NEWS

Prestazioni sanitarie non remunerate ai pazienti che non conferiscono i propri dati al RIAP: un altro passo falso della Regione Siciliana?

La comunicazione dei dati al RIAP (Registro Italiano ArtroProtesi) è facoltativa da parte del paziente e per questo l’Istituto Superiore di Sanità che lo gestisce chiede correttamente agli interessati il consenso per il trattamento, ma d’altra parte in Sicilia un decreto ha stabilito che in caso di mancato conferimento dei dati le prestazioni sanitarie non vengono remunerate alle strutture sanitarie accreditate. Siamo di fronte a un altro passo falso sul diritto alla protezione dei dati personali da parte della Regione Siciliana dopo il recente avvertimento ricevuto dal Garante lo scorso 22 luglio?

RIAP: in caso di mancato conferimento dei dati le prestazioni sanitarie non vengono remunerate dalla Regione Sicilia

Premessa - I sistemi di sorveglianza e i registri sono istituiti allo scopo di garantire un sistema attivo di raccolta sistematica di dati anagrafici, sanitari ed epidemiologici per registrare e caratterizzare tutti i casi di rischio per la salute, di una particolare malattia e dei suoi trattamenti ed esiti o di una condizione di salute rilevante in una popolazione definita. Trattasi di strumenti di fondamentale importanza.

RIPI e RIAP acronimi rispettivamente di Registro italiano protesi impiantabili e di Registro Italiano ArtroProtesi fanno parte dei Sistemi di sorveglianza di rilevanza nazionale e regionale, istituiti dal D.L. 18 ottobre 2012, n. 179. Il Registro Nazionale delle Protesi Impiantabili (RIPI) istituito con il DPCM 3 marzo 2017 ancora non è attivo, in attesa della pubblicazione del regolamento (di cui all’art. 6 del suddetto DPCM).

Il RIAP costituisce una parte del RIPI e ha come base giuridica per la raccolta dei dati il consenso scritto ed informato del paziente.

Una breve cronistoria della questione può essere utile:

1. Inclusione del RIPI/RIAP tra i sistemi di sorveglianza istituiti dal D.L. 18 ottobre 2012, n. 179;
2. Emanazione del DPCM del 3 marzo 2017 Identificazione dei sistemi di sorveglianza e dei registri di mortalità, di tumori e di altre patologie;
3. In data 01 marzo 2021 la Regione Sicilia pone sostanzialmente l’obbligatorietà della comunicazione dei dati ulteriori rispetto alla SDO (scheda dimissioni ospedaliera) al RIAP, pena il mancato riconoscimento del contributo a carico del Servizio Sanitario Regionale.

Come riportato dal Gruppo di lavoro istituito presso l’istituto superiore Sanità, l’obiettivo del Registro è quello di eseguire un’analisi epidemiologica e una mappatura a livello nazionale degli interventi di sostituzione protesica articolare, proponendo un modello di flusso informativo sviluppare e testare il modello proposto, basato sull’utilizzo delle Schede di Dimissione Ospedaliera (SDO), integrate da un set minimo di informazioni aggiuntive relative al paziente, all’intervento e al dispositivo avviare un arruolamento progressivo delle regioni e vagliare, limitatamente ad alcuni specifici contesti, la possibilità di effettuare valutazioni dell’esito dell’intervento mediante l’utilizzo di Patient Reported Outcome measures.

I dati sanitari riguardanti l'impianto di protesi sono informazioni sensibili ai sensi del GDPR

Il flusso dei dati - I dati vengono pseudonimizzati alla fonte (Centri di riferimento regionale) e le modalità di trasmissione del flusso dei dati personali tra i Registri Regionali e quello Nazionale vengono concordate tra l’ISS e i Referenti Regionali e Provinciali, determinandone anche il costante aggiornamento alla luce delle crescenti novità tecnologiche e delle relative misure di sicurezza, che devono mantenere un’ininterrotta adeguatezza.

Tale flusso è ispirato al principio di minimizzazione dei dati (pertinenza e non eccedenza) tenuto conto delle finalità perseguite dal RIAP, il citato principio è rispettato già dalla prima fase di migrazione del dato, dai Registri regionali a quello nazionale, con l’individuazione del data set minimo.

Secondo quanto riferito dal Gruppo di Lavoro RIAP, coadiuvato dal DPO, dell’Istituto Superiore di Sanità il flusso può essere così descritto.

Le strutture sanitarie (A) raccolgono i dati relativi agli interventi e ai dispositivi impiantati (Minimum Data Set - MDS) e li trasmettono al Centro di riferimento regionale (B) che provvede a effettuare il linkage con le relative schede di dimissione ospedaliera (SDO) e a trasmettere i dati linkati all’Istituto Superiore di Sanità (ISS) (C) per le successive elaborazioni e per la presentazione dei dati in forma aggregata (Report).

In particolare:

a) Prima della trasmissione dei dati linkati da B a C, B provvede a pseudonimizzare il codice identificativo del paziente secondo uno specifico algoritmo (in accordo a quanto definito nella legge n. 262, comma 5.1 pubblicata nella GU 7/12/2016) e standardizza la crittografia del dato in accordo al dato nazionale in modo che lo pseudonimo sia assegnato in modo sicuro nel rispetto della normativa;

b) I dati vengono raccolti dagli ospedali e dalle strutture aderenti al progetto seguendo le indicazioni fornite a livello locale da ciascuna regione partecipante. Per le regioni che non avessero già implementato un proprio flusso di raccolta dati, l’ISS ha messo a disposizione un supporto informatico (piattaforma RaDaR, Raccolta Dati Ricoveri) utile a raccogliere l’MDS;

c) I dati relativi ai dispositivi medici impiantati sono acquisiti mediante selezione del relativo codice prodotto dal Dizionario RIAP-DM, una base di dati che attualmente contiene oltre 90.000 codici prodotto, alimentato costantemente dalle aziende produttrici e accessibile da parte dell’operatore direttamente dalla piattaforma RaDaR. Per le regioni che non utilizzano RaDaR, l’ISS ha provveduto a mettere a disposizione specifici webservice che permettano l’interfacciamento dei sistemi locali con il Dizionario RIAP-DM. Il Gruppo di Lavoro RIAP provvede a verificare la qualità dei dati caricati nel Dizionario RIAP-DM attraverso un confronto con le omologhe informazioni presenti nella Banca Dati Nazionale dei Dispositivi Medici del Ministero della Salute. Dopo che ha selezionato il dispositivo dal Dizionario RIAP-DM, l’operatore inserisce sulla piattaforma il dato relativo al lotto di produzione, informazione disponibile sulle etichette adesive presenti nella scatola del dispositivo;

d) L’ISS raccoglie tutti i dati nel database RIAP e provvede a valutarne la qualità attraverso l’applicazione di una serie di controlli di verifica sintattica e semantica. Le elaborazioni vengono successivamente effettuate sui dati che hanno superato il controllo di qualità.

RIAP: in caso di mancato conferimento dei dati le prestazioni sanitarie non vengono remunerate dalla Regione Sicilia

Il decreto Assessoriale della Regione Sicilia - Ci si interroga in ordine alla legittimità e la compatibilità con la cornice normativa nazionale e di matrice eurounitaria della previsione della Regione Sicilia sulla (sostanziale) obbligatorietà nel conferire tali dati pena il mancato riconoscimento del contributo del SSR, con l’esiziale conseguenza di un possibile ostacolo all’accesso alle cure sanitarie da parte di quei soggetti che decidano di non conferire tali dati al RIAP.

Il decreto infatti prevede che “tutti gli interventi ortopedici che prevedono protesi impiantabili di anca, ginocchia, spalla e caviglia che non saranno registrate nel RIAP non saranno remunerate”.

Il diritto alla protezione dei dati personali come diritto fondamentale non di tipo assoluto, costituisce una precondizione per l’esercizio degli altri diritti fondamentali - ed in questo caso assoluto ed incondizionato -come il diritto alla salute.

Non è un diritto tiranno, ma nemmeno può restringersi in un modo tale da annullarsi, cancellando ogni tutela e garanzia. Delle due l’una: o si inserisce il RIAP/RIPI tra i registri a rilevanza nazionale e regionale la cui alimentazione è obbligatoria da parte delle strutture sanitarie pubblicando il relativo Regolamento previo parere del Garante privacy oppure nelle more del citato Regolamento si elimina la previsione secondo la quale la remunerazione della prestazione è subordinata al consenso rilasciato dal paziente.

Oltre agli aspetti tecnici che in estrema sintesi si è cercato di evidenziare, tale previsione inoltre pone difficoltà operative di non poco conto: come gestire ad esempio l’eventuale revoca del consenso da parte dell’utente successivamente all’erogazione della prestazione sanitaria? Quali effetti per la rendicontazione delle prestazioni da parte delle strutture sanitarie?

L’intervento decisivo, in sede consultiva, del Garante per la protezione dei dati personali è richiesto direttamente dal dettato normativo per l’emanazione di un Regolamento che dovrà occuparsi, tra le altre cose, di definire un sistema un sistema di codifica che non consenta l'identificazione diretta dell'interessato, per l’istituzione del RIPI, per individuare i soggetti che possono avere accesso ai registri e i dati che possono conoscere, nonché le misure per la custodia e la sicurezza dei dati.

Nel frattempo, un intervento dell’Autorità è quantomai auspicabile per risolvere il nodo gordiano di un consenso per finalità scientifiche espresso dall’interessato quale precondizione per l’accesso alle cure sanitarie in regime di convenzione con il Servizio Sanitario regionale.

Note sull'Autore

Rosario Palumbo Rosario Palumbo

Privacy specialist, Data Protection Officer, Giurista d'impresa modelli organizzativi Dlgs 231/01 presso Ergon Ambiente & Lavoro, Delegato Federprivacy per la provincia di Trapani | Email:[email protected]

 

Prev Apple scansionerà il tuo iPhone per tutelare i minori. Ma scatta l'allarme sulla privacy
Next Gli hacker colpiscono Accenture con il ransomwarese e se ne fanno beffe

Vademecum per prenotare online le vacanze senza brutte sorprese

Mappa dell'Italia Puglia Molise Campania Abruzzo Marche Lazio Umbria Basilicata Toscana Emilia Romagna Calabria

Rimani aggiornato gratuitamente con la nostra newsletter settimanale
Ho letto l'Informativa Privacy