Dati sanitari e privacy: l’Health Insurance

countability Act (HIPAA)

Il diritto alla privacy dei dati sanitari è regolato negli Stati Uniti da una miriade di differenti leggi e regolamenti. Oltre alle regole di ori- gine di common law, i singoli Stati rappresentano il punto di riferimen- to della disciplina del settore: molti di essi hanno emanato diversi statu-

te per regolare la materia. Il grado di protezione varia, però, sensibil-

mente da Stato a Stato.

A livello federale, la privacy dei dati sanitari è rimasta senza disciplina fino al 1996, quando il Congresso decise l’emanazione dell’Health Insurance Portability and Accountability Act (HIPAA). Al- la luce di questo statute il Department of Health and Human Services promulgò, poi, alcuni regolamenti per meglio specificarne l’applicazione e al fine di fornire un livello minimo di protezione co- mune a tutti gli Stati, i quali, comunque, conservano la possibilità di emanare, a loro volta, leggi statali caratterizzate da un maggior grado di protezione e specificità.

L’HIPAA richiedeva agli operatori del settore medico-sanitario di passare all’uso di formati standardizzati (elettronici) per la condivi- sione delle informazioni mediche. Il Congresso aveva anche previsto l’emanazione di una normativa onnicomprensiva in materia di privacy dei dati sanitari entro l’estate del 1999. Allo spirare di questo termine senza che nulla fosse accaduto, il Department of Health and Human

Services (HHS) si assunse tale compito (ciò in forza di una specifica

previsione dell’HIPAA che ne prevedeva la possibilità in caso di iner- zia del legislatore federale). L’HHS lavorò alla redazione di una propo- sta di regolamentazione (pubblicata come 64 Reg. Fed. 59,917, Nov. 3, 1999), che ricevette più di cinquantamila commenti e mozioni di modi- fica. Nel dicembre del 2000 il Presidente Clinton annunciò la redazione del testo finale. Nell’aprile del 2001, però, fu il nuovo Presidente Bush a confermare l’entrata in vigore della normativa entro l’aprile del 2003138_.

La disciplina applicativa dell’HIPAA costituisce la prima com- pleta regolamentazione a livello federale sulla protezione dei dati sani- tari139_{. Essa costituisce un approccio normativo alquanto dettagliato alle}

138 _{Cfr. 67 Fed. Reg. 53, 182 (Aug. 14, 2002).}

139 _{Per descrivere sinteticamente gli aspetti chiave di questo provvedimento di larga}

portata, possiamo dire che la disciplina federale impone agli health care provider, cioè a coloro che forniscono servizi medici, agli health plan, cioè ai soggetti o ai gruppi che assicurano il pagamento delle spese mediche, nonché agli health care clearinghouse, cioè ai soggetti pubblici o privati che trattano dati medici per diverse finalità, di adotta-

re una serie di misure organizzative e di protezione. In dottrina v. GARTEE, Electronic

Health Records, cit., 371 ss.; E.HUTTON,D.BARRY, Medical: Privacy Year in Review:

Developments in HIPAA, 2 ISJLP 347 (2006); T.J.WHITE,C.A.HOFFMANN, The Pri-

vacy Standards Under the Health Insurance Portability and Accountability Act, 106

W. Va. L. Rev. 709 (2004); S.A.TOVINO, The Use and Disclosure of Protected Health

Information for Research Under the HIPAA Privacy Rule, 49 S.D. L. Rev. 1439 (2002);

L.O.GOSTIN,J.G.HODGE,JR., Personal Privacy and Common Goods: A Framework for

Balancing Under the National Health Information Privacy Rule, 86 Minn. L. Rev. 1439

(2002); P.D.JACOBSON, Medical Records and HIPAA: Is It Too Late to Protect Pri-

vacy?, 86 Minn. L. Rev. 1497 (2002); M.HATCH, HIPAA: Commercial Interests Win

Round Two, 86 Minn. L. Rev. 1515 (2002); P.P. SWIRE,L.B.STEINFELD, Security and

Privacy After September 11: The Health Care Example, 86 Minn. L. Rev. 101 (2002).

Da parte di numerosi commentatori sono state sollevate critiche alle regole introdotte dall’HIPAA, soprattutto sulla base di studi empirico-applicativi. Uno dei maggiori punti dolenti evidenziati riguarda proprio la questione delle covered entity (health plan, healt

care clearinghouse e health care provider): da queste rimarrebbero esclusi diversi sog-

getti che forniscono consigli e consulenze mediche o che vendono prodotti sanitari, e che in generale sono in possesso di informazioni sanitarie. La maggior parte degli inci- denti di sicurezza che riguardano i dati sanitari provengono proprio da queste categorie.

specifiche misure tecniche da implementare per la protezione dei dati medici.

Il 13 febbraio del 2003 l’HHS annunciò, pertanto, l’adozione delle HIPAA Security Final Rules. Gli standard definitivi furono, poi, pubblicati sul Federal Register il 20 febbraio e prevedevano, come data per l’entrata in vigore, il 21 aprile 2003. La maggior parte dei soggetti sottoposti a questa disciplina hanno avuto comunque un biennio per a- deguarsi (fino al 21 aprile 2005)140_.

Le Security Rules dell’HIPAA fanno parte delle Privacy Rules della stessa disposizione normativa ed il loro enforcement è demandato al CMS141_{. La ratio di tale intervento regolamentativo consiste nel ga-} rantire la confidenzialità, l’integrità e l’accessibilità dei dati sanitari in formato digitale tramite l’adozione di misure di sicurezza a livello am- ministrativo, fisico e tecnico.

Le regole tecniche sulla sicurezza sono ora più coerenti e com- patibili con la disciplina prevista per la privacy e si applicano alle pro-

tected health information (PHI) raccolte ed archiviate in formato elet-

tronico142_.

Per questo, è auspicabile un’interpretazione estensiva della categoria in oggetto, nel senso di includervi chiunque consapevolmente raccoglie o trasmette dati sanitari in

formato elettronico per qualsiasi tipo di finalità, anche commerciale. Cfr. D.J.SOLOVE,

The Digital Person. Technology and Privacy in the Information Age, New York, 2004,

70; S. HOFFMAN,A.PODGURSKI, Securing the HIPAA Security Rule, Case Research Pa-

per Series in Legal Studies, Working Paper 06-26, December 2006, 5 ss., in Rete:

<http://ssrn.com/abstract=953670>; SCHWARTZ, Privacy and the Economics of Health

Care Information, cit.; L.O.GOSTIN, Health Information Privacy, 80 Cornell L. Rev.

451 (1995).

140 _{Per maggiori informazioni sulle Security Rules, v. S.H}

OFFMAN,A.PODGURSKI,

Securing the HIPAA Security Rule, in Journal of Internet Law, Spring 2007, in Rete:

<http://ssrn.com/abstract=953670>. Il portale dell’HIPAA è in Rete: <http://www. hi- paadvisory.com>.

141 _{Sulle Privacy Rules v., in prima battuta, D.B.L}

ORD, The HIPAA privacy rule

and medical records discovery (part two), 30 AK Bar Rag 6 (2006).

142 _{Ciò, evidentemente, non elimina la necessità di implementare alcune misure di}

Partendo dalla riconosciuta esigenza di standard non eccessi- vamente prescrittivi, in quanto l’incessante e vorticoso sviluppo tecno- logico renderebbe la previsione di specifici requisiti tecnici obsoleta o, ancor peggio, danneggerebbe il progresso scientifico, l’HHS stabilì che gli standard sarebbero stati definiti in maniera non dettagliata e sareb- bero dovuti essere graduali, flessibili e di regola raggiungibili attraverso vari e differenti approcci e tecnologie143_{. Il risultato finale offre, così,} una regolamentazione di alto livello e risponde a ciò che un modello di

information security deve essere in termini di adattabilità e flessibilità.

La disciplina in oggetto riconosce grande importanza all’analisi dei rischi interni alla struttura sanitaria e alla loro gestione, consideran- do tali aspetti come centrali per i processi organizzativi. Inoltre, il costo delle misure di sicurezza è stato annoverato tra i fattori più significativi da tenere in considerazione quando ci si trovi a dover prendere decisio- ni a tale riguardo.

La maggior parte degli standard di sicurezza incorpora specifi- che tecniche per la loro attuazione, al fine di meglio descrivere le azioni ed i comportamenti che devono essere adottati per assicurare la con- formità agli standard stessi. Solo tredici tra queste specifiche tecniche sono, però, obbligatorie; le restanti sono considerate addressable, nel senso che rappresentano diversi approcci possibili per raggiungere spe- cifici standard e non vengono ritenute come necessarie a priori, in rife- rimento allo specifico soggetto sottoposto alla normativa ed al partico- lare tipo di trattamento in uso. La decisione sulla ragionevole ed appro- priata natura di un’addressable specification rimane in capo al soggetto che deve adottarla e deve basarsi sull’analisi complessiva dell’ambiente tecnico e della struttura di sicurezza implementata nel caso specifico.

tuttora richiedono l’adozione di misure adeguate a prescindere dal tipo di formato uti- lizzato.

143 _{Gli standard di sicurezza sono concepiti, almeno negli intenti dei loro ideatori,}

per essere technology neutral al fine di facilitare l’utilizzo delle più aggiornate e pro- mettenti tecnologie che incontrano i bisogni delle differenti aziende ospedaliere.

Tale decisione può dipendere da diversi fattori, tra i quali l’analisi dei rischi, delle misure già adottate e del costo per implementare quelle nuove144_.

5.3.3.4 Privacy sanitaria e sistemi Electronic Health Record: conside-