Disposizioni d’esecuzione relative alla legge federale sulla cartella informatizzata del paziente

Il 19 giugno 2015 il Parlamento ha licenziato la legge federale sulla cartella informatizzata del paziente (LCIP). Il termine di referendum è scaduto l’8 ottobre 2015. L’identificatore settoriale per la cartella informatizzata del paziente diventerà dunque realtà. È però necessario chiarire ancora numerosi punti critici.

La LCIP dovrebbe entrare in vigore a metà del 2017. Essa disciplina ad esempio l'identificazione dei pazienti non più mediante il numero di assicurazione sociale, bensì mediante un identificatore settoriale eHealth. Per compiere quest'importante passo abbiamo svolto un lavoro di persuasione sull'arco di più anni. Tuttavia, numerosi punti decisivi saranno chiariti solamente nelle relative ordinanze. Nell'anno in rassegna ci siamo espressi in modo approfondito sui progetti presentati durante la consultazione degli uffici. Tra i principali punti del nostro parere citiamo il diritto alla protezione dei dati applicato alle comunità di riferimento e di eHealth, le condizioni di certificazione e le autorizzazioni d'accesso.

Per quanto riguarda il diritto alla protezione dei dati applicabile alle comunità e alle comunità di riferimento, riteniamo che la legge sulla protezione dei dati (LPD) debba essere applicata per il trattamento dei dati personali e che ci spetti il ruolo di autorità di vigilanza in materia. Questa posizione deve essere espressa nel rapporto esplicativo relativo all'ordinanza. Le comunità devono costituirsi come persone giuridiche di diritto civile, indipendentemente dal tipo di partecipanti. Inoltre, la relazione tra pazienti e comunità/comunità di riferimento è una relazione di diritto civile, cosicché in questo contesto trova applicazione la LPD.

Indipendentemente da questa motivazione puramente giuridica formale, l'applicazione della LPD s'impone anche per ragioni pratiche. Dal punto di vista della certezza del diritto, per i pazienti e anche per gli altri partecipanti al sistema eHealth Svizzera è importante che le disposizioni relative alla protezione dei dati applicate alla cartella informatizzata del paziente siano le stesse in tutta la Svizzera e che un'autorità di vigilanza ne garantisca un'applicazione uniforme. In questo senso, l'applicazione della LPD e la nostra vigilanza servono alle comunità, alle comunità di riferimento e alle loro organizzazioni gerenti anche per proteggere gli investimenti. L'Ufficio federale della sanità pubblica (UFSP) quale proprietario del cosiddetto schema di certificazione dovrà garantire il rispetto delle prescrizioni di certificazione, in collaborazione con i certificatori accreditati. La vigilanza in materia di protezione dei dati rimane tuttavia di nostra competenza.

Per quanto concerne le condizioni tecniche e organizzative di certificazione per le comunità e le comunità di riferimento, abbiamo deplorato un'eccessiva focalizzazione sulla sicurezza dei dati e un'insufficiente presa in considerazione degli aspetti legati alla protezione dei dati. Questa scelta è in contrasto con la disposizione determinante della LCIP in cui si prevede una certificazione che tenga conto sia della protezione sia della sicurezza dei dati. Inoltre, il rispetto della protezione dei dati costituisce un principio fondamentale per la cartella informatizzata del paziente. Occorre dunque tenere debitamente conto di quest'aspetto nella definizione dei requisiti della certificazione.

Abbiamo pure preso posizione in merito alla possibilità di dare a gruppi di professionisti della salute accesso alla cartella informatizzata del paziente. Abbiamo segnalato che, contrariamente a quanto da noi richiesto, le disposizioni dell'ordinanza non concretizzano in modo restrittivo l'accesso di questi gruppi. Anzi, si introdurranno vere e proprie autorizzazioni collettive. Riteniamo che il rilascio di un'autorizzazione rappresenti una dichiarazione d'intenti che può esplicare un effetto giuridico solo se tale autorizzazione è conferita a una persona o un servizio dotato di personalità giuridica. Una dichiarazione d'intenti riferita a un gruppo di persone, ad esempio ai collaboratori di un determinato reparto di un ospedale, non equivale a nostro modo di vedere a un'autorizzazione giuridicamente valida, poiché il gruppo in questione non ha personalità giuridica.

In questo senso ci saremmo aspettati che nell'ordinanza l'autorizzazione di gruppi fosse concretizzata precisando che fondamentalmente si tratta del rilascio di un'autorizzazione a singole persone. Queste ultime sarebbero poi elencate in qualità di gruppo nei corrispondenti registri delle comunità o delle comunità di riferimento. Tuttavia, il disegno di ordinanza va esattamente nella direzione opposta. Stabilisce espressamente che i pazienti possono rilasciare autorizzazioni a gruppi di professionisti della salute, la cui composizione deve però essere chiara in ogni momento.

Evidentemente l'UFSP è consapevole che questa situazione può diventare problematica. Infatti, da un lato le comunità devono garantire che i gruppi non abbiano dimensioni smisurate e, dall'altro, nel commento ai requisiti tecnici e organizzativi di certificazione si sottolinea che non bisogna concedere autorizzazioni a un numero eccessivo di professionisti della salute senza un contesto terapeutico. La disposizione secondo cui i gruppi non devono essere troppo grandi ci sembra poco appropriata. Nessuno potrà mai definire infatti una misura di grandezza del gruppo che possa essere impiegata per valutarne la proporzionalità. Una norma più consona considererebbe invece in linea di principio il contesto terapeutico. Tuttavia, proprio quest'ultimo principio è reso completamente privo di spessore dall'ordinanza e da quanto affermato precedentemente. Va infatti esclusa a priori un'autorizzazione non rilasciata esplicitamente da un paziente a professionisti della salute che non sono coinvolti nelle cure.

Uno dei principi definiti per l'eHealth Svizzera sancisce che solo i professionisti della salute che partecipano alle cure possono avere accesso alla cartella informatizzata del paziente. Appare pertanto incomprensibile la posizione dell'UFSP secondo cui il numero di professionisti della salute che non partecipano al trattamento ma che hanno accesso alla cartella informatizzata del paziente non dovrebbe essere troppo elevato. Inoltre, questa problematica viene accentuata dal fatto che può trattarsi di un gruppo dinamico. Si può dunque supporre che un professionista della salute che entra a far parte di un gruppo otterrà automaticamente le autorizzazioni d'accesso corrispondenti. Di conseguenza, non si può più parlare del rilascio di un'autorizzazione da parte del paziente.

Occorre inoltre prestare particolare attenzione anche al ruolo degli assistenti dei professionisti della salute. Benché questo non sia menzionato né nella legge né nel progetto di ordinanza, anche queste persone devono avere accesso alla cartella informatizzata del paziente. Cresce così viepiù la cerchia delle persone con un'autorizzazione d'accesso. Per questo motivo, dai dati dei protocolli i pazienti devono poter riconoscere quali assistenti accedono alla loro cartella informatizzata e per quale professionista della salute lavorano. In definitiva è il professionista della salute la persona responsabile degli assistenti.

In generale, analizzando le disposizioni d'esecuzione relative alla LSIC abbiamo avuto l'impressione che non si miri più chiaramente a una separazione netta tra sistemi primari (p. es. sistema d'informazione sui pazienti di un ospedale o di uno studio medico) e sistemi secondari (p. es. servizio di consultazione della comunità). Forse ciò che appare già ora è che la cartella informatizzata del paziente evolverà verso una sorta di sistema primario.

https://www.edoeb.admin.ch/content/edoeb/it/home/documentazione/rapporti-d-attivita/23--rapporto-d-attivita-2015-2016/disposizioni-d_esecuzione-relative-alla-legge-federale-sulla-car.html