Per ottenere alcuni tra i fondi previsti dal PNRR per la Salute, il Paese dovrà dimostrare un certo livello di digitalizzazione del proprio sistema nazionale sanitario. Ma in che termini e in che tempi?
Il FSE 2.0 pilastro della sanità post-covid, ma senza competenze digitali non sarà vera svolta
Si tratta del Fascicolo Sanitario Elettronico, ma non solo. In realtà, la prima disciplina della materia è intervenuta circa dieci anni fa, nell’ottobre 2012, eppure ad oggi la transizione digitale dei servizi per la salute non sembra ancora essere stata completata, ed in alcuni casi neppure avviata. Quanto costerebbe al Paese perdere questa occasione di compliance?
Nel presente articolo si mira a fare un punto su raccomandazioni e obblighi che governi e garanti hanno impartito alle autorità locali, alle strutture pubbliche e a quelle private, ma anche ai medici “di famiglia” e agli enti di ricerca, per provare a capire il livello di consapevolezza ed engagement della sanità italiana, ma anche le opportunità offerte in termini di efficienza (e di business) dall’attuale scenario.
Cosa prevede il PNRR sul Fascicolo Sanitario Elettronico
Il Piano Nazionale di Ripresa e Resilienza, meglio noto come PNRR, prevede, tra gli altri, uno stanziamento pari a 2 miliardi e 800 milioni di euro per la digitalizzazione del sistema sanitario nazionale. Tra gli obiettivi da raggiungere per l’erogazione di tale investimento rientra anche il “potenziamento” del Fascicolo Sanitario Elettronico.
Potenziamento, esatto: il FSE, infatti, è stato istituito molto tempo fa, con il decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, successivamente novellato nel 2020, ma a quanto pare non è stato sufficiente un decennio per l’adeguamento dei sistemi informativi di enti locali, strutture e studi professionali coinvolti in questo progetto innovativo.
Di potenziamento parla il titolo delle nuove Linee guida emanate dal Decreto Legge del 20 maggio 2022 del Ministero per l’Innovazione tecnologica e digitale e del Ministero dell’economia e pubblicate nel luglio scorso, con la finalità di indirizzare verso quell’adeguamento che, se non posto in essere per tempo, costerebbe al Paese la perdita di una importante occasione, non soltanto economica.
Nonostante non siano mancati gli interventi su standard minimi, contenuti ed architettura, infatti, ad oggi nel panorama nazionale si denotano importanti lacune e disomogeneità.
Le differenze di utilizzo e servizi FSE tra le regioni
Il FSE è attivo a livello nazionale ma risulta solo parzialmente utilizzato e sicuramente ben al di sotto delle sue potenzialità: solo alcune Regioni, infatti, hanno provveduto a predisporre progetti di digitalizzazione della sanità e, quindi, ad implementare il FSE in toto, ed in ragione di ciò l’obiettivo della interoperabilità tra i sistemi è stato solo parzialmente realizzato.
L’indagine condotta sul territorio mostra che solo alcuni servizi del FSE sono disponibili, che il nucleo minimo di documenti clinici previsti non è stato pienamente implementato in tutte le Regioni e che i dati che hanno popolato (in residue ipotesi in maniera completa) il Fascicolo non presentano una “struttura” adeguata secondo quella che dovrebbe essere l’architettura tecnologica idonea all’erogazione di tutti i servizi.
La conseguenza è che quei pochi dati caricati (da pochi) risultano difficilmente consultabili ed impiegati per scopi analitici (una tra le attività offerte dalle funzionalità del nuovo sistema). In buona sostanza, nel nostro Paese, si assiste ancora una volta al divario tra enti virtuosi, con un 85% di efficienza in più grazie alla digitalizzazione, e realtà arretrate in deroga alla normativa.
Le linee guida di luglio 2022
È questa la ragione che porta all’emanazione delle Linee guida di luglio 2022, per il PNRR e non solo.
Le linee guida, infatti, non svolgono la sola funzione di supporto nel percorso di digitalizzazione, ma rivolgono raccomandazioni puntuali e fungono da riferimento per le verifiche finali ai fini dell’adozione definitiva del FSE. L’obiettivo è quello di rendere l’originario FSE punto unico ed esclusivo di accesso per i cittadini al SSN, ma anche ecosistema di servizi basati sui dati per i professionisti sanitari per la diagnosi e cura dei propri assistiti, utili altresì per effettuare analisi cliniche e migliorarne l’erogazione, per una assistenza sempre più personalizzata al paziente.
Non bisogna dimenticare, infatti, che i dati presenti nei sistemi informativi su base individuale del SSN saranno arricchiti con le informazioni non relative alla salute detenute da altre pubbliche amministrazioni (es. dati reddituali detenuti dall’Agenzia delle Entrate), per poi essere messi a disposizione, anche in questo caso mediante interconnessione, delle amministrazioni citate nell’art. 2-sexies, comma 1 bis, del Codice Privacy: è qui che subentra lo schema di decreto per la realizzazione dell’Ecosistema Dati Sanitari (EDS). Una vera e propria rivoluzione digitale, avviata ma forse non ancora del tutto percepita.
I requisiti di attuazione obbligatori e raccomandati
Ma concretamente cosa comporta la digitalizzazione della sanità? Ai destinatari della normativa sul FSE – che, come noto, comprendono Regioni, strutture sanitarie pubbliche, ma anche strutture sanitarie private convenzionate ed enti di ricerca – è richiesta la verifica e implementazione di requisiti obbligatori da attuare nel breve termine ed entro la durata del PNRR, ma anche di requisiti raccomandati.
Tra i requisiti obbligatori rientrano:
- uniformare a livello nazionale i servizi del FSE già esistenti per cittadini ed operatori sanitari;
- estendere il nucleo minimo di documenti obbligatori del FSE e perfezionare la loro standardizzazione unitamente a quella dei documenti integrativi implementati dalle Regioni;
- evolvere l’infrastruttura di interoperabilità del FSE mediante la realizzazione di un indice nazionale, di una anagrafe nazionale degli assistiti e una componente per l’acquisizione dei dati e documenti dai loro sistemi produttori;
- adottare un sistema per il controllo ed il monitoraggio della qualità delle informazioni cliniche che alimentano il FSE;
- istituzionalizzare e governare processi di standardizzazione a livello nazionale delle diverse dimensioni del FSE.
Sembrerebbe tutto da fare, ma in realtà si tratta di quei requisiti già da tempo previsti dalla normativa, a prescindere quindi dall’obiettivo del PNRR.
Entro la durata del PNRR, invece, si tratta di estendere l’accesso ai dati clinici (non più solo dei documenti) anche a cittadini ed operatori sanitari:
- per il loro utilizzo nelle attività di prevenzione e cura svolte dai MMG/PLS e dai medici specialisti;
- per il loro impiego da parte dei farmacisti;
- per il loro uso da parte delle istituzioni sanitarie per attività come la programmazione sanitaria e la prevenzione.
Ancora, è richiesto di alimentare il FSE con dati clinici “standardizzati” attraverso l’uso di sistemi di codifica e dizionari, acquisiti nelle attività di prevenzione, diagnosi e cura condotte dai professionisti sanitari sugli assistiti, secondo target PNRR, dati di telemedicina, dati generati autonomamente dai pazienti ed imaging.
È richiesto di attuare una nuova architettura del FSE, completa di un repository di dati clinici centrale in standard HL7 FHIR (opzionalmente riusabile anche a livello locale) e potenziata da nuove componenti di interoperabilità, e di adottare strumenti di Advanced Analytics, anche basati su tecniche di Intelligenza Artificiale per l’elaborazione dei dati clinici del FSE, in modo tale da mettere a disposizione i dati clinici per la ricerca.
Infine, si raccomandano requisiti per realizzare servizi basati sui dati clinici, ulteriormente estesi a dati omici, genetici ed epigenetici, per una cura sempre più personalizzata sull’assistito, e per metterli a disposizione delle Istituzioni Sanitarie per finalità di governo.
Le linee guida e i provvedimenti del Garante Privacy
Non si tratta delle prime ed uniche Linee guida sul trattamento di dati personali in ambito sanitario. Sempre valide, infatti, rimangono le Linee guida dell’Autorità garante per la protezione dei dati personali per le strutture sanitarie pubbliche e private che svolgono attività di prevenzione, diagnosi, cura, riabilitazione e tutte le attività amministrative correlate, trattando prevalentemente e sistematicamente dati sanitari, emanate oltre 15 anni fa ma tuttora attuali, oltre che prezioso punto di riferimento per consulenti e DPO.
Senza contare che ulteriori principi e indirizzi possono essere desunti dai plurimi provvedimenti sanzionatori della stessa Autorità: ad esempio, sul tema della refertazione online, il provvedimento del 7 marzo 2019 ha chiarito circa le modalità di consegna del referto (di cui al DPR 8 agosto 2013, art. 5) che i trattamenti di tale sorta debbono essere effettuati previo consenso esplicito dell’interessato, con la conseguenza che invitare i pazienti ad inviare i referti tramite email, se posto in essere in assenza di esplicito e specifico consenso e previa valutazione del rischio connesso, anche lato security, costituisce una palese violazione dei principi del trattamento, oltre che delle norme sulle misure di sicurezza (artt. 24 e 32 GDPR).
Senza contare ogni possibile considerazione sul tema dei trasferimenti extra UE a fronte del recente provvedimento “Caffeina” su Google Analytics del 9 giugno scorso (quanti medici italiani, infatti, utilizzano Gmail? E quanti di questi hanno provveduto a verificare il fornitore Google, anche sul punto del trasferimento di dati negli USA?).
Le opportunità di assessment e rilancio dei servizi
Ciò detto, l’occasione certamente si rivelerà foriera di una seria attività di assessment e di remediation per la compliance data protection e la resilienza dei sistemi informativi (non si dimentichi, infatti, in ambito sanitario, l’applicabilità della Direttiva NIS – ora NIS 2 – nonché il ruolo del Centro di Valutazione e Certificazione Nazionale), oltre che di un più generale incentivo alla digitalizzazione delle PA (e non solo).
È questo il momento in cui, anche e soprattutto per il raggiungimento degli obiettivi del PNRR, i destinatari – dagli enti locali alle strutture convenzionate, dai liberi professionisti alle fondazioni per la ricerca – sono chiamati a verificare (pre-assessment) lo stato attuale dei sistemi coinvolti nell’architettura tecnologica, delle procedure adottate a livello organizzativo, dei presidi tecnici ed organizzativi a tutela delle informazioni raccolte, personali e non.
Se, da un lato, l’impresa potrebbe apparire mastodontica, vista e considerata la vastità della materia ed il suo timing, dall’altro, essa, se sfruttata come occasione di efficientamento e rilancio dei servizi sanitari, potrebbe produrre seri risultati in termini di competitività e sviluppo del territorio, solo a pensare alla struttura della supply chain.
Il possibile miglioramento della produzione normativa
Non mancherebbero le occasioni di miglioramento neppure per la produzione normativa: è di settembre il comunicato recante il parere reso dal Garante privacy sullo schema di decreto ministeriale per l’adozione dell’Ecosistema Dati Sanitari (EDS), con cui nel rilevare l’importanza di completare la diffusione del Fascicolo Sanitario Elettronico quale obiettivo nella Missione 6 del PNRR.
Si osserva infatti che tale schema di decreto, per i profili di competenza, oltre a non risultare coerente con il quadro normativo complessivo di settore, reca profili di violazione della disciplina rilevante in materia di protezione dei dati personali che impongono la necessità di operare una profonda revisione del testo.
In particolare, l’Autorità con il proprio parere ha evidenziato il necessario coordinamento nella predisposizione dello schema di decreto con i citati emanandi decreti, considerato il livello di interconnessione, tale per cui è necessario che le misure tecniche e organizzative da introdurre nell’attuazione delle richiamate disposizioni a tutela dei diritti fondamentali dell’interessato e dei principi generali del trattamento siano tra di loro coerenti.
In ragione di ciò, i decreti dovrebbero e dovranno delineare i rapporti tra le diverse componenti degli strumenti di sanità digitale, descrivendo la titolarità dei trattamenti effettuati attraverso gli stessi, individuando le responsabilità e i compiti dei soggetti che se ne avvalgono, non senza l’allegazione della relativa valutazione d’impatto.
