Fascicolo Sanitario Elettronico, i problemi per la sicurezza dei dati e l’interoperabilità

Con la pubblicazione in Gazzetta Ufficiale del D.P.C.M. n. 178 del 29 settembre 2015 recante “ Regolamento in materia di Fascicolo Sanitario Elettronico” , (di seguito, “Regolamento”), lo scorso 12 novembre ha preso ufficialmente il via, su tutto il territorio nazionale, il sistema di e-Health attraverso il quale i cittadini e più in generale i soggetti autorizzati potranno accedere alle informazioni sanitarie di loro competenza e condividerle al fine di supportare e migliorare la gestione dei processi sanitari.

Il D.P.C.M. si inserisce a pieno titolo nell’ambito degli obiettivi fissati dall’Agenda Digitale europea che, nel rispetto dei parametri di crescita definiti nella strategia Europea 2020, ha previsto una specifica area d’intervento dedicata alla sanità e intitolata “ Assistenza medica sostenibile e ricorso alle I.C.T. per favorire la dignità e l’autonomia ”. Esso costituisce il primo dei tanto attesi provvedimenti di natura prettamente operativa e che al contempo ambisce a superare la logica frammentaria delle sperimentazioni fino ad oggi avviate a livello regionale.

Il Regolamento, adottato in attuazione dell’art. 12, comma 7 del D.L. 179/2012 (c.d. “Decreto crescita 2.0”), così come convertito dalla legge 221/2012 e successivamente integrato dal D.L. 69/2013 (c.d. “Decreto del Fare”), a sua volta convertito con modificazioni dalla legge 98/2013, trova i suoi principali antecedenti disciplinari nelle “ Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario, deliberate dal Garante per la protezione dei dati personali nel 2009” e nel “Fascicolo Sanitario Elettronico – Linee Guida Nazionali”, elaborate nell’ambito del Tavolo interistituzionale istituito dal Ministero della Salute ed approvate dalla Conferenza Stato-Regioni nel febbraio del 2011.

Il Regolamento, che reca in sé diverse previsioni normative, recepisce, tra le altre, le specifiche disposizioni in materia sanitaria sui livelli essenziali di assistenza – c.d. LEA; le disposizioni di cui al D.lgs. 82/2005, contenente il Codice dell’Amministrazione digitale (“C.A.D.”) con particolare riguardo a quelle sulla disciplina sul procedimento ed al fascicolo informatico, alla riproduzione ed alla conservazione dei documenti ed alla Anagrafe Nazionale degli assistiti (“A.N.A.”), nonché le disposizioni in materia di protezione dei dati personali.

Le questioni sul tappeto sono quindi varie e diverse e riguardano principalmente la realizzazione, piena ed effettiva, di un vero e proprio diritto alla costituzione ed alla formazione del FSE; l’interoperatività del FSE nell’ambito dell’infrastruttura nazionale; i livelli di sicurezza richiesti dagli standard internazionali; la tutela della riservatezza e il consenso al trattamento dei dati per le diverse e specifiche finalità previste dal Regolamento stesso.

Volendo focalizzare l’attenzione sul trattamento dei dati nell’ambito del FSE, si ritiene utile partire proprio dalla definizione di FSE, di cui all’art. 12, commi 1 e 2 del Decreto Crescita, quale “ insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito” che è istituito “nel rispetto della normativa vigente in materia di protezione dei dati personali, a fini di: a) prevenzione, diagnosi, cura e riabilitazione; b) studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; c) programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria” .

Il Regolamento, quindi, una volta definito il contenuto del FSE (art. 2), chiariti alcuni aspetti tecnici sul patient summary (art. 3) e sul taccuino personale dell’assistito (art. 4), declinate le questioni sull’informativa, sul consenso, sui diritti e sull’accesso da parte dell’assistito al FSE (artt. 5-9), analizza, in modo speculare ed analitico, il trattamento dei dati per finalità di cura, di ricerca e di governo.

Fermo restando il principio informatore in base al quale il FSE può essere alimentato esclusivamente sulla base del consenso libero ed informato reso dall’assistito, il trattamento dei dati per le finalità perseguite sia dai soggetti del SSN e dei servizi socio-sanitari regionali che prendono in cura l’assistito (cura), sia dalle Regioni dal Ministero del lavoro e dal Ministero della salute (ricerca e governo), è comunemente fondato sui principi di indispensabilità, necessità, pertinenza e non eccedenza di cui al Codice in materia di protezione dei dati personali.

Nondimeno, mentre la consultazione dei dati e dei documenti per le finalità di cura può avvenire solo a condizione che l’assistito abbia prestato il proprio consenso – fatto salvo il diritto all’erogazione della prestazione sanitaria nel caso di diniego –, nel caso dell’utilizzo di dati per le finalità di ricerca e di governo, il consenso dell’assistito non è richiesto nella misura in cui i dati in questione risultino essere del tutto privi di elementi identificativi e siano inseriti in un contesto logico ed organizzativo dotato dei massimi livelli di sicurezza secondo i principali standard propri dell’ informatica sanitaria.

Va tuttavia precisato che per il trattamento dei dati per le finalità di ricerca e di governo, per espressa previsione normativa (art. 27) occorrerà attendere gli ulteriori decreti attuativi che avranno il compito non solo di definire i servizi per l’elaborazione dei dati ma anche di prevedere ed implementare gli interventi evolutivi dell’infrastruttura nazionale per l’interoperatività del FSE.

Occorre altresì dar rilievo al fatto che nell’ambito del FSE le misure di sicurezze poste a presidio della tutela della riservatezza delle informazioni impiegate per il trattamento dei dati per le finalità di cura, ricerca e governo, sono specifiche e di elevato impatto tecnologico. L’accesso al FSE per le finalità di trattamento in parola, è infatti consentito esclusivamente secondo le modalità di accesso e ricorrendo agli strumenti previsti dall’art. 64 del C.A.D., ovvero sia: la Carta di identità Elettronica (C.I.E.), la Carta Nazionale dei Servizi (C.N.S.) nonché, più in generale i servizi di identificazione dello S.P.I.D..

Insomma, l’implementazione e la piena attuazione del FSE con il Regolamento in commento hanno di fatto preso il via ma, allo stesso tempo, non si possono sottacere le problematiche relative alla sicurezza dei dati e alla interoperabilità del FSE, sia al fine di garantire un esercizio del diritto alla salute che sia pieno, effettivo e, perché no, ” digitale“, sia per tenere il passo con le sfide e gli appuntamenti fissati dall’Agenda digitale europea.