Un documento ‘gravemente carente per ciò che attiene alla definizione dei ruoli e delle responsabilità (…) e delle caratteristiche infrastrutturali e dei requisiti di sicurezza (…) per attuare tale Modello digitale che, in definitiva, finisce per risultare scarsamente definito (…)’. E’ il giudizio sulla bozza del dm su telemedicina e assistenza domiciliare di Sarah Ungaro, avvocato, consulente senior Studio legale Lisi e vicepresidente di ANORC Professioni.
Un parere che l’esperta spiega così: ‘Da qualche giorno circola la bozza di Decreto del Ministero della Salute, volto a promulgare le Linee guida organizzative contenenti il Modello digitale per l’assistenza domiciliare, in attuazione della Missione 6 del PNRR, Reti di prossimità, strutture e telemedicina per l’assistenza sanitaria territoriale (Milestone EU M6C1-4). La bozza, come previsto, deve essere sottoposta al vaglio della Conferenza Stato-Regioni, per le opportune valutazioni. La bozza di nuove Linee guida si inseriscono nel solco delle Indicazioni nazionali per l’erogazione di prestazioni in telemedicina, già deliberate nella seduta del 17 dicembre 2020 dalla Conferenza Permanente per i rapporti tra lo Stato, le Regioni e le Province Autonome di Trento e Bolzano. Da queste, infatti, seppur il documento non sia citato nelle premesse alla bozza di DM, sono ripresi elementi fondamentali, tra cui l’elenco delle definizioni delle prestazioni in telemedicina (che, a loro, volta, riprendevano concetti già espressi nelle Linee guida del 2014)’.
‘Tuttavia – continua Ungaro – seppur il nuovo documento risulti tratteggiare per la prima volta alcuni profili relativi al setting domiciliare e approfondisca il workflow degli atti di telemedicina, risulta essere gravemente carente per ciò che attiene alla definizione dei ruoli e delle responsabilità (a tratti confusi e sovrapposti) e delle caratteristiche infrastrutturali e dei requisiti di sicurezza (elementi che, invece, erano stati almeno tratteggiati nelle Indicazioni nazionali del 2020) per attuare tale Modello digitale che, in definitiva, finisce per risultare scarsamente definito e carente proprio sotto l’aspetto dell’individuazione dei ruoli previsti dal modello e della relativa governance. Elemento fondamentale (ma – al contempo – eventuale, a leggere il glossario in calce alla bozza) risulta essere una Centrale Operativa Territoriale (COT), che dovrebbe organizzare e coordinare i servizi e i professionisti coinvolti. Peccato, però, che nella bozza di DM non si chiarisca neanche quale sia il soggetto tenuto a istituire e a gestire tale centrale operativa, a quale livello territoriale, con quali funzioni precipue e responsabilità. Accanto a questa, si prevede la presenza di un’altra Centrale Operativa ADI (Assistenza Domiciliare Integrata), nonché di un Centro Erogatore (presente nella sede operativa ADI, come si legge testualmente dal glossario) e di un Centro Servizi (anche questo previsto incomprensibilmente come elemento eventuale nel glossario), che dovrebbe svolgere i compiti fondamentali propri di una struttura tecnico-operativa, dislocata su una o più sedi fisiche, attiva 24/24h, dotata delle adeguate infrastrutture e sistemi di comunicazione, informativi ed informatici, presidiata da operatori qualificati e formati rispetto alle attività da svolgere e che dovrebbe svolgere, tra le altre, le attività di help-desk e di manutenzione e assistenza tecnica per assicurare la fruizione del sistema di telemedicina’.
‘Tale ennesimo e ultimo elemento di “centralità” del (caotico) modello descritto, dunque – spiega ancora Sarah Ungaro, avvocato, consulente senior Studio legale Lisi e vicepresidente di ANORC Professioni – individuato proprio nel Centro Servizi, sembrerebbe dover svolgere compiti operativi, ma delicatissimi, e tuttavia senza alcuna menzione in relazione alle responsabilità di governance e gestione, fatta salva la previsione per cui “eventuali aspetti tecnici, riconducibili ad esempio al malfunzionamento dell’attrezzatura, e che possono inficiare l’erogazione della prestazione sono in capo, per gli aspetti di competenza, al Centro Servizi per la telemedicina”.Ma, eccezion fatta per tale inutile e insufficiente disposizione, quale dovrebbe essere il soggetto che ha il compito di istituire e gestire questo Centro Servizi? A quale livello territoriale? Con quali risorse? Possono essere coinvolti fornitori esterni? Con quali specifiche responsabilità in relazione alla sicurezza degli aspetti potenzialmente incidenti sulle prestazioni di telemedicina (la cui “responsabilità della erogazione della prestazione” – si badi, non il solo atto medico – è comunque “in capo al professionista sanitario”, come si precisa espressamente nel documento, nonché alla protezione dei dati personali?
In tale quadro si inserisce, inoltre, l’elemento nevralgico costituito da una piattaforma tecnologica deputata all’erogazione dei servizi di telemedicina, in relazione alla quale ci si limita a richiamare il menzionato Centro Servizi – senza specificare se sia tale organismo a dover gestire o meno questa piattaforma – e a richiamare in modo del tutto generico il rispetto delle norme in materia di trattamento dei dati personali (peraltro specificando “come ogni sistema informatico che tratta dati sensibili”, senza invece fare correttamente riferimento alle categorie particolari di dati, ai sensi dell’art. 9 GDPR) e l’interoperabilità con “l’ecosistema di sanità digitale”, omettendo di richiamare qualsiasi riferimento normativo o di standard per le attività di raccolta, archiviazione e consultazione delle informazioni sanitarie e sociosanitarie gestite dalla cartella domiciliare, in relazione alla quale si deve assicurare, quindi, l’invio e la consultazione dei dati clinici e assistenziali e dei referti nel FSE, mediante tale piattaforma (aspetto, quest’ultimo, che può soltanto essere desunto in via presuntiva, non essendo neanche esplicitato nel testo della bozza)’.
‘Per altro verso – continua Ungaro – in tema di sistemi informativi clinico assistenziali e telemedicina, anche i bandi Consip appaiono parimenti carenti di una puntuale definizione dei riferimenti normativi, dei requisiti di sicurezza e degli standard per gestire correttamente i dati e i documenti clinico sanitari, la raccolta, la metadatazione, l’archiviazione e la consultazione degli stessi, anche sotto il profilo del corretto trattamento dei dati personali ivi contenuti. In effetti, anche nel recentissimo bando Consip relativo all’affidamento di servizi applicativo e l’affidamento di servizi di supporto in ambito Sanità digitale – Sistemi informativi clinico-assistenziali, per le PA del SSN (Servizio Sanitario Nazionale) nulla si definisce in relazione a un elemento fondamentale, quale – appunto – il menzionato Centro Servizi o le piattaforme tecnologiche in ambito telemedicina. Anzi, proprio nell’Allegato 2A – Capitolato tecnico speciale del menzionato bando Consip “Sanità Digitale – Sistemi Informativi Clinico Assistenziali”, il paragrafo 3.3, dedicato a “Privacy e sicurezza” – liquidando il tema in appena una manciata di righe – si limita a prevedere che le applicazioni devono rispondere a quanto previsto dal D.Lgs. n. 196/2003 e dal Regolamento UE 2016/679 (GDPR), che le stesse devono seguire il paradigma privacy by design e by default, che devono essere garantire le funzioni di visualizzazione e stampa dell’informativa, nonché l’annotazione del consenso, ai sensi dell’art. 81 del D.Lgs. n. 196/2003. Peccato solo che tale articolo sia stato abrogato dal D.Lgs. 101/2018!’.‘Purtroppo, però, non è solo il Codice in materia di protezione di dati personali a essere ignorato dai bandi di gara Consip, ma anche il Codice dell’amministrazione digitale (D.Lgs. n. 82/2005): in effetti, non risulta motivata la previsione per la quale “deve essere sempre previsto l’utilizzo della firma digitale”, senza tenere minimamente in conto quanto stabilito dal Regolamento eIDAS (2014/910/UE) o dall’art. 20 dello stesso CAD, che all’art. 1-bis prevede che: “Il documento informatico soddisfa il requisito della forma scritta e ha l’efficacia prevista dall’articolo 2702 del Codice civile quando vi è apposta una firma digitale, altro tipo di firma elettronica qualificata o una firma elettronica avanzata o, comunque, è formato, previa identificazione informatica del suo autore, attraverso un processo avente i requisiti fissati dall’AgID ai sensi dell’articolo 71 con modalità tali da garantire la sicurezza, integrità e immodificabilità del documento e, in maniera manifesta e inequivoca, la sua riconducibilità all’autore”. Tali provvedimenti e documenti – conclude la consulente senior Studio legale Lisi e vicepresidente di ANORC Professioni – ci dimostrano che, probabilmente, gli elementi che costituiscono la risorsa primaria e fondamentale per una corretta trasformazione digitale, anche dei processi e delle prestazioni erogate in ambito sanitario, sono le competenze, senza le quali si rischia solo uno spreco di fondi’.