Fascicolo Sanitario Elettronico: via libera dal Garante Privacy

Il Garante Privacy ha espresso parere favorevole a uno schema di D.p.c.m.- il primo di una serie di decreti attuativi previsti dall’articolo 12, comma 7, del decreto-legge 18 ottobre 2012, n. 179 – che consentirà a Regioni e Province autonome di dare il via al Fascicolo Sanitario Elettronico.

Il Contenuto del Decreto

Il D.p.c.m. si compone di 30 articoli ed è strutturato in sette capi; esso, poi, prevede anche un disciplinare tecnico, che è stato allegato allo stesso.

Il capo I disciplina il contenuto del FSE (nucleo minimo e dati integrativi), il profilo sanitario sintetico o “patient summary“, che riassume la storia clinica del paziente per un suo rapido inquadramento sanitario al momento del contatto con il SSN, il taccuino personale dell’assistito, il trattamento di dati soggetti a maggior tutela di anonimato, le diverse forme di consenso all’utilizzo dei dati, l’informativa e gli altri diritti dell’interessato, nonché le sue modalità di accesso al FSE (artt. 3-10).

Nel capo II si disciplina i trattamenti per finalità di cura, individuando nei soggetti del SSN e dei servizi socio-sanitari che hanno in cura l’assistito i titolari del trattamento di tutti i dati e documenti presenti nel FSE. Vengono, poi, specificati le modalità di alimentazione del FSE e di accesso alle informazioni, consentito ai predetti soggetti previo consenso dell’interessato, salvo i casi di accesso in emergenza (artt. 11-15).

Il capo III riguarda, invece, i trattamenti effettuati per finalità di ricerca: in questo caso i titolari del trattamento sono le regioni, le province autonome e il Ministero della salute. Per tali finalità possono essere trattati i dati presenti nei documenti individuati all’articolo 3, purché privati dei dati identificativi diretti dell’assistito.

Analoghe disposizioni sono previste nel capo IV per i trattamenti effettuati per finalità di governo, la cui titolarità è riconosciuta anche al Ministero del lavoro e delle politiche sociali, per le competenze attribuite dalla legge (artt. 19 e 20). Di particolare importanza è la disciplina dell’accesso alle informazioni del FSE per finalità di governo e del relativo trattamento rispetto ai diversi soggetti titolari del trattamento (art. 21).

Da ultimo, il capo V è dedicato alle regole tecniche e di sicurezza, secondo le specifiche di cui al disciplinare tecnico allegato. In particolare, l’accesso ai dati contenuti nel FSE è consentito, per tutte le finalità previste, solo utilizzando le modalità e gli strumenti previsti dall’articolo 64 del codice dell’amministrazione digitale (d.lg. n. 82/2005) (art. 24, comma 2). Devono essere adottati idonei accorgimenti per evitare il rischio di accessi abusivi alle informazioni, anche ricorrendo a tecniche crittografiche (art. 24, comma 4), e sono assicurati idonei sistemi di autenticazione e di autorizzazione, protocolli di comunicazione sicuri, criteri per la cifratura dei dati, la tracciabilità degli accessi e delle operazioni, sistemi di audit log, procedure di anonimizzazione degli elementi identificativi diretti (art. 24, comma 5), nonché sistemi di codifica dei dati che assicurino l’interoperabilità semantica nei diversi contesti regionali, nazionali ed europei (artt. 25 e 26).

Il parere del Garante

Il testo che ha avuto l’ok del Garante sancisce, in particolare, che il paziente sia informato chiaramente e possa decidere con maggiore consapevolezza se prestare il consenso all’alimentazione del FSE (in mancanza del quale il fascicolo rimarrà vuoto e quindi non accessibile, né per finalità di cura, né per le altre finalità previste dallavlegge), e in caso positivo, decidere se dare anche il consenso per finalità di cura (in mancanza del quale il fascicolo potrà essere utilizzato solo per finalità di monitoraggio, programmazione e ricerca, per le quali non è richiesto alcun consenso).

Il paziente potrà decidere, inoltre, con uno specifico e ulteriore consenso, se far inserire nel FSE alcune informazioni di particolare delicatezza (sieropositività, interruzione volontaria di gravidanza, violenza sessuale, pedofilia, uso di sostanze stupefacenti, parto in anonimato).

Gli accessi al FSE da parte degli operatori del Ssn dovranno, poi, essere tracciabili e la consultazione del fascicolo dovrà essere limitata al personale sanitario che abbia in cura effettivamente il paziente, ed esclusivamente per il tempo necessario. Per scongiurare il rischio di accessi abusivi, lo schema è stato integrato prevedendo l’obbligo per il titolare del trattamento di avvisare immediatamente il Garante nel caso in cui i dati trattati nell’ambito del Fse subiscano violazioni (c.d. “data breach“: derivanti da attacchi informatici, incendi o altre calamità).

In chiusura si segnala un dettaglio “curioso”: pur non essendo stato pubblicato e pur non avendo ancora ricevuto, ai tempi, il via libera del Garante, le “Linee guida per la presentazione dei piani di progetto regionali per il FSE” (pubblicate lo scorso 31 marzo), erano state redatte facendo riferimento al testo del pubblicando decreto…

Luca Zenarolla

Avvocato, mi occupo sin dai tempi dell'Università di diritto delle nuove tecnologie. Sono il presidente del Centro Innovazione & Diritto.

Lascia un commento