DOTTORATO DI RICERCA IN DIRITTO E NUOVE TECNOLOGIE
Alma Mater Studiorum – Università di Bologna
DOTTORATO DI RICERCA IN DIRITTO E NUOVE TECNOLOGIE
curriculum “Informatica giuridica e diritto dell’informatica”
Ciclo XXVI
Settore Concorsuale di afferenza: 12/H3
Settore Scientifico disciplinare: IUS/20
Il Fascicolo Sanitario Elettronico tra Semantic Web e diritto alla privacy
Presentata da: Xxxxx Xxxxxxxxx Xxxxxx
Coordinatore Dottorato Relatore
Xxxx. Xxxxxxxx Xxxxxx Prof.ssa Xxxxxx Xxxxxxxxx
Esame finale anno 2014
“Credete nei vostri sogni: anche se a volte sembrano impossibili non buttateli, ma lottate per realizzarli. Più sono importanti, più il percorso che vi aspetta è difficile, ma vale la pena andare avanti, sempre. Solo così la vita diventerà la vostra vita”
(da X. XXXXXXXX, X. XXXXXXXXX, Lo sguardo oltre le dune, Corbaccio, Milano, 2011)
4.2.1.3 “eXtensible Access Control Markup Language” 56
4.2.1.4 Architettura progetto “ELGA” 57
4.4.1.1 Progetto “OpenInFSE” 71
4.4.1.2 Progetto “Evoluzione e interoperabilità tecnologica del Fascicolo Sanitario Elettronico” 72
SISTEMI INFORMATIVI E DATI PERSONALI 74
1. “Security” e “privacy” tra sistemi informativi e diritti dell’utente 74
2. Profili di sicurezza dei sistemi informativi 76
2.1 Cenni su Sistemi di Gestione della Sicurezza delle Informazioni e standard di sicurezza informatica 81
2.1.1 Sicurezza informatica in sanità 82
3. Introduzione al tema della “privacy”. Uno sguardo ai principi giuridici comunitari 84
4. I dati sanitari nelle Raccomandazioni del Consiglio d’Europa 90
5. Il trattamento dei dati sanitari in Italia 93
5.1 La disciplina dei dati sanitari nel “Codice in materia di protezione dei dati personali” 95
5.2 Le “Linee guida in tema di fascicolo sanitario elettronico e di dossier sanitario”
del Garante per la protezione dei dati personali 100
5.3 “Il Fascicolo Sanitario Elettronico. Linee guida nazionali” del Ministro della Salute 106
5.4 La recente normativa in materia di sanità digitale e Fascicolo Sanitario Elettronico 111
5.4.1 I decreti-legge 179/2012 e 69/2013 111
5.4.2 Lo schema di decreto sul Fascicolo Sanitario Elettronico attualmente all’esame della Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province Autonome di Trento e Bolzano 115
CAPITOLO IV | 119 | |
LA SFIDA TECNOLOGICA: | 119 | |
SICUREZZA E RIUSO DEI DATI SANITARI | 119 | |
1. I dati al centro dei sistemi informativi sanitari. Elementi essenziali per | il | |
miglioramento della salute individuale e collettiva | 119 | |
2. “Privacy Enhancing Technology”: origini, evoluzione e principi generali | 123 | |
2.1 Le “Privacy Enhancing Technology” nella visione della Commissione europea | 127 | |
2.2 “Privacy Enhancing Technology” e e-Health | 130 | |
3. La “Privacy by Design”: origini e principi generali | 132 | |
3.1 Il modello della “Privacy by Design” ed il Fascicolo Sanitario Elettronico | 135 | |
4. I dati come risorsa per le sfide sociali | 136 | |
4.1 La risposta italiana al processo di apertura dei dati | 139 | |
4.2 Gli “Open Data” ed i “Linked Open Data” come strumento di interoperabilità | 143 | |
5. Il Fascicolo Sanitario Elettronico come fonte di conoscenza scientifica | 146 | |
CONCLUSIONI | 152 | |
APPENDICE | 158 | |
BIBLIOGRAFIA | 180 |
ABBREVIAZIONI
AA | Attribute Authority |
APIs | Application Programming Interface |
ATNA | Audit Trail and Note Authentication |
BPPC | Basic Patient Privacy Consent |
CDA | Clinical Document Architecture |
CDR | Clinical Data Repository |
CEN | European Committe for Standardization |
CMR | Computerised Medical Record |
Continua | Continua Health Alliance |
CSE | Carta Sanità Elettronica |
CT | Consistent Time |
DICOM | Digital Imaging and Communications in Medicine |
DMR | Digital Medical Record |
ebXML | Electronic Business using eXtensible Markup Language |
ECR | Electronic Client Record |
EDI | Electronic Data Interchange |
EDIFACT | Electronic Data Interchange For Administration, Commerce and |
Transport | |
EHR | Electronic Health Record |
EMR | Electronic Medical Record |
EPR | Electronic Patient Record |
epSOS | Smart Open Services for European Patients |
epSOS MTC | epSOS Master Translation/Transcoding |
FSE | Fascicolo Sanitario Elettronico |
FP7 | Seventh EU Research Framework Programme |
GP | General Practicer |
HL7 | Health Level 7 |
HPI | Healthcare Provider Index |
HTTP | Hypertext Transfer Protocol |
IBSE | Infrastruttura di Base per la Sanità Elettronica |
IBIS | InfoBroker Individuale Sanitario |
ICD | International Classification of Diseases |
ICT | Information and Communication Technologies |
IdP | Identity Provider |
IEEE | Institute of Electrical and Electronics Engineers |
IHE | Integrating the Healthcare Enterprise |
IHTSDO | International Health Terminology Standards Development |
InFSE | Infrastruttura Tecnologica del Fascicolo Sanitario Elettronico |
IPSE | sperimentazione di un sistema per l’Interoperabilità europea e |
nazionale delle soluzioni di fascicolo sanitario elettronico: | |
componenti Patient Summary ed Eprescription | |
ipSEC | Internet Protocol Security |
ISO | International Organization for Standardization |
LOD | Linked Open Data |
LOINC® | Logical Observation Identifiers Names and Codes |
LPI | Local Patient Index |
MMG | Medico di Medicina Generale |
NCP | National Contact Point |
NEMA | National Electrical Manufacturers Association |
NSIS | Nuovo Sistema Informativo Sanitario |
OASIS | Organization for the Advancement of Structured Information |
Standards | |
OD | Open Data |
OIO-XML | Offentlig Information Online eXtensible Markup Language |
OMS | Organizzazione Mondiale alla Sanità |
ONG | Organizzazione Non Governativa |
PA | Profile Authority |
PAP | Policy Administration Point |
PbD | Privacy by Design |
PCC | Patient Care Coordination |
PDQ | Patient Demography Query |
PDP | Policy Decision Point |
PEP | Policy Enforcement Point |
PET | Privacy Enhancing Technology |
PHR | Personal Health Record |
PHR | Population Health Record |
PIP | Policy Information Point |
PIX | Patient Identifier Cross Referencing |
PSE | Piano di Sanità Elettronica |
P3P | Platform for Privacy Preferences |
RBAC | Role-Based Access Control |
RBAC | Rule-Based Access Control |
RDF | Resource Description Framework |
Rel | Release |
RIM | Reference Information Model |
SAML | Security Assertion Markup Language |
SNOMED CT | Systematized Nomenclature of Medicine - Clinical Terms |
SPARQL | SPARQL Protocol and RDF Query Language |
SPCoop | Sistema Pubblico di Connettività e Cooperazione |
STS | Security Token Service |
TIC | Tecnologie dell’Informazione e della Comunicazione |
TC | Technical Commission |
TL/SSL | Trasport Layer Security |
UE | Unione europea |
URI | Uniform Resource Identifier |
VPN | Virtual Private Network |
WHO | World Health Organization |
WS-Security | Web Services Security |
WS-Trust | Web Services Trust |
XACML | eXtensible Access Control Markup Language |
XCA | Cross Community Assertion |
XDS | Cross Enterprise Document Sharing |
XML | eXtensible Markup Language |
XUA | Cross Enterprise User Assertion |
W3C | World Wide Web Consortium |
INDICE DELLE FIGURE
Figura 1 - Il Fascicolo Sanitario Elettronico tra Semantic Web e diritto alla privacy 3
Figura 2 - Selezionati documenti europei in materia di e-Health 11
Figura 3 - Esemplificazione di un processo aziendale sanitario 35
Figura 4 - Infrastrutture di un Sistema Informativo Sanitario 36
Figura 5 - Integrazione olistica delle informazioni sanitarie, patient-based 38
Figura 6 - ELGA Information Security System 57
Figura 7 - Local Affinity Domain 60
Figura 8 – “Component Layer” della SOA InFSE 68
Figura 9 - La tutela dei dati sensibili 75
Figura 10 - Privacy:Security=User:System 76
Figura 11 - Framework italiano in tema di tutela dei dati sanitari e FSE 94
Figura 12 - Tipologia dei dati personali nella legislazione italiana vigente 95
Figura 13 - Struttura dinamica del FSE 113
Figura 14 - I dati sanitari come vettore per il miglioramento della salute personale
e collettiva 120
Figura 15 - Principi fondamentali delle PET 125
Figura 16 - Screenshot xxx.xxxx.xxxxxx.xxx (ultimo accesso: marzo 2014) 142
Figura 17 - Step per il processo di apertura dei dati 143
Figura 18 - I tipi di informazioni del FSE 151
Figura 19 - ELGA StyleSheet 172
INTRODUZIONE
SOMMARIO: 1. Il contesto - 2. Gli obiettivi della ricerca - 3. La metodologia - 4. La struttura
1. IL CONTESTO
L’applicazione delle Tecnologie dell’Informazione e della Comunicazione (TIC) nei sistemi sanitari è oggi una realtà; conoscere le potenzialità dei nuovi strumenti è essenziale non soltanto per adottare soluzioni funzionali alla semplificazione ed al contenimento dei costi, ma, soprattutto, per valorizzare una partecipazione attiva e consapevole del “paziente digitale”1.
Analogamente, il Fascicolo Sanitario Elettronico (FSE) è considerato in letteratura come un importante mezzo per il raggiungimento degli auspicati risultati di sanità digitale (supporto ai processi operativi, miglioramento della qualità dei servizi, riduzione della spesa pubblica), ma altrettanto fondamentale per l’assistenza, frontaliera e transfrontaliera, ai pazienti, nonché per il raggiungimento di un’effettiva e più ampia cooperazione tra le pubbliche amministrazioni coinvolte tanto a livello nazionale quanto a livello europeo. In questo senso, dunque, il Fascicolo Sanitario Elettronico non è mero spazio fisico per la registrazione di dati, sebbene questi ne costituiscano il nucleo vitale.
Principali dati contenuti nel FSE sono l’anagrafica per l’identificazione dell’utente nonché informazioni attinenti la storia clinica dell’assistito (ricoveri ospedalieri, specialistica ambulatoriale, prestazioni farmaceutiche, assistenza residenziale, assistenza domiciliare, accessi al Pronto Soccorso etc.).
Con specifico riferimento ai processi diagnostico-terapeutici, funzioni paradigmatiche del FSE sono: (i) registrare con precisione e rendere rapidamente reperibili i dati sulle indagini in programma e sui trattamenti prescritti ed effettivamente somministrati; (ii) fornire l’interpretazione dei dati avanzata dal medico responsabile del paziente nonché i motivi che hanno indotto ad iniziare, sospendere o modificare un trattamento ovvero propendere per l’esecuzione di un esame di laboratorio o di un’indagine strumentale; (iii) consentire una comunicazione efficiente e rapida fra i diversi operatori sanitari per una gestione condivisa dei problemi dell’assistito; (iv) rendere espliciti e giustificare i motivi razionali
1 Con tale accezione ivi s’intende sottolineare il mutamento di approccio, rispetto ad una visione tradizionale, dell’assistito con il Sistema Sanitario, per quanto concerne le modalità di accesso e fruizione dei servizi di assistenza, i processi di prevenzione e cura, così come, sempre più frequentemente, le dinamiche relazionali con il personale sanitario (medico di medicina generale/pediatra di libera scelta o specialista).
delle decisioni terapeutiche in caso di contestazioni in sede medico-legale.
Oggetto di crescente interesse, tanto da parte dell’Unione europea e dei 27 Paesi membri quanto dei pazienti stessi, il Fascicolo Sanitario Elettronico può, quindi, contribuire ad una miglior cura del paziente nonché agevolare un accesso semplice ed efficace ai servizi sanitari. In questo scenario, tanto la Pubblica Amministrazione quanto l’utente sono attori privilegiati, verso cui, peraltro, standard2 tecnici, politiche comunitarie, norme e prassi vigenti sono chiamate ad orientarsi, soprattutto, a fronte dei livelli, elevati e stabili, di mobilità che richiedono rapide forme di accessibilità e scambio delle informazioni sanitarie. Per raggiungere tali obiettivi, gli Stati membri dell’Unione europea, con l’Agenda digitale europea, si sono, ad esempio, impegnati ad intraprendere due azioni (13 e 14): (i) dotare i cittadini europei di un accesso online sicuro ai dati sanitari entro il 2015;
(ii) definire standard per l’interoperabilità europea dei Fascicoli Sanitari Elettronici.
Il quadro sinteticamente illustrato risente, però, di significativi ostacoli attuativi, di tipo culturale, tecnologico e giuridico. Società multietnica in cui convivono lingue e tradizioni (anche mediche) plurime, digital divide, banda larga non uniforme sul territorio nazionale, regole tecniche spesso frammentate, sistemi informativi frequentemente non interconnessi, normativa internazionale, europea e nazionale eterogenea, limitata cooperazione transfrontaliera tra le pubbliche amministrazioni sono, infatti, soltanto alcune tra le criticità che richiedono maggiore attenzione da parte di politici ed esperti di settore.
Non è di secondaria importanza, altresì, evidenziare la logica con cui dati e documenti sanitari digitali sono, spesso, a tutt’oggi, strutturati: essa, infatti, come segnalano esperti ed operatori del settore, così come emerge dai documenti tecnici di settore, è ancora fortemente incentrata sulle già consolidate versioni cartacee. In altri termini, in numerosi casi, la struttura dei dati medici si presenta come mera trasposizione degli analoghi documenti di tipo analogico, compromettendo, di conseguenza, la semantica e l’interoperabilità delle informazioni.
Ciò spiega le ragioni per cui lavorare sul concetto di interoperabilità è una pista strategica sia nazionale (centrale e locale) sia comunitaria. Operare a tale livello richiede, tuttavia, una forte sinergia per la predisposizione di modelli architetturali di FSE che rispettino da una parte gli standard sintattici, semantici, tecnici ed organizzativi, la cui necessità più volte è stata ribadita dalla Commissione europea, dall’altra le discipline vigenti e le prassi in essere in materia di protezione dei dati personali, considerata la natura sensibile delle
2 Nel rispetto delle più severe regole della linguistica generale, nel presente lavoro la forma plurale dei forestierismi non adattati non è stato utilizzata.
informazioni raccolte nel Fascicolo Sanitario Elettronico.
La figura 1, di seguito riportata, tratteggia il contesto presentato, a partire dal quale è stato articolato il presente studio.
Figura 1 - Il Fascicolo Sanitario Elettronico tra Semantic Web e diritto alla privacy3
3 La figua 1 è stata presentata da Xxxxx Xxxxxxxxx Xxxxxx come “Poster” durante l’iniziativa “Progetti in mostra” (Bologna, 17-25 maggio 2012), organizzata da Università di Bologna e Fondazione Alma Mater, cui
2. GLI OBIETTIVI DELLA RICERCA
Obiettivo generale della ricerca è stato quello di ricostruire, in modo sistematico ma funzionale, lo stato dell’arte in materia di Fascicolo Sanitario Elettronico, con una precipua attenzione ai temi della protezione dei dati personali e degli standard in sanità nonchè alle “relazioni” tra questioni giuridiche e tecnologiche.
Obiettivi specifici della ricerca sono stati, anzitutto, quello di delineare le criticità esistenti nello stato dell’arte e di suggerire nuovi approcci soprattutto in merito all’utilizzo con finalità secondarie dei dati collezionati nel FSE. Tale profilo implica la necessità di nuove riflessioni tecnico-giuridiche, sia per ciò che concerne il design dei sistemi informativi sia per ciò che concerne visioni di garantismo a priori relative all’utilizzo dei dati sanitari.
3. LA METODOLOGIA
Le peculiarità del curriculum “Informatica giuridica e diritto dell’informatica” del dottorato di ricerca in “Diritto e nuove tecnologie” hanno orientato verso una lettura tecnico-giuridica delle problematiche inerenti il Fascicolo Sanitario Elettronico.
Si è preferita una prospettiva critica che, senza eludere il dettaglio di alcuni profili essenziali per la comprensione dello strumento esaminato, ha, però, voluto favorire un approccio per “questioni aperte”.
L’attenzione al più ampio tema della sanità digitale, nel quale il FSE si colloca, è stata inevitabile, così come inevitabile è stata la contestualizzazione europea del tema in esame. L’analisi delle strategie politiche, delle norme vigenti, delle azioni in essere ha permesso di delineare lo scenario comunitario nel quale l’e-Health assume un ruolo di grande interesse. La revisione della letteratura esistente ha, poi, consentito di definire le peculiarità architetturali del FSE e le relative potenzialità. In particolare, attraverso lo studio di selezionati progetti sono stati individuati gli standard utilizzati nei sistemi informativi di FSE; ciò ha permesso di individuare le principali affinità tecnologiche e, parimenti, di
osservare le criticità soprattutto legate alla struttura dei dati.
Per ciò che concerne la parte normativa della ricerca, in particolare le questioni in materia di protezione dei dati personali e la definizione di un contesto nazionale dedicato al FSE, in un certo senso può asserirsi che l’opera non è conclusa. Dal gennaio 2011, anno di
hanno partecipato i giovani ricercatori delle Scuole di dottorato dell’Alma Mater Studiorum – Università di Bologna. Il Poster “Il Fascicolo Sanitario Elettronico tra Semantic Web e diritto alla privacy” ha ricevuto l’attestato di merito “miglior poster per l’efficacia comunicativa all’interno dell’area umanistica”.
inizio del presente lavoro, ad oggi, notevoli mutamenti sono in corso, sia sul fronte comunitario (pensiamo ad esempio alla “Proposta di regolamento sulla protezione dei dati personali” del 25 gennaio 2012), sia su quello nazionale (dall’assenza di disposizioni cogenti sul FSE, si è infatti arrivati ai recenti provvedimenti di rango primario sul FSE - decreti-legge 179/2012 e 69/2013 -, alcuni dei quali sono oggetto di discussione - trattasi dello “schema di decreto sul Fascicolo Sanitario Elettronico” attualmente all’esame della Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e Bolzano -).
I principi in tema di “Privacy by Design” e di “Open Data” hanno sollecitato nuove considerazioni rispetto all’assetto originale della presente ricerca. In particolare, un ruolo fondamentale è stato riconosciuto al dato sanitario de-identificato collezionato nel FSE nonché alla valenza di tale informazione per finalità secondarie, di sanità pubblica e ricerca. Da qui, la convinzione di una lettura sinergica e, forse nuova, dei concetti di security e privacy nella modellazione di sistemi informativi sanitari nonché l’importanza di sostenere modelli di armonizzazione tecnico-giuridici.
4. LA STRUTTURA
Lo studio si articola in quattro capitoli che hanno lo scopo di tratteggiare lo stato dell’arte in materia di Fascicolo Sanitario Elettronico. L’attenzione al contesto europeo nel quale la storia di questo strumento di sanità elettronica si colloca è stata, però, imprescindibile: politiche, norme, tecnologie e prassi di interesse hanno, infatti, anticipato le azioni italiane in essere, a cui è stata inevitabilmente dedicata buona parte della ricerca.
Il capitolo I, intitolato “e-Health e Fascicolo Sanitario Elettronico. Prospettive politiche e giuridiche dell’Unione europea”, ripercorre le tappe principali in materia di sanità elettronica, fin dai primi impulsi all’e-Health nei piani dell’Unione europea. Leitmotiv della ricerca è stato il concetto di interoperabilità dei sistemi informativi sanitari, ribadita da precisi provvedimenti comunitari di cui si è dato riscontro. Sono stati, infine, richiamati i più recenti provvedimenti europei sull’e-Health, quali, ad esempio, “Europa 2020” ed il “Piano d’azione Sanità Elettronica 2012-2020” da cui emergono priorità e strategie per il futuro a cui sono chiamati ad orientarsi i 27 Paesi membri.
Il capitolo II, dedicato a “Il Fascicolo Sanitario Elettronico nell’attuale scenario europeo ed italiano”, ha una connotazione prevalentemente tecnica. Definito il concetto di FSE, alla luce della letteratura esistente in materia, lo studio considera per brevi cenni il processo di standardizzazione in sanità, ricordando le principali organizzazioni di standardizzazione.
Tale introduzione è funzionale all’analisi di selezionati progetti, europei e nazionali, che ha avuto ad oggetto gli elementi essenziali dell’architettura del FSE. In particolare, esaminati i progetti in essere tra i 27 Stati membri, tenuto conto di esperienze pilota europee, di contesti con avanzate e solide radici nel settore dell’e-Health, di azioni di più recente evoluzione sia tecnica sia giuridica sul FSE nonché dello scenario italiano, lo studio ha riferito, per precise ragioni, dei seguenti prodotti: progetto “Smart Open Services for European Patients” (UE); progetto “ELGA - Elektronische Gesundheitsakte” (Austria); progetto “MedCom” (Danimarca); progetto “Infrastruttura tecnologica del Fascicolo Sanitario Elettronico”, progetto “OpenInFSE: Realizzazione di un’infrastruttura operativa a supporto dell’interoperabilità delle soluzioni territoriali di fascicolo sanitario elettronico nel contesto del sistema pubblico di connettività”, progetto “Evoluzione e interoperabilità tecnologica del Fascicolo Sanitario Elettronico”, progetto “IPSE - Sperimentazione di un sistema per l’interoperabilità europea e nazionale delle soluzioni di Fascicolo Sanitario Elettronico: componenti Patient Summary e ePrescription” (Italia).
Il capitolo III affronta la questione dei “Sistemi informativi e dati personali in sanità elettronica”, a partire da una lettura, il più possibile armonica, dei temi tecnici e giuridici. Sicurezza dei sistemi informativi sanitari e protezione dei dati personali sono, infatti, aspetti distinti ma complementari, dal momento che la loro implementazione salvaguardia un interesse inerente ora una persona fisica ora un sistema. Individuati i profili di sicurezza dei sistemi informativi, la ricerca considera i principi giuridici, comunitari e nazionali, sul trattamento dei dati personali e sanitari, fino alla più recente normativa in materia di sanità digitale e Fascicolo Sanitario Elettronico.
Il capitolo IV intende cogliere “La sfida tecnologica: sicurezza e riuso dei dati sanitari”, accogliendo l’idea di considerare i dati de-identificati raccolti nel FSE come risorsa per le sfide sociali e fonte per la conoscenza scientifica. Nel rigoroso rispetto delle norme in tema di trattamento dei dati personali, è possibile aprire un’importante riflessione sull’applicabilità dei principi di “Open Data” e “Linked Open Data” anche al FSE, quale concreta risposta all’esigenza di interoperabilità. L’auspicio è, dunque, l’armonizzazione dei profili tecnologico e legislativo a beneficio della tutela del diritto alla salute, anche a partire dall’implementazione della “Privacy by Design”.
CAPITOLO I
E-HEALTH E FASCICOLO SANITARIO ELETTRONICO. PROSPETTIVE POLITICHE E GIURIDICHE DELL’UNIONE EUROPEA
SOMMARIO: 1. La “sanità elettronica” - 2. I primi impulsi all’e-Health nei piani dell’Unione europea - 3. Verso una società dell’informazione sicura ed interoperabile - 4. “Europa 2020”: priorità e strategie europee per l’e-Health - 5. Le strategie nazionali degli Stati membri - 6. Una sanità innovativa per il 21esimo secolo: il “Piano d’azione Sanità Elettronica 2012-2020”
1. LA “SANITÀ ELETTRONICA”
Per sanità elettronica o e-Health s’intende in generale l’utilizzo delle nuove tecnologie nel dominio sanitario allo scopo di migliorare l’accesso degli utenti all’assistenza medica4, la sicurezza dei pazienti grazie alla riduzione del rischio clinico5, la qualità e l’efficacia delle prestazioni erogate dai servizi sanitari nazionali nonché la stessa produttività dei sistemi, contenendo sprechi e diseconomie frequentemente dovuti a ricorsi impropri da parte degli assistiti e ad una errata gestione dei profili organizzativi ed amministrativi6.
Aspetti centrali del concetto di e-Health sono da una parte quello di salute, definita dall’Organizzazione Mondiale alla Sanità (OMS) come “stato di completo benessere fisico, psichico, sociale e non soltanto come assenza di malattia”7, dall’altra quello di digitale, inteso come uso delle tecnologie applicate agli strumenti diagnostici, ai processi
4 Tesi sostenuta in X. XXXXXXXXXXX, What is the evidence on effectiveness of empowerment to improve health?, WHO Regional Office for Europe, Health Evidence Network report, Xxxxxxxxxx, 0000.
5 Concordano su questo profilo: X. XXXXXXXX, Health Information Management of a Strategic Resource,
X.X. Xxxxxxxx Company, Xxxxxxxxxxxx, XX, 0000; D.W. XXXXX, J.M. XXXXX, X. XXX, X. XXXXX, X.X. XXXXXXXX, X. ET XX XX’XXX, The impact of computerized physician order entry on medication error prevention, Journal of the American Medical Informatics Association”, 6(4), 1999, pp. 313-321; D.S. XXXXXX, S.N. XXXXX, A comparison of the effects of computer and manual reminders on compliance with a mental health clinical practice guideline, Journal of American Medical Information Association, 7, 2000, pp.196-203.
6 Secondo quanto affermato in X.X. XXXXXX, X. XXXXXXXX, e-Health: Effects of the Internet on Competition and Productivity in Health Care, The Economic Payoff from the Internet Revolution, the Xxxxxxxxx Task Force on the Internet, Xxxxxxxxx Institution Press: Xxxxxxxxxx, 0000.
7 Definizione contenuta nel Preambolo della Constitution of the World Health Organization (1946 - Official Records of the World Health Organization 2, 100), amended WHA 26.37, WHA 29.38, WHA 39.6 and WHA 51.23, WHO Basic documents Forty-fifth edition, Supplement, October 2006.
organizzativi dei sistemi sanitari, al mercato etc.
Diritto fondamentale della persona ed ottimizzazione dei servizi coesistono, dunque, in questo settore in costante evoluzione. Tuttavia, i due profili indicati (diritto e tecnologia) non sempre sono egualmente considerati come parti essenziali, coesistenti e complementari, della medesima realtà: in taluni casi, infatti, sono maggiormente accentuate le connotazioni tecniche e di gestione, in altri casi le questioni giuridiche. É, invece, importante pensare alla sanità elettronica come ad un tessuto fitto di trame tra loro intrecciate ed interdipendenti, caratterizzato, tra l’altro, da forti rapporti negoziali, esistenti tra tutti gli stakeholder coinvolti nei processi sanitari, quali Governi, sistemi sanitari nazionali e loro operatori, pazienti/utenti e loro famiglie, compagnie assicurative, aziende impegnate sul fronte biomedico, enti di ricerca e di innovazione. Tutti i soggetti summenzionati sono, quindi, costantemente tenuti a mantenere un dialogo vivo e propositivo, al fine di contribuire all’adozione di prassi, giuridiche e tecniche, effettivamente bilanciate e migliorative della cura della persona.
Risponde a questa logica la definizione, ormai decennale, ma sempre attuale proprio per la sua multidisciplinarietà, proposta da Xxxxxxxxx, secondo cui: “e-Health is an emerging field in the intersection of medical informatics, public health and business, referring to health services and information delivered or enhanced through the Internet and related technologies. In a broader sense, the term characterizes not only a technical development, but also a state-of-mind, a way of thinking, an attitude, and a commitment for networked, global thinking, to improve health care locally, regionally, and worldwide by using information and communication technology”8.
L’e-Health è, dunque, un macro-fenomeno descrivibile secondo i modelli rappresentativi dei mercati, nei quali, soggetti e processi coinvolti sono elevati, sia per numero sia per complessità9. In particolare, oltre alle figure primariamente implicate nelle
8 X. XXXXXXXXX, What is e-health?, Journal of Medical Internet Research 3(2):e20, 2001. Nel delineare il concetto di e-health l’Autore ha individuato dieci caratteristiche ad esso strettamente collegate: efficiency, enhancing quality, evidence based, empowerment - of consumers and patients - by making the knowledge bases of medicine and personal electronic records accessible to consumers over the Internet, e-health opens new avenues for patient-centered medicine, and enables evidence-based patient choice; encouragement, education, enabling information exchange and communication in a standardized way between health care establishments; extending the scope of health care beyond its conventional boundaries, ethics, equity.
Nella presente ricerca non si darà conto delle numerose definizioni di e-Health rintracciabili in letteratura; per approfondimenti si rinvia a H. OH, X. XXXX, X. XXXXX, X. XXXXX, What Is eHealth (3): A Systematic Review of Published Definitions, Journal of Medical Internet Research, Xxx-Mar; 7(1): e1, 2005.
9 Per approfondimenti: X. XXXXXX, X. XXXXXX, X. XXXXXX, X. KLOKGIETERS, Business Models for eHealth. Final Report. Prepared for ICT for Health Unit DG Information Society and Media European Commission, 2010, pp.75; EUROPEAN COMMISSION - INFORMATION SOCIETY AND MEDIA DIRECTORATE-GENERAL, eHealth Benchmarking III. SMART 2009/0022. Final Report, Xxxxxxxx&Xxxxx Belgium, 2011, pp. 274.
dinamiche di erogazione e fruizione delle prestazioni sanitarie (personale sanitario, parasanitario ed amministrativo da una parte, e cittadini/pazienti dall’altra), sono altresì presenti i policy maker responsabili della sanità pubblica (come ad esempio i Governi) nonché tutti i soggetti, pubblici e privati, persone fisiche e giuridiche, interessati alla vendita ed all’acquisto di beni e servizi funzionali alle attività connesse all’introduzione delle nuove tecnologie nel settore sanitario (tra cui partner commerciali, aziende ed enti di ricerca pubblici e privati etc.).
Come emerge dall’indagine conoscitiva realizzata nel 2006 da “Global Observatory for e-Health”10 dell’Organizzazione Mondiale alla Sanità (OMS), la sanità elettronica rappresenta un’area in progressiva crescita, nella quale i soggetti coinvolti costantemente necessitano di validi mezzi ed adeguati servizi. Particolarmente interessante ai fini della presente ricerca è notare che, in questo primo studio condotto a livello globale, i fascicoli sanitari elettronici furono individuati tra gli strumenti da sviluppare nei contesti nazionali e che l’OMS auspicò la creazione di una risorsa digitale a beneficio degli Stati membri dedicata ai temi delle strategie e delle policy in materia di e-Health nonché ai profili della sicurezza e delle questioni giuridiche rilevanti per il dominio in esame. Tali dati confermano l’importanza di agire secondo strategie ed azioni coordinate tra gli Stati, conclusione questa che trova una plausibile spiegazione nel fatto che la salute è, congiuntamente, diritto fondamentale dell’individuo ed interesse della collettività11.
In questo scenario è palese che gli interessi in gioco sono cospicui e tra loro talora discordanti, al punto da richiedere mirati interventi politico-legislativi a livello nazionale e sovranazionale. Il diritto di accesso alle cure ed alla protezione dei dati personali dei pazienti, la responsabilità medica, la correttezza nelle transazioni commerciali, sono solo alcuni dei tanti aspetti oggetto di specifiche disposizioni e normative europee, che, tuttavia, in taluni casi, richiedono puntuali revisioni, dovute non da ultimo al fatto che i concetti e gli istituti giuridici non seguono lo stesso progressivo e rapido mutamento delle nuove tecnologie.
La digitalizzazione del settore sanitario non è un fenomeno di recente diffusione né se si considera l’uso delle Tecnologie dell’Informazione e della Comunicazione nelle applicazioni medico-diagnostiche né se si prende in rassegna l’impegno politico e giuridico comunitario e nazionale. Intorno agli anni Sessanta, fisici, matematici e medici iniziano ad
10 WORLD HEALTH ORGANIZATION, eHealth. TOOLS&SERVICES. Needs of the Member States. Report of the WHO Global Observatory for eHealth, Switzerland, WHO/EHL/06.1, 2006, pp. 30.
11 Secondo quanto sancito dal primo comma dell’articolo 32 della Costituzione italiana.
occuparsi di sanità elettronica, prestando speciale attenzione ai profili biomedici12. Se, poi, si esaminano le strategie d’azione promosse dall’Unione europea ed i conseguenti piani operativi posti in essere dai 27 Paesi membri, dalla fine degli anni Novanta e, con maggiore continuità dagli inizi del Nuovo Secolo, molteplici sono stati i documenti, cogenti e non, adottati a livello comunitario che hanno avuto ad oggetto l’e-Health nelle sue diverse concretizzazioni.
La razionalizzazione della spesa sanitaria pubblica, l’organizzazione di strutture e di sistemi fortemente complessi, la collaborazione tra i professionisti sanitari mediante strumenti di telemedicina, l’accesso alle informazioni sull’assistenza ed alle cure da parte degli utenti, l’aggregazione e l’immediata disponibilità di dati anagrafici e clinici in cartelle sanitarie digitali, sono solo alcuni tra i tanti profili esaminati dalla Commissione europea, la quale rivolge una considerevole attenzione anche ai crescenti ed attuali fenomeni della mobilità internazionale, del multiculturalismo e del plurilinguismo che, sempre più, caratterizzano la società contemporanea ed i cui risvolti, peraltro, nella tematica dell’assistenza sanitaria, sono di significativa rilevanza.
Gli Organi comunitari mostrano, inoltre, particolare interesse verso questioni quali il trattamento e la protezione dei dati personali, l’adozione di idonee misure di sicurezza, l’utilizzo di standard, l’interoperabilità fra i diversi sistemi, aspetti questi che verranno considerati in dettaglio nel corso del presente lavoro.
L’attenzione politica e le implicazioni legislative delle proposte sorte attorno al tema delineato sono, altresì, corroborate dall’erogazione di molteplici finanziamenti, attraverso i quali, nell’ultimo ventennio, l’Unione europea ha favorito la realizzazione di progetti ed iniziative, nazionali ed internazionali, volti a sviluppare ed implementare un vero e proprio spazio europeo per la sanità elettronica. I settori di intervento sono alquanto vari, sia per la natura poliedrica del dominio sanitario sia per le continue evoluzioni che caratterizzano le nuove tecnologie13.
Quanto premesso introduce all’analisi dei documenti europei a partire dai quali l’e- Health ha avuto impulso nonché di quelli più recenti che orientano verso nuovi possibili
12 Interessante in proposito E.H. SHORTLIFFE, M.S. BLOIS, The computer meets medicine and biology:emergence of a discipline, in E.H. Shortliffe, L.E. Xxxxxxxx, X. Xxxxxxxxx, X.X. Xxxxx (eds.), Medical informatics: computer applications in health care and biomedicine, 2nd ed., Xxx Xxxx, Xxxxxxxx, 0000:0-00.
13 A confermare l’attualità e l’interesse che la sanità elettronica e, più in generale, la digitalizzazione destano a livello comunitario e, quindi, l’importanza di perseguire azioni espressamente dedicate a tali tematiche, sono, tra gli altri, l’ultimo programma di finanziamenti europei per la ricerca “Horizon 2020” ed il “Programma per la competitività delle imprese e le PMI (COSME) 2014-2020”, i cui risultati saranno però valutabili soltanto nei prossimi anni.
futuri scenari (cfr. fig. 2).
2001
• "eEurope 2002"
2002
• "eEurope 2005"
• dir. 2002/58/CE
2004
• "eHealth Action Plan"
2007
• Comunicazione sull'uso delle PETs
•Dichiarazione "eHealth in Europe"
2006
• "Strategia per una società dell'informazione"
2005
• Comunicazione "i2010"
2010
• "Europa 2020"
• "Agenda Digitale Europea"
2011
• dir. 2011/24/UE
2012
• "eHealth Action Plan 2012-2020"
Figura 2 - Selezionati documenti europei in materia di e-Health
2. I PRIMI IMPULSI ALL’E-HEALTH NEI PIANI DELL’UNIONE EUROPEA
Facendo seguito al piano d’azione “eEurope 2002”14, volto ad accelerare la società dell’informazione in Europa e la disponibilità della stessa per tutti, nel giugno 2002, in vista del Consiglio europeo di Siviglia, la Commissione redasse la Comunicazione “eEurope 2005: una società dell’informazione per tutti”15 il cui principale obiettivo fu stimolare la creazione di servizi, applicazioni e contenuti sicuri basati su una banda larga distribuita, in particolare nei settori di e-government, e-learning, e-business e e-health. Tre le proposte nel campo della sanità digitale da realizzare entro il 2005: predisporre e diffondere una Tessera Europea di Assicurazione della Malattia e consolidare
14 COMMISSIONE DELLE COMUNITÀ EUROPEE, Comunicazione della Commissione al Consiglio ed al Parlamento. eEurope 2002. Impatto e priorità. Comunicazione al Consiglio europeo di primavera, Stoccolma 23-24 marzo 2001, Bruxelles, 13.3.2001, COM(2001) 140 definitivo.
15 COMMISSIONE DELLE COMUNITÀ EUROPEE, Comunicazione della Commissione al Consiglio, al Parlamento europeo, al Comitato Economico e Sociale e al Comitato delle Regioni, eEurope 2005: una società dell’informazione per tutti. Piano d’azione da presentare per il Consiglio europeo di Siviglia 21 e 22 giugno 2002, Bruxelles, 28.5.2002, COM(2002) 263 definitivo.
un’architettura standardizzata per la creazione di fascicoli sanitari elettronici; promuovere l’utilizzo di network informativi sanitari; orientare verso l’erogazione di servizi di medicina online a beneficio dei cittadini. Parallelamente alle summenzionate azioni, per il raggiungimento dei risultati auspicati, si riconobbe l’importanza e, al contempo, la necessità, di aggiornare e migliorare le legislazioni, comunitaria e nazionali.
L’impulso verso la digitalizzazione dell’Unione spinse la Commissione a definire una Comunicazione, coeva alle precedenti, per sottolineare, con particolare intensità, il ruolo dell’e-government per il futuro dell’Europa: un coinvolgimento diretto e pro-attivo dei cittadini ed una visibile riorganizzazione aziendale possono contribuire al miglioramento dei servizi pubblici, in termini di efficacia ed efficienza; effetti immediati di tale concreta interazione sono, tra gli altri, la riduzione dei tempi di attesa ed il contenimento dei costi relativi all’erogazione delle prestazioni16. Il sistema sanitario, in quanto servizio pubblico, è collocato nel medesimo contesto; anch’esso non può, pertanto, essere esente da un processo di rinnovamento strutturale. In tal senso, essenziale diventa ripensare alle tradizionali forme organizzative e definire un impianto istituzionale patient-based, in cui l’interazione ed il dialogo tra la tecnologia e l’utente spingano verso un processo di semplificazione del complesso apparato burocratico17. Tra i risultati di un approccio così definito rientra, certamente, l’acquisizione di un buon livello di empowerment da parte dei pazienti18, di cui, di fatto, beneficiano non soltanto l’individuo, ma anche i sistemi sanitari nonché la stessa società civile19.
Le anzidette considerazioni non tardano a concretizzarsi in un altro documento ufficiale: nel luglio 2004, a seguito de “e-Health 2005 Conference”, tenutasi a Tromso, la
16 COMMISSIONE DELLE COMUNITÀ EUROPEE, Comunicazione della Commissione al Consiglio, al Parlamento europeo, al Comitato Economico e Sociale e al Comitato delle Regioni, Il ruolo dell’eGovernment per il futuro dell’Europa, Bruxelles, 26.9.2003, COM(2003) 567 definitivo.
17 Si rinvia, tra gli altri, a X. XXXXX, X. ENGLEBRIGHT, Patient-Centered Documentation: An Effective and Efficient Use of Clinical Information Systems, Journal of Nursing Administration, 30(2):90-95, 2000.
18 Di interesse sul tema: X. XXXXXXXX, X. XXXXXX, X. XXXXXXXXX, Potential of electronic personal health records, British Medical Journal, pp. 330-333, 2007; X. XXXXXX, X. XXXXXXX, X. XXXXXXXXX, Mapping the Potential of eHealth. Empowering the citizen through eHealth tools and services, Maastricht, European Institute of Public Administration, 2004; C. XXXX, X. STARREN, Patient Participation in Electronic Medical Records, Journal of the American Medical Association, 285(13), 2001, p. 1765. Per altri contributi si rinvia a:
M.A. XXXXXXXXX, Empowerment Theory: Psychological, Organizational and Community Levels of Analysis, in X. Xxxxxxxxx, E. Xxxxxxx, “Handbook of Community Psychology”, New York, Kluwer Academic/Plenum Publishers, 2000, pp. 43-63; X. XXXXXXXX, X. XXXXXXX, A Planning Framework for Community Empowerment Goals within Health Promotion, in “Health Policy and Planning”, Vol. 15, n. 3, 2000, pp. 255-262; E.O. XXX, X.X. XXXXXXX, Empowerment oriented Social Work Practice with the Elderly, Pacific Grove, Xxxxxx/Xxxx Pub. Co., 1994.
19 Tali concetti sono stati ripresi anche in COMMISSIONE DELLE COMUNITÀ EUROPEE, Libro bianco. Un impegno comune per la salute: Approccio strategico dell'UE per il periodo 2008-2013, Bruxelles, 23.10.2007, COM(2007) 630 definitivo.
Commissione perfezionò la Comunicazione “Sanità elettronica - migliorare l’assistenza sanitaria dei cittadini europei: piano d’azione per uno spazio europeo della sanità elettronica”, nota anche come “e-Health Action Plan”20. Riconosciute le potenzialità degli strumenti digitali applicati al dominio sanitario e sottolineati i loro concreti benefici sia per gli operatori sia per i pazienti, fin dal suo incipit la Comunicazione preannuncia l’importanza di un cambio di prospettiva: incentrare i sistemi sanitari sul cittadino. Tenendo conto del ruolo crescente assunto dalle Tecnologie dell’Informazione e della Comunicazione e, peraltro, richiamando quanto già proposto nel piano d’azione “eEurope 2005”, la Commissione considera quali strumenti idonei al raggiungimento di tale obiettivo la creazione di reti di informazione sanitaria, la costituzione di cartelle cliniche elettroniche, la diffusione di servizi di telemedicina, l’implementazione di sistemi di monitoraggio portatili ed indossabili, la predisposizione di portali istituzionali e tematici sulla salute.
Gli auspici della Commissione sono stati già in parte realizzati dai Paesi membri, e ciò, anche grazie ai significativi investimenti comunitari del quindicennio precedente che hanno permesso all’Europa di collocarsi in “una posizione dominante nell’utilizzo di cartelle cliniche elettroniche per l’assistenza sanitaria di base e nell’impiego di carte sanitarie elettroniche”21.
Alla luce delle osservazioni esposte è, dunque, evidente il ruolo centrale che le nuove tecnologie assumono, sia nel facilitare l’accesso alle informazioni, sia nell’agevolare la collaborazione tra enti e professionisti. Soprattutto in un periodo storico, come quello attuale, caratterizzato da una forte mobilità internazionale, appropriatezza ed ottimizzazione dei processi di cura sono fondamentali per l’intero sistema socio-sanitario. In particolare, grazie alle cartelle sanitarie elettroniche, il personale designato ha la possibilità di accedere, in tempo reale, ai dati, e, quindi, è potenzialmente in grado di conoscere, in modo aggiornato e completo, la storia clinica del paziente, corredata da prognosi, diagnosi, indicazioni terapeutiche, immagini diagnostiche etc. Affinché tale ipotesi diventi realtà è, tuttavia, indispensabile implementare l’interoperabilità dei sistemi che, ad oggi, si manifesta ancora come nodo critico per i sistemi informativi sanitari.
20 COMMISSIONE DELLE COMUNITÀ EUROPEE, Comunicazione della Commissione al Consiglio, al Parlamento europeo, al Comitato economico e sociale europeo e al Comitato delle Regioni, Sanità elettronica - migliorare l’assistenza sanitaria dei cittadini europei: piano d’azione per uno spazio europeo della sanità elettronica, Bruxelles, 30.4.2004, COM (2004) 356 definitivo.
21 Ivi, p. 4. E’ altrettanto vero che il settore della sanità digitale presenta ancora diverse criticità ben motivate in A. A. XXXXXXX et al., Critical Issues in eHealth Research, American Journal of Preventive Medicine, Vol. 32, Issue 5, Supplement, 2007, pp. S71-S74.
Se sono visibili i possibili benefici che il singolo utente può ricevere dalla digitalizzazione dei dati contenuti nelle cartelle sanitarie, anche sul fronte della pubblica amministrazione non mancano effetti positivi di tale innovazione, in termini di efficienza ed efficacia22. Significative in proposito le azioni intraprese dai Governi nazionali volte a ridurre la complessità dell’apparato burocratico, per migliorare tempi e qualità dell’erogazione dei servizi offerti all’utenza23. Altrettanto fondamentali gli interventi pubblici adottati per garantire la sicurezza dei sistemi informativi sanitari, grazie alla quale, utenti ed operatori sono incoraggiati all’utilizzo delle reti di comunicazione ed allo scambio dei dati sanitari, come, ad esempio, avviene in telemedicina24. Secondo quanto emerge da “e-Health Action Plan”, nello scenario europeo sono presenti numerose applicazioni sviluppate nell’ambito della sanità digitale, in molti casi frutto di collaborazioni e finanziamenti (nazionali, comunitari ed internazionali) intercorsi nell’arco di un quindicennio25.
Nonostante i miglioramenti introdotti dalle Tecnologie dell’Informazione e della Comunicazione, per molteplici cause, sono, però, ancora scarsi gli utilizzi degli strumenti di e-Health, soprattutto da parte degli utenti. Il digital divide, inteso sia come incapacità pratica di accedere alle nuove tecnologie - causata anche da una banda larga distribuita in modo non uniforme sul territorio nazionale - sia come ritardo socio-culturale per cui i cittadini europei raramente utilizzano servizi online, è certamente uno dei fattori che, insieme all’inadeguato stanziamento di risorse economiche e tecnologiche da parte delle
22 Così come ad esempio sostenuto in X.X. XXXXXX, Y.A. OZCAN, Organizational and environmental determinants of hospital EMR adoption: a national study, Journal of Medical Systems, 31(5), 2007, pp. 375- 84.
23 Con preciso riferimento al contesto italiano, esempio concreto dell’interesse per la semplificazione e la digitalizzazione della P.A. sono l’attività oggi coordinata dalla “Agenzia per l’Italia Digitale”, gestione ex DigitPA, le cui iniziative sono consultabili all’indirizzo xxxx://xxx.xxxxxxx.xxx.xx/, nonché il ruolo propulsivo svolto dal “Ministero per la pubblica amministrazione e la semplificazione” i cui interventi sono disponibili all’indirizzo xxxx://xxx.xxxxxxxxxxxxxxxx.xxx.xx/. L’ultima data di accesso a tutti i siti web richiamati nel presente lavoro è avvenuta il 29 maggio 2014.
L’ultimo accesso a tutti i siti web citati nel presente lavoro è avvenuto nel XXX.
24 Inoltre, seppur con l’adozione di idonee misure di sicurezza per il trattamento dei dati personali e con la predisposizione di un corpus iuris comunitario ad hoc, i dati sanitari digitalizzati ed anonimi possono essere utilizzati per altre finalità, ad esempio quelle connesse alla ricerca clinico-diagnostica, all’epidemiologia, alla statistica e, più in generale, alle indagini di salute pubblica. Questo aspetto, sottolineato dalla Commissione nella citata Comunicazione del 2004, ha trovato in Italia un’importante applicazione nel maggio 2012 con la pubblicazione online da parte del Ministero della Salute di alcuni tipi di dati - per lo più trattasi di informazioni, dati numerici etc. -, disponibili in formato aperto e standardizzato, liberamente utilizzati, riutilizzati e distribuiti (c.d. Open Data).
25 Nel capitolo successivo saranno, ad esempio, illustrati selezionati progetti, nazionali e non, riguardanti i fascicoli sanitari elettronici e resi appunto possibili sia dagli investimenti sia dalle politiche dell’Unione europea.
istituzioni territoriali, rallenta l’efficacia di tali mezzi26. A questo aspetto fa eco il tema dell’attuale scarsa fiducia dei consumatori nei potenti mezzi dell’era digitale. In proposito la Commissione europea si è già espressa più volte per incoraggiare gli Stati membri verso un rafforzamento di politiche e legislazioni nazionali, al fine di promuovere uno sviluppo omogeneo delle infrastrutture e dei mercati che, grazie a tali regole, potrebbero assistere ad una notevole crescita di domanda di beni e servizi fruibili nel World Wide Web.
Una forte sinergia tra i 27 Paesi è, dunque, l’auspicio sotteso all’intero Piano d’azione disegnato dalla Commissione europea. Affinché il mercato europeo della sanità digitale possa registrare trend positivi è, secondo la Commissione, necessario: stanziare maggiori finanziamenti per la ricerca in sanità elettronica; garantire maggiore certezza giuridica disciplinando i settori dell’assistenza sanitaria online, del diritto del lavoro su infortunistica e malattie professionali nonchè della responsabilità per i prodotti; sviluppare reti di informazione basate su infrastrutture fisse e senza filo, a banda larga e mobili, e sulle tecnologie GRID27; migliorare l’interoperabilità delle cartelle cliniche elettroniche. Altrettanto essenziale è, poi, accrescere la sensibilità e la cultura dell’utenza verso il tema dell’e-Health, ad esempio, attraverso interventi concreti di educazione sanitaria; a tal fine, sono decisivi la predisposizione di sistemi informativi accessibili, come siti web tematici sulla sanità pubblica, nonché la collaborazione tra gli Stati membri per la diffusione e condivisione di best practice.
3. VERSO UNA SOCIETÀ DELL’INFORMAZIONE SICURA ED INTEROPERABILE
Il profuso impegno ed il costante interesse della Commissione per il tema della nuove
26 Tra gli altri, X. XXXX, X. GUARDA, Sanità elettronica, tutela dei dati personali e digital divide generazionale. Xxxxx e criticità giuridica della delega alla gestione dei servizi di sanità elettronica da parte dell’interessato, Trento Law and Technology Research Group, Research Paper Series n. 3, 2010. Per maggiori approfondimenti sul tema del digital divide si rinvia a: A. J.A.M. XXX XXXXXXX, Internet skill- related problems in accessing online health information, International Journal of Medical Informatics, Vol. 81, Issue 1, 2012, pp. 61-72; X. XXXX-JESUS, X. XXXXXXXX, X. XXXXX, Digital divide across the European Union, Information & Management, Vol. 49, Issue 6, 2012, pp. 278-291; X. XXXXXXXX, X. XXXXX, X. XXXXXXXX, X. XXXXXX, X. XXXXX, X. XXXXXXXXX, New Interaction Paradigms to Fight the Digital Divide: A Pilot Case Study Regarding Multi-Touch Technology, Procedia Computer Science, Vol. 14, 2012, pp. 128- 137; M.R. XXXXXXX, A.J. XXXXX, Assessing the regional digital divide across the European Union-27, Telecommunications Policy, Vol. 35, Issue 3, 2011, pp. 220-237; G.L. XXXXX, X. XXXXXXXXX, New directions in eHealth communication: Opportunities and challenges, Patient Education and Counseling, Vol. 78, Issue 3, 2010, pp. 329-336; X. XXXXXX, X. XXXXX, X. XXXX-XXXXX, Disparities in ICT adoption: A multidimensional approach to study the cross-country digital divide, Telecommunications Policy, Vol. 33, Issues 10–11, 2009, pp. 596-610.
27 In I. XXXXXX, The Anatomy of the Grid: Enabling Scalable Virtual Organizations, International Journal of High Performance Computing Applications Fall, 2001, 15:200-222, i “Grid computing” o “sistemi Grid” sono definiti “flexible, secure, coordinated resource sharing among dynamic collections of individuals, institutions, and resources - what is referred to as virtual organizations”.
Tecnologie dell’Informazione e della Comunicazione è confermato dalla “Comunicazione i2010 - Una società europea dell’informazione per la crescita e l’occupazione”28, un vero e proprio piano strategico volto, da una parte, alla realizzazione di uno spazio unico europeo dell’informazione e di una società dell’informazione basata sull’inclusione, dall’altra, al rafforzamento dell’innovazione e degli investimenti nella ricerca delle TIC; tra i servizi pubblici online individuati dalla Commissione rientra l’assistenza sanitaria. La tipologia delle informazioni trattate in questo settore, forse più che in altri, richiede, però, un preciso intervento, volto a regolare le modalità di trattamento dei dati, oltre che dal punto di vista giuridico anche, e soprattutto, dal punto di vista tecnologico.
In questo contesto si colloca la Comunicazione “Una strategia per una società dell’informazione sicura. Dialogo, partenariato e responsabilizzazione”29, in cui, al fine di fronteggiare le reali minacce alla sicurezza della società dell’informazione, si invita il settore privato ad “elaborare sistemi di certificazione della sicurezza a prezzi contenuti per prodotti, processi e servizi che rispondano ad esigenze comunitarie specifiche - in particolare in relazione alla vita privata”30.
Nel maggio 2007, la Commissione europea, considerata la crescente diffusione di dati “sensibili” in Rete, preso atto dei nuovi rischi legati ad un uso distorto delle nuove tecnologie (quali, ad esempio, l’abuso della dignità altrui, forme di discriminazione, frodi informatiche etc.), riconosciuta la dimensione globale del fenomeno ed il conseguente coinvolgimento di una pluralità di giurisdizioni impegnate nella lotta alla criminalità informatica, ritenuta l’importanza di promuovere meccanismi tecnici e giuridici più stringenti, lancia la Comunicazione sulla “Protezione dei dati personali attraverso l’utilizzo delle Privacy Enhancing Technology” (PET)31.
Punto di partenza di tale Comunicazione fu quanto già stabilito dall’articolo 17 della direttiva sulla protezione dei dati personali, il cui comma 1 prevede che: “gli Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed
28 COMMISSIONE DELLE COMUNITÀ EUROPEE, Comunicazione della Commissione al Consiglio, al Parlamento europeo, al Comitato economico e sociale europeo e al Comitato delle Regioni, i2010 - Una società europea dell’informazione per la crescita e l’occupazione, Bruxelles, 1.6.2005, COM(2005) 229 definitivo.
29 COMMISSIONE DELLE COMUNITÀ EUROPEE, Comunicazione della Commissione al Consiglio, al Parlamento europeo, al Comitato Economico e Sociale europeo e al Comitato delle Regioni, Una strategia per una società dell’informazione sicura. Dialogo, partenariato e responsabilizzazione, Bruxelles, 31.5.2006, COM(2006) 251 definitivo.
30 Ivi, p. 10.
31 COMMISSIONE DELLE COMUNITÀ EUROPEE, Comunicazione della Commissione al Parlamento europeo e al Consiglio sulla promozione della protezione dei dati mediante tecnologie di rafforzamento della tutela della vita privata (PET), Bruxelles, 2.5.2007, COM(2007) 228 definitivo. Al tema delle “Privacy Enhancing Technology” saranno dedicate alcune riflessioni specifiche nel corso del presente studio.
organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali. Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell’applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere”32. Su questo aspetto, peraltro, la Commissione si era pronunciata anche con la direttiva 2002/58/CE relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche33.
L’uso di misure tecniche volte a sostenere le regole legislative in materia di protezione dei dati personali, di cui il menzionato articolo 17 ben sintetizza taluni aspetti, era già stato, peraltro, promosso dalla Commissione europea nella “Prima relazione sull’applicazione della direttiva sulla tutela dei dati”34, in cui il tema delle “Privacy Enhancing Technology” era stato oggetto di un particolare approfondimento. Scopo principale degli invocati strumenti tecnologici (tra cui ad esempio rientrano l’anonimizzazione automatica dei dati, gli strumenti crittografici, le Platform for Privacy Preference) è quello di garantire la tutela effettiva della vita privata degli utenti in conformità a quanto prescritto dalle norme sulla protezione della privacy, accrescendo anche la trasparenza e la fiducia degli utilizzatori35. Contestualmente all’implementazione delle PET è, tuttavia, necessario creare un solido framework giuridico sulla protezione dei dati personali, che individui obblighi e responsabilità degli attori coinvolti nel processo di acquisizione, trattamento e conservazione dei dati.
Nella citata Comunicazione del 2007, la Commissione indica azioni ed obiettivi concreti volti a perseguire una maggiore diffusione delle “Privacy Enhancing Techonology”. Tra essi rientrano: (a) identificazione dei requisiti tecnologici necessari all’uso delle PET e loro
32 Ex art. 17, comma I, Direttiva 95/46/CE del Parlamento europeo e del Consiglio del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, pubblicata in GUCE n. L 281 del 23.11.1995.
33 Direttiva 2002/58/CE del Parlamento europeo e del Consiglio del 12 luglio 2002 relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), pubblicata in GUCE n. L 201/37 del 31.07.2002.
34 COMMISSIONE DELLE COMUNITÀ EUROPEE, Prima relazione sull’applicazione della direttiva sulla tutela dei dati (95/46/EC), Bruxelles, 15.5.2003, COM(2003) 265 definitivo.
35 La Commissione europea cita in proposito le conclusioni contenute in ARTICOLO 29 - GRUPPO DI LAVORO PER LA TUTELA DEI DATI PERSONALI, Documento di lavoro. Tutela della vita privata su Internet - Un approccio integrato dell’EU alla protezione dei dati on-line adottato il 21 novembre 2000, 5063/00/IT/DEF.WP 37.
sviluppo, inteso come effettiva adozione e non soltanto progettazione; (b) diffusione dell’uso delle PET da parte dei detentori dei dati, e, in particolare, promozione dell’uso delle PET da parte dell’industria IT e delle autorità pubbliche36, adozione di standard appropriati per la protezione dei dati personali attraverso l’uso delle PET nonché coordinamento delle legislazioni nazionali sul tema delle regole tecniche per la protezione dei dati personali (di cui le Privacy Enhancing Technology sono parte); (c) incoraggiare l’uso delle PET da parte dei consumatori, accrescendo, così, la loro fiducia nell’uso degli e-service (spesso minata dai molteplici rischi legati alla scarsa protezione dei dati personali in Rete), grazie anche all’adozione di “sigilli privacy” rilasciati da enti autorizzati e certificati.
Il 17 luglio 2007, a conclusione della “e-Health Conference” e sulla scia di quanto già tracciato ne “e-Health Action Plan”, i partecipanti redassero la dichiarazione “e-Health in Europe: Succeeding Together. European Co-operation on Europe-wide Electronic Health Services”, con la quale, Stati membri e Commissione europea, si impegnarono ufficialmente ad implementare una roadmap per lo sviluppo di servizi di sanità digitale transnazionali.
La Dichiarazione sintetizza le sei azioni da perseguire al fine di raggiungere un framework comunitario sull’interoperabilità: (i) facilitare la mobilità di pazienti e personale sanitario in Europa, anche grazie al supporto di mirati provvedimenti legislativi; (ii) organizzare una solida cooperazione tra gli Stati sui temi della protezione dei dati personali e degli standard nel campo della sanità elettronica; (iii) costruire dei piani d’azione nazionali sui temi della sanità elettronica, con particolare attenzione ai profili dell’interoperabilità dei sistemi sanitari e della messa in atto dei fascicoli sanitari elettronici; (iv) creare servizi di sanità digitale innovativi; (v) sollecitare iniziative integrate sui fronti degli standard e della sicurezza nel dominio in esame; (vi) coinvolgere e supportare l’industria e gli stakeholder.
Significativo a questo punto menzionare il Rapporto “Accelerating the Development of the e-Health Market in Europe”37, pubblicato dalla Commissione europea nel 2007, il cui principale obiettivo fu quello di dare un nuovo impulso al mercato dell’e-Health, caratterizzato da un aumento della domanda di beni e servizi. Infatti, nonostante il trend positivo, diversi ostacoli impediscono una crescita più rapida della sanità elettronica; tra
36 Su questo punto vedasi anche COM (2003) 567 def. già richiamata.
37 EUROPEAN COMMISSION, Accelerating the Development of the eHealth Market in Europe, Brussel, 2007, pp. 36
essi, la frammentazione e la mancanza di interoperabilità (tecnica e semantica), l’insufficiente disponibilità di risorse finanziarie per fronteggiare la criminalità e le frodi informatiche, l’assenza di certezza giuridica nell’applicazione delle legislazioni in tema di protezione dei dati personali, rimborso per prestazioni mediche transfrontaliere e mobilità dei pazienti, responsabilità civile per il funzionamento difettoso dei beni.
Nel Rapporto del 2007 vengono annoverate concrete iniziative che testimoniano l’importante ruolo di supporto agli Stati membri svolto dalla Commissione europea proprio per il superamento dei deficit che impediscono un pieno sviluppo del settore: all’interoperabilità dei sistemi è, ad esempio, dedicato il “Programma di Innovazione e Competitività”, e per azioni sul fronte della sicurezza e della privacy sono predisposti co- finanziamenti derivanti da “Seventh EU Research Framework Programme”38.
I profili giuridici dell’e-Health sono esaminati, in dettaglio, nel Rapporto “Legally e- Health - Putting e-Health in its European Legal Context”39, pubblicato nel 2008, dal quale emerge l’attenzione per la protezione ed il trattamento dei dati personali. Se il framework comunitario nel suo complesso fornisce delle risposte alle fattispecie sorte, al contempo è indiscussa la necessità di provvedere, con ulteriori disposizioni, ad una maggiore certezza normativa a favore di tutti gli attori coinvolti nell’e-Health; ancora una volta, tra le priorità rientra una maggiore interoperabilità transnazionale dei fascicoli sanitari elettronici, già auspicata ne “e-Health Action Plan”.
Per rispondere all’esigenza di migliorare la connettività tra persone, sistemi e servizi all’interno dell’Unione, riducendo così il forte divario comunicativo instauratosi tra gli Stati membri a causa della mancanza di interoperabilità tra i sistemi informativi sanitari, il 2 luglio 2008 fu pubblicata la “Raccomandazione della Commissione sulla interoperabilità transfrontaliera dei sistemi di fascicoli sanitari elettronici”40. Benefici dell’interoperabilità, e, quindi, del flusso di dati sensibili dei pazienti all’interno dell’Unione, sono, anzitutto, la rapida accessibilità delle informazioni clinico-sanitarie del paziente ed il conseguente innalzamento della qualità e della sicurezza nelle cure41. Ulteriori vantaggi
38 Per approfondimenti su “Seventh EU Research Framework Programme” si rinvia all’homepage del sito “Community Research and Development Information Service”, consultabile all’indirizzo xxxx://xxxxxx.xxxxxx.xx/xx0/xxxx_xx.xxxx.
39 C. XXX XXXXXXXXXXX ET AL., Legally eHealth: putting eHealth in its European legal context, study report on behalf of DG Information Society and Media, European Commission, March, 2008.
40 COMMISSIONE DELLE COMUNITÀ EUROPEE, Raccomandazione della Commissione sulla interoperabilità transfrontaliera dei sistemi di fascicoli sanitari elettronici, Bruxelles, 02.07.2008, COM(2008) 3282 definitivo.
41 In conformità con quanto disposto dall’articolo 8 della “Convenzione sulla protezione dei diritti umani e delle libertà fondamentali”, dall’articolo 8 della “Carta dell’Unione europea sui diritti fondamentali” nonché dalle direttive 95/46/EC e 2002/58/EC, la natura “sensibile” dei dati in esame richiede anche l’adozione di
dell’interoperabilità - organizzativa, semantica e tecnica - investono anche il personale sanitario, gli enti finanziatori, le agenzia assicurative, l’industria IT specializzata nel settore medico, il mercato dell’e-Health, l’e-Government ed i servizi pubblici fruibili in Rete. La Commissione europea, attraverso la citata Raccomandazione, intende fornire agli Stati membri linee guida utili al conseguimento dei risultati auspicati entro il 2015, senza, al contempo, minare l’autonomia nazionale di ciascun Paese. I concetti di interoperabilità e di armonizzazione dei sistemi sanitari sono, infatti, tra loro distinti ed il raggiungimento del primo non necessariamente implica la realizzazione del secondo, per il quale, invece, la sovranità nazionale è assoluta. Nel rispetto del principio di sussidiarietà, ogni Governo ha il compito ed il dovere di garantire il diritto di accesso dei propri cittadini alla salute, predisponendo mezzi efficienti ed efficaci, di cui un adeguato impianto normativo condiviso tra gli Stati membri è parte essenziale. Un significativo contributo all’integrità dei sistemi è, poi, dato dalle nuove tecnologie. Analogamente a quanto già proposto, anche in questa circostanza, la Commissione raccomanda l’uso delle Security and Privacy Enhancing Technology nella progettazione dei sistemi dedicati ai fascicoli sanitari elettronici. Spetta, dunque, agli Stati membri operare seguendo gli indicati livelli di azione:
(i) legislativo, facilitando l’armonizzazione ed il coordinamento degli apparati normativi nazionali; (ii) organizzativo, creando un dominio condiviso tra i 27 Paesi e al tempo stesso assicurando l’autonomia nazionale quanto alla scelta di infrastrutture e di servizi di e- Health; (iii) tecnico, promuovendo l’uso di standard, architetture ed una piattaforma comune di interoperabilità, e semantico, coordinando le azioni nazionali; (iv) educativo, orientando verso l’adozione di adeguate misure volte a conseguire risultati elevati.
4. “EUROPA 2020”: PRIORITÀ E STRATEGIE EUROPEE PER L’E-HEALTH
Nel marzo 2010, per rafforzare la crescita dell’Unione fortemente provata dalla crisi economico-finanziaria mondiale diffusasi nel biennio precedente, la Commissione europea lancia una nuova sfida attraverso la Comunicazione “Europa 2020. Una strategia per una crescita intelligente, sostenibile e inclusiva”42, il cui scopo principale è guidare gli Stati Membri verso uno sviluppo collettivo che li impegni su precisi fronti, tra cui l’occupazione, la ricerca e l’innovazione, il cambiamento climatico e l’energia, l’istruzione e la lotta contro la povertà. Per favorire il raggiungimento dei risultati a livello nazionale,
rigide ed efficaci misure di sicurezza volte alla loro protezione, e ciò soprattutto per evitare usi impropri o addirittura illegali.
42 COMMISSIONE EUROPEA, Comunicazione della Commissione Europea 2020, Una strategia per una crescita intelligente, sostenibile e inclusiva, Bruxelles, 3.3.2010, COM(2010) 2020 definitivo.
nonostante la forte eterogeneità in termini di sviluppo che caratterizza i Paesi dell’Unione, la Commissione individua sette iniziative guida, realizzabili anche attraverso un forte partenariato tra tutte le istituzioni coinvolte e la società civile. Ai fini del presente lavoro è di particolare interesse la predisposizione di una Agenda europea del digitale, volta ad “accelerare la diffusione dell’internet ad alta velocità e sfruttare i vantaggi di un mercato unico del digitale per famiglie e imprese”43. Il contesto che muove la Commissione a spendere risorse in questo settore è legato, anzitutto, all’inferiore quantità di investimenti europei nel campo dell’innovazione (rispetto a quanto, invece, accade in Giappone e negli Stati Uniti), e, di conseguenza, alla scarsa capacità dell’Unione europea di soddisfare il mercato del digitale. Inoltre, l’assenza di una copertura a banda larga, omogenea ed uniforme, nei territori nazionali nonché i considerevoli livelli di digital divide riscontrati, rallentano la diffusione e l’accesso a beni e servizi erogati attraverso i canali presenti in Rete.
I compiti individuati nella Comunicazione “Europa 2020” riguardano, pertanto, sia il fronte comunitario sia quelli nazionali. Quanto al primo, la stessa Commissione si impegna a: (i) creare un quadro giuridico che incentivi gli investimenti per la realizzazione di un’infrastruttura adeguata per l’Internet ad alta velocità; (ii) erogare fondi strutturali comunitari per il raggiungimento degli obiettivi di cui in Agenda; (iii) favorire un mercato unico per i contenuti ed i servizi digitali, sostenuto anche da un quadro normativo chiaro in materia di diritti, promozione delle licenze multiterritoriali, tutela e remunerazione adeguate per i titolari di diritti ed attivo sostegno per la digitalizzazione del patrimonio culturale europeo; (iv) riformare i fondi per la ricerca e l’innovazione e stimolare l’innovazione in materia di TIC in tutti i settori aziendali; (v) promuovere l’accesso alla Rete di tutti i cittadini europei anche attraverso azioni di alfabetizzazione. Per quanto, invece, riguarda il compito degli Stati membri, essi sono chiamati a realizzare l’Internet ad alta velocità sia attraverso la destinazione di fondi pubblici sia attraverso un quadro legislativo che consenta di ridurre i costi di ampliamento della Rete. Secondo la Commissione è, inoltre, necessario che i Governi si impegnino concretamente a diffondere servizi online.
Il 26 agosto 2010, ottemperando a quanto stabilito nella Comunicazione di marzo, la
43 Ivi, p. 4.
Commissione europea lancia la Comunicazione “Agenda Digitale Europea”44, allo scopo di “ottenere vantaggi socioeconomici sostenibili grazie a un mercato digitale unico basato su internet veloce e superveloce e su applicazioni interoperabili”45. Tale realtà è possibile grazie all’innescarsi di un circolo virtuoso dell’economia digitale, nel quale il rapporto tra l’offerta di una Rete veloce e l’erogazione di servizi online non soltanto è in sé crescente, ma genera un’ulteriore domanda di reti e servizi da parte degli utenti. Tuttavia, affinché la dinamica descritta si sviluppi secondo logiche di mercato che tutelino i consumatori, occorrono adeguati interventi normativi, comunitari e nazionali, che, da una parte, accrescano la fiducia degli utenti in termini di riservatezza e sicurezza nell’uso di Internet, dall’altra, permettano ai consumatori un regolare accesso, non gravoso o oneroso. Contestualmente al piano legislativo - osserva la Commissione - è indispensabile eliminare o, comunque, contenere tutti gli ostacoli che incidono negativamente sullo sviluppo di un mercato fortemente incentrato sul potenziale delle Tecnologie dell’Informazione e della Comunicazione, ostacoli individuabili in frammentazione dei mercati digitali, scarsa interoperabilità, aumento della criminalità informatica e rischio di un calo della fiducia nelle reti, inadeguati investimenti nelle reti, insufficiente stanziamento di fondi in ricerca e innovazione, assenza di alfabetizzazione digitale e competenze informatiche, scarse risposte ai problemi sociali.
Obiettivo principale della “Agenda Digitale Europea” è, dunque, individuare azioni e programmi che permettano di affrontare e risolvere i problemi sottesi alle aree summenzionate. Particolarmente interessanti per il presente studio sono: “l’azione fondamentale 4” sulla fiducia nel digitale di cui, in primis, fa parte il riesame del quadro normativo dell’Unione sulla protezione dei dati personali, tema al quale è fortemente legato il principio “Privacy by Design”46; “l’azione fondamentale 5” sull’interoperabilità tra prodotti e servizi delle tecnologie dell’informazione possibile, anzitutto, grazie all’introduzione di strumenti giuridici ad hoc che modifichino le regole sull’applicazione degli standard europei in materia di Tecnologie dell’Informazione e della Comunicazione; “le azioni fondamentali 13 e 14” rispettivamente dedicate a garantire, a tutti i cittadini europei, “un accesso online sicuro ai dati sanitari personali entro il 2015 e diffondere ampiamente i servizi di telemedicina entro il 2020” nonché a “proporre una
44 COMMISSIONE EUROPEA, Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni “Un’agenda digitale europea”, Bruxelles, 26.8.2010, COM(2010) 245 definitivo/2.
45 Ivi, p. 3.
46 I principi della “Privacy by Design” e le loro applicazioni saranno esaminati nel corso della ricerca.
raccomandazione per definire un numero minimo comune di dati sui pazienti per garantire l’interoperabilità delle cartelle cliniche che dovranno essere accessibili o scambiabili per via elettronica fra gli Stati membri entro il 2012”47.
Il tema della sanità elettronica acquista un ruolo particolarmente importante anche per le questioni sottese all’assistenza sanitaria oltre i confini nazionali, cresciuta, negli ultimi anni, soprattutto per la forte mobilità internazionale dei cittadini. Questa la ragione che ha spinto il legislatore comunitario ad introdurre l’articolo 14, rubricato “assistenza sanitaria online”, nella direttiva 2011/24/UE sull’assistenza sanitaria transfrontaliera48. Gli obiettivi della norma invocata corrispondono, peraltro, a quelli esposti dalla Commissione europea in altre Comunicazioni già esaminate. Nelle disposizioni del 2011 sono, in particolare, sottolineati l’utilità di network transfrontalieri nell’assistenza sanitaria online e di sistemi interoperabili sia per la continuità sia per la qualità delle cure prestate nonché, nel rispetto di quanto previsto dalle direttive 1995/46/CE e 2002/58/CE in materia di protezione dei dati personali, la necessità di delineare precise indicazioni sui “dati che devono essere inseriti nei fascicoli dei pazienti e che possano essere scambiati tra professionisti sanitari per garantire la continuità delle cure e la sicurezza del paziente a livello transfrontaliero” e sui “metodi efficaci per consentire l’uso di informazioni mediche per la sanità pubblica e la ricerca”. É, altresì, disposto di “sostenere gli Stati membri affinché definiscano misure comuni di identificazione ed autenticazione per agevolare la trasferibilità dei dati nell’assistenza sanitaria transfrontaliera” (così prescrive l’articolo 14, secondo comma, lettere b) e c)).
5. LE STRATEGIE NAZIONALI DEGLI STATI MEMBRI
Le risposte alle priorità ed alle strategie europee in materia di e-Health da parte degli Stati membri dell’Unione non sono tardate. Seppur non in modo congiunto, infatti, i Governi nazionali hanno tradotto in azioni concrete le indicazioni loro fornite dalla Commissione europea nei documenti, cogenti e non, di cui si è dato un rapido cenno nel corso della presente ricognizione sulle attuali tendenze politiche e giuridiche in tema di sanità digitale e fascicolo sanitario elettronico.
In particolare, secondo l’indagine conclusa nel marzo 2007 dal gruppo di lavoro
47 COMMISSIONE EUROPEA, Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni “Un’agenda digitale europea”, p. 33.
48 Direttiva 2011/24/UE del Parlamento europeo e del Consiglio del 9 marzo 2011 concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera, pubblicata in GUCE n. L 88/45 del 4.4.2011.
coordinato da e-Health ERA, successivamente al lancio de “e-Health Action Plan”, la maggior parte dei 27 Paesi membri aveva redatto una propria strategia nazionale, fissando obiettivi, a medio e a lungo termine, attraverso i quali colmare anzitutto i gap che a livello nazionale avrebbero impedito un uso consolidato delle nuove tecnologie nel dominio sanitario, come, ad esempio, la scarsa diffusione della banda larga49. Inoltre, secondo quanto emerge dal Rapporto, sul tema della sanità elettronica alcuni Stati, trattasi in particolare di Danimarca, Finlandia e Norvegia, già dalla seconda metà degli anni Novanta avevano intrapreso politiche nazionali in materia di e-Health, e, negli stessi anni, la Germania iniziava un intenso dibattito sui medesimi argomenti con tutti gli stakeholder coinvolti.
Sebbene ciascun Paese abbia concretizzato in modo diverso il raggiungimento degli obiettivi di digitalizzazione in sanità, alcuni denominatori comuni, quali la qualità delle cure nonché l’efficacia e l’efficienza dei servizi offerti agli utenti, hanno, però, caratterizzato le politiche locali e gli impegni assunti dai sistemi sanitari nazionali. In ottemperanza alle indicazioni della Commissione, la logica, almeno teorica, che ha prevalso in Europa è stata, dunque, quella di preferire strumenti e servizi patient-centred.
Parallelamente allo sviluppo dell’impianto tecnologico - emerge dal Rapporto citato -, molti Governi, consapevoli dei rischi legati ai nuovi strumenti tecnologici, tra cui
49 Cfr. ERA, eHealth strategies and implementation in European countries. EHealth ERA Report, Luxembourg, Office for Official Publications of the European Communities, 2007, pp. 100.
Nel presentare schede tecniche relative ai singoli Paesi esaminati, il Rapporto menziona, tra gli altri, i documenti nazionali che hanno permesso l’adozione di strategie, politiche ed azioni in tema di sanità elettronica. Al solo fine di dare riscontro sullo sviluppo dell’e-Health in Europa, di seguito si riportano (secondo un ordine cronologico e mantenendo la citazione in lingua inglese dell’e-Health ERA Report) i documenti fondamentali adottati dagli Stati oggetto dello Studio: “The Strategy for the Utilisation of Information and Communication Technologies in Welfare and Health” - 1996 (Finlandia), “More health for each bIT” - 1997 (Norvegia), “The e-Health strategy” - 2000 (Estonia), “The New Healthcare Information System” - 2001 (Italia), “The National Action Plan eEurope+Czech Republic” - 2002 (Repubblica Ceca), “The National Programme for IT” - 2002 (Inghilterra), “The National Strategy for Information Technology in the Health Care System (2003 - 2007)” - 2003 (Danimarca), “Informing Healthcare” - 2003 (Galles), “National Health Information System” - 2003 (Turchia), “The National eHealth Programme” - 2004 (Ungheria), “Poland - eHealth Strategy for 2004 - 2006” - 2004 (Polonia), “The National Health Information Strategy” - 2004 (Irlanda), “The Healthcare Insurance Act of August 2004” - 2004 (Francia), “The National Healthcare servie’s “Bricks” - 2004 (Italia), “The National Health Plan” - 2004 (Portogallo), “The eHealth strategy” - 2005 (Romania), “The eHealth2010 - Strategic plan for the Slovenian health sector informatisation” - 2005 (Slovenia), “The Health Reform 2005 Act” (Austria), “The DHSSPS Health and Personal Social Services Information and Communications Technology Strategy” - 2005 (Irlanda del Nord), “Health Telematic Law” - 2005 (Belgio), “The German eHealth Strategy” - 2005 (Germania), “e-Health in Latvia” - 2005 (Lettonia), “eHealth Strategy for 2005-2010” - 2005 (Lituania), “The National Strategy for Health of Bulgaria” - 2006 (Bulgaria), “The National Strategy for Quality and Safety of Healthcare Services in the Knowledge Society” - 2006 (Grecia), “The national eHealth Vision and strategy” - 2006 (Malta), “The National eHealth strategy” - 2006 (Svezia), “The Government Programme for 2005 - 2009” - 2006 (Liechtenstein), “A draft national strategy for eHealth” - 2006 (Switzerland), “The Plan for Quality in the National Health System” - 2006 (Spain), “New Healthcare System” - 2006 (Slovacchia), 2006 (Olanda); “Delivering for Health”, Islanda.
l’inadeguatezza in materia di protezione e trattamento dei dati personali, hanno predisposto precise misure legislative.
Anche dal punto di vista delle attività e dei progetti nazionali volti ad implementare le indicazioni formulate dalla Commissione europea, il Rapporto sottolinea che, al 2006, anno di aggiornamento dei dati pubblicati, le azioni intraprese erano piuttosto numerose e diversificate50. Tra gli ambiti di intervento citati rientrano, ad esempio, la predisposizione di infrastrutture, la realizzazione di fascicoli sanitari elettronici e di vari prototipi di e-Card nonché la messa in Rete di portali tematici.
Il raggiungimento di tutti i risultati auspicati non può, tuttavia, omettere precise azioni su altri profili, tra cui, l’interoperabilità tecnica e semantica nonché la sicurezza e l’identificazione personale dell’utente, riconosciuti essenziali sia da “e-Health Action Plan” sia dalla letteratura esistente.
Già all’epoca della redazione de “e-Health ERA Report”, diverse iniziative nazionali erano state avviate per implementare i menzionati interventi. Per quanto riguarda il profilo dell’interoperabilità interessante notare che l’indagine confermi che soltanto alcuni Stati (Italia, Romania e Spagna) abbiano espressamente inserito questo concetto chiave indicato da “e-Health Action Plan” nella loro Agenda, attribuendo pertanto all’interoperabilità tecnica e semantica un ruolo prioritario; inoltre, la Danimarca, con il “Progetto MedCom”, ha sviluppato una piattaforma, “the Danish Health Data Network”, per standard tecnici e per l’interoperabilità di e-Message, e, attraverso il “Progetto SNOMED CT” ha cercato di realizzare in modo concreto l’interoperabilità semantica.
Rispetto ai profili giuridici in materia di e-Health, interessanti sono i risultati presentati nella ricerca condotta da Empirica, i cui risultati sono stati pubblicati ne “European countries on their journey towards national e-Health infrastructures - e-Health Strategies Report”51.
Lo studio analizza lo stato dell’arte dei Paesi membri dell’Unione nella prospettiva delle indicazioni delineate dal Consiglio europeo ne “e-Health Action Plan” del 2004; sono, altresì, esaminate strategie e policy, normative, infrastrutture ed applicazioni adottati per ottemperare alle indicazioni del Consiglio europeo. Tra i risultati più evidenti rientra il reale impegno, assunto fino ad oggi, da parte di tutti gli Stati europei nel settore della sanità digitale, impegno, peraltro, dimostrato attraverso azioni intraprese proprio a seguito
50 Si noti che lo stato dell’arte attualmente presenta la stessa eterogeneità.
51 EMPIRICA, European countries on their journey towards national eHealth infrastructures. eHealth Strategies Report, 2011, pp. 47.
del Piano del 2004 e concretamente perseguite nel territorio dell’Unione. Ne sono esempi le Conferenze ministeriali annuali sull’e-Health, il “Progetto pilota epSOS (Smart Open Services for European Patients)”52 nel quale sono coinvolti 23 Paesi europei nonché il “Progetto pilota RenewingHealth” sui servizi di telemedicina53. Monito fondamentale de “e-Health Strategies Report 2011” è, certamente, la cooperazione e la collaborazione sinergica tra gli Stati dell’Unione sui temi della sanità digitale, in riferimento ai profili tecnici (uso di standard per l’interoperabilità dei fascicoli sanitari elettronici), giuridici (tutela dei dati personali sanitari e responsabilità nel trattamento), politici, economico- finanziari. Le ragioni di tali conclusioni vanno tra l’altro ravvisate nel fatto che la mobilità internazionale dei cittadini/consumatori/pazienti europei richiede l’adozione di misure comuni e condivise tra i Paesi dell’Unione europea, soprattutto per migliorare la qualità delle prestazioni offerte e tutelare gli stessi beneficiari delle cure.
6. UNA SANITÀ INNOVATIVA PER IL 21ESIMO SECOLO: IL “PIANO D’AZIONE
Sanità elettronica 2012-2020”
Come è stato osservato, nel maggio 2012, da Ilves, presidente della task force indipendente composta da esperti di alto livello in materia di sanità elettronica54, nonostante gli sforzi compiuti dall’Unione europea e dai 27 Paesi membri per la digitalizzazione della sanità e dell’assistenza sanitaria, questo dominio rimane in notevole ritardo rispetto a molti altri settori, nei quali le modalità di organizzazione, erogazione e fruizione dei servizi sono strutturalmente permeate dall’uso delle Tecnologie dell’Informazione e della Comunicazione.
Tra gli ostacoli, a tutt’oggi esistenti, rientra certamente l’onere normativo, per i Governi ed i loro apparati burocratico-amministrativi, che spesso si manifesta come incertezza e frammentarietà del diritto e che impedisce, quindi, una migliore diffusione e fruibilità delle informazioni e delle prestazioni sanitarie; non secondaria rilevanza assumono, inoltre, questioni come il digital divide e lo scetticismo che talora persiste tra gli stakeholder di fronte all’uso degli strumenti di sanità elettronica nonché il tema dei costi, ancora eccessivamente elevati per la realizzazione di nuovi sistemi e prototipi.
52 Per approfondimenti si rinvia all’homepage del Progetto “epSOS”, consultabile all’indirizzo xxxx://xxx.xxxxx.xx/.
53 Il sito web del Progetto “Renewing Health” è disponibile all’indirizzo xxxx://xxx.xxxxxxxxxxxxxx.xx/.
54 Istituita nel maggio 2011 dalla Commissione, la task force ha avuto il compito di valutare le modalità con cui massimizzare i potenziali benefici derivanti dall’utilizzo delle nuove tecnologie nel settore sanitario. I risultati di tale lavoro sono stati raccolti nello studio EHEALTH TASK FORCE REPORT “Redesigning health in Europe for 2020”, Luxemburg, 2012, pp. 12
Di fronte a questo scenario, l’auspicio non può che essere l’ulteriore sensibilizzazione, centrale e locale, per la rimozione degli ostacoli che danneggiano una collaborazione sinergica per il rilancio di un e-Health non soltanto formale ma soprattutto sostanziale. A questo scopo, il rapporto redatto dalla task force, “Redesigning health in Europe for 2020”, individua cinque livelli per il cambiamento: 1) “My data, my decisions”: evidenzia ancora una volta la centralità che, per i consumatori, assumono il diritto di decidere sull’accesso ai dati ed il diritto di ricevere un’informazione adeguata ed esaustiva sul trattamento dei dati stessi; 2) “Liberate the data”: sottolinea l’importanza di “aprire” l’utilizzo (seppur con le dovute precauzioni di anonimizzazione) di dati raccolti in archivi diversi da quelli socio- sanitari per finalità di salute pubblica; 3) “Connect up everything”: rinvia alla necessità di adottare sistemi informativi interoperabili, accessibili anche attraverso “multi-platform apps”; 4) “Revolutionise health”: richiama l’opportunità di pubblicizzare le performance dei professionisti sanitari ed i risultati delle istituzioni sanitarie al fine di consentire agli assistiti di orientarsi verso servizi maggiormente all’avanguardia; 5) “Include everyone”: sollecita gli erogatori dei servizi sanitari ad una lettura oggettiva dello stato dell’arte, nel quale, ancora, fasce diffuse di popolazione non dispongono degli strumenti idonei a fruire delle prestazioni in modalità digitale (digital divide). Altrettanto significativo menzionare le cinque “Raccomandazioni” rivolte dagli esperti alla Commissione europea: 1) “A new legal basis for health data in Europe”; 2) “Create a ‘beacon group’ of Member States and regions committed to open data and eHealth”; 3) “Support health literacy”; 4) “Use the power of data”; 5) “Re-orient EU funding and policies”.
Per ottemperare al rilancio della digitalizzazione della sanità, già peraltro invocato dalla “Agenda Digitale Europea” e dal piano strategico “Europa 2020”, e rispondere, quindi, alle nuove sfide nel settore della sanità elettronica, alla fine del 2012, la Commissione europea ha definito uno specifico piano d’azione, “Sanità elettronica 2012-2020 - Una sanità innovativa per il 21esimo secolo” (o “eHealth Action Plan 2012-2020”)55, i cui obiettivi operativi possono essere così sintetizzati: maggiore interoperabilità dei sistemi di sanità elettronica; ricerca, sviluppo ed innovazione nell’e-Health al fine di migliorare efficienza ed efficacia dei servizi offerti ai consumatori; promozione di un dialogo politico e di una cooperazione globale sul tema.
Ciò che emerge in modo predominante dal Piano d’azione in esame è la sollecitazione
55 COMMISSIONE EUROPEA, Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni “Piano d’azione “Sanità elettronica” 2012-2020 – Una sanità innovativa per il 21esimo secolo”, Bruxelles, 6.12.2012, COM(2012) 736 definitivo.
ad una forte interazione tra tutti i soggetti a qualsiasi titolo coinvolti nelle dinamiche sanitarie, siano essi attori operanti a livello comunitario, siano essi attori operanti a livello nazionale, centrale o territoriale. Si osservi l’importanza di questa annotazione, più volte, peraltro, in passato già richiamata dalle istituzioni europee; un approccio di tal genere è, infatti, imprescindibile in un settore multilivello e multidisciplinare come quello dell’e- Health, soprattutto per ottenere risultati il più possibile integrati e coordinati.
Particolarmente significativo ai fini della presente ricerca è, altresì, il monito della Commissione europea per la creazione di un quadro europeo interoperabile - dal punto di vista giuridico, organizzativo, semantico e tecnico - in materia di sanità elettronica.
Per quanto concerne gli aspetti semantici e tecnici, precipua attenzione è rivolta non soltanto all’utilizzo di standard e specifiche europee ed internazionali di cui, tra l’altro, si riferirà nel capitolo seguente, ma anche “le prove di interoperabilità nonché i processi di etichettatura e certificazione”56.
Per quanto, poi, i profili legali, la Commissione osserva che “rimuovere gli ostacoli giuridici è di importanza cruciale per la diffusione della sanità elettronica in Europa”57; da qui, l’opportunità di dar vita a gruppi di studio ed attività intersettoriali, che affrontino questioni quali la revisione delle norme sulla protezione dei dati personali, in cui, peraltro, non possono essere ignorate nuove fattispecie concrete nate dalla sempre più diffusa applicabilità delle TIC anche al settore sanitario (tra le altre, si consideri, ad esempio, la possibilità di raccogliere e trattare i dati sanitari in infrastrutture e servizi di cloud computing o nei dispositivi “mobile”).
56 Cfr. COMMISSIONE EUROPEA, Comunicazione della Commissione al Parlamento europeo, al Consiglio, al Comitato economico e sociale europeo e al Comitato delle Regioni “Piano d’azione “Sanità elettronica” 2012-2020 – Una sanità innovativa per il 21esimo secolo”, p. 9.
57 Idem.
CAPITOLO II
IL FASCICOLO SANITARIO ELETTRONICO NELLO STATO DELL’ARTE EUROPEO ED ITALIANO
SOMMARIO: 1. Il Fascicolo Sanitario Elettronico - 2. Il sistema informativo sanitario: brevi cenni - 3. Il processo di standardizzazione in sanità - 4. Analisi di selezionati progetti europei e nazionali - 4.1 Unione europea - 4.1.1 Progetto “epSOS” - 4.2 Austria - 4.2.1 Progetto “ELGA” - 4.2.1.1 “Integrating the Healthcare Enterprise Integration Profiles” - 4.2.1.2 “HL7 Reference Information Model” e “HL7 Clinical Documentation Architecture” - 4.2.1.3 “eXtensible Access Control Markup Language” - 4.2.1.4 Architettura Progetto “ELGA” - 4.3 Danimarca - 3.3.1 Progetto “MedCom” - 4.4 Italia - 3.4.1 Progetto “InFSE” - 4.4.1.1 Progetto “OpenInFSE” - 4.4.1.2 Progetto “Evoluzione e interoperabilità tecnologica del Fascicolo Sanitario Elettronico” - 4.4.2 Progetto “IPSE”
1. IL FASCICOLO SANITARIO ELETTRONICO
Multidisciplinarietà ed interdisciplinarietà caratterizzano la sanità digitale; numerose sono, infatti, le branche del sapere coinvolte: medicina, ingegneria biomedica e gestionale, informatica, diritto, bioetica, sociologia, economia, politica, per citarne alcune. Per queste ragioni, il dibattito scientifico è particolarmente vivace e ricco di nuovi scenari e prospettive: sui fronti teorico ed applicativo si assiste, infatti, al moltiplicarsi di posizioni ed azioni tra loro complementari o talora discordanti.
Detta complessità impone di tracciare, seppur senza alcuna pretesa di esaustività, i principali elementi dello strumento di e-Health oggetto del presente studio, il Fascicolo Sanitario Elettronico58. A tal fine saranno considerati selezionate pubblicazioni presenti in letteratura, documenti tecnici internazionali e nazionali elaborati da gruppi di lavoro ed esperti della materia nonché significativi progetti realizzati a livello comunitario e nazionale.
Se il quadro politico e legislativo dell’ultimo decennio, tratteggiato nel capitolo precedente, rivela l’interesse e l’attenzione della Commissione europea per la sanità digitale, al tempo stesso quanto delineato mostra l’attuale divenire degli scenari normativi. Come già sottolineato, le ragioni di tale progressività sono, tra l’altro, dovute alla
58 Nel presente lavoro i termini Fascicolo Sanitario Elettronico ed Electronic Health Record sono utilizzati come sinonimi.
farraginosità degli apparati legislativi ed amministrativi che, di frequente, richiedono tempi di revisione maggiori rispetto alle innovazioni introdotte dalle nuove tecnologie in altri ambiti scientifici.
In campo medico le prime forme di “Electronic Health Record” (EHR) furono utilizzate negli Stati Uniti già a partire dagli anni Sessanta59. Sebbene questo dato sia particolarmente significativo, poiché sottolinea che da oltre un cinquantennio ci si occupa degli aspetti architetturali ed infrastrutturali dei fascicoli sanitari elettronici, attualmente sono ancora parecchi gli ostacoli da superare per raggiungere i livelli di interoperabilità - organizzativa, tecnica, semantica - auspicati dalla Commissione europea60, e ciò, soprattutto per il fatto che in Europa è spesso mancata una visione unitaria e condivisa nell’adozione ed implementazione di standard volti a migliorare l’efficienza e l’efficacia dei sistemi stessi. Inoltre, in paesi come l’Italia, ulteriori ostacoli all’interoperabilità semantica sono conseguenza di un’inefficace strutturazione di dati e documenti sanitari digitali, ancora troppo spesso legata all’analogo modello formale cartaceo.
Nonostante questi dati, come mostra lo stato dell’arte, la mobilità nazionale ed internazionale dei consumatori è, sempre più, fattore trainante per la revisione dei servizi sanitari nazionali tradizionali, al punto che, soprattutto nell’ultimo decennio, a livello dei “sistema Paese”, sono stati predisposti programmi operativi per costituire o, comunque, implementare infrastrutture orientate all’interoperabilità61.
Prima di esaminare in che modo la realtà considerata si stia modificando e ridisegnando, occorre, anzitutto, ripercorrere la letteratura specialistica per delineare le fondamentali
59 Tra gli altri: X. XXXX, X. X. XXXXX, X. XXXXXX (eds.), The Computer Based Patient Record: An Essential Technology for Health Care, Institute of Medicine, National Academy Press, 1997, p. 111; A. B. XXXXXXXXXXX, X. XXXXX, Computer-based Information Systems for Medicine: A Survey and Brief Discussion of Current Projects, Santa Xxxxxx, Calif.: Systems Development Corporation, 1965.
60 Cfr. COMMISSIONE DELLE COMUNITÀ EUROPEE, Raccomandazione della Commissione del 2 luglio 2008 sull’interoperabilità transfrontaliera dei sistemi di cartelle cliniche elettroniche [notificata con il numero C(2008) 3282] (2008/594/CE), pubblicata in GUCE L 190/37 del 18.7.2008. Vedasi, altresì, IDABC, EUROPEAN INTEROPERABILITY FRAMEWORK, European Interoperability Framework for Pan European eGovernment Services, version 1.0, Xxxxxxxxx, 0000, pp. 26; altrettanto valida è, poi, la definizione di interoperabilità in X. XXXXX, X. XXXXXXXX, Strategy for production and maintenance of standards for interoperability within and between service departments and other healthcare domains. Short Strategic Study XXX/XX000/X00-000, XXX/XX 251 Health Informatics, Brussels, Belgium, 2000).
61 Un significativo esempio è il progetto europeo “epSOS”. Interessanti in proposito anche i risultati degli studi: A. XXXXXX, X. XXXXX, X. XXXXXXXXXX, X. XXXXXXXXXX, X. XXXXXX, X. XXXX, Interoperable eHealth is Worth it. Securing Benefits from Electronic Health Records and ePrescribing. Study Report 2010, European Communities, Bonn/Brussels, 2010, pp. 88; A. XXXXXX, X. XXXXX, X. XXXXXXXXXX, X. XXXXXX,
X. XXXX, Report on The socio-economic impact of interoperable electronic health record (EHR) and ePrescribing systems in Europe and beyond. Final study report, Deliverable D3.4 of the EHR IMPACT study, 2009, pp. 54. Altrettanto significativi i risultati di uno studio condotto per valutare la qualità dei modelli di EHR diffusi negli ultimi anni negli Stati Uniti e in Europa: A. XXXXXXX, X. AMMENWERTH, Quality and Certification of Electronic Health Records. An overview of current approaches from the US and Europe, Applied Clinical Informatics, 2010, pp. 149-164.
caratteristiche del Fascicolo Sanitario Elettronico. Il motivo principale va rintracciato, più che in ragioni meramente semantiche, in finalità pragmatiche: non tutti i termini utilizzati per indicare il Fascicolo Sanitario Elettronico si riferiscono, infatti, al medesimo strumento62. A titolo esemplificativo, “Electronic Medical Record”, “Patient Summary”, “e-Prescribing”, “Patient Health Record” soltanto per i non addetti ai lavori rinviano allo stesso concetto di “cartella sanitaria”; nella prassi, essi rimandano a prototipi digitali differenti, sia per caratteristiche tecniche ed architetturali sia per i possibili usi.
Particolarmente significativo è in tal senso il dossier redatto da International Organization for Standardization (ISO) nel 2005, nel quale, utilizzando un approccio per così dire multilivello, una delle principali organizzazioni mondiali nel campo della standardizzazione ha dedicato speciale attenzione proprio al tema del Fascicolo Sanitario Elettronico63.
Le definizioni proposte da ISO, più che tener conto dei contenuti di questo strumento digitale, si basano sulla struttura dello stesso. L’idea principale è, infatti, quella di pensare alla cartella sanitaria elettronica alla luce dei suoi possibili usi, generico o specialistico.
Nel suo uso generico il Fascicolo Sanitario Elettronico si presenta come raccolta di informazioni clinico-sanitarie riferibili ad un paziente e leggibili da supporti informatici64. Ciò che, invece, differenzia i due modelli specialistici (“non shareable” e “shareable”) è l’interoperabilità, qui intesa come l’idoneità tecnica e/o architetturale di un Fascicolo Sanitario Elettronico di scambiare informazioni tra pluralità di utenti, pluralità di applicazioni, pluralità di sistemi.
Almeno dal punto di vista formale, prototipo ideale della descritta interoperabilità è, secondo ISO, “integrated care EHR”, un sotto-tipo di “shareable EHR”, le cui peculiarità sono l’interoperabilità semantica, la completezza e la persistenza di informazioni riguardanti la storia clinica del paziente, l’adozione di modelli logici standardizzati che travalicano i sistemi fisici locali nonché la sicurezza nella trasmissione delle informazioni e l’accessibilità alle stesse per i soli soggetti autorizzati65.
A conferma della tesi innanzi esposta, secondo cui l’espressione “Fascicolo Sanitario Elettronico” non indica in modo univoco le caratteristiche tecniche di uno strumento
62 In proposito cfr. K. XXXXXXXX, X. XXXXXXX, X. XXXXXXX, Definition, structure, content, use and impacts of electronic health records: A review of the research literature, International Journal of Medical Informatics, vol. 77, 2008, pp. 291-304.
63 International Standardization Organization, Health informatics - Electronic health record - Definition, scope, and context, 2005, ISO/TR 20514:2005(E).
64 Ivi, p. 8. Analoga definizione era, peraltro, già stata delineata dall’ISO nel documento ENV 13606-1:2000.
65 Ivi, p.10.
digitale finalizzato alla raccolta di informazioni clinico-sanitarie, è di aiuto il citato dossier, nel quale, International Standardization Organization presenta una rassegna dei vari tipi di “cartelle sanitarie”, utilizzati dai sistemi sanitari nazionali nonostante l’assenza di standardizzazione. Tra essi rientrano: “Electronic Medical Record” (EMR), un fascicolo sanitario elettronico la cui peculiarità è essere “medically focused”; “Electronic Patient Record” (EPR), la cui gestione è limitata ad una singola struttura sanitaria; “Electronic Client Record” (ECR), un fascicolo sanitario elettronico le cui informazioni sono utilizzate nel contesto delle attività svolte da professionisti non medici del settore sanitario, come fisioterapisti, chiropratici o operatori sociali.
Maggiormente articolata è, poi, la definizione di “Personal Health Record” (PHR), di cui, secondo ISO, è possibile individuare almeno quattro differenti forme: “a) a self-contained EHR, maintained and controlled by the patient/consumer, b) the same as a. but maintained by a third party such as a web service provider, c) a component of an ICEHR maintained by a health provider (e.g. a GP) and controlled at least partially (i.e. the PHR component as a minimum) by the patient/consumer, or d) the same as c) but maintained and controlled completely by the patient/consumer”.
Secondo quanto emerge dal documanto citato, altrettanto diffusi sono, inoltre, “Digital Medical Record” (DMR), cartella “web-based”, gestita dal servizio sanitario, che può assolvere funzioni di EMR, EPR o EHR66 e “Clinical Data Repository” (CDR), nel quale i dati sanitari provenienti dai servizi sanitari territoriali, come ospedali o cliniche, sono contenuti ed organizzati, dati che possono anche alimentare il Fascicolo Sanitario Elettronico.
Altri modelli adottati dai sistemi sanitari nazionali sono, infine, “Computerised Medical Record” (CMR), nel quale la documentazione raccolta nelle cartelle sanitarie cartacee è acquisita mediante i sistemi ottici di riconoscimento dei caratteri67 e “Population Health Record” (PHR), creato ex novo o generato direttamente dai fascicoli sanitari elettronici, nel quale, invece, dati aggregati, e comunque resi anonimi, sono utilizzati in sanità pubblica68.
Una prima osservazione di carattere generale riguarda la titolarità nella gestione delle informazioni sanitarie: soltanto nel “Patient Health Record” i dati sono di fatto generati dal paziente. Questo elemento è assunto nella sua oggettività; nella presente ricerca sono, infatti, omesse ulteriori considerazioni ed implicazioni. Si evidenzia, a titolo
66 Tale definizione è stata ripresa da X. XXXXXXXXX, Status Report 2002: Electronic Health Records, Medical Records Institute, 2002.
67 X. XXXXXXXXX, cit.
68 Ivi, pp. 12-14.
esemplificativo, che l’assenza di adeguate conoscenze mediche da parte dei fruitori dell’assistenza sanitaria e l’uso di un linguaggio spesso inappropriato nella descrizione della sintomatologia, possono condizionare negativamente la qualità delle cure e la scelta delle migliori forme di assistenza per il paziente da parte dei medici designati. Ulteriori importanti scenari riguardano poi i profili di compatibilità ed interoperabilità tra dispositivi mobili utilizzabili dal paziente ed i fascicoli sanitari elettronici gestiti dal personale sanitario. Seppur tratteggiati alcuni dei limiti che i personal device presentano, non si può, al tempo stesso, non sottolineare il valore che essi hanno in termini di innovazione dei sistemi sanitari tradizionali e, particolarmente, il contributo che tali mezzi forniscono nei processi di diagnosi e cura soprattutto dei pazienti cronici, per i quali, continuità assistenziale, monitoraggio domiciliare, telemedicina, sono essenziali69.
Con riferimento alla funzionalità, caratteristica comune a molti dei documenti sanitari elettronici menzionati è, anzitutto, quella di assolvere lo scopo primario per il quale sono stati creati, e cioè, principalmente, essere strumenti di supporto per il personale sanitario coinvolto nella cura del paziente.
È, altresì, importante notare che, in tutti gli esempi indicati, alla funzione prettamente clinica, sono di frequente associati ulteriori usi, correlati, seppur distinti: trattasi dell’utilizzo dei dati sanitari per ragioni medico-legali, di “quality management”, di formazione ed aggiornamento professionale, di ricerca e sanità pubblica etc. Le ragioni di tale estensione d’uso vanno, tra l’altro, ravvisate nel mutamento di paradigma che coinvolge anche il servizio sanitario, mutamento dovuto al diffondersi ed all’evolversi dei sistemi informativi sanitari70.
69 Il Patient Health Record è, oggi, oggetto di crescente attenzione da parte di molti enti di ricerca ed aziende impegnati nel settore biomedico; numerosi sono in tal senso i progetti intrapresi in tutti i Paesi dell’Unione europea. Anche in letteratura non mancano i contributi su questioni teoriche e pratiche connesse a questo strumento di sanità elettronica; tra gli altri: X. XXXXXXX XXXXXXX, X. XXXXX, X. XXXXXX, Project HealthDesign: Rethinking the power and potential of personal health records, Journal of Biomedical Informatics, Vol. 43, Issue 5, Supplement, 2010, pp. S3-S5; F. XXXXXXX, X. XXXXX, X. XXXXXX, X. XXXXXXXX, X. XXXXXXXX, Empowerment of patients and communication with health care professionals through an electronic health record, International Journal of Medical Informatics, Vol. 70, Issues 2–3, 2003, pp. 99-108; X. X. XXXXXX, Personal health records on the internet: a snapshot of the pioneers at the end of the 20th Century, International Journal of Medical Informatics, Vol. 65, Issue 1, 2002, pp. 1-6. Sul mutamento degli scenari attuali anche sul fronte medico a seguito della diffusion delle nuove tecnologie, tra gli altri: WORLD HEALTH ORGANIZATION, mHealth: New Horizons for Health through Mobile Technologies, Global Observatory for eHealth Services, Vol. 3, 2011; X. XXXX, Take Two Aspirin and Tweet Me in the Morning: How Twitter, Facebook, and Other Social Media are Reshaping Healthcare, Health Affairs, 28 (2) 2009: 361-365.
70 Nell’era moderna il cittadino/paziente è essenzialmente cosmopolita, tende alla mobilità nazionale ed internazionale, necessita pertanto di adeguati strumenti che gli permettano di avere sempre con sé la propria storia clinica, accessibile in qualsiasi momento dal personale autorizzato e facilmente consultabile. Se è vero quanto asserito, è altrettanto vero che in modo crescente le informazioni cliniche non costituiscono più soltanto una proprietà esclusiva del medico e/o della struttura sanitaria che le ha generate, bensì, sempre più
Interrogativo principale rimane, dunque, la definizione di Fascicolo Sanitario Elettronico71. In generale, il termine indica una raccolta digitale di dati medici, sanitari e diagnostici, finalizzata ad assicurare l’integrità delle cure del paziente. Per questa ragione occorre che il FSE sia quanto più possibile completo ed al tempo stesso dotato di misure di sicurezza volte a tutelare la riservatezza delle informazioni trattate72. Sebbene tale descrizione sia piuttosto generica e priva di riferimenti architetturali o infrastrutturali specifici, al tempo stesso essa individua le caratteristiche salienti ed i relativi profili, tecnici e giuridici, cruciali per l’implementazione dello strumento in esame, tra cui, appunto, la storia clinica del paziente73, la natura “sensibile” dei dati collezionati in formato digitale, l’esclusività nell’accesso alle informazioni ed i conseguenti profili di responsabilità, civile e penale, per i soggetti non autorizzati al trattamento74.
frequentemente, occorre che esse siano messe a disposizione all’interno del dominio aziendale nel quale sono state formate e, ove richiesto, anche a livello sovra-aziendale e sovranazionale. Queste evidenze sociologiche hanno orientato e continuano ad orientare la tecnologia applicata al dominio sanitario che, tra le altre innovazioni, ha elaborato nuovi mezzi in grado di soddisfare le esigenze di pazienti e personale (sanitario, para-sanitario, amministrativo) coinvolti nei processi di diagnosi e cura. A seguito dell’avvento imperante dei mobile device (laptop, tablet PC, mobile phone, smart phone, media player etc.) e delle relative applicazioni il consumatore riveste un ruolo sempre più centrale nella “gestione” della propria salute: non più soltanto beneficiario di cure ma stratega del proprio percorso di salute.
L’utilizzo dei mobile devices nel settore sanitario sono crescenti; la recente diffusione di tali strumenti ha aperto un vivace dibattito, tra gli studiosi, sull’implementazioni tecniche da adottare nonché, tra i giuristi, sui profili di legittimità e sulle forme di responsabilità ad essi collegati. Per approfondimenti, si rinvia tra gli altri a: X. XXXXXXXX, X. XXXXXXXX, X. VANNASDALE, X. XXXXXXXX, Mobile personal health records: An evaluation of features and functionality Review Article, International Journal of Medical Informatics, Vol. 81, Issue 9, 2012, pp. 579-593; XXXX X. XXXX, XXXX X. XXX, XXXXX X. XXXXX, X. XXXX XXXXXXXX, XXXXXX X.
XXXXX, Personal Health Records: Definitions, Benefits, and Strategies for Overcoming Barriers to Adoption, Journal of the American Medical Informatics Association, Vol. 13, Issue 2, 2006, pp. 121-126.
71 Puntuali definizioni si trovano anche in D. GARETS, X. XXXXX, Electronic Patient Records. EMRs and EHRs, Healthcare Informatics, 2005.
72 Cfr. I. XXXXXXXXX, Towards Personal Health Record: Current situation, obstacles and trends in implementation of Electronic Healthcare Records in Europe, International Journal of Medical Informatics, n. 52, 128, 1998, pp. 105-117.
73 Analogamente a quanto avviene per le cartelle sanitarie cartacee, la tipologia di informazioni sanitarie è piuttosto diversificata. Sintetico, ma efficace, è in proposito quanto chiarito da Xxxxxxxxxx et at.: “Operational EHRs include information such as observations, laboratory tests, diagnostic imaging reports, treatments, therapies, drugs prescribed, dispensed and administered, patient identifying information and demographics, legal permissions, allergies and the identities of healthcare professionals and provider organisations who have provided healthcare. This information is stored in various electronic formats using a multitude of medical information systems available on the market” (in X. XXXXXXXXXX et al., Electronic Health Record Standards - a brief overview, conference paper for Information Processing in the Service of Mankind and Health, ITI 4th International Conference on Information and Communications Technology, 2006).
74 Pur suggerendo elementi interessanti per l’analisi, la definizione di EHR proposta da “Health Information Managment System Society” (HIMSS), organizzazione specializzata nel settore nell’e-Health, discosta da quella ivi proposta essenzialmente sull’elemento della completezza delle informazioni clinico-sanitarie: più che la “storia clinica del paziente”, il FSE longitudinale conserva i dati inerenti ad una singola attività specialistica. La definizione di HIMSS è disponibile alla pagina xxxx://xxx.xxxxx.xxx/XXX/xxxxxx_xxx.xxx.
2. IL SISTEMA INFORMATIVO SANITARIO: BREVI CENNI
Il contesto del quale il Fascicolo Sanitario Elettronico fa parte, contesto senza il quale non sarebbero possibili la sua realizzazione e, soprattutto, la sua implementazione, è il sistema informativo sanitario. Molti sono, a tutt’oggi, i fattori di complessità dei sistemi nazionali, spesso conseguenza della pluralità di attori (operatori e strutture) coinvolti; a titolo esemplificativo, di seguito si riportano alcuni casi osservabili a livello locale, pur consapevoli che le compagini territoriali, nazionali e transnazionali, sono di gran lunga più articolate.
I processi aziendali appaiono per loro natura poliedrici: tutte le componenti dell’organigramma, dalla direzione agli operatori sanitari sono, infatti, portatrici di interessi differenti e, seppur per motivi diversi, tutti i soggetti coinvolti nell’iter assistenziale quotidianamente necessitano di accedere alle informazioni conservate nei fascicoli sanitari elettronici. Se, da una parte, gli uffici amministrativi bisognano dei dati identificativi del paziente (anagrafica, previdenza, assicurazione sanitaria etc.) per gestire servizi e costi connessi alle prestazioni erogate, dall’altra, gli operatori sanitari (medici, infermieri, tecnici di laboratorio etc.), ciascuno per le proprie competenze e specializzazioni, sono al tempo stesso produttori e fruitori delle informazioni sanitarie che compongono il quadro clinico dell’assistito (cfr. fig. 3).
Sistemi direzionali
Sistemi
am tivi
ministra
Sistemi gestionali
Sistemi clinici
Figura 3 - Esemplificazione di un processo aziendale sanitario
Altrettanto significativa è, poi, la varietà organizzativa adottata, ad esempio, all’interno dei reparti ospedalieri; sovente, infatti, le realtà che operano nella medesima azienda sanitaria, pubblica o privata, si strutturano secondo sistemi di gestione non affini tra loro75.
Anche dal punto di vista delle infrastrutture dei sistemi informativi, l’eterogeneità - locale, nazionale, transnazionale - non giova al raggiungimento di buoni livelli di funzionalità ed interoperabilità, raggiungibili, soprattutto, attraverso l’automazione delle transazioni tra
75 La riflessione sugli aspetti organizzativi dei sistemi sanitari è da tempo oggetto del dibattito tra managers ed esperti; di interesse, tra gli altri, X. XXXX, Taming Giant Projects. Management of Multi-Organization Enterprises, Berlin, Springer, 2004, pp. 271.
operatori e strutture sanitarie. Questo risultato rappresenta, al contrario, l’optimum per un’efficace implementazione del Fascicolo Sanitario Elettronico.
Lo scenario illustrato richiede, pertanto, che l’organizzazione dei sistemi informativi sanitari, di cui fanno parte attori, attività, infrastrutture e servizi, sia ben strutturata, e, alla luce delle nuove tecnologie, modernizzata76.
Secondo quanto previsto dallo standard “CEN/TC251 EN ISO 12967-1:2011”77, elementi costitutivi dei sistemi informativi sanitari sono, anzitutto, i servizi, come di seguito qualificati: (i) “clinici”, ai quali è affidato il trattamento di dati del cittadino (Centri Unici Prenotazioni, monitoraggio domiciliare, telemedicina etc.); (ii) “di informazione sanitaria”, preposti al trattamento delle conoscenze sanitarie (ad esempio, sorveglianza epidemiologica, monitoraggio della qualità dell’assistenza, informazioni cliniche per il pubblico); (iii) “amministrativi”, competenti per il trattamento dati sulle strutture (rimborsi prestazioni e budget medico, datawarehouse per manager sanitari e così via).
Analogamente a quanto accade in ogni meccanismo di comunicazione (scritta, orale, paraverbale e digitale), in cui, perché il messaggio sia correttamente trasmesso, è essenziale la coesistenza di alcune componenti, quali emittente, canale comunicativo, referente, informazione, codice formale per significare l’informazione, ricevente, anche per l’operabilità dei fascicoli sanitari elettronici è indispensabile la progettazione di reti di trasmissione adeguate. Anelli infrastrutturali essenziali, distinti ma al tempo stesso complementari, di un sistema informativo sanitario sono quello tecnologico, informativo e della conoscenza (sinteticamente rappresentati in figura 4).
Infrastruttura informativa
Infrastruttura tecnologica
Sistema Informativo Sanitario
Infrastruttura
della
co za
noscen
Figura 4 - Infrastrutture di un Sistema Informativo Sanitario
76 Pluridecennali sono le ricerche, teoriche ed applicate, su questo tema, ricerche che hanno portato ad iniziative progettuali, comunitarie e nazionali, concrete ed i cui riscontri positivi, come si dirà, non sono tardati ad arrivare. Per approfondimenti: A. XXXXX XXXX, X. XXXXXXXX, X. XXXXX, X. X. XXXXX (a cura di), Un quadro di riferimento sulle tecnologie dell’informazione nel settore sanitario, Consiglio Nazionale delle Ricerche - Istituto Tecnologie Biomediche, 2003, pp. 64.
77 European Commitee for Standardization (CEN), Technical Commitee 251, EN ISO 12967-1:2011,
“Health informatics - Service architecture - Part 1: Enterprise viewpoint” (ISO 12967-1:2009).
Trasferire conoscenza e, in questo caso, trasferire innovazione, è uno dei principali obiettivi sottesi alla creazione di un sistema informativo: a poco, infatti, varrebbero efficienti impianti tecnologici non in grado di essere utilizzati dai destinatari finali. Il coinvolgimento delle reti politica e legislativa, la predisposizione di adeguati percorsi formativi per gli utenti, l’introduzione di nuovi paradigmi culturali orientati alla sanità elettronica, sono solo esempi delle modalità con cui l’infrastruttura della conoscenza può di fatto operare.
Asse portante di un sistema informativo sanitario è, poi, l’infrastruttura tecnologica, attraverso la quale i processi clinico-decisionali possono essere centralizzati. Affinché tale risultato sia in pratica raggiungibile, è, tuttavia, necessario costituire ed implementare una serie di componenti, come banda larga, reti intranet aziendali, firme elettroniche, documenti personali dotati di chip elettronici per la memorizzazione di informazioni sanitarie.
Cuore dell’infrastruttura informativa è la predisposizione di piattaforme sanitarie informative integrate, basate su modelli di dati ed interfacce di accesso standardizzati78, utilizzabili nelle transazioni elettroniche ed accessibili al pubblico dominio. Registri di metadati per la rappresentazione uniforme dei dataset di interesse pubblico, modelli concettuali condivisi, sistemi di codifica possono migliorare l’armonizzazione delle suddette transazioni.
Favorire l’interoperabilità dei fascicoli sanitari elettronici grazie all’utilizzo di standard è un obiettivo elevato, ma, al tempo stesso, è indispensabile da pianificare e, verosimilmente, da raggiungere79. A tal fine, occorre che tutti i soggetti coinvolti nei processi di diagnosi e cura convergano verso prassi sempre più uniformi, definendo quali vocabolari clinici80 o ontologie adottare, le tecniche di cui avvalersi per lo scambio dei documenti sanitari, le interfacce grafiche da utilizzare, le modalità con cui attribuire gli
78 Cfr., ad esempio, EN ISO 12967-1:2011 “Health informatics - Service architecture - Part 1: Enterprise viewpoint” (ISO 12967-1:2009), CEN/TC 251 - EN 13606-2:2007, “Health informatics - Electronic health record communication - Part 2: Archetypes interchange specification” e HL7, “Clinical Document Architecture”, Release 2. Analogamente all’attività svolta a livello europeo da CEN/TC251, a livello internazionale una vasta opera di standardizzazione in informatica sanitaria è compiuta da Health Level 7. La collaborazione ventennale delle due organizzazioni ha, peraltro, introdotto una vera e propria nuova generazione di standards testati sul campo.
79 In proposito di interesse lo studio EMPIRICA, ICT standards in the health sector: current situation and prospects, Final report, v. 3.0, Special Study n. 1, 2008, pp. 84 e D. XXXXX, Electronic Health Records Standards, IMIA Year Book of Medical Informatics, 2006, pp. 136-144.
80 Come, ad esempio SNOMED-CT, LOINC, ICD, HL7.
identificativi dei pazienti, le regole da seguire per la gestione della privacy e della sicurezza e così via81.
Tali risultati, hanno, peraltro, un’importante conseguenza: disegnare uno strumento digitale funzionale ad accompagnare il paziente lungo tutto l’iter delle cure, sia nella medesima struttura assistenziale sia, in modo trasversale, in più contesti di cura appartenenti ad una determinata realtà territoriale o, in altre circostanze, a realtà diverse, di carattere nazionale o sovranazionale82. Le tre componenti descritte rappresentano, quindi, il contesto all’interno del quale un Fascicolo Sanitario Elettronico può essere positivamente sviluppato. Ancora una volta è bene sottolineare che, seguendo un approccio olistico, il vero beneficiario di un sistema efficiente è soltanto il cittadino, attorno al quale la frammentazione delle informazioni concernenti la sua “storia clinica” può trovare unità83 (cfr. fig. 5).
Figura 5 - Integrazione olistica delle informazioni sanitarie, patient-based
81 Ne verrà dato conto nel corso del capitolo, ma in generale può qui osservarsi che per gestire i problemi di interoperabilità dei fascicoli sanitari elettronici sono attualmente disponibili standards elaborati da diverse organizzazione, come “Health Level 7”, “European Committe for Standardization”, “International Organization for Standardization”, “OpenEHR”, “Integrating the Healthcare Enterprise”.
82 Per quanto concerne la letteratura italiana sui temi della sanità elettronica e del Fascicolo Sanitario Elettronico un tentativo di sistematizzazione delle diverse forme di documenti sanitari digitali è proposto in
X. XXXXXXX, e-Health e Fascicolo Sanitario Elettronico, Il Sole 24 Ore, 2009, pp. 364. Nell’evidenziare gli elementi caratteristici e distintivi delle varie forme di documenti sanitari digitali, l’Autore pone una particolare attenzione sugli aspetti architetturali dei singoli strumenti, aspetti che, spesso, sono legati in modo specifico alle diverse funzionalità proprie di ciascun tipo di documento. Ad esempio, la rete verticale su cui si basa Electronic Medical Record favorisce l’organizzazione dell’azienda sanitaria, mentre la rete orizzontale in cui è configurabile Electronic Health Record meglio si adatta al “governo della continuità della cura tra ospedale e territorio”.
83 Di interesse, per comprendere ulteriormente il complesso scenario finora descritto e l’importanza di promuovere sistemi integrati: NATIONAL INSTITUTES OF HEALTH - NATIONAL CENTER FOR RESEARCH RESOURCES, Electronic Health Record Overview, MITRE Center for Enterprise, McLean, Virginia, 2006, pp. 30.
Distinte dalle componenti infrastrutturali, ma ad esse funzionali, sono le policy, fondamentali per la sicurezza e la produttività dell’organizzazione aziendale e, con specifico riferimento ai temi della presente ricerca, per la definizione dei principi riguardanti il trattamento dei dati dell’assistito (modalità di rilascio del consenso, regolamentazione dell’accesso ai dati sanitari, tutela del diritto alla riservatezza e del diritto all’oblio etc.).
3. IL PROCESSO DI STANDARDIZZAZIONE IN SANITÀ
Come già evidenziato, affinché tutti i summenzionati obiettivi siano raggiungibili, e, quindi, siano realizzabili strumenti digitali tra loro compatibili ed interoperabili, è indispensabile l’adozione di norme tecniche condivise. Analogamente a quanto avviene, ad esempio, nel campo delle telecomunicazioni o dell’informatica giuridica, anche l’informatica sanitaria ha sviluppato, ormai da diversi decenni, molteplici standard operativi84.
Principali organizzazioni di standardizzazione nel settore sanitario sono: “International Standardization Organization” (ISO), “European Committe for Standardization” (CEN), “Health Level 7” (HL7), “National Electrical Manufacturers Association” (NEMA), “International Health Terminology Standards Development Organization” (IHTSDO), “openEHR”, “Integrating the Healthcare Enterprise” (IHE). Altrettanto efficaci le iniziative di standardizzazione intraprese in questo ambito da “World Health Organization” (WHO), “Institute of Electrical and Electronics Engineers” (IEEE), “Xxxxxxxxxxx Institute Inc.”, “Continua Health Alliance” (Continua)85. Di seguito si riportano annotazioni di carattere generale relative alle summenzionate organizzazioni, sottolineando, in particolare, i profili attinenti alle tematiche oggetto della ricerca. Per una descrizione più analitica di alcuni degli standard sanitari maggiormente utilizzati nella prassi, si rinvia alla presentazione dei selezionati progetti europei e nazionali; nel presente
84 A seconda della loro provenienza, si distinguono standard (o norme) volontari, de facto o imposti dalle autorità. Tra gli altri, si rinvia al deliverable Q-REC, WP3, Inventory of Relevant Standards for EHR Systems, v. 0.8, 2007, pp. 95, particolarmente significativo per la panoramica fornita sugli standards utilizzati, in modo diretto o indiretto, nel contesto del Fascicolo Sanitario Elettronico, quali, ad esempio, “architecture standard”, “modelling standard”, “terminology standard”, “ontology standard”, “classification system and standard”, “identifier and ID management standard”, “standard for communication security”, “standard for application security”, “privacy standard”, “standard for infrastructural services”, “communication protocol standard”, “standard for formal languages”, “development process standard” etc.
85 Per approfondimenti si rinvia ai siti web ufficiali delle organizzazioni citate, disponibili agli indirizzi: xxxx://xxx.xxx.xxx/, xxxx://xxx.xxx.xx/, xxxx://xxx.xx0.xxx/, xxxx://xxxxxxx.xxxx.xxx/, xxxx://xxx.xxxxxx.xxx/, xxxx://xxx.xxxxxxx.xxx/, xxxx://xxx.xxx.xxx/, xxxx://xxx.xxx.xxx/, xxxxx://xxx.xxxx.xxx/, xxxx://xxxxx.xxx/, xxxx://xxx.xxxxxxxxxxxxxxxx.xxx/.
studio, si è, infatti, preferito adottare un approccio bottom-up, evitando, pertanto, di proporre una rassegna, fine a se stessa, degli standard esistenti.
“International Organization for Standardization” è la più importante organizzazione mondiale per la definizione di norme tecniche. Fondata nel 1947, fin da allora essa ha prodotto più di 19.500 norme internazionali dedicate a diversi settori, dall’alimentare alla sicurezza informatica, dall’agricoltura al business, fino alla salute. Diverse sono le Commissioni Tecniche in cui è organizzata ISO, ad oggi, precisamente, duecentosettantotto; per quanto concerne gli standard informatico-sanitari, essi sono sviluppati dalla Commissione Tecnica 215, a sua volta articolata in sotto-commissioni86. Scopi principali della Commissione “Health Informatics” sono la promozione dell’interoperabilità tra sistemi indipendenti, il miglioramento della compatibilità tra dati ed informazioni sanitarie nonché la riduzione delle ridondanze87.
“European Committe for Standardization” è l’ente europeo competente per l’armonizzazione e la standardizzazione di norme tecniche. Fondato nel 1975, è l’unica organizzazione europea riconosciuta dalla Direttiva 98/34/CE per la pianificazione, la stesura e l’adozione di norme europee in tutti i settori di attività economica, ad eccezione di quello elettrotecnico e delle telecomunicazioni88. Analogamente a “International Standardization Organization”, anche l’attività di standardizzazione informatico-sanitaria di CEN è operata da una Commissione Tecnica, la 251, a sua volta organizzata in Working Group89. La maggior parte delle norme prodotte da CEN/TC 251 riguardano i profili della rappresentazione delle informazioni, la standardizzazione dei messaggi, i fascicoli sanitari elettronici90. Incarico altrettanto rilevante, affidato, nel 2006, dalla Commissione europea a “European Committe for Standardization”, è l’implementazione dell’interoperabilità in sanità91.
86 Attualmente le sotto-commissioni ed i Working Group operanti sono: TC 215/CAG 1 “Executive council, harmonization and operations”, TC 215/WG 1 “Data structure”, TC 215/WG 2 “Data interchange”, TC 215/WG 3 “Semantic content”, TC 215/WG 4 “Security”, TC 215/WG 6 “Pharmacy and medicines business”, TC 215/JWG 7 “Joint ISO/TC 215 - IEC/SC 62A WG: Application of risk management to information technology (IT) networks incorporating medical devices”, TC 215/WG 9 “SDO Harmonization”. 87 Cfr. “Appendice”.
88 Direttiva 98/34/CE del Parlamento europeo e del Consiglio del 22 giugno 1998 che prevede una procedura d’informazione nel settore delle norme e delle regolamentazioni tecniche e delle regole relative ai servizi della società dell’informazione, pubblicata in G.U. n. L 204 del 21.7.1998.
89 Sotto-commissioni ad oggi esistenti sono: CEN/TC 251/WG 1 “Information models”, CEN/TC 251/WG 2 “Terminology and knowledge representation”, CEN/TC 251/WG 3 “Security, Safety and quality”, CEN/TC 251/WG 4 “Technology for interoperability”.
90 Cfr. “Appendice”.
91 EUROPEAN COMMISSION, M/403 Mandate to the European Standardisation Organisations CEN, CENCELEC and ETSI in the Field of Information and Communication Technologies, Applied to the Domain of eHealth, December 2006.
L’impegno di HL7, organizzazione fondata nel 1987 ed accreditata presso “American National Standards Institute”, è prevalentemente dedicato allo sviluppo di standard nell’IT sanitario. Come ISO e CEN, “Health Level 7” è organizzata in Technical Committee e Special Interest Group, ciascuno competente in specifiche aree92. Scopo principale di HL7 è definire un framework per lo scambio, l’integrazione, la condivisione ed il recupero delle informazioni sanitarie elettroniche tra sistemi informativi sanitari93.
“U.S. National Electrical Manufacturers Association”, fondata nel 1926, è l’ente responsabile dello sviluppo di standard per immagini mediche “Digital Imaging and Communications in Medicine” (DICOM). Principali compiti di NEMA sono la definizione di protocolli di rete per la standardizzazione delle comunicazioni tra dispositivi aderenti agli standard DICOM, la determinazione di informazioni - sintattiche e semantiche - necessarie per lo scambio di immagini mediche, la descrizione di specifiche dei supporti di memorizzazione e di formati di file per le immagini medicali.
L’implementazione di “Systematized Nomenclature Of Medicine Clinical Terms” (SNOMED CT), il più vasto thesaurus multilingue di termini clinici con una fondazione ontologica, è curato da “International Health Terminology Standards Development Organization”. SNOMED CT fornisce la principale terminologia generale da utilizzare nel Fascicolo Sanitario Elettronico; contiene, infatti, più di 311.000 concetti attivi, in continuo aumento, con significati unici e definizioni “logic-based” organizzate in gerarchie con livelli multipli di granularità.
“OpenEHR” è una comunità virtuale impegnata sui temi dell’interoperabilità e computabilità in materia di sanità elettronica. In particolare, “OpenEHR” implementa uno standard “aperto” per la gestione, il recupero e lo scambio di dati sanitari, mostrando preciso interesse per il Fascicolo Sanitario Elettronico. La Fondazione “OpenEHR” ha predisposto specifiche che definiscono un modello di informazione sanitaria, un linguaggio per la “costruzione di modelli clinici” ed un linguaggio di query. In OpenEHR, componenti
92 Ne sono esempi: “Electronic Health Record”, “Clinical Decision Support”, “Security”, “Patient Care”, “Structured Document”, “Pharmacy”, “Regulated Clinical Research Information Management”, “Clinical Interoperability Council”, “Public Health and Emergency Response”.
93 Gli standard HL7 sono raggruppati in sette categorie di riferimento: (i) “campioni primari”, standard per integrazioni di sistema, interoperabilità e la conformità; (ii) “norme fondamentali”, definiscono gli strumenti fondamentali per la costruzione delle norme e l’infrastruttura tecnologica sottesa; (iii) “domini clinici e amministrativi”, messaggistica e standard specialistici; (iv) “profili di EHR”, tali norme forniscono modelli funzionali per la gestione di fascicoli sanitari elettronici; (v) “guida di attuazione”, raccoglie guide di implementazione e/o documenti di supporto creati per essere utilizzato in combinazione con gli standard esistenti; (vi) “regole e referenze”, specifiche tecniche, strutture di programmazione e linee guida per lo sviluppo di software e standard; (vii) “educazione e consapevolezza”, in cui sono disponibili “HL7’s Draft Standards for Trial Use” e progetti in corso, nonché altre risorse utili e strumenti per la comprensione e l’adozione di standard HL7.
e sistemi sono “aperti”, in termini di dati (cfr. “openEHR XML Schema”94), modelli (questi seguono “the openEHR Archetype Model - Archetype Definition Language”95) ed interfacce di programmazione delle applicazioni (API).
L’iniziativa “Integrating the Healthcare Enterprise”, nata negli Stati Uniti nel 1998 ad opera di “Radiological Society of North America” e “Healthcare Information and Management Systems Society”, si propone di chiarire in che modo i sistemi informativi sanitari debbano utilizzare gli standard esistenti (in particolare, DICOM e HL7) per renderli realmente integrabili. IHE non definisce un vero e proprio standard di comunicazione, bensì, costruisce un linguaggio univoco, eliminando le possibili ambiguità tra gli standard adottati. A tal fine, “Integrating the Healthcare Enterprise” coinvolge produttori ed utenti dei sistemi informativi sanitari per identificare e risolvere i problemi d’interoperabilità; per l’implementazione dei profili delineati sono redatti “Technical Framework”, specifici per le diverse aree coinvolte96.
Nella presentazione delle principali iniziative sul fronte della standardizzazione medico- sanitaria, altresì rilevante richiamare quella intrapresa, fin dal 1994, dall’Organizzazione Mondiale alla Sanità: trattasi dello standard “International Classification of Diseases” (ICD), approvato nel 1990 durante la 43esima assemblea mondiale della sanità. ICD, attualmente alla decima revisione (ICD-10), raccoglie una classificazione internazionale delle malattie ed altri problemi ad esse correlati, particolarmente utile per studi statistici ed epidemiologici, nonché per la gestione di quesiti inerenti salute ed igiene pubblica97.
Altrettanto efficaci le azioni intraprese in questo settore da “Institute of Electrical and Electronics Engineers”, associazione professionale fondata nel 1963, la cui attività è prevalentemente dedicata allo studio della trasmissione di segnali ed alla gestione delle apparecchiature. È, oggi, una delle principali organizzazioni impegnate nello sviluppo di standard industriali che coprono vari campi, quali l’energia elettrica, le tecnologie biomediche e l’assistenza sanitaria, la tecnologia dell’informazione, la sicurezza delle informazioni e delle telecomunicazioni, l’elettronica di consumo, i trasporti, le
94 Per approfondimenti si rinvia alla homepage di “OpenEHR” (consulanile all’indirizzo http://www.openehr.org/) e, in particolare, alla sezione del sito dedicata agli standard.
95 Ibidem.
96 Settori nei quali sono redatti ed aggiornati i “Technical Framework” di IHE sono: “Anatomic Pathology”, “Cardiology”, “Eye Care”, “IT Infrastructure”, “Laboratory”, “Patient Care Coordination”, “Patient Care Device”, “Pharmacy”, “Quality, Research and Public Health”, “Radiation Oncology”, “Radiology”.
97 Per approfondimenti sullo standards, si rinvia alla pagina ufficiale del sito dell’OMS ad esso dedicata, consultabile all’indirizzo http://www.who.int/classifications/icd/en/.
nanotecnologie. Tra i prodotti sviluppati da IEEE per l’interoperabilità sanitaria si ricorda la famiglia di standard ISO/IEEE 1107398.
“LOINC®”, approvato da “Clinical Laboratory Association e College of American Pathologists”, ha preso avvio nel 1994 ad opera di “Regenstrief Institute Inc.”, organizzazione no-profit americana dedicata alla ricerca medica. Il database, contenente una vera e propria nomenclatura per dati di laboratorio e misure sui segnali, è, appunto, articolato in due parti, quella dedicata al laboratorio in cui sono reperibili le categorie più diffuse, come chimica, ematologia, sierologia, microbiologia, tossicologia; la parte clinica include, invece, voci per segni vitali, emodinamica, ECG, procedure gastro-endoscopiche etc. “LOINC®” facilita lo scambio e la condivisione dei risultati per la cura clinica, la gestione dei risultati, e la ricerca.
Nel settore della standardizzazione medico-sanitaria parimenti importante è il ruolo svolto da “Continua Health Alliance”, organizzazione no-profit alla quale aderiscono più di duecento aziende di tutto il mondo. Di interesse per questo studio sottolineare l’impegno innovativo di “Continua Health Alliance” nella definizione di standard industriali e tecnologie di sicurezza per sistemi connessi come smartphone, gateway e dispositivi di monitoraggio remoto; in tal senso, particolarmente centrale è l’attività condotta per l’interoperabilità di Personal Health System. Scopo principale dell’organizzazione è quello di sviluppare un sistema per fornire assistenza sanitaria personalizzata; settori nei quali Continua investe con maggiore interesse sono quello relativo alla gestione delle malattie croniche, all’invecchiamento, alla salute e forma fisica99.
4. ANALISI DI SELEZIONATI PROGETTI EUROPEI E NAZIONALI
Il presente paragrafo è dedicato alla presentazione di selezionati progetti, europei e nazionali, in tema di Fascicolo Sanitario Elettronico.
Esaminati i progetti in essere tra i 27 Paesi membri dell’Unione, la ricerca ha tenuto conto di esperienze pilota in essere a livello europeo, dei contesti con avanzate e solide radici nel settore dell’e-Health (come nel caso dei Paesi scandinavi), di azioni di più recente evoluzione tecnica e giuridica in materia di FSE nonché, infine, dello scenario italiano.
98 Cfr. “Appendice”.
99 Similmente a quanto già osservato per alcune delle organizzazioni citate, anche Continua Health Alliance svolge la sua attività attraverso Working Group; quelli al momento operanti sono i seguenti: “Marketing Council”, “Global Development & Outreach”, “European Union”, “US Policy”, “Technical”, “Use Case”, “Market Adoption”, “Regulatory”, “Test & Certification”.
In particolare, per quanto concerne il panorama comunitario, esclusiva attenzione è stata rivolta al progetto “Smart Open Services for European Patients” (epSOS); per quanto, invece, riguarda lo scenario nazionale, lo studio riferisce di alcune tra le iniziative più significative intraprese nei seguenti Paesi membri dell’UE: Austria, Danimarca, Italia100.
Scopi principali dell’analisi sono, da una parte, ricavare gli elementi architetturali del Fascicolo Sanitario Elettronico, dall’altra presentare l’effettivo stato dell’arte ed i livelli di interoperabilità (organizzativa, tecnica e semantica) attualmente esistenti, a partire dal campione di progetti selezionati.
4.1 UNIONE EUROPEA
Nel capitolo dedicato alla azioni politiche e legislative intraprese dalla Commissione europea per l’introduzione delle Tecnologie dell’Informazione e della Comunicazione in sanità, particolare attenzione è stata rivolta al documento “eHealth Action Plan”, vero e proprio motore per la creazione di uno spazio europeo rivolto alla sanità elettronica. A livello transazionale, il monito della Commissione si è, tra l’altro, concretizzato in un’importante iniziativa, il progetto “Smart Open Services for European Patients”.
4.1.1 PROGETTO “EPSOS”
“Smart Open Services For European Patients - epSOS” è un progetto pilota co- finanziato, per il periodo luglio 2008 - dicembre 2013, dalla Commissione europea (“Programma Competitività e Innovazione dell’UE 2007-2013”, ICT-PSP, call 1-2007)101. È il primo, ad oggi, per numero di Paesi coinvolti; riunisce, infatti, ventitrè Stati, rappresentati da pubbliche amministrazioni, centri di competenza nazionali ed imprese102.
Obiettivo di epSOS è assicurare l’interoperabilità tra analoghe iniziative nazionali, per consentire ai professionisti sanitari l’accesso ai dati di un paziente, utilizzando la propria
100 Un contributo importante per la ricognizione dello stato dell’arte europeo su progetti nazionali in materia di Fascicolo Sanitario Elettronico è lo studio, condotto nel triennio 2006-2009, A. K. STROETMANN, R. HAMMERSCHMIDT, V. N. STROETMANN, I. MOLDENAERS, eHealth in Action. Good Practice in European Countries. Good eHealth Report, Luxemburg, 2009, pp. 60, in cui è presentato lo stato dell’arte in materia di e-Health e FSE di 30 Paesi del continente europeo (Austria, Belgium, Bulgaria, Cyprus, Czech Republic, Denmark, Estonia, Finland, France, Germany, Greece, Hungary, Ireland, Italy, Latvia, Lithuania, Luxembourg, Malta, Netherlands, Norway, Poland, Portugal, Romania, Slovakia, Slovenia, Spain, Sweden, Switzerland, Turkey, United Kingdom). Altrettanto significativo nell’affrontare la medesima tematica è poi il più recente studio A. K. STROETMANN, J. ARTMANN, V. N. STROETMANN, WITH D. PROTTI, J. DUMORTIER, S.
GIEST, U. WALOSSEK, D. WHITEHOUSE, European countries on their journey towards national eHealth infrastructures. eHealth Strategies Report, 2011, pp. 61.
101 La homepage del Progetto pilota è consultabile all’indirizzo http://www.epSOS.eu/; nella sezione del sito “download - deliverables” sono disponibili i documenti di lavoro di epSOS.
102 Cfr. “Appendice”.
lingua madre ed avvalendosi di tecnologie e sistemi informativi già in essere. L’ambiente operativo nel quale, dunque, si sviluppa il Progetto pilota è caratterizzato da una forte eterogeneità: a livello nazionale, infatti, molteplici e diversificati sono gli obiettivi politici fissati, le strategie di business intraprese, le procedure amministrative adottate, i sistemi informativi sanitari disegnati, le tecnologie adoperate. La suddetta eterogeneità non costituisce, tuttavia, un punto di debolezza o criticità nella realizzazione di epSOS, bensì, un elemento strutturale tenuto presente nell’attuazione delle varie fasi progettuali103. Ed infatti, un pilastro fondante del sistema informativo europeo è ottenere la massima integrazione con lo stato dell’arte esistente per ciò che concerne sia i profili legislativi sia quelli infrastrutturali; esclusivamente ove necessario - secondo quanto reso noto dai redattori del Progetto - saranno apportate modifiche a quanto già realizzato a livello territoriale, e, comunque, al solo scopo di garantire i risultati auspicati.
Rientra in questa visione un altro aspetto: i dati dell’assistito possono essere scambiati tra i sistemi informativi sanitari, rimanendo, però, nella gestione, e dunque nella responsabilità giuridica, dell’ente sanitario emittente; a titolo esemplificativo, qualsiasi utente epSOS autorizzato - qui inteso come operatore sanitario, identificato in modo univoco con un proprio ID - può accedere alle informazioni di “Patient Summary” e/o “ePrescription” “in sola modalità di lettura”, senza, cioè, apportare ai documenti consultati alcuna modifica104. Principali beneficiari del sistema progettato sono i pazienti, i quali, in linea con quanto auspicato da epSOS, potranno godere di prestazioni sanitarie transfrontaliere più efficienti ed efficaci, nel rispetto del principio di riservatezza per ciò che attiene al trattamento dei dati personali.
Mezzo per raggiungere la summenzionata interoperabilità transnazionale è lo sviluppo di un framework tecnologico per l’e-Health e di un’infrastruttura IT che permettano di accedere, in modo sicuro, alle informazioni sanitarie localizzate in altri Paesi, con particolare attenzione, appunto, ai dati registrati in “Patient Summary” ed “ePrescription”. Primario è in epSOS il concetto di “circle of trust” che richiede un impegno costante e centrale dei Paesi partecipanti per la protezione dei dati personali sanitari; la fiducia appena richiamata è, peraltro, necessaria non soltanto a livello sovranazionale, ma anche
103 Cfr. “Interoperability definition” in SMART OPEN SERVICES FOR EUROPEAN PATIENTS, Open eHealth initiative for a European large scale pilot of Patient Summary and electronic Prescription, D3.3.3 epSOS Interoperability Framework, D3.3.3_v. 2.3, D3.3.3_v.2.3, 15.04.2010, p. 5.
104 SMART OPEN SERVICES FOR EUROPEAN PATIENTS, Open eHealth initiative for a European large scale pilot of Patient Summary and electronic Prescription, D3.3.2 Final epSOS, System Technical Specification, D3.3.2_v1.4, WP3.3, D3.3.2_v1.4, 28.04.2010, p. 35.
all’interno dei singoli sistemi informativi sanitari nazionali105. Attorno al concetto di comunicazione sicura ruota, quindi, l’intera infrastruttura epSOS, la quale, ad esempio, a conferma di ogni singola transazione e movimento di dati (“Query, Retrive and Notify”106), richiede meccanismi di autenticazione reciproca tra richiedente ed emittente, di identificazione (univoca e non ripudiabile)107, di audit trail108.
Principali dati sanitari oggetto dell’ambiente epSOS sono, appunto, quelli contenuti in Patient Summery (anagrafica, storia medica dell’assistito - come informazioni sanitarie più importanti e trattamenti in corso -, informazioni sul “Patient Summary” - ad esempio, quando e da chi è stato generato il documento -, etc.), “ePrescription” (prescrizioni farmaceutiche del paziente, inviate, in modalità digitale, dal medico alle farmacie) ed “eDispense” (informazioni relative ai farmaci dispensati dal farmacista, inviate al sistema di gestione del fascicolo sanitario elettronico del paziente).
L’architettura su cui si basa epSOS segue il paradigma “Service Oriented Architecture”, che, nel caso del Progetto in esame, è organizzata sui seguenti livelli: “Business View”, “Information System View” e “Technology View”. Centrali sono, qui, i ruoli di service provider, service consumer e service registry, ruoli tra loro del tutto autonomi ma, al tempo stesso, complementari.
Affinché le summenzionate azioni per lo scambio di informazioni tra i Paesi (“Query, Retrive and Notify”) possano essere realizzate, prerequisito fondamentale di ogni sistema nazionale è disporre di un gateway, più esattamente un “National Contact Point”, attraverso il quale effettuare comunicazioni sincrone all’interno di epSOS, comunicazioni che, quindi, non avvengono direttamente a livello degli operatori sanitari nazionali, assicurano una maggior tutela dei dati personali degli assistiti e seguono il modello “business to business”. Nel “cicle of trust”, i “National Contacts Point” si servono di “Trasport Layer Security” (TL/SSL)109 per le comunicazioni tra gli Stati, e, VPN
105 “The circle of trust” è inteso come “the agreed framework for creating trust by establishing policies for critical data protection, privacy and confidentiality issues as well as mechanisms for their audit (FR02 & NFR09 Trust between countries definition)” in ivi, p. 29.
106 Ivi, p. 17.
107 Servizi garantiti da “the NCP_Security_Service_epSOS”, “the NCP_Security Service_National”, “the HCP_Confirmation_Service” (cfr. SMART OPEN SERVICES FOR EUROPEAN PATIENTS, Open eHealth initiative for a European large scale pilot of Patient Summary and electronic Prescription, D3.3.2 Final epSOS, System Technical Specification, D3.3.2_v1.4, WP3.3, D3.3.2_v1.4, 28.04.2010, p. 70).
108 Ad esempio attraverso “the NCP_Audit_Service” (cfr. ivi, p. 69).
109 SMART OPEN SERVICES FOR EUROPEAN PATIENTS, Open eHealth initiative for a European large scale pilot of Patient Summary and electronic Prescription, D3.3.3 epSOS Interoperability Framework, D3.3.3_v. 2.3, D3.3.3_v.2.3, 15.04.2010, pp. 30 ss.
(ipSEC)110 per proteggere i flussi di dati e firmare le asserzioni (o autorizzazioni) SAML111.
Il ruolo che, dunque, è affidato ad un NCP è centrale per realizzare, in modo efficiente ed efficace, l’interoperabilità transnazionale; le funzioni che esso assolve sono plurime. A titolo esemplificativo, nel meccanismo di scambio dei dati - dati che, peraltro, devono essere identificati in modo univoco da parte dei sistemi nazionali -, un NCP può svolgere ora il ruolo di provider (se agisce al fine di “Retrive operation”), ora quello di consumer (se, invece, opera per “Query operation”); in entrambi i casi è, però, importante che i requisiti semantici e linguistici dei sistemi, “emittente” e “ricevente”, siano rispettati112. Ma vi è di più. Affinché tale risultato sia raggiungibile è indispensabile la condivisione di standard, possibile anche grazie all’interazione tra gli attuali organismi di normazione e l’industria.
Il progetto epSOS parte dall’assunto per cui l’interoperabilità semantica implica che i dati scambiati nel contesto pan-europeo richiedono di essere tradotti nel linguaggio del ricevente, ove con linguaggio è da intendersi la lingua, la semantica, ma anche la stessa struttura dei dati113. Considerata l’eterogeneità degli standard semantici utilizzati dagli Stati partner del Progetto - sebbene molti di essi adottino SNOMED-CT e ICD-10 -, lo standard individuato per la descrizione dei “data element” di un documento, è HL7 CDA (Clinical Document Architecture), con vincoli aggiuntivi a HL7 Continuity of Care Document (CCD)114 e IHE Patient Care Coordination (IHE PCC)115. I motivi della scelta sono attribuiti alla diffusa adozione da parte dei sistemi informativi sanitari nazionali di questo standard, nonché alla sua facilità (e, di conseguenza, rapidità) di implementazione e compatibilità con le soluzioni industriali esistenti. In breve (maggiori dettagli su HL7 CDA
110 Ibidem.
111 “Security Assertion Markup Language” (SAML) è uno standard per lo scambio di dati di autenticazione e autorizzazione tra domini di sicurezza distinti. SAML è definito e mantenuto da OASIS “Security Services Technical Committee”, il cui operato è consultabile all’indirizzo https://www.oasis- open.org/committees/tc_home.php?wg_abbrev=security.
112 A tal fine sono stati predisposti i seguenti servizi: “NCP_Semantic_Service”, “NCP_Localisation_Services”, “NCP_Message_Adapter” (cfr. ivi, pp. 71).
113 SMART OPEN SERVICES FOR EUROPEAN PATIENTS, Open eHealth initiative for a European large scale pilot of Patient Summary and Electronic Prescription, Work Package 3.5 - Semantic Services Definition, D3.5.2_v. 0.0.6, 31.05.2010, pp. 103.
114 Maggiori informazioni su HL7 CDA e CCD sono disponibili nella sezione dedicata agli standards del sito
web di HL7 e precisamente alla pagina http://www.hl7.org/implement/standards/index.cfm?ref=nav.
115 Per approfondimenti si rinvia a: “Integrating the Healthcare Enterprise, Patient Care Coordination (PCC) Technical Framework (TF) Revision 5.0”, 2009, Vol. 2; “IHE Patient Care Coordination Technical Framework Supplement. CDA Content Modules Trial Implementation”, 2009; “HL7 Implementation Guide: CDA Release 2 – Continuity of Care Document (CCD), 2007; “HL7 Implementation Guide for CDA Release 2: History and Physical (H&P) Notes (U.S. Realm). Draft Standard for Trial Use, Release 1, Levels 1, 2, and 3”, 2008.
sono, infatti, forniti nella presentazione del progetto avviato dall’Austria “ELGA - Elektronische Gesundheitsakte”): elementi strutturali di un documento CDA sono l’“intestazione”, che identifica e classifica il documento e dà informazioni sull’autenticazione, la visita, il paziente, e gli operatori coinvolti116, nonché il “corpo” o contenuto clinico, che, può essere “non strutturato” o “strutturato”, se suddiviso in sezioni annidate117.
Con riferimento al problema della lingua - e cioè al fatto che i documenti sanitari sono sì in genere redatti nella lingua madre dell’operatore sanitario, ma, ai fini dell’interoperabilità, essi devono poter essere letti dal ricevente nel proprio codice linguistico -, in epSOS, è stato scelto un solo “code system” per “code element” e ciò, soprattutto perché non esiste alcuna mappatura ufficiale tra i sistemi di codifica esistenti. Ogni elemento codificato ha, pertanto, solo un sistema di codice associato, abbinato al proprio nome visualizzato in lingua inglese. Il catalogo finale (“epSOS Master Value Set Catalogue”) costituisce la base per l’ontologia epSOS118 e per il catalogo “epSOS Master Translation/Transcoding” (epSOS MTC). Quest’ultimo, a sua volta, fornisce i mezzi per il “cross reference” tra i sistemi di codifica e per la traduzione del nome di visualizzazione.
Altrettanto rilevante è, poi, la questione semantica dei termini utilizzati; in proposito, obiettivo di epSOS è quello di sviluppare servizi semantici transfrontalieri interoperabili. Considerata l’assenza di precedenti analoghi, punto di partenza sono stati i termini utilizzati in un contesto piuttosto specifico come la “European Emergency Card” per “Patient Summary” nonché quelli più comunemente adoperati per “ePrescription”119.
Ritornando alle molteplici attività che si compiono a livello di National Contact Point, altrettanto significativa la funzione di un NCP (ad esempio B) per l’autenticazione dell’identità del provider (operatore sanitario di B). Tale funzione di “garante dell’autenticità” dello scambio dei dati che un “National Contact Point” assume è principalmente possibile grazie al fatto che le firme digitali sono rilasciate proprio a livello
116 Ivi, p. 15. Scopo dell’intestazione CDA è consentire lo scambio di documenti clinici tra e all’interno delle istituzioni, facilitare la gestione clinica dei documenti e la loro compilazione.
117 Ogni sezione può contenere un unico blocco narrativo e un numero qualsiasi di voci CDA e riferimenti esterni, che, certamente, devono essere leggibili e processabili.
118 Cfr. SMART OPEN SERVICES FOR EUROPEAN PATIENTS, Open eHealth initiative for a European large scale pilot of Patient Summary and Electronic Prescription, Work Package 3.5 - Semantic Services Definition Appendix E - Ontology Specifications, D3.5.2_v. 0.3, February 23rd, 2010, pp. 9.
119 Per approfondimenti su “The terminology access services” si rinvia a SMART OPEN SERVICES FOR EUROPEAN PATIENTS, Open eHealth initiative for a European large scale pilot of Patient Summary and Electronic Prescription, Work Package 3.5 - Semantic Services Definition, D3.5.2_v. 0.0.6, 31.05.2010, pp. 28 ss.
di NCP120. In aggiunta a ciò, per garantire la sicurezza all’intero del sistema, tutti i dati sanitari sono criptati durante il passaggio tra gateway e tutti gli accessi ai dati sono tracciati con i sistemi di “audit trail”.
Fondamentale è, poi, il ruolo che un NCP assume nel processo di identificazione del paziente, identificazione che è indispensabile avvenga in modo univoco. Proprio a livello di NCP si completa tale processo, che, più frequentemente, inizia nel Paese di provenienza del paziente ma che, talora, può realizzarsi in un Paese terzo.
Il collegamento, sincronizzato, tra il nodo NCP ed i domini nazionali nonché quello tra il nodo NCP ed il dominio epSOS avviene attraverso le interfacce NCP nazionali, strumenti imprescindibili per rendere possibili le funzioni di interoperabilità121.
Affinché l’interoperabilità prevista sia raggiunta in modo adeguato, è, altresì, essenziale che, sia a livello nazionale sia a livello transnazionale, siano messe in atto le prescrizioni sulla sicurezza esistenti da parte di tutte le organizzazioni coinvolte; ciò implica non soltanto l’utilizzo di strumenti per rendere i dati sicuri (come, ad esempio, firme digitali, certificazioni, sistemi per la crittografia), ma anche l’adozione di diverse funzioni manageriali (“service managment” e “service logging”) e relativi standard (“Web Services Security Standard” - “WS-Security”, “WS-Trust” -)122.
Altro importante compito affidato a “National Contact Point” è relativo alla validazione del rilascio di consenso al trattamento dei dati sanitari: in particolare, nel nodo NCP si conclude la decisione finale se accogliere o meno il consenso rilasciato dal paziente in uno Stato diverso da quello di propria provenienza. Nel rispetto del principio di
120 In proposito sono, tuttavia, necessarie alcune precisazioni: nel caso di “Query response” e “Notification Response” non è necessaria alcuna firma; nel caso, invece, di “Retrive response”, NCP-A imbusta i dati medici e firma dell’HCP, aggiungendo la propria firma, NCP-B può in via opzionale firmare la risposta di documento ricevuto da rinviare a HCP; nel caso di “eDispense”, NCP-B imbusta dati sanitari e firma del HCP e aggiunge la sua stessa firma, NCP-A può in via opzionale firmare la risposta di documento ricevuto da rinviare a HCP. I metadati sono protetti dal messaggio di sicurezza.
121 In particolare, l’interfaccia che collega il nodo NCP al dominio nazionale (NCP_IF_National) è composta dalle seguenti “sub-interfacce”: (i) “IF_PID_Requestor”, prevista per richiedere l’ID del paziente, (ii) “IF_Medical_Data”, usata per le applicazioni ePrescription e Patient Summary, (iii) “IF_HCP_ID_Provider”, adoperata per richiedere una “HCP identity assertion”. L’interfaccia che, invece, collega il nodo NCP al dominio epSOS è composta da due “sub-interfacce”: (i) “IF_Medical_Data”, usata per richiedere i dati clinico-sanitari e (ii) “IF_PID_Registry”, utilizzata per “PID information”. In SMART OPEN SERVICES FOR EUROPEAN PATIENTS, Open eHealth initiative for a European large scale pilot of Patient Summary and electronic Prescription, D3.3.2 Final epSOS, System Technical Specification, D3.3.2_v1.4, WP3.3, D3.3.2_v1.4, 28.04.2010, pp. 73 ss.
122 SMART OPEN SERVICES FOR EUROPEAN PATIENTS, Open eHealth initiative for a European large scale pilot of Patient Summary and electronic Prescription, D3.3.3 epSOS Interoperability Framework, D3.3.3_v. 2.3, D3.3.3_v.2.3, 15.04.2010, pp. 25 ss. Per quanto concerne considerazioni giuridiche elaborate all’interno del progetto epSOS si rinvia a: SMART OPEN SERVICES FOR EUROPEAN PATIENTS, Open eHealth initiative for a European large scale pilot of patient summary and electronic prescription, Key Task 2.1.1 - Legal and Regulatory Requirements at EU level, document version: final, 2012, pp. 47.
minimizzazione nel trattamento di dati “sensibili”, il processo di verifica del consenso che inizia in NCP A precede il processo semantico. In epSOS, per tutti i documenti scambiati, è sufficiente un solo consenso123; sono, inoltre, ammessi solo due tipi di autorizzazioni:
(i) “a sign XML assertion”, tale consenso viene creato tra “NCP” e “Paese A” ed aggiunto alla transazione al momento dello scambio;
(ii) “a PDF document”: rappresenta il consenso originale rilasciato dal paziente nel proprio “Paese di origine” e dev’essere obbligatoriamente reso noto al “Paese B” in caso di richiesta.
4.2 AUSTRIA
Ottemperando a quanto indicato nel 2004 dalla Commissione Europea ne “eHealth Action Plan”, l’anno seguente il Governo austriaco varò una nuova legge sanitaria nazionale per la riforma del sistema, con la quale, tra l’altro, fu prevista l’introduzione di Information and Communication Technology in sanità124.
Primi risultati di tale adozione furono “eCard” predisposte per l’individuazione di un’identità elettronica dei cittadini austriaci finalizzata all’assicurazione sanitaria ed alla sicurezza sociale. L’infrastruttura sottesa a questi seppur importanti strumenti digitali non era, tuttavia, sufficientemente compatibile con la memorizzazione di ogni tipologia di informazioni e dati sanitari.
Per tale ragione, apparve, allora, fondamentale implementare un sistema informativo sanitario nazionale in grado di mettere in atto le nuove richieste della Commissione europea; in questo contesto si colloca il progetto “ELGA - Elektronische Gesundheitsakte” (ELGA)125.
123 L’accesso senza il consenso del paziente in casi salvavita nei quali non è possibile che sia prestato consenso, segue le stesse regole dell’accesso al pronto soccorso: HCP B manda la richiesta di autenticazione a NCP-A.
124 Gesundheitsreformgesetz 2005, Bundesgesetzblatt für die Republik Ősterreich, Jahrgang 2004, Ausgegeben am 30, Dezember 2004, Teil I, 179. Bundesgesetz.
125 La homepage del Progetto è disponibile all’indirizzo http://www.elga.gv.at/. Ulteriori informazioni su “ELGA” sono accessibili nel sito del Ministero federale della sanità austriaco (“Das Bundesministerium für Gesundheit”) e sul Portale della salute (“Das öffentliche Gesundheitsportal Österreichs”), rispettivamente consultabili agli indirizzi http://www.bmg.gv.at/ e https://www.gesundheit.gv.at.
4.2.1 PROGETTO “ELGA”126
Avviato nel 2006127, dopo un lungo iter di preparazione, il progetto “ELGA - Elektronische Gesundheitsakte” è stato, con maggior continuità, sviluppato a partire dal novembre 2009 con la fondazione di “ELGA GmbH”, organizzazione no-profit di interesse pubblico, costituita per la predisposizione di servizi in materia di sanità elettronica, e, in particolare, per l’introduzione e l’implementazione di un Fascicolo Sanitario Elettronico nazionale. La piena operatività della prima fase progettuale è prevista per il 2017; infra quella data, sono, però, fissati diversi step intermedi per permettere la graduale diffusione di questo strumento di e-Health in ospedali pubblici e case di cura, ma anche presso uffici sanitari, farmacie, dentisti, medici di medicina generale e pediatri.
Dal 1° gennaio 2013 è in vigore la nuova legge austriaca in materia di telematica sanitaria che, ufficialmente, prevede l’introduzione del nuovo sistema informativo sanitario, “Elektronische Gesundheitsakte - ELGA”, volto, appunto, a garantire un flusso incrociato di informazioni e dati tra gli operatori sanitari (ospedali, medici, farmacie) e pazienti128. In particolare, secondo quanto statuito nella legge invocata, ELGA consentirà l’accesso alle informazioni sanitarie, indipendentemente dalla loro localizzazione o dal momento della loro generazione, migliorando la qualità e l’efficienza dell’assistenza sanitaria erogata. La partecipazione, totale o parziale, del paziente austriaco a questo sistema informativo è facoltativa129.
Per il raggiungimento di tali risultati, obiettivo primario è la realizzazione di una piattaforma sicura per lo scambio, in formato elettronico, di informazioni riguardanti i pazienti, sia quelle contenute nelle prescrizioni mediche elettroniche sia, più in generale,
126 Una conoscenza dettagliata de “die elektronische Gesundheitsakte” (ELGA) è stata possibile grazie al tirocinio formativo (29 gennaio - 30 aprile 2013), svolto da Maria Gabriella Virone presso la University of Applied Sciences Technikum Wien - Biomedical Engineering Sciences Department e sovvenzionato da una borsa di studio “Lifelong Learning Programme 2007/2013 - Erasmus Placement a.a. 2012-2013” erogata da Alma Mater Studiorum Università di Bologna. Particolare gratitudine ai professori A. Mense (“Head of Department of Information Engineering & Security” - “Program Director Information Management und IT Security”) e S. Sauermann (“Program Director Biomedical Engineering Sciences”) per l’ospitalità e per aver permesso la collaborazione con il Team del progetto “Health Interoperability” (la cui homepage è disponibile all’indirizzo http://www.healthy-interoperability.at/).
127 Proprio nel 2006 è stato definito lo studio di fattibilità del Progetto; cfr. IBM ŐSTERREICH GMBH, Machbarkeitsstudie betreffend Einführung der elektronischen Gesundheitskarte (ELGA) im österreichischen Gesundheitswesen, Endbericht, 21 November 2006.
128 Elektronische Gesundheitsakte-Gesetz - ELGA-G, Bundesgesetzblatt für die Republik Österreich, Jahrgang 2012, Ausgegeben am 14, Dezember 2012, Teil I, 111. Bundesgesetz.
129 Per approfondimenti sulla legislazione austriaca sul trattamento dei dati sanitari personali contenuti nel Fascicolo Sanitario Elettronico si rinvia a S. REIMER, Current and Future Settings of Austrian Legislation Regarding Electronic Health Records (EHR), European Journal for Biomedical Informatics - Vol. 8, Issue 2, 2012, pp. 11-28.
tutti i dati concernenti la storia clinico-sanitaria dell’assistito (come risultati di laboratorio, referti radiologici, lettere di dimissioni ospedaliere).
Nella predisposizione di un’architettura volta all’interoperabilità tra il sistema informativo sanitario austriaco e quelli europei è, senza dubbio, importante la partecipazione dell’Austria al progetto “Smart Open Services for European Patients”; l’approccio del Progetto pilota ha, infatti, orientato verso la realizzazione di un sistema nazionale che avesse caratteristiche tecniche analoghe.
Non secondario, inoltre, il ruolo che l’iniziativa “Integrating the Healthcare Enterprise” ha avuto per la realizzazione di ELGA; nel 2007, infatti, la Commissione federale della sanità ha raccomandato l’adozione di IHE come framework di riferimento per il disegno dell’infrastruttura di base. In particolare, per il processo dei dati, ELGA adotta per lo più le componenti (o “Integrating Profile”) suggerite da IHE; rilevanti sono le seguenti: CT (“Consistent Time”), ATNA (“Audit Trail and Note Authentication”), PDQ (“Patient Demography Query”), PIX (“Patient Identifier Cross Referencing”), BPPC (“Basic Patient Privacy Consent”), XUA (“Cross Enterprise User Assertion”), XCA (“Cross Community Assertion”), XDS a+b (“Cross Enterprise Document Sharing”).
Per quanto attiene alla struttura dei documenti clinici, in ELGA sono utilizzati HL7 “Reference Information Model” (RIM) e HL7 CDA (“Clinical Documentation Architecture”)130.
Gli identificativi di laboratorio e le immagini mediche seguono rispettivamente gli standard “Logical Observation Identifiers Names and Codes” e “Digital Imaging and Communications in Medicine”.
Le politiche di sicurezza per il controllo degli accessi adottano, invece, lo standard
“eXtensible Access Control Markup Language” (XACML), definito dal Consorzio OASIS
130 In ELGA, standard di riferimento sono: (i) per l’architettura delle comunicazioni: INTEGRATING THE HEALTHCARE ENTERPRISE - TECHNICAL FRAMEWORK (IT Infrastructure Technical Framework, rev. 3.0, 2006; Patient Care Coordination Technical Framework, rev. 1.0; Laboratory Technical Framework, rev. 1.1, 2004; Radiology Technical Framework, rev. 7.0, 2006); (ii) come basic data model: HL7, VERSION 3, RIM (ISO/HL7 21731:2006(E), Health informatics - HL7 version 3 - Reference Information Model - Release 1);
(iii) come standard per i documenti: HL7, Clinical Document Architecture (CDA), Rel. 2 (ANSI/HL7 CDA, R2-2005); (iv) per i dati di laboratorio: Logical Observation Identifiers Names and Codes (LOINC® 2.19:2006-12-22); (v) per le immagini radiologiche: DICOM 3.0 e WADO (ISO 12052:2006(E), Health informatics - Digital imaging and communication in medicine (DICOM) including workflow and data management; ISO 17432:2004(E), Health informatics - Messages and communication - Web access to DICOM persistent objects).
(“Organization for the Advancement of Structured Information Standards”)131 e basato su XML132.
4.2.1.1 “INTEGRATING THE HEALTHCARE ENTERPRISE INTEGRATION PROFILES”
Prima di entrare nel merito dell’architettura di ELGA (cfr. figg. 6 e 7), è essenziale, anzitutto, soffermarsi brevemente sulle principali caratteristiche delle componenti di “IHE” summenzionate133.
“Consistent Time Integration Profile” (CT) è un meccanismo di sincronizzazione tra gli attori (server e client) coinvolti in un sistema informativo sanitario.
“Audit Trail and Node Authentication Integration Profile” (ATNA), analogamente a quanto in generale definito da procedure e policy sulla sicurezza, individua le misure di sicurezza finalizzate a garantire la riservatezza e l’integrità dei dati dei pazienti nonché la responsabilità degli utenti. Esso contiene informazioni relative agli elementi di sicurezza adottati a livello di “Basic Secure Node”, definisce i requisiti minimi di verifica per singolo nodo (come identificazione dell’utente e della macchina, autenticazione, autorizzazione, controllo degli accessi etc.) nonché i requisiti minimi di sicurezza per le comunicazioni del nodo; stabilisce, inoltre, le caratteristiche della comunicazione dei messaggi di verifica tra “Basic Secure Node” e “Audit Repository Node”, nei quali sono raccolte le informazioni di verifica.
“Patient Demographics Query Integration Profile” (PDQ) consente di reperire, grazie alla predisposizione di specifici criteri di ricerca, in una lista di soggetti, informazioni “demografiche” relative ad un singolo paziente.
“Patient Identifier Cross-referencing Integration Profile” (PIX) fornisce un nuovo identificativo del paziente frutto dell’incrocio di identificativi dello stesso soggetto provenienti da più “Patient Identifier Domain”; grazie al PIX è possibile raccogliere informazioni sanitarie provenienti da fonti diverse relative al medesimo assistito.
“Basic Patient Privacy Consents Integration Profile” (BPPC) identifica un meccanismo per registrare il consenso del paziente al trattamento dei dati personali ed individua un
131 Dettagliate informazioni sul Consorzio e sull’attività da esso svolta sono disponibili nella homepage, consultabile all’indirizzo https://www.oasis-open.org/; per ulteriori approfondimenti su XACML si rinvia, invece, alla sezione del sito web dedicata alla Technical Committee, consultabile all’indirizzo https://www.oasis-open.org/committees/tc_home.php?wg_abbrev=xacml.
132 Maggiori informazioni su “eXtensible Markup Language” (XML) sono reperibili all’indirizzo http://www.w3.org/XML/.
133 Per quanto concerne la descrizione dei singoli workflow si rinvia integralmente al documento INTEGRATING THE HEALTHCARE ENTERPRISE, IHE IT Infrastructure (ITI) - Technical Framework, Vol. 1 (ITI TF-1), Integration Profiles, Revision 9.0 – Final Text, August 31, 2012, pp. 255.
metodo per selezionare quale consenso possa essere effettivamente applicato nelle diverse circostanza d’uso.
“Cross-Enterprise User Assertion Profile Integration Profile” (XUA) individua un metodo per comunicare a terzi l’identità di un soggetto autenticato all’interno di una azienda sanitaria (user, application, system ...). L’accesso dei terzi ai dati in oggetto è, tuttavia, subordinato alla loro identificazione per motivi di responsabilità e garanzia.
“Cross-Community Access Integration Profile” (XCA) permette di chiedere e reperire informazioni relative ad un paziente che siano in possesso di realtà sanitarie terze rispetto al richiedente.
“Cross-Enterprise Document Sharing Integration Profile” (XDS), basato sugli standard “ebXML Registry”134 e “Simple Object Access Protocol” (SOAP), consente alle organizzazioni aderenti ad un “XDS Affinity Domain” di scambiare cartelle clinico- sanitarie in forma di documenti135. Anche in questo caso, beneficiari finali di tale organizzazione sono i pazienti, i quali, in un’ottimale scenario, possono godere di processi di cura più adeguati, proprio grazie alla cooperazione di più specialisti.
4.2.1.2 “HL7 REFERENCE INFORMATION MODEL” E “HL7 CLINICAL DOCUMENTATION ARCHITECTURE”
Come in precedenza indicato, in ELGA la struttura dei documenti clinici utilizza il modello concettuale di riferimento “HL7 Reference Information Model” (RIM) e lo standard “HL7 Clinical Documentation Architecture” (CDA)136.
“HL7 Reference Information Model” è il modello di rappresentazione di dati clinici sviluppato da “Health Level 7”; fondato su “Unified Modeling Language”, RIM fornisce una rappresentazione esplicita delle connessioni semantiche e lessicali che possono esistere nei messaggi HL7. La prima bozza di “Reference Information Model” fu rilasciata nel 1996, la versione 1.0 è, invece, del 2001; nel 2003 HL7 RIM è diventato uno standard ANSI (“American National Standards Institute”) e nel settembre 2006 è stato pubblicato
134 Electronic Business using eXtensible Markup Language è una famiglia di standards prodotta da OASIS e UN/CEFAT per lo scambio di informazione nei domini di commercio elettronico. Maggiori informazioni sono disponibili nel sito web dedicato, consultabile all’indirizzo http://www.ebxml.org/.
135 Il concetto di “Affinity Domain” si riferisce ad un gruppo di aziende sanitarie che, accettando di lavorare congiuntamente, condividono policy - ad esempio relative alle modalità di identificazione del paziente, di rilascio ed uso del consenso - e regole - concernenti il formato, il contenuto, la struttura, l’organizzazione e la rappresentazione di informazioni cliniche etc. -.
136 Ulteriori approfondimenti su HL7 RIM e HL7 CDA sono disponibili nelle sezioni dedicate del sito di Health Level Seven, rispettivamente consultabili agli indirizzi: http://www.hl7.org/implement/standards/rim.cfm e
http://www.hl7.org/implement/standards/product_brief.cfm?product_id=7.
come standard da parte di “International Organization for Standardization”. Attualmente “HL7 Reference Information Model” è utilizzato con sistemi di codifica, quali “Systematized Nomenclature of Medicine - Clinical Terms” (SNOMED CT) e “Logical Observation Identifiers Names and Codes” (LOINC®) per definire concetti medici nello standard “HL7 Clinical Documentation Architecture”.
“HL7 Clinical Documentation Architecture” è uno standard internazionale certificato, utilizzato per specificare codice, struttura e semantica dei documenti clinico-sanitari. Ideato dal Comitato Tecnico “Structured Documents” (la Release 1.0 fu pubblicata nel 2000, la versione 2.0 nel 2005), CDA ha lo scopo di favorire l’interoperabilità tra i documenti nel dominio in esame137. Basato sul linguaggio di marcatura XML, tale standard può essere facilmente supportato da qualsiasi applicazione.
Parti essenziali della struttura di un documento CDA sono “header” e “body”: il primo fornisce le meta-informazioni che identificano e classificano il documento, quali informazioni relative ad autenticazione (“document information”), visita (“encounter”), paziente (“service target”) e operatori coinvolti (“service actor”)138; il secondo contiene il rapporto clinico e può essere “non strutturato” o “strutturato”, se, oltre al “blocco narrativo”, contiene ulteriori sezioni annidate che sono utilizzate per specificarlo (è il caso di “entry”, quali, ad esempio “observation”) o per codificare porzioni esterne richiamate nel testo, come immagini (è il caso di “external reference”)139.
Interessante, altresì, evidenziare il concetto di interoperabilità semantica c.d. “incrementale” presente in “HL7 Clinical Document Architecture”, secondo cui un documento clinico può essere appunto ampliato nel tempo, aggiungendo al modello base, strutturalmente più semplice, ulteriori elementi. Il risultato finale di tale progressiva incrementazione della struttura è una maggiore automazione dei processi e, di conseguenza, una più ampia interoperabilità tra i sistemi informativi.
137 In HL7 un documento clinico deve avere le seguenti sei caratteristiche: persistenza, amministrazione, potenziale per l’autenticazione, contesto, totalità, leggibilità umana.
138 L’header del documento contiene, ad esmepio, le seguenti informazioni: id: Identificativo univoco del documento; code: Codifica LOINC; effectiveTime: Data di creazione del documento; author: Persona che valida il documento; custodian: Struttura che ha generato il referto; recordTarget: Anagrafica Paziente; title: Testo d’intestazione del documento; setId: Identificativo comune ad ogni revisione del documento; versionNumber : Versione del documento; legalAuthenticator: Firmatario del referto; informationRecipient: Unità di consegna; dataEnterer: Rappresenta la persona che inserisce i dati nel sistema; responsibleParty: Primario della struttura che ha generato l’atto; relatedDocument: Collegamento tra due documenti; documentationOf: Motivo della richiesta di indagine; inFulfillmentOf: Order Filler; componentOf: Order Placer e Unità richiedente.
139 In “Appendice” si riporta un esempio, alquanto semplificato, di documento redatto tenendo presente le indicazioni di HL7 CDA; segue, poi, la visualizzazione dello stesso documento secondo il foglio di stile adottato nel progetto ELGA.
A titolo esemplificativo, i livelli di interoperabilità semantica incrementale possibili sono tre: in tutti e tre i casi sono rispettati i requisiti previsti dal “CDA XML Schema”. Se, per quanto concerne l’header, i documenti sono sostanzialmente analoghi, alcune differenze sostanziali tra i tre livelli si osservano nel body. Infatti, mentre a livello “uno” il testo del rapporto clinico è “umanamente leggibile”, a livello “due” il “body” è espressivamente più ricco è più facilmente “machine-readable”, principalmente grazie al fatto che sezioni/sottosezioni codificate in forma più specifica e dettagliata; il livello “tre”, infine, in aggiunta contiene ulteriori specifiche che rendono, pertanto, il documento qualitativamente migliore per essere trattato in forma automatizzata (secondo quanto indicato in HL7 RIM)140.
4.2.1.3 “EXTENSIBLE ACCESS CONTROL MARKUP LANGUAGE”
Considerata la natura fortemente sensibile dei dati oggetto dei sistemi informativi sanitari, particolarmente importante è l’implementazione di sistemi di autorizzazione e controllo degli accessi ai documenti; per la definizione di tali politiche di sicurezza, ELGA utilizza lo standard “eXtensible Access Control Markup Language” (XACML).
In XACML, ciascuna politica di accesso ai dati sanitari (policy) è costituita da un target (ovvero il soggetto destinatario della regola) e da un insieme di regole o rule (ciascuna costituita da un target, un effetto o decisione - permesso o diniego -, ed una condizione - il cui scopo è restringere l’applicabilità di una regola -141). Affinché i risultati di una regola possano correttamente essere applicati per ottenere una decisione finale della policy, sono predisposti algoritmi di combinazione.
Quanto premesso è strumentale per comprendere il meccanismo di funzionamento delle componenti dell’architettura proposta da XACML: “Policy Enforcement Point” intercetta le richieste di accesso alle risorse (eventualmente includendovi gli attributi del soggetto, della risorsa e dell’ambiente reperiti da “Policy Information Point”), per poi inoltrarle a “Policy Decision Point”, cui spetta, invece, la valutazione delle policies applicabili (policies conservate in un repository e prodotte da “Policy Administration Point”) e la successiva decisione. In caso di autorizzazione, “Policy Enforcement Point” esegue la richiesta di accesso.
140 Per approfondimenti, tra gli altri, vedasi: R.H. DOLIN, L. ALSCHULER, S. BOYER, C. BEEBE, F. M. BEHLEN,
P. V. BIRON, A. SHABO, HL7 Clinical Document Architecture, Release 2, Journal of the American Medical Informatics Association, 2006; 13(1): 30-39.
141 L’effetto o decisione è un requisito obbligatorio all’interno di una regola, contrariamente alla condizione che è facoltativa.
4.2.1.4 ARCHITETTURA PROGETTO “ELGA”
Inquadrati gli standard dei quali ELGA si serve, di seguito sono descritte l’architettura e l’infrastruttura utilizzate dal sistema informativo sanitario austriaco, nel quale, la componente centrale funge da ponte di collegamento con i sistemi informativi locali (del singolo ospedale, di un cluster di ospedali o “Lokale Affinity Domains”, del singolo medico curante) (come sinteticamente illustrato nelle figure 6 e 7).
Componenti centrali di ELGA sono “Zentraler Patientenindex” o “Master Patient Index” (ZPI), “Gesundheitsdiensteanbieter-Index” o “Healthcare Provider Index” (HPI), “Portal” o “Consumer Portal” (C Portal), “Protokollierungssystem” o “Protocol Datawarehouse”, “Policy Administration Point” (PAP), “ELGA Token Service” (ETS)142 (cfr. fig. 6).
Figura 6 - ELGA Information Security System
“Master Patient Index” è lo strumento che consente l’identificazione univoca del paziente: utilizzando PIX Integration Profile, gli identificativi assegnati a livello di “Local Patient Index” nei “Local Affinity Domain” (e.g. Vienna e Innsbruck), sono riconosciuti come relativi alla medesima persona e, quindi, riunificati.
“Healthcare Provider Index” (HPI) è una raccolta di dati identificativi di “Healthcare Provider” e/o loro dipendenti; grazie a questo strumento, come si dirà, è possibile verificare se e quali soggetti sono autorizzati ad accedere (e a quali) dati, tutelando così la riservatezza dei pazienti.
142 Gli acronimi riportati tra parentesi corrispondono a quelli utilizzati in figura 6.
Altra componente centrale di ELGA, che può, peraltro, essere presente anche a livello di singoli “Local Affinity Domain”, è “Policy Administration Point” (PAP), preposta alla gestione del “diritto di accesso”, parziale o totale, dei pazienti; in PAP, infatti, sono conservati i documenti contenenti il rilascio del consenso dei pazienti (in questo caso è utilizzato il “Basic Patient Privacy Consents Integration Profile”).
“Protocol DataWareHouse” funge da sistema di protocollo generale per l’auditing: sincronizzato con i “Local Data Audit Repository”, è interrogato per verificare una “Identity Assertion”, ossia l’identità di un soggetto, evitando, così, possibili frodi.
“Consumer Portal” è predisposto a beneficio degli utenti finali, ovvero i cittadini/pazienti, i quali, attraverso il Portale possono accedere ai propri dati personali contenuti nel Fascicolo Sanitario Elettronico, gestire i documenti di rilascio del consenso, acquisire informazioni sui “PAP” e così via.
“ELGA Token Service” è il meccanismo di autenticazione tra servizi; a tal fine, esso utilizza “Security Assertion Markup Language” (SAML). Di seguito si illustrano le modalità in cui è stato progettato il procedimento di autorizzazione in ELGA.
Quando un soggetto “C” (“document consumer”) desidera consultare un documento clinico contenuto in un altro sistema informativo sanitario (e.g. Innsbruck), affinché possa venirne in possesso, occorre che ne faccia richiesta al “Registry” del proprio “Local Affinity Domain” (e.g. Vienna), che, grazie ai metadati in proprio possesso, verifica l’esistenza (ed, in caso positivo, la localizzazione) del documento stesso. A questo punto, esaurite le fasi di verifica di seguito illustrate, ne fa richiesta, tramite “Gateway”, al sistema informativo terzo (Innsbruck) che, accertata la compatibilità tra le proprie policies e quelle del richiedente, ne invia copia al “repository” istante (Vienna).
Prima di effettuare la propria richiesta al “Registry” è, tuttavia, indispensabile che il “document consumer” venga autenticato da “Security Token Service” (STS), ricevendo, quindi, l’autorizzazione all’accesso (nella forma di “security token” di tipo SAML). Questa prima fase del procedimento di autorizzazione prende il nome di “Identity Assertion”. Il “Security Token Service” (STS), vera e propria “Authority” presente nel “Local Affinity Domain”, gestisce, dunque, il riconoscimento dell’utente, e, di conseguenza, le politiche di sicurezza del sistema.
Momento successivo è rappresentato da “Healthcare Provide Assertion”: “C” invia la propria richiesta a “ELGA Token Service” che, a sua volta, ricorre a “Healthcare Provider Index” per accertare l’identità del richiedente, identificato come soggetto appartenente a quella determinata struttura ospedaliera. Compiuto positivamente questo accertamento, la
fase successiva, nota come “Patient Assertion”, è quella in cui “ELGA Token Service” riconosce che “C”, medico appartenente alla struttura ospedaliera “x” è il soggetto autorizzato dal paziente “Caio”.
Analogamente a quanto già indicato per il progetto epSOS, e cioè che le comunicazioni fra sistemi informativi sanitari avvengono esclusivamente attraverso i National Contact Point, anche tra “Local Affinity Domain” le comunicazioni/scambio di documenti sono possibili esclusivamente attraverso “Gateway”.
Funzione principale del “Gateway” è quella di verificare che la richiesta di accesso alle informazioni contenute nel proprio sistema informativo rispetti le policy in essere nel “Local Affinity Domain”; lo standard utilizzato per valutare le suddette richieste è “eXtensible Markup Language Access Control”. In accordo con quanto previsto da XACML, i due “nodi operativi” all’interno del singolo “gateway” sono “Policy Decision Point” (PDP), nel quale sono memorizzate le policies locali e “Policy Enforcement Point” (PEP), che ha, invece, la funzione di decidere della conformità o meno di un’istanza alle policies in essere, previa consultazione e parere del PDP (ove necessario, il “PDP” può servirsi delle informazioni fornite dal “Policy Information Point” presente nel “Local Affinity Domain”).
Conclusa, dunque, la fase “Patient Assertion”, inizia lo step successivo, cioè, “Accessing Initiating Gateway”: il “consumer document” entra in contatto con il “Gateway” del proprio “Local Affinity Domain” per essere autorizzato da “PEP”; come anticipato, affinché questo avvenga, è preliminare che “PEP” riceva l’autorizzazione da “PDP”. A tal fine “Policy Decision Point” interroga “ETSI Token Service” - questa fase del procedimento di autorizzazione prende il nome di “Treatment Assertion” - per accertare che “C” è il medico del paziente “x”. Il framework di riferimento per le azioni descritte è “Cross-Community Access Integration Profile” (XCA) di “Integrating the Healtcare Enterprise”.
Componenti di base dei sistemi informativi sanitari appartenenti alle singole strutture ospedaliere che fanno parte di un “Local Affinity Domain” sono: “Lokaler Patientenindex” o “Local Patient Index” (LPI), “Dokumenten-Register” o “Document Registry” (XDS Reg.), “Lokales Protokollierungssystem” o “Local Protocol System”, “ELGA XCA Gateway inklusive Berechtigungssystem” o “ELGA XCA Gateway including authorization system”, “Audit Record Repositories”143 (cfr. figura 7).
143 Gli acronimi riportati tra parentesi corrispondono a quelli utilizzati in figura 7.
Figura 7 - Local Affinity Domain
“Local Patient Index” (LPI) è la raccolta degli identificativi appartenenti ai pazienti curati a livello locale (e.g. Vienna 1 = A+B), generati dagli ID già esistenti (e.g. A e B) nelle strutture ospedaliere (e.g. GHV, KAV) del “Local Affinity Domain” (e.g. Vienna). Preliminarmente tali identificativi (con un “Patient Registration HL7 message”) sono comunicati da LPI al “Domain Registry” per consentire di accertare la presenza del paziente nel sistema nonché di verificarne l’identità e, di conseguenza, autorizzare la richiesta dei documenti via “Gateway”.
I “CDA document” perfezionati a livello dei singoli sistemi informativi ospedalieri - nei quali sono presenti “source” (S) e “consumer” (C) -, sono memorizzati in “repository”, interni o esterni ai sistemi stessi; i tre attori summenzionati (“source”, “consumer” e “repository”), previsti da “Cross-Enterprise Document Sharing Integration Profile” (XDS) di “IHE”, sono tra loro interoperabili144.
Al fine di salvaguardare la sicurezza e l’integrità dei dati, ciascuno di questi “soggetti” comunica con gli altri, e con “Domain Registry”, attraverso “Secure Nodes Software Authentication” (secondo quanto previsto da “IHE”, in particolare, con il “Audit Trail and Node Authentication Integration Profile” (ATNA)145. La presenza di un “Audit Record Repository” all’interno del “Local Affinity Domain” facilita l’implementazione di questi
144 INTEGRATING THE HEALTHCARE ENTERPRISE, IHE IT Infrastructure (ITI) - Technical Framework, cit., pp. 78 ss.
145 Ivi, pp. 64 ss.
requisiti di sicurezza, il controllo delle transazioni e riduce la possibilità di manomissione dei record, e ciò, grazie al fatto che ad esso sono trasferiti tutti gli “Audit Record”.
Altra componente XDS utilizzata in ELGA, è “Document Registry” contenente la raccolta di metadati dei “CDA clinical document”. Questa diversa localizzazione permette di trovare, selezionare e recuperare più facilmente il documento di interesse per la cura del paziente, indipendentemente, quindi, dal risalire al repository nel quale, effettivamente, le informazioni sanitarie sono memorizzate146.
Per quanto, invece, riguarda “Local Protocol System” e “ELGA XCA Gateway including authorization system”, valgono tutte le considerazioni già esposte nella parte precedente dedicata alla descrizione delle componenti centrali di ELGA e dei processi di autentificazione in essere.
Alcune importanti misure nel sistema informativo utilizzato in ELGA sono poste, poi, a beneficio dei pazienti austriaci, i quali, ad esempio, possono negare l’accesso ed il trattamento, totale o parziale, dei propri dati sanitari (c.d. opt-out) raccolti nel sistema ELGA. Altrettanto significativa è, in tal senso, la predisposizione di registri specifici che consentono al paziente di verificare, anche al fine di controllarne gli abusi, gli accessi alle proprie informazioni medico-sanitarie (ad esempio, quali soggetti le hanno consultate, afferenti a quali strutture, in quali tempi etc.). Criterio generale adottato in ELGA, come del resto in altri sistemi di e-Health, è, infatti, il “role-based authorization concept”, secondo cui possono avere accesso e trattare i dati del paziente soltanto gli operatori espressamente autorizzati a tali operazioni. Si segnala, fin d’ora, che le modalità di protezione dei dati personali in ELGA, rimangono, a tutt’oggi, una delle preoccupazioni più rilevanti per operatori sanitari, pazienti, ma anche tecnici (ingegneri, informatici), stakeholder e policy maker.
Come menzionato nel paragrafo 4.2.1, dedicato alla presentazione di “ELGA - Elektronische Gesundheitsakte”, il Progetto è ancora in fase di realizzazione; nonostante l’intensa attività compiuta da “ELGA GmbH” per l’attuazione delle regole di autorizzazione e del sistema di registrazione, non è ancora possibile riferire alcun dato sull’utilizzo e diffusione del sistema da parte dei vari soggetti coinvolti nei processi sanitari, siano essi operatori o aziende pubbliche e private. Infatti, se, da una parte, è stato raggiunto un importante risultato, quale la definizione del quadro normativo, con l’entrata in vigore della legge “Elektronische Gesundheitsakte-Gesetz - ELGA-G”, dall’altra, i
146 Ivi, pp. 78 ss.
profili organizzativi e di implementazione delle componenti tecniche sono in fieri. Per ciò che riguarda proprio la rapidità con cui le componenti tecniche verranno consolidate dai singoli operatori, non è, secondario, altresì ricordare che, mentre alcuni blocchi dell’archiettura di ELGA sono sviluppati a livello centrale, altri sono sviluppati a livello locale o regionale, aspetto questo che inevitabilmente condiziona l’omogena ed eguale diffusione del sistema. Occorrerà, dunque, attendere la piena entrata a regime del sistema informaivo sanitario nazionale per verificarne gli effettivi risultati.
4.3 DANIMARCA
Nei Paesi del nord Europa (Danimarca, Finlandia, Islanda, Norvegia e Svezia), l’uso delle Tecnologie dell’Informazione e della Comunicazione nel settore pubblico, e, in particolare, in quello sanitario e dei servizi sociali, è ormai diffuso da diversi decenni; per tale ragione, la digitalizzazione dei summenzionati contesti ha, oggi, raggiunto, risultati maturi, al punto che, frequentemente ci si riferisce alle strategie, alle legislazioni, alle infrastrutture, e, più in generale, agli strumenti di e-Health adottati in questi Paesi parlando di eccellenza147.
Con speciale attenzione alla Danimarca, l’interesse mostrato per lo scambio delle informazioni sanitarie in formato elettronico risale alla fine degli anni Ottanta, quando furono promosse iniziative specifiche negli ospedali di Vejle e Silkeborg per introdurre buone pratiche in questo settore; ulteriore progetto pioniere della comunicazione di dati medico-sanitari mediante lo standard “Electronic Data Interchange” fu quello realizzato ad Amager (1989-90) nel quale furono, invece, coinvolti farmacie e medici di medicina generale. A tutt’oggi, come indicato nella presentazione del progetto “MedCom”, il sistema informativo sanitario danese utilizza le medesime piattaforme di comunicazione.
4.3.1 PROGETTO “MEDCOM”
Fondata nel 1994, “MedCom - Det danske Sundhedsdatanet148” è una co-operative venture tra enti pubblici, organizzazioni ed aziende private legate al settore sanitario danese149. Le prime iniziative (“MedCom I”) furono realizzate dal 1994 al 1996; attualmente è in essere l’ottava edizione (“MedCom VIII”, 2012-2013), dedicata al tema
147 In proposito, di interesse lo studio NORDIC COUNCIL OF MINISTERS, Health and Social Sectors with an “e”. A study of the Nordic countries, TemaNord 2005:531, 2005, Copenhagen, pp. 165.
148 The Danish Health Care Data Network.
149 Nel sito web, consultabile all’indirizzo http://www.medcom.dk/, sono disponibili i deliverable del Progetto e, nella sezione dedicata, i documenti ufficiali concernenti gli standard utilizzati.
“Dissemination and technological future-proofing”. Per promuovere e diffondere in modo stabile i risultati ottenuti nelle fasi iniziali, con l’accordo finanziario tra le contee ed il governo centrale del 1999, fu, infatti, deciso di dare a tale realtà un assetto permanente. Nel corso del 2011 “MedCom” è diventato di proprietà del Ministero della Salute, delle regioni danesi e del governo locale della Danimarca, ricevendo da essi finanziamenti; il motivo principale di tale ampliamento risiede nel dare continuità agli obiettivi politici in tema di sanità elettronica e Fascicolo Sanitario Elettronico nonché nel fortificare la collaborazione clinica tra medici di base, ospedali pubblici e privati, laboratori, farmacie.
Scopo essenziale di “MedCom” fu sviluppare, a livello nazionale, standard di comunicazione per i messaggi clinici più comuni (lettere di dimissione ospedaliere, ordini dei test di laboratorio, “ePrescription”, rimborsi da parte dell’assicurazione sanitaria pubblica etc.) scambiati, in lingua danese, tra ospedali pubblici, medici di medicina generale nonché aziende private legate al settore sanitario, come, ad esempio, le farmacie. Dopo un avvio piuttosto lento, la comunicazione dei documenti sanitari danesi avviene ormai, perlopiù, in formato elettronico; nuovo obiettivo fissato da “MedCom” per il 2012, è stata la digitalizzazione dei messaggi (tra cui lettere di dimissione e piani di assistenza a domicilio) inviati tra ospedali e casa di cura nei comuni.
“The Danish Health Care Data Network” è un “logical data network” che fin dai suoi esordi ha utilizzato “Electronic Data Interchange” (EDI), standard internazionale proposto dalle Nazioni Unite per l’interscambio cifrato dei dati elettronici150; in particolare, i messaggi si servono di “Electronic Data Interchange For Administration, Commerce and Transport” (EDIFACT), standard EDI, adottato anche da “International Organization for Standardization” (ISO 9735), grazie al quale è possibile trasferire automaticamente i dati (ad esempio quelli contenuti in una lettera di dimissioni ospedaliera) tra diversi sistemi informativi151. EDIFACT fornisce un insieme di regole sintattiche per la struttura dei dati, un protocollo per lo scambio interattivo delle informazioni (I-EDI), una standardizzazione dei messaggi per lo scambio tra una pluralità di soggetti (Paesi o aziende).
Dal 1994 ad oggi, “MedCom” ha messo a punto più di 60 diversi standard, disponibili sia nella versione EDIFACT sia nella versione OIO-XML, uno standard nazionale
150 Il sito ufficiale de “United Nations Economic Commission for Europe” è disponibile all’indirizzo http://www.unece.org/trade/untdid/welcome.html.
151 The Danish Health Care Data Network utilizza le seguenti tipologie di standards EDIFACT: “Medical Service Request message” (MEDREQ), “Medical Service Report message” (MEDRPT), “Medical resource usage and cost message” (MEDRUC), “Discharge Summary Letter message” (MEDDIS), MEDREF for referrals, CONTROL “the acknowledgement message can be used to approve or reject a message or part of such and to acknowledge receipt of the message following a syntax check”.
perfezionato per la digitalizzazione del settore pubblico danese; obiettivo finale di “MedCom” è elaborare le nuove regole esclusivamente in OIO-XML152.
Altro esito particolarmente importante, raggiunto da “MedCom” alla fine del 2003, è la realizzazione del Portale “Sundhed.dk”153, il cui principale pilastro è proprio “The Danish Health Care Data Network”; analogamente al sistema informativo, le comunicazioni di dati con e dal Portale si basano sullo standard “Electronic Data Interchange”. L’ampiezza e la complessità sottese a “Sundhed.dk” hanno orientato verso la predisposizione di varie fasi progettuali, il cui conseguimento è, al tempo stesso, risultato intermedio e finale dell’intera iniziativa.
Attraverso “Sundhed.dk” cittadini, pazienti ed operatori sanitari danesi possono accedere alle informazioni sanitarie di proprio interesse, quali, ad esempio, trattamenti ed appunti di cartelle cliniche, informazioni sulla medicina e sulle visite al medico di famiglia etc.; il cittadino può, altresì, conoscere i servizi erogati online, reperire ulteriori informazioni sul sistema sanitario (come tempi di attesa negli ospedali pubblici o valutazioni dei pazienti sulla qualità dei servizi) nonché creare reti con altri pazienti affetti dalla medesima patologia. Obiettivo principale del Portale è, inoltre, quello di creare un sistema di comunicazione solido per favorire l’interazione tra il paziente ed il medico.
4.4 ITALIA
Analogamente a quanto osservato per l’Austria, gli obiettivi indicati dalla Commissione europea ne “e-Health Action Plan” del 2004, orientati al miglioramento dei servizi sanitari nazionali attraverso l’uso delle nuove tecnologie digitali, spinsero l’Italia a porre in essere politiche ed azioni condivise per la pianificazione di un sistema nazionale di sanità elettronica, sicuro, affidabile e, al tempo stesso, volto all’interoperabilità. Il contesto del Paese appariva, infatti, caratterizzato da una forte disomogeneità, in parte conseguenza di un’inadeguata gestione della ripartizione di competenze tra Stato e Regioni in materia di assistenza sanitaria prevista dalla Costituzione italiana (ex art. 117)154.
152 Maggiori informazioni sul progetto “OIO-XML” sono consultabili nell’homepage del sito, raggiungibile all’indirizzo http://digitaliser.dk/.
153 La homepage è consultabile all’indirizzo https://www.sundhed.dk/.
154 A mero titolo esemplificativo si riportano alcune tra le iniziative più significative realizzate a livello territoriale per la digitalizzazione della cartella sanitaria personale: progetto “CRS-SISS” (Lombardia), progetto “SOLE, Sanità On Line” (Emilia Romagna), progetto “Conto Corrente Salute” (Liguria), progetto “Integrazione per l’Erogazione dei Servizi in Sanità - IESS” (Veneto/Trentino-Alto Adige), progetto “Libretto Sanitario Nazionale” (Veneto), progetto “Cartella Clinica del Cittadino - TreC” (Trentino-Alto Adige), progetto “Carta Sanitaria Elettronica” (Toscana), progetto “LUMIR” (Basilicata), progetto “ Rete dei
Al fine, dunque, di armonizzare lo stato dell’arte e promuovere nuove iniziative condivise, nel 2005, fu istituito il “Tavolo permanente Sanità Elettronica”, composto dai referenti del Dipartimento per la digitalizzazione della pubblica amministrazione e l’innovazione tecnologica della Presidenza del Consiglio dei Ministri, dai rappresentati del Ministero della Salute nonché dai rappresentanti nominati dai presidenti delle Amministrazioni Regionali e delle Province Autonome. Tre i livelli strategici individuati per dar vita ad un “insieme di sistemi informatici federati”155: la definizione di un patrimonio semantico comune (“Progetto Mattoni”156), l’implementazione del “Nuovo Sistema Informativo Sanitario” (NSIS)157, la predisposizione di sistemi informativi sanitari locali operanti con l’infrastruttura nazionale. Scopi principali di un sistema informativo sanitario di tipo federato, nel quale, quindi, i dati sanitari rimangono di proprietà dell’ente che le ha generate, sono, da una parte, garantire l’affidabilità e la sicurezza delle informazioni scambiate, dall’altra, contenere l’impatto dei nuovi strumenti sulle infrastrutture territoriali esistenti.
Il “Piano di Sanità Elettronica” fu lo strumento operativo individuato per definire requisiti e standard della “Infrastruttura di Base per la Sanità Elettronica” (IBSE), sia per quanto concerne i processi tra sistemi ed attori, sia per quanto concerne gli oggetti informativi158. Le componenti dell’Infrastruttura di Base per la Sanità Elettronica sono raffigurabili su tre livelli: al primo, posto alla base del sistema informativo, sono collocati gli standard per l’interoperabilità individuati dal “Sistema Pubblico di Connettività e Cooperazione” (SPCoop)159; al secondo risiedono un “InfoBroker Individuale Sanitario” (IBIS) per realizzare un Fascicolo Sanitario Elettronico virtuale (referenziando i documenti individuali) nonché strumenti per facilitare l’interoperabilità sintattica/semantica; al terzo, gli standard per garantire l’integrità dei processi di collaborazione tra gli attori coinvolti.
Medici di Medicina Generale - MEDIR” (Sardegna). Una dettagliata descrizione dei progetti citati è riportata nel documento PROGETTO “INFRASTRUTTURA TECNOLOGICA DEL FASCICOLO SANITARIO ELETTRONICO” -
INFSE, Fotografia commentata sperimentazioni esistenti su FSE. eGov 2012 - Obiettivo Salute, DEF, v. 1.5, Dicembre 2010, pp. 164, realizzato nell’ambito del progetto InFSE che verrà esaminato nel presente lavoro.
155 Cfr. TAVOLO PERMANENTE SANITÀ ELETTRONICA DELLE REGIONI E DELLE PROVINCE AUTONOME, Una politica per la sanità elettronica, Note di riferimento per lo sviluppo della sanità elettronica, 2005, p. 6.
156 Maggiori informazioni sul “Progetto Mattoni” (2003-2007) sono disponibili all’indirizzo http://www.mattoni.salute.gov.it/.
157 Per approfondimenti si rinvia alla sezione del sito del Ministero della Salute dedicata al “Nuovo Sistema Informativo Sanitario”, consultabile all’indirizzo http://www.nsis.salute.gov.it/.
158 La strategia architetturale di riferimento per il sistema nazionale della Sanità Elettronica è illustrata in dettaglio nel documento TAVOLO DI LAVORO PERMANENTE SANITÀ ELETTRONICA DELLE REGIONI E DELLE PROVINCE AUTONOME, Strategia architetturale per la Sanità Elettronica, DEF, v. 01.00, 31.03.2006, pp. 56. 159 Previsto dal decreto legislativo 28 febbraio 2005 n. 42, Istituzione del sistema pubblico di connettività e della rete internazionale della pubblica amministrazione, a norma dell’articolo 10, della legge 29 luglio 2003, n. 229, pubblicato in G.U. n. 73 del 30.3.2005. Ulteriori approfondimenti sul SPCC sono consultabili sul sito di “DigitPA”, all’indirizzo http://www.digitpa.gov.it/spc.
Una posizione trasversale assumono, invece, le politiche di privacy e sicurezza nonché il repository contenente i modelli dei processi, dei servizi, dei dati (in termini di metadati) utilizzati nella “Enterprise Architecture” di tipo federato di IBSE. Peculiarità principale di IBSE è quella di essere stata ideata come infrastruttura del tutto decentralizzata rispetto alle realtà del Sistema Sanitario Nazionale, e ciò, sia per ridurre l’impatto sull’organizzazione di tali enti, sia per utilizzare il know-how e gli investimenti locali; il collegamento tra IBSE ed i sistemi informativi territoriali, avviene, pertanto, in modo non invasivo, attraverso “Porte di Dominio”, le cui caratteristiche sono descritte nelle specifiche SPCoop.
Parallelamente alla definizione del “Piano di Sanità Elettronica”, in quanto ad essa funzionale, fu, poi, la predisposizione di Piani di azione, nazionale e regionali, necessari per tradurre, in concrete azioni territoriali, le regole definite nel PSE.
In questo contesto, di altrettanta importanza è menzionare le “Linee guida nazionali per la realizzazione di un sistema di Fascicolo Sanitario Elettronico” del 2010, definite nell’ambito di un Tavolo interistituzionale, istituito nel 2008 dal Ministero della Salute e da esso coordinato, al quale hanno partecipato esperti dello stesso Ministero, rappresentanti delle Regioni designati dalla Commissione salute, del Dipartimento per la digitalizzazione della pubblica amministrazione e l’innovazione tecnologica della Presidenza del Consiglio dei Ministri, dell’ente per la digitalizzazione della Pubblica amministrazione “DigitPa” e dell’Autorità Garante per il trattamento dei dati personali (quest’ultima in qualità di osservatore)160. Scopo principale di questo documento programmatico è indicare gli elementi necessari ad una progettazione nazionale omogenea di Fascicolo Sanitario Elettronico, e ciò, soprattutto, considerata la molteplice varietà di progetti regionali esistenti, rispetto all’adozione di modelli architetturali, standard semantici, infrastrutture. In particolare, le “Linee guida” individuano i contenuti minimi da includere nella predisposizione del Fascicolo Sanitario Elettronico (“dati identificativi dell’assistito”, “dati amministrativi relativi dell’assistenza”, “documenti sanitari e socio-sanitari”) e del Patient Summary (“intestazione”, “dati essenziali”, “altre informazioni sul paziente”), gli aspetti infrastrutturali da considerare (in particolare utilizzare un modello architetturale basato su standard aperti, scalabile, modulare, affidabile, integrato con il “Sistema Pubblico di Connettività e Cooperazione” etc.), gli standard tecnologici da adottare (orientamento espressamente rivolto a HL7 CDA rel. 2 per “Patient Summery” ed “ePrescription”)
160 Oggetto di Intesa da parte della Conferenza Stato-Regioni, le “Linee guida” sono state pubblicate in G. U. n. 50 del 2.3.2011.
nonché i livelli di sicurezza e di protezione dei dati da prevedere161. Di particolare interesse è, poi, l’attenzione rivolta per la “definizione di ruoli, profili, e modalità di accesso” al fine di garantire l’appropriatezza dell’uso dei dati personali dell’assistito, risultato, questo, ottenibile, anche attraverso la predisposizione di precise politiche di accesso ai dati per la gestione dei sistemi informativi sanitari.
4.4.1 PROGETTO “INFSE”
Il Progetto “Infrastruttura tecnologica del Fascicolo Sanitario Elettronico” (InFSE)162, sorto nell’ambito di una collaborazione tra il Dipartimento per la digitalizzazione della pubblica amministrazione e l’innovazione tecnologica della Presidenza del Consiglio dei Ministri e il Dipartimento Tecnologie dell’Informazione e delle Comunicazioni163 del Consiglio Nazionale delle Ricerche, è l’iniziativa nazionale, intrapresa nel 2010 ed oggi conclusa, per realizzare un modello architetturale per il Fascicolo Sanitario Elettronico, che garantisca la compatibilità con l’infrastruttura tecnologica in essere a livello territoriale nonché l’interoperabilità funzionale e semantica auspicata dalla Commissione europea e già oggetto dei progetti “IPSE” ed “epSOS”164.
161 Di questo profilo si darà conto nel capitolo dello studio dedicato al tema del trattamento e protezione dei dati personali.
162 Cfr. PROGETTO “INFRASTRUTTURA TECNOLOGICA DEL FASCICOLO SANITARIO ELETTRONICO” - INFSE, Infrastruttura tecnologica del Fascicolo Sanitario Elettronico. Linee guida eGov 2012 - Obiettivo Salute, v. 1.2, Luglio 2012, pp. 135.
163 Di cui fanno parte i seguenti Istituti: Istituto di Calcolo e Reti ad Alte Prestazioni (ICAR), Istituto di Informatica e Telematica (IIT), Istituto di Scienza e Tecnologie dell’Informazione (ISTI) e Sistemi di Indicizzazione e Classificazione (URT DSP).
164 Per implementare i risultati già ottenuti con il progetto “InFSE”, a seguito di una nuova convenzione siglata, nel 2010, tra i medesimi soggetti (Dipartimento per la Digitalizzazione della Pubblica Amministrazione e l’Innovazione Tecnologica della Presidenza del Consiglio dei Ministri ed Dipartimento delle Tecnologie dell’Informazione e delle Comunicazioni del Consiglio Nazionale delle Ricerche), ha preso avvio il progetto “OpenInFSE - Realizzazione di un’infrastruttura operativa a supporto dell’interoperabilità delle soluzioni territoriali di fascicolo sanitario elettronico nel contesto del sistema pubblico di connettività”. Obiettivi di questa nuova iniziativa (oggi è conclusa) sono stati: definire componenti software per l’interoperabilità del Fascicolo Sanitario Elettronico e, per la medesima finalità, realizzare un network interregionale, sviluppare modelli per l’integrazione di servizi per il cittadino (soprattutto alla luce della diffusione di Personal Health Systems per il monitoraggio remoto), promuovere azioni di raccordo con il progetto IPSE ed i progetti regionali implementati in tema di FSE (cfr. “Allegato tecnico alla Convenzione per la realizzazione di un’infrastruttura operativa a supporto dell’interoperabilità delle soluzioni territoriali di fascicolo sanitario elettronico nel contesto del sistema pubblico di connettività”, consultabile all’indirizzo http://www.ehealth.icar.cnr.it/phocadownload/AllegatoTecnico.pdf.). A tal fine, sono state selezionate alcune realtà territoriali, quali Aziende Ospedaliere, Aziende Sanitarie Locali nonché i sistemi informativi territoriali di alcune Regioni e Province Autonome. I risultati, presentati nel luglio 2012, hanno mostrato che, utilizzando un’architettura analoga a quella delineata nel progetto InFSE è possibile ottenere sistemi interoperabili (a tal fine, le componenti software sviluppate nel Progetto OpenInFSE sono state integrate con i sistemi - eterogenei- di Fascicolo Sanitario Elettronico delle Regioni Calabria, Campania e Piemonte proprio utilizzando l’architettura InFSE). Ulteriore risultato raggiunto è stata l’interoperabilità di alcuni sistemi informativi regionali per lo scambio di Patient Summary, grazie all’utilizzo dell’infrastruttura proposta dal Progetto (“Registro Indice Federato” per la ricerca di documenti sanitari di un paziente contenuti nel dominio regionale; “Interfaccia di Accesso” e “Gestore dei Documenti” per il reperimento di uno
Tenendo conto della tipologia del sistema assistenziale italiano, l’architettura del Progetto “InFSE” prevede nodi regionali e locali (“completi” - se equivalenti a quelli regionali - o “assistiti”), che, avvalendosi del “Sistema Pubblico di Connettività”, consentano le comunicazioni inter-regionali, per mezzo di “Porte di Dominio”165. Per raggiungere le summenzionate finalità, analogamente al Progetto epSOS, “InFSE” adotta una “Service Oriented Architecture” organizzata su tre livelli: “Connectivity layer” (la cui componente essenziale è il “Servizio Pubblico di Connettività”), “Component layer” (di cui fanno parte “Interfaccia di Accesso”, “Gestore dei Documenti”, “Registro Indice Federato”, “Gestore delle Politiche di Accesso”, “Gestore Gerarchico degli Eventi”), “Business Layer” (“ePrescription”, “prenotazione visita specialistica”, “ricovero”)166. In questo scenario, una funzione centrale è affidata ai c.d. “attori”, figure esterne all’Infrastruttura InFSE, chiamate, tuttavia, a svolgere precisi ruoli di interazione con il sistema informativo delineato.
Interfaccia d'accesso
Particolare attenzione è in questa sede rivolta al “Component layer”, di cui, di seguito, si richiamano, alcuni elementi essenziali (sinteticamente rappresentati nella figura 8).
Gestore
delle
Po di
litiche
Accesso
Registro Indice Federato
Component
Layer
Gestore di Documenti
Gestore Gerarchico Eventi
Figura 8 – “Component Layer” della SOA InFSE
specifico documento sanitario). In questo caso, le Regioni e Province Autonome coinvolte sono state le stesse che hanno preso parte al progetto IPSE. Ulteriori approfondimenti sul Progetto e sulle specifiche tecniche sono disponibili sul sito “ICT&Health”, sezione “OpenInFSE”, del Consiglio Nazionale Ricerche - Dipartimento delle Tecnologie dell’Informazione e delle Comunicazioni, consultabile all’indirizzo http://www.ehealth.icar.cnr.it/.
165 Ivi, pp. 24-25.
166 Ivi, p. 26.
L’“Interfaccia di Accesso”167 è la componente che funge, sia a livello di nodo regionale sia a livello di nodo locale, da accesso all’infrastruttura del Fascicolo Sanitario Elettronico (esempî di interfacce sono “IDocument”, “IEvent”, “IEntry”, “IBrokerFederation”, “IRegistryFederation”)168, da parte degli attori coinvolti (quali, “document consumer”, “document producer”, “event consumer”, “event producer” etc.); al tempo stesso essa svolge ulteriori funzioni, come da esempio, quelle di intercettare gli eventi occorsi.
Il “Registro Indice Federato”169, composto appunto da più registri federati sincronizzati tra loro e sviluppati nel linguaggio “ebXML”170, raccoglie le meta-informazioni dei documenti sanitari archiviati nei repository per facilitarne la ricerca e la memorizzazione; in taluni casi, esso ha la funzione di indice dei servizi, se, in particolare, raccogli metadati attraverso cui risalire ai servizi esposti dai nodi locali. Ogni regione può prevedere la presenza di più registri presso i nodi locali (“Registro locale”); ogni nodo regionale deve, invece, prevedere la presenza di almeno un “Registro regionale”. Analogamente a quanto indicato per le “Interfacce di Accesso”, anche in questo caso la tipologia di attori coinvolti è plurima (quali, “Entry Producer”, “Entry Consumer”, “Registry Node”), così come diverse sono le interfacce che il “Registro Indice Federato” deve supportare (ad esempio, “IEventMgt”, “IMetadataMgt”, “IQueryMgt”, “IRegistryFederationMgt”)171.
Il “Gestore Gerarchico degli Eventi”172 effettua il routing e la notifica degli eventi agli interessati; il modello adottato è il publish/subscribe basato su broker. La federazione di broker locali permette non soltanto di effettuare ricerche più efficaci a livelli decentrato, ma anche di consentire agli utenti di accedere al sistema attraverso qualsiasi broker. Per una più efficace gestione, tutti gli eventi sono classificati secondo un modello gerarchico. Attori di questa componente sono, ad esempio, “Publisher”, “NotificationProducer”,
167 Ivi, pp. 27-59.
168 In InFSE, le interfacce delle varie componenti adottano il linguaggio “Web Services Description Language” (WSDL), basato su XML ed utilizzato per descrivere le interfacce pubbliche dei Web Services e le modalità per accedere ad essi. Le specifiche delle interfacce di riferimento per l’implementazione dell’Infrastruttura tecnologica del Fascicolo Sanitario Elettronico sono riportate in PROGETTO “INFRASTRUTTURA TECNOLOGICA DEL FASCICOLO SANITARIO ELETTRONICO” - INFSE, Specifiche delle interfacce. eGov 2012 - Obiettivo Salute, v. 1.2, Luglio 2012, pp. 51.
169 Progetto “Infrastruttura Tecnologica del Fascicolo Sanitario Elettronico” - InFSE,
Infrastruttura tecnologica del Fascicolo Sanitario Elettronico, cit., pp. 60-79.
170 Una descrizione analitica del profilo di interoperabilità della componente “Registro Indice Federato” (conforme alle specifiche “ebXML Registry Repository”) è contenuta in PROGETTO “INFRASTRUTTURA TECNOLOGICA DEL FASCICOLO SANITARIO ELETTRONICO” - INFSE, Modello informativo dei metadati. eGov 2012 - Obiettivo Salute, v. 1.2, Luglio 2012, pp. 71.
171 Cfr. Progetto “Infrastruttura Tecnologica del Fascicolo Sanitario Elettronico” - InFSE,
Specifiche delle interfacce. eGov 2012 - Obiettivo Salute, v. 1.2, Luglio 2012, pp. 51.
172 Progetto “Infrastruttura Tecnologica del Fascicolo Sanitario Elettronico” - InFSE,
Infrastruttura tecnologica del Fascicolo Sanitario Elettronico, cit., pp. 80-106.
“NotificationConsumer”; interfacce del servizio “IPublisherRegistrationgMgt”, “ISubscriptionMgt”, “INotificationBrokerMgt”, “IBrokerFederationMgt”173.
Il “Gestore dei Documenti”174 memorizza, in modo affidabile e non ripudiabile, in repository locali o regionali, i documenti sanitari contenenti tutti gli eventi relativi ad un paziente, documenti creati esclusivamente da utenti autorizzati175. Attori di questa componente sono “DocumentProducer” e “DocumentConsumer”; interfaccia del servizio è “IDocumentMgt”176.
Il “Gestore delle Politiche di Accesso”177 è il “Component layer” responsabile di tutti i profili di sicurezza, sia dei servizi infrastrutturali sia di quelli applicativi.
Affinché i dati sanitari di un assistito siano correttamente fruibili dai soggetti autorizzati alla loro consultazione, è indispensabile, non soltanto definire policy stringenti per i singoli sistemi, ma anche prevedere adeguati meccanismi di sicurezza. Per il raggiungimento di questo risultato, analogamente a quanto già illustrato in proposito del Progetto ELGA, “InFSE” utilizza tre funzioni - “Autenticazione”, “Identificazione” e “Autorizzazione” -, avvalendosi dell’architettura di riferimento prevista dallo standard “eXtensible Access Control Markup Language”178, linguaggio adottato per esprimere politiche di sicurezza per il controllo degli accessi, e del modello “Role-Based Access Control” (RBAC)179. La creazione di regole (rule) relative alle politiche di accesso - regole composte da target, effetto o decisione nonché condizione -, è strumentale alla conoscenza dei risultati dell’applicazione di una regola ad una policy, possibile grazie alla combinazione di algoritmi contenuti in un dataset predefinito. Attraverso tale meccanismo è, dunque, possibile conoscere se il soggetto richiedente (che svolge il ruolo “x”), sia o meno autorizzabile all’accesso ai dati.
173 Ivi.
174 Ivi, pp. 107-112.
175 Per facilitarne l’interoperabilità, è preferibilmente che i documenti sanitari prodotti all’interno del sistema informativo sanitario siano strutturati secondo lo standard HL7 CDA rel. 2.0.
176 Progetto “Infrastruttura Tecnologica del Fascicolo Sanitario Elettronico” - InFSE,
Specifiche delle interfacce, cit.
177 Il paradigma seguito in InFSE è “Security As a Service”, adottato nelle Service Oriented Architectures per l’implementazione di un Single Sign-On.
178 Come già indicato nella descrizione del progetto ELGA, l’architettura di riferimento XACML prevede le seguenti componenti: “Policy Enforcement Point” (PEP), “Policy Information Point” (PIP), “Policy Decision Point” (PDP), “Policy Administration Point” (PAP). Come segnalato dagli stessi promotori del Progetto, in InFSE ulteriori importanti riflessioni meritano gli aspetti semantici dei ruoli e quelli dichiarativi delle regole.
179 Il modello RBAC prevede la gestione del controllo degli accessi in un sistema informativo basato sul ruolo; questo consente di restringere l’accesso alle informazioni, consentito esclusivamente agli utenti autorizzati.
La fase di “Autentificazione” precede le altre ed ha essenzialmente lo scopo di verificare l’identità degli utenti (fruitore ed erogatore del servizio), attraverso l’utilizzo di strumenti
c.d. “forti”, quali, ad esempio smart card di tipo CNS o CSE (“Carta Sanità Elettronica”). La fase di “Identificazione” è, invece, finalizzata a confermare l’identità dell’utente, che sarà, di conseguenza, abilitato all’esercizio delle azioni consentite; per creare un vero e proprio “portafoglio di asserzioni” utilizzabile nella fase successiva, il fruitore si serve delle seguenti componenti “Profile Authority” (PA)180, “Identity Provider” (IdP)181, “Attribute Authority” (AA)182.
Infine, il processo di “Autorizzazione”, strumento per verificare i diritti degli utenti che richiedono di poter consultare i dati sanitari (e ciò dal momento che non tutti gli utenti che posso accedere al Fascicolo Sanitario Elettronico godono dei medesimi diritti) e, al tempo stesso, per controllare gli accessi alle informazioni (sulla base del modello RBAC), intercettando, così, eventuali frodi.
Strumentali a tale processo sono le componenti architetturali di XACML, “Policy Enforcement Point”, “Policy Decision Point”, “Policy Information Point” e “Policy Administration Point”, di cui si è già parlato illustrando il Progetto ELGA183.
4.4.1.1 PROGETTO “OPENINFSE”
Il Progetto “OpenInFSE: realizzazione di un’infrastruttura operativa a supporto dell’interoperabilità delle soluzioni territoriali di fascicolo sanitario elettronico nel contesto del sistema pubblico di connettività”, ad oggi concluso, si colloca nel contesto della Convezione siglata nel maggio 2009 tra il Dipartimento per la digitalizzazione della pubblica amministrazione e l’innovazione tecnologica della Presidenza del Consiglio ed il Dipartimento delle Tecnologie dell’Informazione e delle Comunicazioni del Consiglio Nazionale delle Ricerche per l’individuazione dell’architettura e delle specifiche tecniche idonee a rendere il FSE interoperabile a livello nazionale, senza al contempo ignorare lo
180 “E’ l’entità incaricata della gestione e manutenzione dei profili utente e può essere interrogata anche remotamente; il profilo è composto da n-ple strutturate, ad esempio, nel seguente modo: Nome Attributo, Valore Attributo, Riferimento logico dell’Authority in grado di validare l’attributo”, in PROGETTO “INFRASTRUTTURA TECNOLOGICA DEL FASCICOLO SANITARIO ELETTRONICO” - INFSE, cit., p 119.
181 “E’ l’entità incaricata della gestione delle regole di identificazione. Si occupa dell’identificazione ed è innanzitutto un Security Token Service con il compito di generare, validare e rinnovare i token di sicurezza; si occupa altresì di interrogare gli AA per ottenere tutti gli attributi da inserire nella asserzione”, in ibidem.
182 “E’ l’entità atta a gestire le informazioni sugli operatori, gli assistiti e le loro correlazioni temporali; si identifica con i basamenti e viene interrogata mediante un’operazione di AttributeQuery; sulla base degli attributi necessari per la fase di autorizzazione presenti nell’elemento AttributeConsumingService dei propri metadati, fornisce come risposta una asserzione SAML con i valori degli attributi richiesti”, in ibidem.
183 Progetto “Infrastruttura Tecnologica del Fascicolo Sanitario Elettronico” - InFSE,
Infrastruttura tecnologica del Fascicolo Sanitario Elettronico, cit., 113-134.
scenario europeo. Il Progetto si colloca, pertanto, in continuità con i risultati del Progetto “InFSE”, di cui, appunto, ha fatto proprie le specifiche architetturali per la realizzazione del FSE (ad esempio, per ciò che concerne le interfacce “Unified Model Language” e “Web Service Description Language”).
Scopi principali del Progetto “OpenInFSE” sono la realizzazione e lo sviluppo di componenti software per l’interoperabilità del FSE adotatte da aziende sanitarie e sistemi regionali (quali progettazione di wrapper per l’integrazione di FSE esistenti nelle Regioni e Province autonome partecipanti al Progetto184 ed individuazione di un codice identificativo univoco dell’assistito) nonché la definizione di un vero e proprio network interregionale per l’interoperabilità delle soluzioni territoriali di FSE basato sui protocolli adottati nell’ambito del SPC (HL7, HL7-CDA2, XML etc). Secondo quanto indicato nell’Allegato tecnico del Progetto, ulteriore obiettivo di “OpenInFSE” è lo “sviluppo di modelli per l’integrazione di servizi a valore aggiunto per il cittadino”, tra cui la progettazione di “servizi per l’acquisizione e la memorizzazione in tempo reale di data stream” e la “relizzazione di alcune componenti di base”.
Centrale è, inoltre, la funzione che “OpenInFSE” svolge nel collegare le attività del progetto “IPSE - sperimentazione di un sistema per l’Interoperabilità europea e nazionale delle soluzioni di fascicolo sanitario elettronico: componenti Patient Summary ed Eprescription” e dei progetti regionali in tema di FSE.
4.4.1.2 PROGETTO “EVOLUZIONE E INTEROPERABILITÀ TECNOLOGICA DEL
Fascicolo Sanitario Elettronico”
Il Progetto “Evoluzione e interoperabilità tecnologica del Fascicolo Sanitario Elettronico”, a tutt’oggi in essere, coinvolge i medesimi soggetti dei progetti “InFSE” e “OpenInFSE”; si colloca in continuità ripetto allo scenario rappresentato e, per alcuni profili, costuisce un ampliamento e consolidamento degli obiettivi perseguiti con i progetti già conclusi, tra cui, ad esempio rientrano l’implementazione dei moduli software dell’infrastruttura tecnologica del FSE nonché la definizione di modelli strutturati di dati clinici per l’interoperabilità semantica. Inoltre, particolarmente interessante è il focus sul Cloud Computing in sanità, in merito al quale il Progetto intende definire linee guida per lo sviluppo di servizi di Fascicolo Sanitario Elettronico su architetture Cloud.
184 Lombardia, Abruzzo, Emilia Romagna, Molise, Friuli Venezia Giulia, Sardegna, Toscana, Umbria, Veneto e Provincia autonoma di Trento.
3.4.2 PROGETTO “IPSE”
Dall’Accordo di collaborazione interregionale sottoscritto, nel 2008, tra Ministero del Lavoro, della Salute e delle Politiche sociali - settore Salute, Ministero per la Pubblica Amministrazione e l’Innovazione, Regioni Lombardia (ente capofila), Abruzzo, Molise, Emilia Romagna, Toscana, Umbria, Veneto, Sardegna, Provincia Autonoma di Trento ed Agenzia Regionale della Sanità della Regione Autonoma Friuli Venezia Giulia, nel 2010 prese avvio il progetto “IPSE - sperimentazione di un sistema per l’Interoperabilità europea e nazionale delle soluzioni di fascicolo sanitario elettronico: componenti Patient Summary ed Eprescription” (IPSE), un’iniziativa nata come raccordo tra le soluzioni ideate a livello nazionale e quanto avviato con il Progetto epSOS185.
Scopo principale del Progetto, conclusosi nel 2012, fu, dunque, la promozione dell’interoperabilità dei servizi di “Patient Summary” ed “ePrescription”186.
In conformità con le indicazioni previste dal progetto epSOS, il collegamento tra i Paesi membri coinvolti avviene attraverso la rete peer-to-peer di “National Contact Point”; al “NCP” italiano al quale afferiscono le informazioni provenienti dalle Regioni. Nodo mediano, realizzato dal progetto “IPSE”, tra il “NCP” ed i “Regional Contact Point” (cui spetta l’identificazione del cittadino e del tipo di richiesta) è un “Italian Adapter”, attraverso cui, un cittadino italiano che si trovi per cure all’estero, può reperire i propri dati sanitari contenuti in “Patient Summary” e/o “ePrescription”.
Per quanto concerne l’architettura tecnologica, il progetto “IPSE” utilizza le soluzioni suggerite ed intraprese dal Progetto “InFSE”; per quanto, invece, concerne la struttura dei documenti informatici, lo standard utilizzato è “HL7 Clinical Document Architecture”.
185 La homepage del Progetto è disponibile all’indirizzo http://ipse.cup2000.it/.
186 Workpackage del progetto “IPSE” sono: WP 1, “analisi e confronto delle realizzazioni regionali su cooperazione e eHealth” (affidato alla regione Sardegna); WP 2, “analisi del contesto legale italiano” (coordinato dalla Toscana); WP 3, “definizione delle specifiche tecniche e dell’architettura di sistema” (gestito dal Friuli Venezia Giulia); WP 4”realizzazione dei Siti Pilota” (affidato alla regione Emilia Romagna); WP 5, “coordinamento e disseminazione” (assegnato alla Lombardia).
CAPITOLO III
SISTEMI INFORMATIVI E DATI PERSONALI IN SANITÀ ELETTRONICA
SOMMARIO: 1. “Security” e “privacy” tra sistemi informativi e diritti dell’utente - 2. Profili di sicurezza dei sistemi informativi - 2.1 Cenni su Sistemi di Gestione della Sicurezza delle Informazioni e standard di sicurezza informatica - 2.1.1 Sicurezza informatica in sanità - 3. Introduzione al tema della “privacy”. Uno sguardo ai principi giuridici comunitari - 3.1 La direttiva 95/46/CE - 4. I dati sanitari nelle Raccomandazioni del Consiglio d’Europa - 5. Il trattamento dei dati sanitari in Italia - 5.1 La disciplina dei dati sanitari nel “Codice in materia di protezione dei dati personali” - 5.2 Le “Linee guida in tema di fascicolo sanitario elettronico e di dossier sanitario” del Garante per la protezione dei dati personali - 5.3 “Il Fascicolo Sanitario Elettronico. Linee guida nazionali” del Ministro della Salute - 5.4 La recente normativa nazionali in materia di sanità digitale e Fascicolo Sanitario Elettronico – 5.4.1 I decreti-legge 179/2012 e 69/2013 - 5.4.2 Lo schema di decreto sul Fascicolo Sanitario Elettronico attualmente all’esame della Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e Bolzano
1. “SECURITY” E “PRIVACY” TRA SISTEMI INFORMATIVI E DIRITTI DELL’UTENTE
Attori, ruoli, transazioni, dati, sono alcune significative parole-chiave che identificano le dinamiche dei Sistemi Informativi Sanitari, strumenti automatizzati, appositamente creati per la gestione dei flussi informativi prodotti dalle singole organizzazioni aziendali e dal sistema sanitario nel suo insieme. In particolare, “processi” (direzionali, gestionali ed operativi), “basi di dati” e “Data Base Management System” contribuiscono ad ottimizzare l’impiego delle risorse investite e consentono la comunicazione delle informazioni associate alle attività clinico-diagnostiche grazie all’utilizzo di dataset condivisi. Oltre alla funzione assunta dalle numerose componenti tecniche dei sistemi informatici (come repository, server, gateway, secure node)187, di non secondaria importanza è il ruolo svolto da tutte le persone fisiche (tra essi, pazienti e familiari; soggetti operanti all’interno degli organigrammi aziendali - come manager e personale amministrativo, operatori sanitari e para-sanitari, ricercatori clinici etc. - nonchè stakeholder e policymaker) a vari livelli parte delle dinamiche socio-assistenziali.
187 Per ulteriori approfondimenti sui profili tecnici si rinvia a INTEGRATING THE HEALTHCARE ENTERPRISE, IHE IT Infrastructure (ITI), Technical Framework, Volume 1 (ITI TF-1), Integration Profiles, Revision 9.0 - Final Text, August 31, 2012, p. 9.
Tutti i summenzionati attori sono titolari, benché con accezioni diverse, di informazioni sensibili, passibili di minacce esterne188, che meritano, dunque, protezione, sia per motivi di business, nel caso delle aziende sanitarie, sia per la salvaguardia di un diritto fondamentale, nel caso degli utenti/pazienti. Per assicurare l’integrità, la riservatezza e la disponibilità dei dati personali, nella prassi sono stati sviluppati standard di sicurezza informatica e norme legislative ad hoc (cfr. fig. 9).
Figura 9 - La tutela dei dati sensibili
Quanto premesso introduce l’idea fondamentale a partire da cui si sviluppa il presente capitolo: sicurezza dei sistemi informativi sanitari e protezione dei dati personali sono due aspetti distinti ma complementari, e ciò, dal momento che, scopo della loro implementazione è la salvaguardia di un interesse, inerente ora una persona fisica (o “user”) ora un sistema (cfr. fig. 10). Senza l’utilizzo di tecnologie per la sicurezza, sarebbe difficile, se non impossibile, fornire dispositivi adeguati a proteggere e tutelare dati appartenenti ad individui, società ed organizzazioni; inoltre, proprio la disponibilità di forti
188 Gli attacchi ai sistemi o alle reti possono essere più o meno strutturati ed essere causati da “virus”, “worm”, “intruder” (come “hacker”), “insider”, “information warfar” condotte da Paesi terzi, organizzazioni criminali o terroristiche.
tecnologie per la sicurezza induce i consumatori a rilasciare il proprio consenso per la raccolta e la memorizzazione delle informazioni sensibili.
Figura 10 - Privacy:Security=User:System
É, comunque, essenziale chiarire cosa s’intende con i termini “security” e “privacy”, evitando l’errore del comune sentire di considerarli impropriamente sinonimi; infatti, sebbene i due concetti siano alla base della progettazione delle Tecnologie dell’Informazione e della Comunicazione, essi indicano idee, e quindi strumenti, differenti e non interscambiabili. Se, infatti, la sicurezza è funzionale alla protezione dei dati personali, tuttavia, sistemi informativi sicuri possono non rispettare del tutto le norme in materia di privacy, e, addirittura, in taluni casi, esservi in conflitto189.
2. PROFILI DI SICUREZZA DEI SISTEMI INFORMATIVI
Scopo sostanziale della sicurezza informatica (o “computer security”) è la tutela di dati e sistemi di elaborazione (network o personal computer), attraverso la disposizione di programmi e dispositivi hardware. Principio cardine di tale disciplina è, dunque, la riservatezza delle informazioni (“confidentiality”), prevalentemente garantita attraverso la
189 J.L. FERNÁNDEZ-ALEMÁN ET AL., Security and privacy in electronic health records: A systematic literature review, Journal of Biomedical Informatics (2013), [in press], http://dx.doi.org/10.1016/j.jbi.2012.12.003; B. BLOBEL, P. PHAROW, Analysys and Evaluation of EHR Architecture, Method Inf. Med. 2/2009, pp. 162-169.
prevenzione di accessi non autorizzati ai sistemi informativi. A tal fine sono definiti regole e strumenti che accertino l’identità degli utenti (“authentication”) ed assicurino l’integrità dei dati (“integrity”), la cui modifica o cancellazione è prerogativa dei soli soggetti autorizzati; altrettanto significative sono, in tal senso, le misure per verificare la paternità dei messaggi inviati (“non repudiation”) e controllare il corretto funzionamento dei sistemi, tenendo traccia di tutte le azioni intercorse (“auditability”). Parimenti centrale è poi permettere, ai soli utenti abilitati, di utilizzare, nei tempi e modi previsti, i sistemi informativi (“availability”)190.
La progettazione di sistemi sicuri passa, in primo luogo, attraverso un’effettiva conoscenza della loro struttura e delle possibili problematiche sottese; un approccio di tal genere può, infatti, favorire la predisposizione di modelli architetturali e tecnologie che, con maggiore efficacia, rispondano ai livelli di sicurezza previsti dalle norme esistenti. Occorre, ad esempio, tener conto delle modalità di diffusione dei dati (reperibili in databases, file systems, documenti elettronici), della natura delle Reti (siano esse aziendali o globali), dei requisiti minimi di sicurezza per l’accesso ai sistemi da parte degli utenti (come modalità di identificazione e di autenticazione); essenziale è, inoltre, pianificare gestione e controllo delle infrastrutture (predisponendo strumenti idonei, come “log management” e “change and configuration management”) nonché regolamentare forme, efficienti ed efficaci, per la valutazione dei processi (“auditing”) e della conformità alle procedure e alle norme delineate (“compliance”).
Secondo alcuni autori, dal punto di vista operativo la “computer security” segue l’equazione “Protection = Prevention + (Detection + Response)”191, ove per prevenzione (“prevention”) s’intende l’insieme delle misure volte al controllo degli accessi192; per rilevazione (“detection”), la predisposizione di strumenti come “audit log”, “intrusion detection system”, “honeypot”193; per risposta (“response”), la messa in atto di procedure di
190 Per quanto concerne il panorama italiano, tutti i summenzionati principi sono disciplinati dal d. lgs. 30 giugno 2003 n. 196, Codice in materia di protezione dei dati personali, pubblicato in G.U. n. 174 del 29.07.2003 - S.O. n. 123.
191 Così in WM. A. CONKLIN, G. WHITE, Principles of Computer Security. CompTIA Security+TM and Beyond, The United States of America, Mc Graw Hill, Second edition, pp. 22-23.
192 Sono esempi di contollo degli accessi router, firewall, authentication hardware and software, encryption, intrusion detection system.
193 Il “registro di controllo” (o “audit log”) è lo strumento utilizzato per il monitoraggio delle informazioni temporali rilevanti per un certo oggetto; per “intrusion detection system” s’intende, invece, un dispositivo che permette di identificare accessi non autorizzati ai computers o alle reti locali, ed, in particolare, di rilevare eventuali attacchi alle reti informatiche. In sicurezza informatica il concetto di “honeypot” rinvia ad un sistema (può trattarsi di un computer, un file, un record etc.) usato per tendere un vero e proprio tranello a quanti sono interessati ad informazioni riservate dell’azienda ed alle quali non sono autorizzati ad accedere.
“backup”, “computer forensics”, o la consultazione di “incident response team”194. Tecniche e strumenti che rendano effettiva la sicurezza, attiva e passiva, delle informazioni “sensibili” o, comunque riservate, sono, pertanto, fondamentali.
Quanto premesso sottolinea un altro importante aspetto: la sicurezza è una strategia omnicomprensiva e, in un certo senso, strutturale per ogni azienda. Pertanto, essa richiede, in primis, una riflessione attenta sulle dinamiche attive e passive connesse al tema in esame e, conseguentemente, la predisposizione di mezzi idonei a monitorare l’intero iter dei dati, del quale fanno parte la fase di generazione così come quelle di memorizzazione e riuso; la conoscenza di possibili minacce e reati è, altresì, essenziale per operare secondo criteri e modalità efficienti ed efficaci, che salvaguardino l’interesse del singolo (persona fisica o giuridica) e della collettività195.
Nello scenario sanitario, proprio per la natura dei dati trattati e per il numero di processi ed attori coinvolti, la programmazione di sistemi informativi sicuri è centrale, sia dal punto di vista dei sistemi stessi sia dal punto di vista degli utenti. Infatti, se, da una parte, per rilasciare il proprio consenso al trattamento dei dati personali, i pazienti necessitano di elevate garanzie di affidabilità dei sistemi, al tempo stesso, per utilizzare in modo adeguato i Fascicoli Sanitari Elettronici, il personale sanitario richiede idonee rassicurazioni
194 La “copia di sicurezza” (o “backup”) è il procedimento di sovente adottato per conservare dati ed informazioni su supporti informatici diversi dalla memoria di massa del computer. Il termine “computer forensics” indica, in generale, la disciplina che si occupa della individuazione, conservazione, protezione, estrazione, documentazione, impiego e trattamento del dato informatico oggetto di valutazione di un processo giuridico (cfr. A. PHILIPP, D. COWEN, C. DAVIS, Hacking Exposed: Computer Forensics, second edition, McGraw Hill, 2009, pp. 544). Per risolvere i problemi dovuti ad incidenti informatici, spesso conseguenza della vulnerabilità dei softwares, sono identificati appositi gruppi di esperti, noti come “incident response team”, le cui conoscenze e competenze sono a servizio della sicurezza informatica dei sistemi.
195 Nella prassi sono stati definiti alcuni criteri per la predisposizione di software idonei a rendere computer system e network sicuri; tali indirizzi sono prevalentemente ispirati ai seguenti “modelli”: “confidentiality model” e “integrity model”.
Al primo “modello” (“confidentiality model”), fa, ad esempio, riferimento “The Bell-LaPadula security model”, elaborato agli inizi degli anni Settanta ed il cui scopo è evitare il danneggiamento, deliberato o accidentale, delle informazioni da parte di individui non autorizzati a riceverle. A tal fine, “The Bell- LaPadula security model” segue due regole: (i) “Simple Security Rule”, secondo cui per poter accedere alle informazioni occorre un’autorizzazione di livello inferiore a quella del documento di interesse e (ii) “*- property”, secondo cui un soggetto può scrivere in un oggetto/file solo se la classificazione del suo livello di sicurezza è inferiore o uguale alla classificazione dell’oggetto.
Al secondo modello (“integrity model”) sono, invece, ispirati “The Biba Security Model”, risalente alla fine degli anni Settanta, e “The Clark-Wilson Security Model”. La visione sottesa a “The Biba Security Model” è opposta rispetto a quella di cui a “The Bell-LaPadula security model”; principi cardine de “The Biba Security Model” sono infatti: (i) “Low-Water-Mark policy”, secondo cui un soggetto può eseguire un programma solo se il livello di integrità del programma è uguale o inferiore al livello di integrità del soggetto e (ii) “Ring policy”, principio in base al quale qualsiasi soggetto è autorizzato alla lettura di qualsiasi oggetto senza necessità di verificare alcun livello di integrità dell’oggetto stesso. A differenza di tutti i precedenti modelli citati, “The Clark-Wilson Security Model” è stato disegnato per limitare i processi; in quest’ottica, un individuo può modificare i dati solo attraverso specifici “Trasformation processes” ben identificati.
Per ulteriori approfondimenti si rinvia a: WM. A. CONKLIN, G. WHITE, Principles of Computer Security. CompTIA Security+TM and Beyond, The United States of America, Mc Graw Hill, Second edition, pp. 42-45.
soprattutto in termini di responsabilità professionale che, ad esempio, possono sorgere a seguito di manomissioni dei meccanismi di identificazione o autenticazione.
Come evidenziato in premessa, l’interazione tra attori e sistemi informativi è essenzialmente centrata sull’identità e sui ruoli svolti dagli stessi: affinché i dati possano essere consultabili dai soggetti interessati e, quindi, sia di fatto garantita la loro protezione, è, anzitutto, indispensabile verificare l’identità del richiedente (“identification”) ed il tipo di autorizzazione o permesso rilasciato per l’accesso ai dati (“authentication”); solo nel caso in cui i due processi - di identificazione e di autenticazione196 - siano positivamente conclusi, la consultazione delle informazioni sanitarie sarà autorizzata (“authorization”). Infine, durante la fase di “access control” è accertato in quali sistemi, risorse o applicazioni un soggetto (user o computer system) può effettivamente entrare.
Svariate sono le modalità per compiere i suddetti controlli; tra quelli già menzionati nel capitolo precedente rientrano “Role-Based Access Control” (RBAC)197 e “Rule-Based Access Control” (RBAC). Peculiarità comune è il fatto che la validità dell’accesso non si basa sul permesso rilasciato ad un soggetto per consultare un determinato oggetto: nel primo caso, infatti, essa si fonda sulla gamma di ruoli ritenuti abilitanti e ricoperti proprio da quel soggetto, nel secondo sull’insieme di regole che definiscono i parametri di accessibilità.
Oltre a “Role-Based Access Control” e “Rule-Based Access Control”, altri metodi per il controllo degli accessi sono “Discretionary Access Control” (in questo caso il criterio utilizzato per limitare l’accesso ad un oggetto è basato sull’identità di un soggetto e/o di un gruppo di provenienza; la discrezionalità si fonda sul fatto che il soggetto può trasferire il permesso di accesso a terzi, anche senza particolari controlli, a meno che non ne sia stato imposto espresso divieto) e “Mandatory Access Control” (la limitazione di accesso ad un oggetto è, invece, basata sulla “sensibilità” dell’informazione contenuta in un oggetto - “Top Secret”, “Secret” etc. -; in particolare, è il sistema operativo, e non il soggetto, a determinare in quali casi l’accesso è permesso a terzi).
196 Comuni metodi utilizzati per i processi di identificazione ed autenticazione sono l’uso di ID (o username) e password; carte magnetiche contenenti informazioni personali; sistemi di riconoscimento biometrico; certificati e firme digitali; tokens; Single Sign-on.
197 Il RBAC, divenuto nel 2004 come ANSI/INCITS standard, fu per la prima volta formalizzato in D. F. FERRAIOLO, D. R. KUHN, Role-Based Access Controls, 15th National Computer Security Conference (1992), Baltimore MD, pp. 554-563. Il modello fu integrato nel 2000 (R. SANDHU, D. FERRAIOLO, R. KUHN, The NIST Model for Role-Based Access Control: Towards A Unified Standard, Proceedings of the fifth ACM workshop on Role-based access control, 2000, pp. 46-63), con il framework definito nello studio R. S. SANDHU, E. J. COYNEK, H. L. FEINSTEINK, C. E. YOUMAN, Role-Based Access Control Models, IEEE Computer, Vol. 29, N. 2, February 1996, pp. 38-47.
Per attuare sistemi informativi sicuri e gestire le dinamiche sottese alla sicurezza dei sistemi stessi, le organizzazioni aziendali predispongono anche policy, procedure, standard e linee guida. Le prime identificano principi e risultati auspicati e, pur non entrando nei dettagli operativi, hanno un valore imperativo; le seconde prescrivono, invece, in modo particolareggiato, le azioni da porre in essere per il raggiungimento degli obiettivi aziendali; gli standard prevedono indicazioni tassative per l’implementazione delle policy; le linee guida, infine, raccolgono raccomandazioni relative alle policy stesse.
Per le finalità di questo studio particolare attenzione meritano le “security policy”, nelle quali l’azienda definisce non soltanto il concetto di sicurezza che all’interno del proprio sistema ha valore, ma anche gli obiettivi perseguiti e gli strumenti utilizzati per implementare ambienti operativi sicuri.
Nelle “security policy” sono previste le risorse utili per la produttività delle performance aziendali nonché le attività permesse e negate per tale scopo (c.d. “Acceptable Use Policy”); regolati gli usi di Internet all’interno dell’azienda (o “Internet Usage Policy”) nonché la tipologia di messaggi che i lavoratori possono inviare “da” e “con” gli strumenti informatici aziendali, sia per proteggere la sicurezza dei sistemi sia per mantenere elevato il rendimento professionale del personale occupato (c.d. “E-Mail Usage Policy”); indicate le disposizioni per regolare le modalità di gestione dei dati con particolare riferimento ai profili di protezione e sicurezza (“Due Care and Due Diligence”).
In termini di “security policy” è egualmente importante che siano individuati criteri e procedure per la definizione di password da parte degli utenti (ad esempio indicando un numero minimo di caratteri da scegliere, la frequenza di aggiornamento, la distribuzione etc.) (c.d. “Password Management”); regolate le modalità di protezione delle informazioni (quali soggetti possono avervi accesso, chi ha l’autorità di rilasciarle e secondo quali criteri e forme, i metodi di distruzione delle stesse etc.) (si parla, in questo caso di “Classification of Information”); definite le regole per la soppressione dei dispositivi elettronici contenenti informazioni e dati aziendali (o “Disposal and Destruction”); previste adeguate strategie in caso di modifiche delle infrastrutture IT (ad esempio per ciò che riguarda l’aggiornamento delle prassi aziendali, i dispositivi software e hardware, la ricognizione delle infrastrutture etc.) (c.d. “Change Management Policy”).
Nelle “security policy” rientra, inoltre, la suddivisione di compiti e poteri in materia di sicurezza tra le figure aziendali designate, e ciò, dal momento che la cooperazione tra i soggetti responsabili è essenziale per il buon fine delle transazioni, soprattutto perché consente di evitare forme di accentramento di potere (profilo noto anche come “Separtion
of Duty”); parimenti centrale è, infine, la divulgazione minima di informazioni all’interno del contesto aziendale, divulgazione che, comunque, deve esclusivamente avvenire per finalità operative ed ai soli soggetti coinvolti nei procedimenti di interesse (principio conosciuto come “Need to Know and Least Privilege”).
2.1 CENNI SU SISTEMI DI GESTIONE DELLA SICUREZZA DELLE INFORMAZIONI E STANDARD DI SICUREZZA INFORMATICA
Salvaguardare integrità, riservatezza e disponibilità dei dati raccolti nei sistemi informativi, limitando, quindi, minacce e rischi di attacchi informatici, è uno dei motivi principali per cui le aziende, di cui quelle sanitarie rappresentano un campione cospicuo sul fronte pubblico nazionale, implementano sistemi di gestione della sicurezza delle informazioni (o “Information Security Management System”); beneficiari dell’adozione di tali strumenti sono prevalentemente gli stessi enti, che, grazie al controllo dei flussi informativi, possono accrescere le proprie performance e strategie di marketing. Per quanto, invece, concerne gli utenti, in generale, essi traggono vantaggio dalla sicurezza dei sistemi soltanto in modo indiretto198; una delle rilevanti differenze tra l’adozione di strumenti a tutela della “security” e della “privacy” consiste, infatti, proprio in questo: la tipologia di dati protetti è, nel primo caso, riferita alla società, nel secondo, al singolo individuo.
Quanto evidenziato avvalora la tesi della complementarietà tra le misure in esame (già sinteticamente introdotta in figura 2) nonché l’importanza di adottare un approccio olistico nella definizione teorica delle stesse, approccio, peraltro, egualmente assunto nel design degli strumenti di Information and Communication Technology.
La complessità e la trasversalità del dominio in esame hanno richiesto agli esperti un impegno esclusivo, volto a considerare, non soltanto i profili più propriamente tecnologici della sicurezza delle informazioni, ma anche quelli organizzativi e procedurali, di cui, a titolo esemplificativo, valutazione e gestione del rischio figurano come problemi emergenti e prioritari.
Per ottemperare alle summenzionate esigenze, e, in particolare, per implementare sistemi di gestione della sicurezza delle informazioni uniformi, sono stati predisposti gli standard internazionali di sicurezza informatica, di cui la famiglia ISO/IEC 27000,
198 A titolo esemplificativo, la predisposizione di buone misure di sicurezza può contenere, fino ad annullare, i casi di c.d. “furto d’identità”, come il “phishing”.
sviluppata da “International Organization for Standardization” - “Joint Technical Committee Information Technology”, è un significativo esempio199.
Ai fini del presente studio è rilevante menzionare: ISO/IEC 27001:2005, “Information security management systems - Requirements”, norma che specifica i requisiti (soprattutto in termini di sicurezza fisica, organizzativa e logica) per attuare, rendere operativo, monitorare, revisionare, mantenere e migliorare un sistema di gestione della sicurezza delle informazioni; ISO/IEC 27002:2005, “Code of practice for information security management”, vere e proprie linee guida e principi generali per l’avvio, l’implementazione, la gestione ed il miglioramento della sicurezza delle informazioni di un’organizzazione, in linea con lo standard ISO/IEC 27001:2005200; ISO/IEC 27006:2011, “Requirements for bodies providing audit and certification of information security management systems”, in cui sono identificati gli standard per la certificazione degli audits. Inoltre, in riferimento al tema in esame, parimenti rilevanti sono: ISO/IEC TR 13335-1:1996, “Guidelines for the management of IT Security - Part 1: Concepts and models for IT Security”, norma dedicata alla gestione della sicurezza informatica, nonché gli standard ISO/IEC 15408:2008 (part 1, 2 e 3)201, noti anche come “Common Criteria”, le cui indicazioni permettono di testare le applicazioni aziendali per renderle conformi agli standard vigenti in materia di sicurezza.
2.1.1 SICUREZZA INFORMATICA IN SANITÀ
Analogamente a quanto riferito per la sicurezza informatica, anche il tema della sicurezza informatica in sanità è oggetto di crescente interesse da parte della comunità
199 Gli standard della famiglia ISO/IEC 27000 sono stati elaborati dalla sotto-commissione 27 “IT Security Techniques”, Working Group 1 “Information security management systems”. Altri Working Group (WG) della JTC 1/SC 27 sono: WG 2 “Cryptography and security mechanisms”, WG 3, “Security evaluation, testing and specification”, WG 4 “Security controls and services”, WG 5, “Identity management and privacy technologies”. Gli standards della famiglia ISO/IEC 27000 sono consultabili nella “Appendice”, cui si rinvia.
200 Già ISO 17799:2005, la norma ISO/IEC 27002:2005 deriva dallo standard “BS 7799-1”, pubblicato nel 1995 dal BSI (British Standards Institute) ed ora ritirato. Al “BS 7799-1” si affiancava il “BS 7799-2”, a sua volta sostituito dallo standard ISO/IEC 27001:2005.
Aree tematiche di cui ISO/IEC 27002:2005 espressamente si occupa sono: politiche di sicurezza; sicurezza organizzativa; gestione del risparmio; sicurezza del personale; sicurezza fisica e ambientale; gestione di comunicazioni e operazioni; controllo degli accessi; acquisizione, sviluppo e manutenzione dei sistemi informativi; informazioni di sicurezza per la gestione degli incidenti; business continuity management; conformità.
201 In dettaglio trattasi di ISO/IEC 15408-1:2008 “Evaluation criteria for IT security - Part 1: Introduction and general model”, ISO/IEC 15408-2:2008 “Evaluation criteria for IT security - Part 2: Security functional components” e ISO/IEC 15408-3:2008 “Evaluation criteria for IT security - Part 3: Security assurance components”.
scientifica202: il rapido diffondersi dei recenti strumenti digitali, come Fascicoli Sanitari Elettronici e Personal Health Device, ha posto in luce, infatti, nuove problematiche connesse alla maggiore, e talora più facile, accessibilità ad informazioni e dati sensibili da parte di soggetti non autorizzati; in questo scenario, non sono poi mancate specifiche iniziative giuridiche, sia a livello europeo sia a livello nazionale. Nel corso degli ultimi anni, i mutati approcci hanno, altresì, determinato una significativa svolta nel ruolo dei sistemi informativi sanitari, principalmente legata ai fattori contingenti già esaminati nei primi due capitoli del presente studio. In particolare, la definizione di standard tecnologici, la previsione di sistemi hardware e software uniformi, l’introduzione di politiche volte all’interoperabilità, la previsione di nuove governance orientate alla sicurezza, l’empowerment dei pazienti, sono solo alcune delle cause che hanno contribuito ad un ripensamento dell’organizzazione e della struttura dei sistemi tradizionali nei quali, invece, prevalevano dinamiche (locali e non) integrate nonché funzioni perlopiù di tipo operativo, non collegate, quindi, a strategie o programmazioni socio-sanitarie. Sebbene tutti gli operatori e gli utenti di questo settore abbiano un’elevata consapevolezza del fatto che proteggere, in modo assoluto, i dati informatizzati non sia possibile, sono, però, egualmente forti la volontà e l’esigenza di ridurre al minimo i danni conseguenti da accessi impropri ai dati sensibili. Al fine di sopperire a tali esigenze, sono state, ad esempio, elaborate specifiche tecniche di de-personalizzazione e de-identificazione per rendere anonimi i dati contenuti nei Fascicoli Sanitari Elettronici; predisposti strumenti per crittografare i dati sensibili trasmessi tramite Internet; implementate tecnologie di “Radio Frequency IDentification” (RFID) per l’identificazione e la tracciabilità dei dati sanitari203. L’attenzione rivolta all’interoperabilità dei sistemi informativi sanitari risveglia ed acuisce, inoltre, l’intenzione di realizzare mezzi digitali sempre più sicuri, e ciò, soprattutto perché, in uno spazio distribuito più che nei sistemi centralizzati, maggiori sono i rischi da considerare, ad esempio, in termini di integrità, scambio, memorizzazione dei dati nonché
responsabilità, civile e penale, delle figure designate.
Congiuntamente ad un profondo processo di riforma culturale che riguardi tutti i soggetti, a qualsiasi titolo coinvolti nello sviluppo, implementazione e fruizione degli
202 Tra gli altri, si rinvia a: R.J. ANDERSON, Security in Clinical Information Systems, University of Cambridge, 1996; E. SMITH, J.H.P. ELOFF, Security in health-care information systems-current trends, International Journal of Medical Informatics 54 (1999), pp. 39-54; D. GRITZALISA, C. LAMBRINOUDAKIS, A security architecture for interconnecting health information systems, International Journal of Medical Informatics (2004) 73, pp. 305-309, B. THURAISINGHAM, Security standards for the semantic web, Computer Standards & Interfaces 27 (2005), pp. 257-268.
203 Tra gli altri, cfr. A. BUSCEMI, A. CARRARO, L’innovazione tecnologica RFID a garanzia della sicurezza del paziente, in Diritto Sanitario Moderno, 2011, 59, pp. 1-12.
strumenti di sanità elettronica, l’attività di standardizzazione rappresenta, almeno in linea teorica, un importante pilastro: l’adozione di modelli condivisi può agevolare la diffusione di best practice sia a livello sovranazionale sia a livello nazionale e locale. Anche in questo caso, per molteplici ragioni, beneficiari finali sono gli stakeholder direttamente ed indirettamente interessati ai processi di diagnosi e cura.
Con specifico riferimento ai Sistemi di Gestione della Sicurezza delle Informazioni nel settore della sanità elettronica, analogamente a quanto più in generale era stato disposto con lo standard ISO/IEC 27002:2005, la “Technical Committee Health Informatics” di “International Organization for Standardization” ha elaborato la norma ISO 27799:2008, “Information security management in health using ISO/IEC 27002 (TC 215)”, il cui scopo è la formalizzazione di vere e proprie linee guida e principi generali per l’avvio, l’implementazione, la gestione ed il miglioramento della sicurezza delle informazioni nelle organizzazioni sanitarie.
Per quanto, infine, concerne i Fascicoli Sanitari Elettronici, peculiari “security standard” sono: ISO/TS 13606-4:2009, “Electronic health record communication - Part 4: Security”, norma che definisce metodologia e requisiti di sicurezza generale applicabili alle comunicazioni tra EHRs; ISO/TS 22600-1:2006, “Privilege management and access control - Part 1: Overview and policy management”, standard per la condivisione di informazioni tra fornitori non affiliati alla sanità, organizzazioni sanitarie, compagnie di assicurazione sanitaria, pazienti, personale e partner commerciali; ISO/TS 14265:2011, “Classification of purposes for processing personal health information”, in cui sono classificate le finalità per cui le informazioni sanitarie personali possono essere elaborate, a supporto di una gestione coerente delle informazioni nella fornitura di servizi di assistenza sanitaria e per la comunicazione di cartelle cliniche elettroniche attraverso i confini organizzativi e giurisdizionali.
3. INTRODUZIONE AL TEMA DELLA “PRIVACY”. UNO SGUARDO AI PRINCIPI GIURIDICI COMUNITARI
Il concetto di “privacy” richiede alcune osservazioni preliminari, dal momento che nella dottrina giuridica e nella giurisprudenza italiane, così come nella normativa comunitaria e nazionale, la definizione di questo diritto fondamentale è stata, ed è a tutt’oggi, oggetto di numerosi interventi e dibattiti204. L’attualità della suddetta tematica è particolarmente
204 Significativo lo studio ARTICLE 29 WORKING PARTY ON DATA PROTECTION, Thirteenth Annual Report on the situation regarding the protection of individuals with regard to the processing of personal data and
legata alla diffusione delle Tecnologie dell’Informazione e della Comunicazione, che, se da una parte consentono la semplificazione dei processi aziendali ed amministrativi, dall’altra non sono scevre di pericoli: le informazioni del singolo, di frequente utilizzate da enti pubblici e privati per molteplici finalità, sono, infatti, talora, esposte ad azioni illegittime da parte di terzi; per ovviare a tali conseguenze è essenziale predisporre strumenti, di prevenzione e di protezione, che rendano efficace la tutela diretta della sfera individuale (secondo quanto già, peraltro, illustrato in figura 10).
Originariamente indicata da Warren e Brandeis come “the right to be let alone”205 e, successivamente, da Westin come “the claim of individuals, groups, or institutions, to determine when, how, and to what extend information about them is communicated to others”206, negli anni Novanta la “privacy” è stata definita da Rodotà come “diritto di mantenere il controllo sulle proprie informazioni e di determinare le modalità di costruzione della propria sfera privata. L’oggetto di questo diritto si specifica […] - secondo l’insigne giurista - nel ‘patrimonio informativo attuale o potenziale’ di un soggetto”207. La posizione di Rodotà coglie due dimensioni essenziali di questo diritto fondamentale: da una parte la riservatezza (con cui molte volte il termine “privacy” è, di fatto, esclusivamente assimilato nel contesto giuridico e, più in generale, nel contesto culturale italiano), dall’altra l’identità personale208.
La suddetta lettura è, peraltro, in linea con quanto previsto dal quadro normativo europeo: già affermata dall’articolo 8 della “Convenzione europea dei diritti dell’uomo”209, la “protezione dei dati di carattere personale” trova un ulteriore importante riconoscimento transnazionale nell’articolo 8 della “Carta dei diritti fondamentali dell’Unione europea”, ai
privacy in the European Union and in third countries covering the year 2009 - adopted on 14 July 2010, Brussels, 2011, pp. 132; altrettanto interessanti i risultati de GARANTE PER LA PROTEZIONE DEI DATI PERSONALI, Relazione 2010. Evoluzione tecnologica e protezione dei dati, 2010, pp. 320.
205 Vedasi: S. WARREN, L. BRANDEIS, The Right to Privacy, in Harvard Law Review, 4, 1890, pp. 193-220.
206 Cfr. A. WESTIN, Privacy and Freedom, Bodley Head, 1967, pp. 487.
207 Così in S. RODOTÀ, Privacy e costruzione della sfera privata (1991), in Id., Tecnologie e diritti, Bologna, Il Mulino, 1995, pp. 101-122.
208 Secondo quanto, in modo peraltro del tutto condivisibile, è stato osservato in G. PINO, Teorie e dottrine dei diritti della personalità Uno studio di meta-giurisprudenza analitica, in “Materiali per una storia della cultura giuridica”, 2003/1, pp. 237-274.
209 Rubricato “Diritto al rispetto della vita privata e familiare”, l’articolo 8 della CEDU così recita: “1. Ogni persona ha diritto al rispetto della propria vita privata e familiare, del proprio domicilio e della propria corrispondenza. 2. Non può esservi ingerenza di una autorità pubblica nell’esercizio di tale diritto a meno che tale ingerenza sia prevista dalla legge e costituisca una misura che, in una società democratica, è necessaria alla sicurezza nazionale, alla pubblica sicurezza, al benessere economico del paese, alla difesa dell’ordine e alla prevenzione dei reati, alla protezione della salute o della morale, o alla protezione dei diritti e delle libertà altrui”. La “Convenzione europea dei diritti dell’uomo”, firmata a Roma il 4 novembre 1950 ed entrata in vigore il 3 settembre 1953 (modificata ed integrata da 14 “Protocolli aggiuntivi”), è oggi stata ratificata da tutti i 47 Stati membri del Consiglio d’Europa.
sensi del quale: “1. Ogni persona ha diritto alla protezione dei dati di carattere personale che la riguardano. 2. Tali dati devono essere trattati secondo il principio di lealtà, per finalità determinate e in base al consenso della persona interessata o a un altro fondamento legittimo previsto dalla legge. Ogni persona ha il diritto di accedere ai dati raccolti che la riguardano e di ottenerne la rettifica. 3. Il rispetto di tali regole è soggetto al controllo di un’autorità indipendente”210.
Le norme invocate richiamano molti dei principi già ricordati nei paragrafi dedicati al tema della sicurezza dei sistemi informativi, e ciò proprio a dimostrazione della reciproca funzionalità tra i due aspetti qui esaminati; a titolo esemplificativo, l’identificazione del soggetto, l’accessibilità dei dati, il rilascio di consenso cui è subordinato il trattamento, sono elementi strutturali per il design dei sistemi informativi così come per la predisposizione di regolamenti aziendali e normative nazionali.
3.1 LA DIRETTIVA 95/46/CE
Importante pietra miliare del diritto comunitario in materia di “tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati” è la direttiva 95/46/CE, che, per la sua stessa natura giuridica, ha vincolato gli Stati membri a prevedere forme e mezzi adeguati al raggiungimento dei risultati indicati211.
A tutt’oggi in essere, la Direttiva è articolata in otto capi, contenenti 34 articoli; le definizioni di “dati personali” e “trattamento di dati personali” sono previste nel capo I dedicato alle “disposizioni generali”.
210 Cfr. Carta dei diritti fondamentali dell’Unione europea (2010/C 83/02), pubblicata in Gazzetta ufficiale dell’Unione europea C 83/389 del 30.3.2010.
211 Cfr. Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, pubblicata in G.U. n. L 281 del 23.11.1995. Fanno parte del quadro giuridico comunitario in materia di protezione dei dati personali anche la Direttiva 2002/58/CE del Parlamento europeo e del Consiglio, del 12 luglio 2002, relativa al trattamento dei dati personali e alla tutela della vita privata nel settore delle comunicazioni elettroniche (direttiva relativa alla vita privata e alle comunicazioni elettroniche), pubblicata in G.U. L 201 del 31.7.2002, il Regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, pubblicato in
G.U. L 008 del 12.01.2001 nonché la Direttiva 1999/93/CE del Parlamento europeo e del Consiglio del 13 dicembre 1999 relativa ad un quadro comunitario per le firme elettroniche, pubblicata in G.U. L. 13 del 13.12.1999.
Per ulteriori approfondimenti sulle implicazioni della direttiva europea sulla protezione dei dati personali, di interesse: M. D. BIRNHACK, The EU Data Protection Directive: An engine of a global regime, Computer Law&Security Report, 24 (2008) 508-520.
In particolare, ai sensi dell’articolo 2, comma I, lettera a), per “dati personali” s’intende “qualsiasi informazione concernente una persona fisica identificata o identificabile”212; fin dall’incipit dell’articolato normativo emerge la volontà del legislatore europeo, volontà peraltro riconoscibile già nell’articolo 1, di preferire una nozione ampia di “dati personali”, consentendo così all’interprete di riconoscere e tutelare i diritti individuali in un numero cospicuo di casi213. Interessante, infatti, notare che la nozione di “dati personali” è comprensiva sia delle fattispecie in cui, per un terzo soggetto, è possibile identificare direttamente il titolare delle informazioni (ad esempio perché sono noti estremi anagrafici, dati biometrici, ma anche indirizzi IP, attività di browsing, login, liste di siti web visitati), sia di quelle in cui ciò avviene in modo indiretto (trattasi dei casi in cui la presenza di precisi parametri permette di risalire, in modo univoco ed inequivocabile, ad una persona, circostanza, questa, frequentemente riscontrabile nei database dedicati ad una specifica rilevazione di informazioni, in cui, oltre al dato di interesse, sono altresì collezionate indicazioni che inevitabilmente fanno convergere verso lo stesso soggetto, come data di nascita, numero di documento, codice di avviamento postale etc.)214.
Il concetto di “trattamento di dati personali”, di cui alla lettera b) dell’articolo 2, comma I, fa, invece, riferimento a “qualsiasi operazione o insieme di operazioni compiute con o senza l’ausilio di processi automatizzati e applicate a dati personali, come la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione o la modifica, l’estrazione, la consultazione, l’impiego, la comunicazione mediante trasmissione, diffusione o qualsiasi altra forma di messa a disposizione, il raffronto o l’interconnessione, nonché il congelamento, la cancellazione o la distruzione”215. Centrale è, in questo senso, la garanzia di “anonimia” dei dati personali raccolti, possibile attraverso meccanismi di de- identificazione delle informazioni (a titolo esemplificativo, la data di nascita, convertita in
212 Il comma primo, lettera a), dell’articolo 2, prosegue chiarendo che: “si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale”.
213 Particolarmente interessante il documento ARTICOLO 29 GRUPPO DI LAVORO PER LA PROTEZIONE DEI DATI PERSONALI, Parere 4/2007 sul concetto di dati personali - adottato il 20 giugno, 01248/07/IT, WP 136, pp. 27, in cui “Articolo 29. Gruppo di lavoro per la protezione dei dati personali” ha formulato orientamenti su come interpretare, e applicare il concetto di dati personali ai sensi della direttiva 95/46/CE e della legislazione comunitaria correlata.
214 Importante, altresì, ricordare che identificativi Internet, come indirizzi IP, attività di browsing di un utente,
login, liste dei siti web visitati dall’utente etc. sono parametri classificati come dati personali.
215 Cfr. Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati, pubblicata in Gazzetta ufficiale n. L 281 del 23.11.1995.
una “categoria di età” rende più difficile il collegamento diretto o indiretto all’utente in questione).
La manifestazione esplicita ed inequivocabile di consenso del consumatore216, l’obbligo di informativa da parte del responsabile del trattamento o suo rappresentante, il diritto di accesso ai dati da parte della persona interessata nonché la rettifica, la cancellazione o il congelamento di dati incompleti o inesatti, i principi di riservatezza e sicurezza tecnica e di organizzazione dei sistemi sono, tra gli altri, previsti nel capo II, dedicato alle “condizioni generali di liceità dei trattamenti di dati personali”.
Ai fini del presente studio, di altrettanto interesse è quanto disposto dall’articolo 17, norma già richiamata nel capitolo I in quanto presupposto della Comunicazione del 2007 della Commissione al Parlamento europeo e al Consiglio sulla protezione dei dati personali attraverso l’utilizzo delle Privacy Enhancing Technology.
In particolare, il primo comma dell’articolo 17 sancisce: “gli Stati membri dispongono che il responsabile del trattamento deve attuare misure tecniche ed organizzative appropriate al fine di garantire la protezione dei dati personali dalla distruzione accidentale o illecita, dalla perdita accidentale o dall’alterazione, dalla diffusione o dall’accesso non autorizzati, segnatamente quando il trattamento comporta trasmissioni di dati all’interno di una rete, o da qualsiasi altra forma illecita di trattamento di dati personali. Tali misure devono garantire, tenuto conto delle attuali conoscenze in materia e dei costi dell’applicazione, un livello di sicurezza appropriato rispetto ai rischi presentati dal trattamento e alla natura dei dati da proteggere”.
Security policy, strategie per la pianificazione ed implementazione di best practice aziendali orientate alla protezione dei sistemi, organizzazione degli ambienti di lavoro e degli assetti amministrativi, gestione delle infrastrutture IT, controllo degli accessi e delle modalità di trasmissione dei dati in Rete, modalità di conservazione e distruzione dei dati, sono solo alcuni dei casi che rientrano nella norma in esame.
Il capo III della direttiva in esame contiene, invece, la disciplina in tema di “ricorsi giurisdizionali, responsabilità e sanzioni” per violazione dei diritti. Particolarmente significativa è l’attenzione del legislatore comunitario per gli “adeguati livelli di garanzia” da prevedere a protezione dei dati personali, anche nei casi di trattamento all’estero (profilo disciplinato nel capo IV, titolato “trasferimento di dati personali verso paesi terzi”).
216 Per approfondimenti si rinvia a ARTICLE 29 DATA PROTECTION WORKING PARTY, Opinion 15/2011 on the definition of consent - Adopted on 13 July, 201101197/11/EN, WP187, pp. 38.