisce la valenza di documento liberamente valutabile in giudizio, tenuto conto delle sue caratteristiche oggettive di qualità, sicurezza, integrità ed immodificabilità.
In tal senso, dunque, la normativa attualmente vigente, nel tentativo di semplificare le procedure e controllare i dati relativi alla spesa pubblica in ambito sanitario, presenta il paradosso di avallare la circolazione di documenti informatici che rappresentano prescrizioni mediche prive dello stesso valore giuridico e probatorio di quelle generate in forma cartacea!

A fronte di tale superficialità e confusione nella predisposizione della disciplina in materia di digitalizzazione, non sarebbe piuttosto opportuno che il Legislatore stabilisse chiaramente che i documenti informatici rilevanti giuridicamente (come giustamente in altre normative sono trattati referti, prescrizioni mediche e immagini diagnostiche) andrebbero firmati digitalmente e conservati a norma?
La conservazione dei certificati medici digitalmente trasmessi e delle prescrizioni telematiche è, inoltre, un ulteriore problema che non viene in alcun modo risolto dalla normativa vigente. Nulla, infatti, viene detto sulle regole in base alle quali procedere alla loro conservazione, né sul soggetto preposto alla stessa.
Questo nonostante il Codice dell’Amministrazione digitale, agli articoli 43, 44, 50 bis e 51, imponga rispettivamente la conservazione permanente in modalità digitale dei documenti informatici di cui è prescritta la conservazione per legge o regolamento (da effettuarsi in modo da garantire la conformità dei documenti agli originali, nel rispetto delle regole tecniche stabilite ai sensi dell’art. 71 dello stesso CAD); il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del Codice Privacy (D.Lgs. n. 196/2003) e dal disciplinare tecnico di cui all’Allegato B dello stesso; l’adozione del piano di continuità operativa e di disaster recovery da parte delle pubbliche amministrazioni, e da ultimo la custodia e il controllo dei documenti informatici delle pubbliche amministrazioni con modalità tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità della raccolta (comma 2 art. 51 CAD).
Attualmente, invece, chi sta conservando le nostre identità digitali, le informazioni, i nostri documenti informatici (e, quindi, i nostri certificati medici e le nostre prescrizioni mediche) nelle PA locali e centrali? E in che modo?

Tuttavia, il paradosso fondamentale è un altro, ed è espresso dal periodo “senza maggiori oneri a carico della finanza pubblica”, inserito nella quasi totalità delle norme emanate in tema di digitalizzazione.
Con l’evidente presunzione di trasformare in realtà questo dettame con il solo enunciarlo, infatti, il nostro Legislatore crede che evocando questa potente formula i processi di digitalizzazione documentale accadano da soli anche senza i necessari investimenti di risorse. Purtroppo così non è.
Sulla scorta di queste riflessioni, quindi, affinché sia predisposto un quadro normativo volto a favorire e non a ostacolare i processi di digitalizzazione, occorrerebbe limitare solo ai principi fondamentali l’emanazione di norme generali (possibilmente formulati in modo da contribuire alla coerenza sistematica della normativa), aggiornare di continuo le regole tecniche, stanziare le necessarie risorse ed evitare l’equivoco per cui, soprattutto in alcuni ambienti istituzionali, si rischia di confondere la digitalizzazione con la semplificazione.
Digitalizzarsi è dunque complesso, ma necessario: tale processo, se posto in essere con una seria strategia istituzionale, permetterà comunque di garantire un futuro certo, efficiente e controllato al nostro patrimonio di informazioni, dati e documenti digitali,anche in ambito sanitario

Cookie	Durata	Descrizione
AWSALBCORS	7 days	This cookie is managed by Amazon Web Services and is used for load balancing.
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
PHPSESSID	session	This cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing user session on the website. The cookie is a session cookies and is deleted when all the browser windows are closed.
viewed_cookie_policy	1 year	The cookie is set by the GDPR Cookie Consent plugin to store whether or not the user has consented to the use of cookies. It does not store any personal data.
WLM_TEST_COOKIE	session	This cookie is used by the WishList Member. It checks whether the browser has enabled cookies or not.

Cookie	Durata	Descrizione
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_1975075_20	1 minute	Set by Google to distinguish users.
_gat_gtag_UA_92784998_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	16 years 3 months	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
vuid	2 years	Vimeo installs this cookie to collect tracking information by setting a unique ID to embed videos to the website.

Cookie	Durata	Descrizione
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durata	Descrizione
AWSALB	7 days	AWSALB is a cookie generated by the Application load balancer in the Amazon Web Services. It works slightly different from AWSELB.
captcha-cookie	1 day	No description
ccc	1 month	No description
xb	1 year	No description available.

Sanità digitale: quando gli interventi del Legislatore determinano complicazioni

Vengo dopo il DIGEAT – L’utilizzo corretto degli strumenti IT e di IA nelle organizzazioni pubbliche e private

Lo ho-BIT – Andata e Ritorno

Newsletter

NAVIGA

Lecce

Milano

Roma

Biella

Castellammare di Stabia

Lecco