Trattamento dei dati sanitari: FSE 2.0 e l’intervento del Garante privacy

È notizia recente che il Garante per la protezione dei dati personali abbia avviato procedimenti correttivi e sanzionatori nei confronti di 18 Regioni e delle Province autonome di Bolzano e Trento per violazioni della normativa in materia di protezione dei dati personali riscontrate nell’ambito dell’attuazione da parte delle Regioni e delle Province del fascicolo sanitario elettronico, o “FSE”, c.d. “2.0” , dalla rubrica del decreto del Ministero della salute del 7 settembre 2023.

Il decreto, pubblicato in Gazzetta Ufficiale il 24 ottobre 2023, ha innovato la disciplina del Fascicolo, già oggetto, negli ultimi anni, di numerosi interventi normativi.

Naturalmente non si tratta di un caso: il fascicolo sanitario elettronico è uno strumento chiave della digitalizzazione della sanità, che a sua volta rappresenta un passaggio cruciale della trasformazione digitale del Paese.

Il Piano nazionale di ripresa e resilienza ha incluso nella missione “ Salute ”, la numero 6, investimenti specificamente volti al potenziamento del FSE, “per garantirne in particolare l’omogeneità, l’interoperabilità e l’accessibilità ad assistiti e operatori sanitari a livello nazionale”, individuando alcuni traguardi precisi, quali una percentuale dell’85% dei medici di base che alimentano regolarmente il fascicolo entro la fine del 2025 e l’adozione e l’uso da parte di tutte le Regioni entro la metà del 2026.

Il potenziamento del Fascicolo implica, e allo stesso tempo presuppone, la circolazione dei dati, che con tutta evidenza costituisce un punto essenziale per un sistema interoperabile e accessibile. Così, il PNRR ha previsto espressamente che l’investimento fosse rivolto a rafforzare non solo l’infrastruttura tecnologica, ma anche gli strumenti per la raccolta, l’elaborazione e l’analisi dei dati.

Il legislatore era già intervenuto con modifiche riguardanti specificamente il fascicolo e la normativa in materia di protezione dei dati personali. Il d.l. 19 maggio 2020, n. 34, convertito con modificazioni dalla l. 17 luglio 2020, n. 77, il c.d. “Decreto rilancio”, aveva disposto l’abrogazione della disposizione che indicava nel consenso dell’assistito la base giuridica per l’alimentazione del fascicolo, prevedendo anche un’estensione dei dati da far confluire nel fascicolo mediante l’introduzione del riferimento alle prestazioni sanitarie erogate al di fuori del Sistema sanitario nazionale.

Successivamente, il d.l. 8 ottobre 2021, n. 139, come convertito con modificazioni dalla l. 3 dicembre 2021, il c.d. “Decreto Capienze”, è intervenuto direttamente sul d.lgs. 30 giugno 2003, n. 196 , il Codice privacy, introducendo all’art. 2-sexies, dedicato al “trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante”, una previsione relativa al trattamento da parte di alcuni soggetti pubblici, tra cui il Ministero della Salute, l’Istituto Superiore di Sanità e, relativamente ai propri assistiti, le Regioni, dei dati personali relativi alla salute, “ privi di elementi identificativi diretti ”, “ nel rispetto delle finalità istituzionali di ciascuno ” e per “ finalità compatibili con quelle sottese al trattamento ”. In questo impianto, il Fascicolo compariva espressamente quale strumento abilitante, giacché si prevedeva che il trattamento avvenisse “anche mediante l’interconnessione a livello nazionale dei sistemi informativi su base individuale del SSN, ivi incluso il FSE”.

La norma è stata poi modificata con il d.l. 2 marzo 2024, n. 19, convertito con modificazioni dalla l. 29 aprile 2024, n. 56, c.d. “Decreto PNRR”, che, nell’ambito dell’attuazione del Piano, ha, tra l’altro, eliminato il riferimento all’assenza degli elementi identificativi diretti, tradotto in una espressa menzione della pseudonimizzazione, e il riferimento alle finalità compatibili, accordando autonomo rilievo all’interconnessione dei sistemi informativi del SSN tra cui il FSE, oggetto di un nuovo comma 1-ter.

Occorre considerare che la spinta alla valorizzazione dei dati relativi alla salute e al superamento del consenso come principale base giuridica di riferimento ci viene dal legislatore europeo, che, come è noto, non solo si è impegnato nella elaborazione di nuovi modelli per la circolazione dei dati con iniziative quali il Regolamento sulla governance dei dati, il Data Governance Act, e il Regolamento sui dati, il Data Ac t, ma ha altresì dato vita ad un’iniziativa specifica in materia di dati sanitari, con il Regolamento europeo sullo spazio europeo dei dati sanitari , di cui oggi si attende l’adozione da parte del Consiglio, a seguito dell’approvazione da parte del Parlamento europeo dell’aprile 2024.

Lo spazio europeo dei dati sanitari è il primo degli “ spazi comuni europei di dati specifici per dominio ” annunciato nella strategia europei dei dati ad essere realizzato. Istituendolo, il Regolamento intende garantire che tutti i professionisti sanitari abbiano accesso ai dati sanitari elettronici delle persone che abbiano in cura, indipendentemente dallo Stato membro di affiliazione e dallo Stato membro di cura. Inoltre, si vuole fornire accesso ai dati sanitari elettronici a chi intenda trattarli per finalità ulteriori rispetto a quella di cura, come la ricerca scientifica, mediante l’intervento di appositi organismi responsabili dell’accesso ai dati.

Questo, in breve, il quadro generale in cui si inserisce la riforma del Fascicolo realizzata dal decreto del 7 settembre, che per alcuni aspetti ha riconfermato la disciplina previgente, e per altri ha introdotto delle novità.

Tra le conferme, il c.d. “ diritto all’oscuramento ”, ossia il diritto dell’assistito a far sì che determinati documenti non siano più visibili nel Fascicolo, oscurando anche l’avvenuto oscuramento, con una scelta reversibile e revocabile. Tra le novità, la previsione di una responsabilità in capo ai soggetti che concorrono all’alimentazione del fascicolo ove questi non provvedano all’alimentazione, o lo facciano in maniera intempestiva o inesatta, ma anche l’effettiva possibilità per l’assistito di delegare altri soggetti ad accedere al Fascicolo ed altresì ad esprimere il consenso necessario per la consultazione.

L’art. 8 del decreto, infatti, specifica che la consultazione dei dati e dei documenti del Fascicolo da parte dei terzi – e quindi dei soggetti diversi dall’interessato, come i professionisti sanitari – per le finalità di diagnosi, cura e riabilitazione, prevenzione e profilassi internazionale, può avvenire solo dopo che l’assistito ha espresso il proprio consenso, previa presa visione dell’informativa privacy.

Secondo il comunicato dell’Autorità Garante, le violazioni della normativa in materia di protezione dei dati personali da parte delle 18 Regioni e delle due Province autonome del Trentino Alto Adige originano dalla circostanza che queste abbiano “modificato, anche significativamente, il modello di informativa predisposto dal Ministero, previo parere del Garante, che avrebbe dovuto essere adottato su tutto il territorio nazionale”. Infatti “le difformità riscontrate hanno reso evidente che alcuni diritti (es. oscuramento, delega, consenso specifico) e misure (es. misure di sicurezza, livelli di accesso differenziati, qualità dei dati) introdotte dal decreto, proprio a tutela dei pazienti, non sono garantite in modo uniforme in tutto il Paese. Oppure sono esercitabili ed esigibili solo dagli assistiti di talune Regioni e Province autonome, con un potenziale e significativo effetto discriminatorio sugli assistiti”.

La vicenda mette in evidenza che il processo di potenziamento del Fascicolo è una sfida e richiederà attenzione e aggiustamenti. L’obiettivo perseguito è di grande importanza: la circolazione dei dati sanitari, adeguatamente protetti, per una digitalizzazione che, come si legge nel PNRR, miri a “garantire il miglior livello di assistenza sanitaria a tutti i cittadini”.

______
*A cura dell’Avv. Giorgia Bianchini, DigitalMediaLaws

Se questo articolo è stato di tuo interesse ma non sei ancora abbonato a NT+ Diritto approfittane subito,prova 1 mese da € 4,90!Scopri di più