La rivoluzione digitale ha innescato la nascita di nuovi modelli di business tramite l’offerta di prodotti e servizi innovativi. Il settore sanitario non è andato esente da queste trasformazioni, e ha mutato radicalmente le modalità con cui fornisce prestazioni e assistenza medica. Le new technologies stanno cambiando il modo in cui i trattamenti clinici vengono sviluppati dai ricercatori, eseguiti dai professionisti sanitari e fruiti dai pazienti. Per la prima volta aziende farmaceutiche, ospedali, cliniche e centri di ricerca sviluppano piattaforme in collaborazione con start up ad alto contenuto tecnologico e con le aziende big tech per creare valore facilitando le connessioni tra gruppi di utenti che, a seconda dei ruoli, immettono o estraggono informazioni. La digitalizzazione nel contesto sanitario innesca delle sfide sul piano regolatorio e allo stesso tempo si rivela portatrice di soluzioni nella nuova era del Legal design.
Legal design, cos’è e quali vantaggi offre
Ispirato al Design Thinking, il Legal design nasce per abbattere il “wall of text” rappresentato da testi giuridici (termini e condizioni d’uso di un servizio, informative privacy e in generale, ogni documento legale) in cui le informazioni sono presentate solo in forma testuale e con un linguaggio complesso, in modo uniforme e monocromatico, complicando la ricerca delle nozioni chiave per il lettore.
Difficoltà, questa, che si rivela ancora maggiore per gli utenti dei servizi sanitari, che, per motivi legati ad esempio alla diversa lingua parlata o a un basso grado di scolarizzazione, non sempre sono in grado di comprendere le condizioni d’uso di un’applicazione di sanità digitale, un’informativa privacy o un modulo di consenso informato a un trattamento medico o di partecipazione a uno studio clinico.
La complessità non si traduce solo in una difficoltà di comprensione da parte dell’utente, ma anche in un rischio di non conformità per chi ha fornito le informazioni.
Infatti, sul piano della protezione dei dati, il Considerando 58 del GDPR prevede che “le informazioni destinate al pubblico o all’interessato siano concise, facilmente accessibili e di facile comprensione e che sia usato un linguaggio semplice e chiaro, oltre che, se del caso, una visualizzazione”.
Inoltre, quando l’interessato non viene messo in grado di capire come il titolare del trattamento utilizza i suoi dati, non è neppure in grado esercitare sugli stessi quel controllo sugli stessi che il GDPR gli riconosce.
Allo stesso tempo, fornire al paziente una informazione per lui troppo complessa circa un trattamento medico o uno studio clinico a cui dovrà scegliere se essere sottoposto, genera una mancanza di comprensione che incide negativamente sul rapporto medico-paziente alimentando, peraltro, le ipotesi di ricorso al contenzioso medico-legale.
Il Legal Design può fornire, nelle interazioni tra i professionisti e i pazienti, un supporto alle skills comunicative del personale sanitario riprogettando il linguaggio giuridico dei documenti legali che accompagnano la pratica clinica e rendendolo accessibile a ogni tipologia di utente, tramite l’adozione di mappe concettuali, video, icone, testi con immagini o altri mezzi visivi.
È fondamentale che a questa riprogettazione siano sottoposti gli strumenti tecnologici utilizzati per fornire le informazioni legali. Infatti, è di primaria importanza che l’utente abbia consapevolezza dei termini e condizioni d’uso delle App per la salute che scarica sul proprio smartphone, e che in molti casi sono dispositivi medici ai sensi del Reg. UE 745/2017. Allo stesso modo è essenziale che gli utenti comprendano appieno il contenuto dell’informativa privacy che queste applicazioni devono fornire prima di richiedere il consenso obbligatorio sulla base dell’art. 7 del GDPR e del Provvedimento n. 55 del 7 marzo 2019 del Garante per la protezione dei dati personali.
I limiti dei dispositivi mobili
Alla complessità del linguaggio si aggiungono i limiti del device: la lettura dei testi legali tramite smartphone è resa ancora più difficile dalle limitate dimensioni dello schermo, che, riproducendo il suddetto “wall of text” in maniera integrale, aumentano lo sforzo dell’utente, che spunta il consenso o la presa visione spesso senza avere neppure visionato il contenuto.
Gli sviluppatori e i designers insieme ad avvocati o consulenti legali, seguendo la metodologia del Legal Design, possono ridisegnare le interfacce utente (user interface – UI) graficizzandone i contenuti, eliminando le informazioni sovrabbondanti, semplificando i testi e la visualizzazione.
Se in passato strutture sanitarie e centri di ricerca erano ecosistemi isolati, detentori esclusivi delle informazioni mediche, nell’epoca interconnessa che stiamo vivendo la digitalizzazione ha aumentato diffusamente il flusso dei dati, che provengono ora anche dai dispositivi indossabili e dalle applicazioni di sanità digitale, e che sono costantemente raccolti e condivisi anche con altri soggetti.
Se il focus del sistema sanitario del ventunesimo secolo deve essere il paziente, allora la compliance legale degli strumenti di e-health dipende anche dalla capacità di renderne intuitive le interfacce, per consentire una fruizione corretta e agevole dei prodotti e servizi sanitari.
Se l’obiettivo è fare in modo che le applicazioni digitali per la salute siano ampiamente utilizzate anche in contesti istituzionali, è necessario che godano della fiducia dei pazienti, della società e dei mercati: in questa sfida il Legal design – realizzando prodotti e servizi che nascono già conformi alla normativa – può fornire un apporto cruciale.
Le sfide etiche e giuridiche della digitalizzazione
Allo stesso tempo la digitalizzazione in sanità ha aperto la strada a sfide etiche e giuridiche, in particolar modo con riferimento alla protezione dei dati personali dei pazienti. Il trattamento di dati personali è, infatti, un’attività che “allorché prevede in particolare l’utilizzo di nuove tecnologie […] può presentare un rischio elevato per i diritti e le libertà delle persone fisiche” (art. 35 Reg. UE 679/2016, “GDPR”). Rischio che si presuppone sussistente ai sensi delle Linee Guida del Gruppo di Lavoro Articolo 29 (WP 248) e del Provvedimento del Garante Privacy n. 467 dell’11 ottobre 2018, quando viene fatto ricorso all’Internet of Things (IoT), a dispositivi indossabili (wearable devices) o a sistemi di intelligenza artificiale (AI) per trattare dati sulla salute dei pazienti su larga scala.
Per trattamenti di dati su larga scala si intendono, in dettaglio, tutti quelli “che mirano al trattamento di una notevole quantità di dati personali a livello regionale, nazionale o sovranazionale e che potrebbero incidere su un vasto numero di interessati e che potenzialmente presentano un rischio elevato” (Considerando 91, GDPR).
L’art. 35 del GDPR, sopra citato, impone che di questi trattamenti debba essere valutato l’impatto sulla protezione dei dati tramite la data protection impact assessment (DPIA) che deve contenere almeno:
- una descrizione sistematica dei trattamenti previsti e delle finalità del trattamento, compreso, ove applicabile, l’interesse legittimo perseguito dal titolare del trattamento;
- una valutazione della necessità e proporzionalità dei trattamenti in relazione alle finalità;
- una valutazione dei rischi per i diritti e le libertà degli interessati;
- le misure previste per affrontare i rischi, includendo le garanzie, le misure di sicurezza e i meccanismi per garantire la protezione dei dati personali e dimostrare la conformità al GDPR, tenuto conto dei diritti e degli interessi legittimi degli interessati e delle altre persone in questione.
Da un lato, ai sensi dell’art. 35, la DPIA deve essere effettuata prima del trattamento dei dati, e dunque prima di utilizzare le tecnologie innovative nei processi di cura o nelle attività di ricerca clinica.
Dall’altro eseguire la valutazione di impatto non è sufficiente: la conformità legale degli strumenti ICT non deve solo essere valutata prima del trattamento, ma deve essere ricercata già in fase di progettazione, anticipando l’adozione delle misure di compliance alle prime fasi del processo di sviluppo del software, secondo i principi della privacy by design e by default di cui all’art. 25 del GDPR.
