Sanità digitale: gli interventi del Garante su Ecosistema Dati Sanitari e Fascicolo sanitario elettronico

Il Garante per la protezione dei dati personali (nel seguito: Garante), è intervenuto con due Provvedimenti n. 294 e n. 295 del 22 agosto 2022, a richiamare l’attenzione delle amministrazioni sulla necessità di maggiori garanzie in materia di trattamento di dati sanitari. L’intervento si inserisce nell’ambito di due procedimenti istruttori relativi all’esame di due schemi di decreto trasmessi dal Ministero della Salute al Garante con nota in data 15 luglio 2022, che rappresentano il primo intervento in materia di sanità digitale disposto sulla base delle previsioni del DL 179/2012[1], del DL 34/2020 [2] e dall’art. 2 sexies, comma 1 bis, del Codice[3].

Costituiscono, entrambi, un tassello del “percorso in più fasi per la riforma delle disposizioni attuative del FSE alla luce dello specifico investimento del Piano Nazionale di Ripresa e Resilienza”. Prevedono infatti la realizzazione della nuova banca dati denominata Ecosistema Dati Sanitari (EDS) e l’attuazione della riforma del Fascicolo sanitario elettronico (FSE) al fine di favorirne e migliorarne l’implementazione a livello nazionale. Entrambi i decreti, pur se preceduti da proficue interlocuzioni informali, sono stati dichiarati “non coerenti” con la normativa di settore e presentano numerosi profili di violazione della disciplina in materia di protezione dei dati personali.

I contenuti

Con il primo schema di decreto, che dovrà essere adottato dal Ministro della Sanità assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell’economia e delle finanze, si provvede ad attualizzare e riformare il FSE[4] in coerenza con quanto previsto dal PNRR.

Il provvedimento si compone di 37 articoli, indica le finalità e l’ambito di applicazione (art. 2) e i contenuti del Sistema FSE (art. 3). Particolari disposizioni riguardano il profilo sanitario sintetico (PSS) (art. 4), il taccuino personale dell’assistito (TP) (art. 5) e il dossier farmaceutico (DS) (art. 6). Gli artt. 7, 8, 9 e 10 concernono i dati soggetti a maggior tutela dell’anonimato, l’informativa da fornire all’assistito, il suo consenso e i diritti riconosciuti allo stesso. L’art. 11 disciplina il periodo di conservazione dei dati e l’art. 12 l’accesso al Fascicolo da parte dell’assistito. Gli artt. 13, 14 e 15 concernono l’alimentazione del Sistema FSE. Gli articoli seguenti sono relativi ai trattamenti effettuati per finalità di cura (artt. 16-18), di prevenzione (artt. 19-21), di profilassi internazionale (artt. 22-24) e di governo (artt. 26-28). L’art. 25 disciplina l’accesso in emergenza al FSE e gli artt. 30 e 31 l’identificazione degli assistiti. Dall’art. 31 all’art. 34 sono indicate le misure di sicurezza e le regole di interoperabilità. Le disposizioni finali riguardano le previsioni transitorie, gli oneri e l’entrata in vigore (artt. 35- 37).

Unitamente allo schema di decreto sono stati trasmessi 4 allegati che definiscono i contenuti dei dati e dei documenti del FSE e i soggetti abilitati all’accesso al FSE, lo schema tipo di “Informativa e consenso al trattamento dei dati personali del FSE e dell’EDS ai sensi degli articoli 13 e 14 del Regolamento”, le caratteristiche e i servizi del Gateway per la raccolta, la validazione e la conversione dei dati e documenti che alimentano il FSE e l’EDS e le modalità di trattamento dei dati da parte delle regioni e del Ministero della salute per le finalità di governo e le misure di sicurezza.

Da tale articolazione emerge il disegno di definire modelli sempre più caratterizzati dalla raccolta di informazioni sulle prestazioni rese all’assistito al fine di delineare un sempre più preciso e ricco profilo sanitario, quale risorsa per la progressione e la sostenibilità del sistema, ma che al contempo va inteso come bene fondamentale da tutelare in quanto inerente l’identità personale e i diritti fondamentali dell’individuo.

Le osservazioni del Garante

In primo luogo il Garante rileva come i trattamenti descritti rientrano senza dubbio tra quelli su cui è necessaria una preventiva valutazione d’impatto ai sensi dell’art. 35 del Regolamento UE 2016/679[5] (di seguito: GDPR) e, soprattutto lo schema di decreto trasmesso non disciplina tutti gli elementi richiesti dalla normativa di settore citata, nonché dagli artt. 6, par. 3 e 9 del Regolamento e dall’art. 2 sexies del Codice.

Infatti, non vengono definiti in maniera adeguata i contenuti del Fascicolo e del dossier farmaceutico, ma soprattutto non vengono chiariti i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti dell’assistito, le modalità e i livelli diversificati di accesso al FSE da parte dei soggetti che vi accedono per le diverse finalità, la definizione e le relative modalità di attribuzione di un codice identificativo univoco dell’assistito che non consenta l’identificazione diretta dell’interessato. La mancanza di indicazioni puntuali, e gli spazi lasciati ai singoli attuatori, rischiano inoltre di non assicurare l’uniforme applicazione e, soprattutto, garantire l’analoga tutela ai diritti e libertà delle persone fisiche sull’intero territorio nazionale.

Il Garante pertanto nel provvedimento 294 del 22 agosto 2022, in considerazione delle carenze strutturali e sostanziali evidenziate, sottolinea l’esigenza di riformulare lo schema di decreto, in particolare, in merito all’ambito di applicazione (esigenza di coordinamento dell’intera normativa), ai contenuti del FSE, alle modalità di accesso nei casi di emergenza sanitaria o di igiene pubblica, ai diritti degli interessati, avendo cura di specificare le misure adottate per garantire l’esercizio del diritto di oscuramento anche in relazione alle diverse tipologie di accessi registrati.

Particolare attenzione andrà posta alle modalità di conservazione e alle misure di sicurezza dei dati trattati attraverso il Profilo Sanitario Sintetico (PSS) e alle sue evoluzioni; al perimetro delle diverse responsabilità, il ruolo e i dati trattanti nel Taccuino personale e nel Dossier farmaceutico, definendo, in modo coerente con il dettato normativo, la titolarità dello stesso, soprattutto relativamente alle modalità di conservazione, cancellazione e di trasferimento dei dati tra Regioni.

Il Garante rileva anche la necessità di integrare il modello di informativa trasmesso in linea con tutti gli elementi indicati agli artt. 13 e 14 del GDPR specificatamente in relazione ai diversi trattamenti e disciplinare il consenso dell’interessato, prevedendo distinte e autonome espressioni di volontà rispetto alle diverse finalità del trattamento perseguite da ciascuna categoria e avendo cura di indicare, per ognuna di esse, le conseguenze della revoca del consenso, le modalità di espressione (anche in relazione ai minori e ai soggetti sottoposti a tutela) e di alimentazione dell’Anagrafe dei consensi, nonché le misure adottate per assicurare l’espressione di un consenso libero, specifico, informato, esplicito (che deve poter essere sempre revocabile) relativamente anche alle diverse finalità possibili di trattamento (diagnosi, cura e riabilitazione, prevenzione, profilassi internazionale e di governo sanitario).

Il Ministero della salute dovrà farsi carico di effettuare la valutazione d’impatto in ordine ai trattamenti, di cui è direttamente titolare come indicati nello schema di decreto, assicurando il coordinamento delle misure previste in tale valutazione con i trattamenti effettuati dai diversi titolari a vario titolo coinvolti.

Con il secondo decreto, che dovrà essere adottato dal Ministro della Sanità assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell’economia e delle finanze, si costituisce l’Ecosistema Dati Sanitari (EDS). Il testo mostra evidenti ed intrinseche correlazioni con quello sul FSE ed evidenzia, ancor più, l’esigenza che il quadro normativo sia complessivamente disciplinato in previsione di un ampliamento notevole, come sottolinea a più riprese il Garante, del novero delle informazioni trattate attraverso i sistemi informativi del Ministero della salute, delle regioni e di altri organismi sanitari nazionali corroborata dalla nuova disciplina dell’art. art. 2 sexies, c. 1-bis, del Codice Privacy[6]. Il Garante sottolinea come nel testo “traspare infatti che i dati presenti nei sistemi informativi su base individuale del SSN, ivi incluso il FSE, saranno arricchiti con le informazioni non relative alla salute detenute da altre pubbliche amministrazioni per poi essere messe a disposizione, anche mediante interconnessione, alle amministrazioni citate nell’art. 2-sexies, comma 1 bis, del Codice”.

Il Garante ribadisce come sia pertanto necessario che nello schema di entrambi i decreti (EDS e FSE) siano “chiaramente delineati i rapporti tra le diverse componenti dei predetti strumenti di sanità digitale, descrivendo la titolarità dei trattamenti effettuati attraverso gli stessi, individuando le responsabilità e i compiti dei soggetti che se ne avvalgono”.

Il provvedimento EDS si compone di 20 articoli che definiscono contenuti, finalità, ambito di applicazione, individuano i soggetti e le modalità di alimentazione. Vengono disciplinati i diritti dell’interessato, le caratteristiche dell’informativa, il consenso e le modalità di accesso in particolare relativamente alle finalità di cura, prevenzione, di profilassi internazionale e di governo, le misure di sicurezza adottate e il periodo di conservazione dei dati.

I due allegati al decreto delineano le caratteristiche e i servizi del Gateway e le misure di sicurezza, nonché dalla valutazione di impatto sulla protezione dei dati personali afferente ai trattamenti svolti nell’ambito dell’EDS di cui è titolare il Ministero della salute.

Merita attenzione la previsione che l’EDS sarà alimentato con i dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera sanitaria e attribuisce al Ministero della salute la titolarità del trattamento dei dati raccolti e generati dall’EDS, la cui gestione operativa è affidata all’Agenzia nazionale per i servizi sanitari regionali[7], che la effettua in qualità di responsabile del trattamento. Si stanno ponendo le basi per la costituzione della più grande banca di dati sulla salute del nostro Paese.

In tale quadro rilevano la preoccupazione e le criticità sottolineate dal Garante nel parere n. 295 del 22 agosto 2022 relativamente ai contenuti dell’EDS: nel rispetto dei principi di minimizzazione, esattezza, integrità e riservatezza per ogni tipologia di finalità è necessario indicare, in dettaglio, quali siano i “dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria”.

Parimenti necessario definire i soggetti autorizzati/abilitati all’accesso con le rispettive modalità per l’alimentazione dell’EDS, i diritti esercitabili dai soggetti interessati, in relazione a ciascuno dei diversi servizi erogati dall’Ecosistema per i quali devono essere identificati i diversi titolari e le rispettive responsabilità oltre ad essere descritte le specifiche misure adottate per assicurare il rispetto dell’esercizio dei diritti degli interessati. Elementi questi tutti indispensabili per “garantire il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale”.

Il Garante infine evidenzia l’esigenza che il decreto sia sottoposto all’Agenzia per la cybersicurezza nazionale per un parere di competenza.

Cosa occorre fare

Il Garante premette nei suoi due provvedimenti, n. 294 e n. 295 del 22 agosto scorso, di condividere pienamente la necessità di introdurre strumenti volti ad agevolare lo sviluppo di servizi sanitari digitali offerti ai cittadini, ma contemporaneamente evidenzia come sia doveroso che, nella loro realizzazione, siano rispettati i diritti fondamentali della persona. E tale tutela non è stata pienamente ravvisata dal Garante nei due schemi di decreto i quali non sono, peraltro, risultati coerenti con la normativa di settore, oltre a presentare numerosi profili di violazione della disciplina in materia di protezione dei dati personali.

Per entrambi i provvedimenti, il Garante ha quindi indicato al Ministero della Sanità e alle altre amministrazioni coinvolte, le misure da adottare per rendere i due testi conformi alla normativa nazionale e europea.

Senza tali garanzie l’Ecosistema Dati sanitari (EDS), la più grande banca dati sulla salute del nostro Paese, raccoglierebbe a livello centralizzato, senza garanzie di anonimato per gli assistiti, dati e documenti relativi a tutte le prestazioni sanitarie erogate sul territorio nazionale.

[1] Decreto-Legge 18 ottobre 2012, n. 179 “Ulteriori misure urgenti per la crescita del Paese” convertito con modificazioni dalla Legge 17 dicembre 2012, n. 221 – Sezione IV, artt. 12-13bis

[2] Decreto-Legge 19 maggio 2020, n. 34 “Misure urgenti in materia di salute, sostegno al lavoro e all’economia, nonché di politiche sociali connesse all’emergenza epidemiologica da COVID-19” convertito con modificazioni dalla L. 17 luglio 2020, n. 77. Il provvedimento oltre ad innovare la disciplina sul FSE, ha previsto che con decreto del Ministero della salute, previo parere del Garante, siano individuati i dati personali -anche sulla salute- che il predetto Dicastero, nell’ambito dei propri compiti istituzionali, può trattare, le operazioni eseguibili e le misure appropriate e specifiche per tutelare i diritti degli interessati, per lo sviluppo di metodologie predittive dell’evoluzione del fabbisogno di salute della popolazione.

[3] Decreto-legge 8 ottobre 2021, n. 139 convertito in legge 3 dicembre 2021, n. 205, all’art. 9 è ha novellato l’art. 2-sexies del Codice “Trattamento di particolari di dati personali necessario per motivi di interesse pubblico rilevante” – Il nuovo testo prevede che anche il trattamento dei dati particolari può essere fondato sulla base di un atto amministrativo generale purché venga rispettato il contenuto precettivo “obbligatorio” richiesto per la particolare natura dei dati personali considerati.

[4] La definizione di FSE, che oggi si alimenta solo con il consenso dell’interessato (diversamente dalla cartella clinica), la ritroviamo all’art. 12 del Dl. 179/2012 e va inteso come l’insieme dei dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito, riferiti anche alle prestazioni erogate al di fuori del Servizio sanitario nazionale. L’interessato può comunque esercitare il diritto di oscurare dati e documenti.

[5] Art. 35, par. 1 del GDPR “Quando un tipo di trattamento…….può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento effettua, prima di procedere al trattamento, una valutazione dell’impatto dei trattenenti previsti sulla protezione dei dati personali.”

[6] Decreto legge n. 139, Disposizioni urgenti per l’accesso alle attività culturali, sportive e ricreative, nonché per l’organizzazione di pubbliche amministrazioni e in materia di protezione dei dati personali, convertito in legge 3 dicembre 2021, n. 205.

[7] L’Agenzia nazionale per i servizi sanitari regionali (AGENAS) è un Ente pubblico non economico di rilievo nazionale, istituito con decreto legislativo del 30 giugno 1993 n.266 e s.m., e si configura come organo tecnico-scientifico del SSN svolgendo attività di ricerca e di supporto nei confronti del Ministro della salute, delle Regioni e delle Province autonome di Trento e Bolzano, ai sensi dell’art. 2, comma 357, legge 24 dicembre 2007 n. 244.