di Mauro VITACCA
Le operazioni straordinarie, come la cessione o l’affitto di azienda, pongono sfide complesse riguardo alla regolamentazione della titolarità dei dati e alla gestione del trattamento delle informazioni.
La questione diventa particolarmente delicata quando le operazioni straordinarie vengono effettuate tra soggetti che operano nell’ambito della sanità o di servizi sociosanitari e assistenziali in quanto si ha a che fare con documenti sensibili e dati particolari, come le cartelle cliniche, i referti e le immagini diagnostiche ecc.
In questo contesto, emergono domande fondamentali: Come gestire il trattamento dei dati nelle fasi di negoziazione? Come gestire la documentazione degli archivi storici? Come gestire la condivisione ed il trasferimento dei dati storici localizzati su archivi digitali per i quali non è possibile garantire uno switch-off in “tempo zero”?
Come garantire al cedente / locatore l’accesso ai documenti dell’archivio storico nel caso debba produrre in giudizio documenti per eventi clinici pregressi di cui comunque resta responsabile civilmente in caso di malpractice? Chi ha l’onere di garantire all’interessato l’accesso o copie conformi della documentazione sanitaria pregressa?
La fase di negoziazione
In primo luogo, per quanto riguarda la necessità di condivisione dei dati nella fase di negoziazione, occorrerà ricorrere ad apposita regolamentazione precontrattuale nelle lettere di intenti scambiate tra le parti – così come è naturale che venga definita in questo contesto la riservatezza delle informazioni – ed adottare tutte le più opportune misure di sicurezza e di minimizzazione del trattamento dei dati, con l’adozione di strumenti consolidati quali le Virtual Data room che consentono l’accesso controllato e tracciato alle informazioni, con il ricorso a tecniche di pseudnimizzazione ed alla pubblicazione di riepiloghi sintetici di dati aggregati riferiti, ad esempio, ai volumi di attività ed alle prestazioni erogate. Qui è solo il caso di menzionare le forti criticità legate alle tecniche di pseudonimizzazione dei dati sanitari che non si possono limitare (o non si potrebbero limitare) alla mera cancellazione dei riferimenti anagrafici ed al codice identificativo delle prestazioni(1), con la conseguenza che molti operatori potrebbero non avere né i mezzi né le capacità per poter praticare correttamente tali tecniche.
Normalmente, per la condivisione dei dati tra le parti in fase di negoziazione, si può fare ricorso al legittimo interesse quale base giuridica(2); tuttavia, occorre prestare attenzione quando ci sia la necessità di condividere dati sanitari, come nel caso di una due diligence sulla rischiosità clinica e sulle richieste di risarcimento per malpractice medica. Infatti, trattandosi di dati particolari, questi ricadono nelle eccezioni previste dall’art. 9 del GDPR, che, tuttavia, non prevede il legittimo interesse. Occorre quindi reperire a monte la legittimità del trattamento, nel momento in cui il cedente / locatore ha ricevuto la richiesta di risarcimento. In tale contesto la base giuridica del trattamento diviene quella prevista all’art. 9 par. 2 lettera f) del GDPR: “trattamento necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorità giurisdizionali esercitino le loro funzioni giurisdizionali” con la conseguenza che il titolare avrà inviato apposita informativa al paziente, che ha avanzato la richiesta di risarcimento o dato avvio a procedimento giudiziale, con la quale lo informa che i dati possono essere trasmessi e condivisi con broker, compagnie assicurative, legali, periti medico-legali ecc. Quindi nella fase di due diligence – finalizzata alla verifica più ampia verifica delle condizioni di trasferimento da un soggetto all’altro di attività, passività e rapporti giuridici – sarà opportuno chiedere l’intervento dei rispettivi broker (del cedente e del cessionario) che, agendo entrambi in qualità di responsabili del trattamento nei confronti del cedente titolare, sebbene in contraddittorio tra di loro e scindendo l’attività di assessment propria della due diligence dalla predisposizione una qualsiasi offerta commerciale, svolgeranno, le loro attività di accertamento dello stato di fatto dell’esercizio o della difesa di un diritto in sede giudiziaria, tutt’ora in capo al cedente, per determinare innanzitutto:
- la passività potenziale delle pratiche di risarcimento in corso, piuttosto che,
- il livello di rischio clinico anche in funzione del contenzioso storico.
Sulla base di tale accertamento il broker del cessionario/conduttore potrà formulare successivamente una autonoma quotazione per la copertura assicurativa – peraltro formulata sulla base di differenti presupposti commerciali e diversi livelli di concentrazione del rischio rispetto a quelli che erano in capo al cedente – che potrà essere sottoscritta o sarà operativa solo quando diverrà efficace il contratto di cessione/affitto con conseguente mutamento della titolarità dei dati.
La nuova titolarità dopo il closing
Avvenuto il closing, infatti, alla data della consegna della struttura, il cessionario / affittuario diviene a tutti gli effetti nuovo titolare e, in quanto tale, ha l’obbligo di di procedere ex novo:
- a un’analisi dei rischi e,
- alla redazione del registro dei trattamenti,
indipendentemente da quanto possa aver fatto o non fatto il precedente gestore/proprietario, con l’eventuale adozione di nuove e più efficaci misure di sicurezza e predisposizione di documenti di valutazione di impatto laddove ce ne siano i presupposti.
È il caso di citare in questa sede un caso di fusione per incorporazione dove il Garante esonerava il soggetto incorporante “… dall´obbligo di rendere una nuova informativa in forma individuale agli interessati, i cui dati personali siano trattati dalle aziende .. coinvolte nella procedura di fusione per incorporazione alle quali sono subentrate e autorizza a trattare i dati personali degli interessati, riferiti in particolare ai pazienti, nei limiti delle sole finalità di cura originariamente perseguite, a condizione che siano adottate le modalità semplificate per l´aggiornamento dell´informativa(3)..”.
La condivisione dei dati post closing
Può capitare, tuttavia, che molti dati debbano continuare ad essere condivisi tra le due parti su archivi digitali gestiti da fornitori del cedente/locatore i cui database, sebbene separati logicamente da altri dati, non possono essere immediatamente replicati o trasferiti nei database del cessionario / affittuario, o per motivi contrattuali o per motivi di non interoperabilità dei sistemi o perché, addirittura, si tratta di base dati, utilizzate solo per consultazione eventuale, create tramite software applicativi obsoleti, fuori manutenzione e non più aggiornati dal fornitore. È quindi opportuno regolare, in questi casi, i rapporti con accordo tra titolare (cessionario / affittuario) ed il responsabile (cedente/locatore), che continua ad archiviare i dati e sovente ne ha l’accesso esclusivo.
Quanto sopra ha a che fare con la corretta individuazione della titolarità degli archivi dei documenti sanitari pregressi, siano essi in formato analogico che digitale. Non sembra possano esserci dubbi nel caso di alienazione di una struttura sanitaria o sociosanitaria. In questo caso anche gli archivi storici “seguono” la struttura e il cessionario dovrà garantire, agli interessati che lo richiedono, il diritto di accesso e dovrà fornire, nel caso, copia conforme della documentazione.
È importante sottolineare che la documentazione sanitaria costituisce un importante elemento di prova nella determinazione della responsabilità professionale nei casi di malpractice medica, responsabilità che può avere anche risvolti penali a carico dei professionisti direttamente coinvolti. La ripartizione della responsabilità civile per gli eventi clinici pregressi e delle relative coperture assicurative è solitamente oggetto di accordo tra le parti, ma, normalmente, è il cedente che risponde dei danni cagionati fino al momento di consegna della struttura. Il cessionario potrà quindi rivalersi sul cedente nel caso in cui la carenza, incompletezza o irregolarità della documentazione lo esponga a responsabilità civile, così come, a sua volta, il cedente dovrà poter accedere a copie della documentazione nel caso in cui debba difendersi in giudizio o sia chiamato a produrla a beneficio di autorità giudiziarie o pubblici ufficiali legittimati.
Dubbi possono sorgere nel caso di affitto di azienda in quanto il locatore rimane comunque proprietario della struttura e, quindi, anche dell’archivio storico; inoltre, anche se l’archivio storico viene affidato alla gestione del conduttore, al termine del contratto di affitto, il locatore ne ritornerà in possesso.
Data la mancanza di una esplicita previsione normativa, questi aspetti sono lasciati alla negoziazione delle parti che, però solitamente, come si può immaginare, è maggiormente concentrata su altri aspetti, rinviando l’individuazione della soluzione operativa, su chi e come deve gestire l’archivio storico, successivamente al closing, lasciando spesso ampi margini di indeterminatezza. È invece assolutamente opportuno che le parti definiscano contrattualmente questo aspetto; tuttavia, in assenza di ciò, si può far ricorso ad alcuni principi generali.
I principi di riferimento
In primo luogo, gli articoli 5 e 7 del DPR 128/69, che regola l’ordinamento interno dei servizi ospedalieri, indicano chiaramente il direttore sanitario quale responsabile dell’archivio delle cartelle cliniche; sembra quindi indubbio che, anche in questo caso, l’archivio storico debba “seguire” la struttura e non possa non essere il direttore sanitario della struttura passata in gestione al conduttore ad essere responsabile dell’archivio. Si pensi, inoltre, al caso in cui il locatore, una volta affittata la struttura sanitaria, si trovi nella situazione di non gestire altre strutture e, quindi, di non avere un direttore sanitario che possa farsi carico della responsabilità dell’archivio.
In secondo luogo, il Garante della protezione dei dati, con provvedimento nr. 55 del 7/3/2019(4), individua chiaramente i casi in cui è possibile trattare i dati sanitari:
- Motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli stati membri (art. 9 par. 2 lettera g del GDPR)
- Motivi di interesse pubblico nel settore della sanità pubblica (art. 9 par. 2 lett. i del GDPR)
- Finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali (art. 9 par. 2 lett. h GDPR) effettuati da (o sotto la responsabilità di) un professionista sanitario soggetto al segreto professionale o da altra persona anch’essa soggetta all’obbligo di segretezza
Nel provvedimento vengono poi indicati i casi che richiedono il consenso per poter trattare dati sanitari e precisamente:
- Trattamenti connessi all’utilizzo di App mediche;
- Trattamenti preordinati alla fidelizzazione della clientela;
- Trattamenti effettuati in campo sanitario da persone giuridiche private per finalità promozionali;
- Trattamenti effettuati da professionisti sanitari per finalità commerciali o elettorali;
- Trattamenti effettuati attraverso il fascicolo sanitario elettronico (caso successivamente escluso con Decreto-legge 34 del 19 maggio 2020 il quale ha previsto che l’attivazione e l’alimentazione del FSE avvenga in maniera automatica);
- Trattamenti effettuati attraverso il dossier sanitario.
La proposta di Regolamento del Parlamento Europeo e del Consiglio sullo spazio europeo dei dati sanitari, del 3 maggio 2022 (EHDS)(5) prevede, quali casi di uso secondario dei dati, le seguenti finalità:
- attività per motivi di pubblico interesse nell’ambito della sanità pubblica e della medicina del lavoro, quali la protezione da gravi minacce per la salute a carattere transfrontaliero, la sorveglianza della sanità pubblica o la garanzia di elevati livelli di qualità e sicurezza dell’assistenza sanitaria e di medicinali o dispositivi medici;
- il sostegno nei confronti di enti pubblici o di istituzioni, organi e organismi dell’Unione, comprese le autorità di regolamentazione, del settore sanitario o dell’assistenza affinché svolgano i compiti definiti nei rispettivi mandati;
- la produzione di statistiche ufficiali a livello nazionale, multinazionale e dell’Unione relative al settore sanitario o dell’assistenza;
- attività d’istruzione o d’insegnamento nel settore sanitario o dell’assistenza;
- attività di ricerca scientifica nel settore sanitario o dell’assistenza;
- attività di sviluppo e innovazione per prodotti o servizi che contribuiscono alla sanità pubblica o alla sicurezza sociale, oppure che garantiscono elevati livelli di qualità e sicurezza dell’assistenza sanitaria, dei medicinali o dei dispositivi medici;
- attività di addestramento, prova e valutazione degli algoritmi, anche nell’ambito di dispositivi medici, sistemi di IA e applicazioni di sanità digitale, che contribuiscono alla sanità pubblica o alla sicurezza sociale, oppure che garantiscono elevati livelli di qualità e sicurezza dell’assistenza sanitaria, dei medicinali o dei dispositivi medici;
- erogazione di un’assistenza sanitaria personalizzata che consiste nel valutare, mantenere o ripristinare lo stato di salute delle persone fisiche sulla base dei dati sanitari di altre persone fisiche.
La definizione di titolare fornita dall’art. 2 del EHDS non sembra aiutare più di tanto al nostro scopo: è titolare “una persona fisica o giuridica che è un soggetto o un organismo del settore sanitario o dell’assistenza, o che svolge attività di ricerca in relazione a tali settori, nonché le istituzioni, gli organi e gli organismi dell’Unione che hanno il diritto o l’obbligo, conformemente al presente regolamento, al diritto dell’Unione applicabile o alla legislazione nazionale di attuazione del diritto dell’Unione, o, nel caso di dati non personali, mediante il controllo della progettazione tecnica di un prodotto e dei servizi correlati, la capacità, di rendere disponibili determinati dati, anche in termini di registrazione, fornitura, limitazione dell’accesso o scambio”.
La soluzione proposta e conclusioni
A parere di chi scrive, quindi, al di fuori dei casi di utilizzo di app mediche, di gestione di contratti assicurativi per polizze sanitarie, o degli altri casi espressamente previsti dal Garante nel provvedimento nr. 55 del 2019, non sembrerebbe possibile prevedere un trattamento dei dati sanitari di semplice conservazione/archivio, slegato dallo svolgimento di un’attività sanitaria.
Assumendo per ipotesi che ciò fosse lecito, è noto che, contrariamente rispetto alla situazione ante GDPR – sempre escludendo i casi espressamente previsti dal Garante – non è più necessario acquisire il consenso per il trattamento dei dati sanitari per finalità di cura, con la conseguenza che, diversamente, a fronte della mutata finalità (da finalità di cura a mera finalità di archivio), occorrerebbe acquisire il consenso per i dati e documenti che ne sono privi perché acquisiti dopo l’entrata in vigore del GDPR. In sintesi, la mera attività di archivio, laddove svolta da soggetto diverso rispetto a chi svolge attività sanitaria, sembrerebbe poter essere svolta in qualità di responsabile del trattamento, ma non di titolare. Anche in questo caso, infatti, nulla vieta che il locatore possa continuare a svolgere, in qualità di responsabile, l’attività di archivio per conto del conduttore titolare.
Come si vede si tratta di una conclusione che non parte da previsioni normative o provvedimentali che regolano il caso specifico della cessione o dell’affitto di una struttura sanitaria, ma che pur partendo da principi generali importanti, lascia lo spazio ad accordi contrattuali che di volta in volta regolano i rapporti tra le parti e la cui implementazione richiede un attento monitoraggio e, se necessario, adattamenti in base all’evoluzione normativa e alle specificità delle singole operazioni.
Intervento di Mauro Vitacca, Compliance Manager c/o Fondazione Opera San Camillo – Milano
Per approfondimenti, consultare i seguenti link e/o riferimenti:
(1) Gruppo di lavoro art. 29 per la protezione dei dati Parere 05/2014 sulle tecniche di anonimizzazione 10 aprile 2014;
(1) Publications: Engineering personal data sharing – ENISA Gennaio 2023
(2) Network Digital360 – RiskManagement360: AA.VV. Incidenza della privacy nel processo: la fase preparatoria – ottobre 2020
(3) Garante Privacy, Provvedimento n. 477 del 16 novembre 2017
(4) Garante Privacy, Provvedimento n. 55 del 7 marzo 2019
(5) EDPB-EDPS | Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space – EDPB, 12 July 2022
(5) Proposta di REGOLAMENTO del Parlamento Europeo e del Consiglio sullo Spazio europeo dei dati sanitari – COM/2022/197 final, 3 maggio 2022
(5) Network Digital360 – Agenda Digitale. Marzia Piscopo, Silena Zipponi: European Health Data Space e uso secondario dei dati: le molte domande ancora senza risposta – maggio 2023