Pare veramente incredibile che a quasi un anno dalla pubblicazione del DM 7 settembre 2023 sul nuovo Fascicolo Sanitario Elettronico 2.0, il Garante Privacy sia obbligato ad intervenire nei confronti di ben 18 Regioni italiane per presunte violazioni nel settore della protezione dei dati.
Pare incredibile per due ragioni in particolare.
FSE 2.0: uno dei pilastri della nuova sanità
La prima è che il FSE 2.0 è uno dei cuori della nuova architettura della sanità Digitale Italiana.
Tre infatti sono i poli intorno ai quali girerà il nuovo sistema: il FSE 2.0 che raccoglie in una singola infrastruttura informazioni utilizzabili per finalità pubbliche, come studio, ricerca, valutazione della qualità, gestione delle spese e politiche della sanità pubblica (Legge 179/2012 e DM 07/09/2023) , la Piattaforma di Intelligenza Artificiale a supporto della assistenza sanitaria primaria, per ottimizzare ed integrare i processi di presa in carico del paziente (PNRR – Missione 6 componente 1), e l’Ecosistema dei Dati Sanitari (EDS) alimentato da dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del SSN e dal sistema Tessera Sanitaria, con l’obiettivo garantire il coordinamento informatico e servizi omogenei (legge 25/2022).
Tre sistemi che operano tutti sui dati e che potranno raggiungere i propri obiettivi solo se la loro efficienza sarà accompagnata da un ambiente che protegge i dati dei cittadini, creando quindi fiducia nel sistema stesso.
Il complesso iter che ha portato al DM sul FSE 2.0
La seconda ragione è il complesso iter che ha portato alla stesura del DM 7 settembre 2023 sul FSE 2.0.
La collaborazione tra Ministero della Salute e Garante Privacy
Intensissima infatti è stata la collaborazione tra Ministero della Salute e Garante Privacy che su questo decreto ha emanato ben due pareri: il primo in data in 22 agosto 2022 [9802729] ed il secondo in data 8 giugno 2023 [9900433].
Da tale complesso lavoro è scaturito un Decreto Ministeriale che, seppur esterno al corpus normativo proprio della protezione dei dati, di fatto ha un contenuto quasi completamente inerente alla materia della protezione dei dati: un atto cioè che si presenta come un ottimo modello per scrivere le regole sulla protezione dei dati nella costituzione di un amplissimo registro di raccolta dei dati.
A fronte di ciò – della rilevanza del FS 2.0 e del dettaglio della disciplina – oggi ben 18 regioni sono a rischio di inadempienza rispetto al nuovo quadro giuridico.
Vediamo allora quali sono le contestazioni
Le 18 regioni nel mirino del Garante privacy
Il Garante Privacy ha notificato a 18 Regioni e alle Province autonome di Bolzano e Trento l’avvio di procedimenti correttivi e sanzionatori per le numerose violazioni riscontrate nell’attuazione della nuova disciplina sul FSE 2.0 (DM 7 settembre 2023).
Tale approccio si porrebbe, difatti, in contrasto con lo spirito della riforma del nuovo Fascicolo Sanitario Elettronico (FSE 2.0), volta a introdurre misure, garanzie e responsabilità omogenee sul tutto il territorio nazionale, rischiando così di compromettere anche la funzionalità, l’interoperabilità e l’efficienza del sistema FSE 2.0.
L’Autorità ha reso nota tale situazione critica affermando che “è urgente intervenire per tutelare i diritti di tutti gli assistiti italiani coinvolti nel trattamento dei dati sulla salute effettuato attraverso il FSE 2.0”.
Panoramica sul decreto FSE 2.0 e violazioni riscontrate dall’Autorità
Il decreto del Ministero della salute del 7 settembre 2023 sul Fascicolo sanitario elettronico 2.0 (‘decreto FSE 2.0’) è stato pubblicato in GU il 24 ottobre 2023 (G.U. 249/2023).
Il decreto, attua le disposizioni di cui al comma 7 dell’art. 12 del decreto-legge 18 ottobre 2012, n. 179 (disciplina più molte modificata, specie nel periodo COVID) individuando i nuovi contenuti del FSE, nonché i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti dell’assistito, le modalità e i livelli diversificati di accesso al FSE da parte dei soggetti di cui ai commi 4, 4-bis, 4-ter e 5 del predetto art. 12.
L’importanza del FSE 2.0, appare palese nella lettura dell’art. 15 del DM stesso, ove si afferma che il FSE 2.0 è “uno strumento a disposizione dell’assistito, che può consentirne, attraverso l’espressione del consenso, l’accesso in consultazione ai soggetti del SSN e dei servizi sociosanitari regionali, nonché agli esercenti le professioni sanitarie che lo prendono in cura, anche al di fuori del SSN”.
Cosa contiene il FSE 2.0
Invece, con riguardo al contenuto del FSE si menziona l’art. 3, il quale indica che il FSE contiene dati e documenti, riferiti anche alle prestazioni erogate al di fuori del Servizio sanitario nazionale, e riguarda:
- dati identificativi e amministrativi dell’assistito (esenzioni per reddito e patologia, contatti, delegati);
- referti, inclusi quelli consegnati ai sensi del decreto del Presidente del Consiglio dei ministri 8 agosto 2013, pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 243 del 16 ottobre 2013;
- verbali pronto soccorso;
- lettere di dimissione;
- profilo sanitario sintetico, di cui all’art. 4;
- prescrizioni specialistiche e farmaceutiche;
- cartelle cliniche;
- erogazione farmaci a carico SSN e non a carico SSN;
- vaccinazioni;
- erogazione di prestazioni di assistenza specialistica;
- taccuino personale dell’assistito, di cui all’art. 5;
- dati delle tessere per i portatori di impianto;
- lettera di invito per screening.
L’informativa agli assistiti e la formazione del personale coinvolto nel trattamento
Importante, poi, ricordare l’art. 7 del decreto succitato, il quale afferma che “in ottemperanza all’adempimento di cui agli articoli 13 e 14 del Regolamento UE 2016/679 (GDPR), quale presupposto di liceità del trattamento, entro tre mesi dalla data di entrata in vigore del presente decreto, deve essere fornita all’assistito, da parte del Ministero della salute, delle regioni e province autonome, idonea informativa che espliciti i trattamenti dei dati del FSE”. Inoltre, il comma terzo della disposizione stabilisce la necessità del titolare del trattamento di formare adeguatamente il personale coinvolto nel trattamento sugli aspetti rilevanti la disciplina della protezione dei dati personali, al fine di garantire un più efficace rapporto con gli assistiti e assicurare una piena comprensione degli elementi indicati nell’informativa.
Non da ultimo, il quarto e ultimo comma della disposizione osserva che “al fine di garantire all’interessato informazioni omogenee e uniformi nel territorio nazionale, il Ministero della salute predispone, in collaborazione con le regioni e province autonome, un modello di informativa che mette a disposizione attraverso la pubblicazione sull’area pubblica del Portale nazionale FSE”.
Modifiche all’informativa in 18 Regioni
Proprio in relazione al delicato tema dell’informativa, va considerato che al termine dell’istruttoria del Garante sul FSE avviata alla fine di gennaio, è risultato che 18 Regioni italiane e le due Province autonome di Trento e Bolzano hanno modificato, anche in maniera significativa, il modello di informativa predisposto dal Ministero che avrebbe dovuto essere adottato su tutto il territorio nazionale, andando così in contrasto con l’art. 7 del decreto del 7 settembre 2023.
Si è posta particolare attenzione, in questo contesto, all’informativa privacy, ma vi sono ulteriori disposizioni del decreto da tenere in considerazione, anche alla luce delle violazioni riscontrate dal Garante. Il decreto, ad esempio, disciplina svariati temi, come: i dati soggetti a maggiore tutela dell’anonimato (art. 6), i consensi dell’assistito alla consultazione (art. 8), i diritti dell’assistito (art. 9), il periodo di conservazione dei dati (art. 10), l’accesso (artt. 11, 15, 20), le misure di sicurezza (art. 25).
Difformità che creano effetti discriminatori
Secondo il Garante, le difformità riscontrate all’esito dell’istruttoria hanno reso evidente che alcuni diritti (es. oscuramento, delega, consenso specifico) e misure (es. misure di sicurezza, livelli di accesso differenziati, qualità dei dati), introdotte dal decreto per tutelare i pazienti, non sono garantite in modo uniforme in tutto il paese, oppure sono esercitabili ed esigibili solo dagli assistiti di talune Regioni e Province autonome. Ciò, a parere dell’Autorità genera, potenzialmente, un pericoloso effetto discriminatorio sugli assistiti.
Conclusioni
È evidente come il comportamento delle Regioni palesi una ancora troppo scarsa attenzione della sanità pubblica nei confronti della materia della protezione dei dati in un’epoca sempre più digitale.
Ed il tema non è solo il dato, ma è la stabilità del sistema democratico stesso, il quale si fonda sull’equo trattamento di tutti i suoi componenti, senza distinzioni.
Dunque, proprio la mancanza di una tutela diffusa ed efficace nei confronti dei cittadini italiani ha portato il Garante privacy ad agire, tramite istruttoria, e poi avviare dei procedimenti sanzionatori e correttivi nei confronti delle 18 regioni e delle provincie autonome di Trento e Bolzano.
Il Garante privacy ha, infatti, fin dal principio espresso l’imprescindibilità della tutela, indistinta, dei diritti fondamentali delle persone nell’ambito dell’innovazione digitale e lo ha fatto evidenziano come il rispetto delle regole e dei principi fondamentali per garantire i diritti e le libertà delle persone fisiche siano gli elementi principali di ogni società civile. Ciò assume ancora più rilevanza con riguardo a un ambito delicatissimo come quello sanitario, essenziale per garantire il rispetto dei diritti umani e, al tempo stesso, per assicurare la stabilità del paese.
