Con provvedimento n. 256 del 8 giugno 2023 il Garante Privacy ha emesso il parere sullo schema di decreto del Ministero della Salute sul Fascicolo Sanitario Elettronico (FSE). Nell'agosto 2022 il Garante Privacy si era già espresso sia sullo schema di decreto che prevede la realizzazione della nuova banca dati Ecosistema Dati Sanitari (EDS) che sullo schema di decreto sul FSE, esprimendo parere negativo e chiedendo al Ministero di riformulare gli schemi di decreto, nel rispetto della normativa sulla privacy.
Dal primo parere negativo reso dal Garante sono emerse numerose carenze strutturali e sostanziali all'interno della bozza di decreto, fra cui spicca la mancanza di garanzie uniformi per il pieno rispetto dei diritti e delle libertà fondamentali dei pazienti: per questo motivo, il nuovo schema di decreto sul FSE è frutto di un'intensa interlocuzione tra il Ministero della Salute e l'ufficio del Garante Privacy, nel corso della quale si è delineata la necessità di procedere per gradi, predisponendo prima il decreto FSE e solo in un secondo momento quello sull'EDS, procedendo altresì al conseguente adeguamento del decreto interministeriale riguardante l'Infrastruttura Nazionale di Interoperabilità (INI).
Il nuovo schema di decreto sul FSE così realizzato dal Ministero risponde ai correttivi richiesti con il precedente parere negativo del 2022 e tiene conto del fatto che il FSE è istituito presso le regioni e le province autonome, ma può anche essere utilizzato, per differenti finalità, da una molteplicità di soggetti, sulla base di diversi presupposti di liceità; lo schema di decreto, perciò, definisce la funzione di tutti questi enti in relazione ai ruoli che rivestono nel trattare i dati personali e in base ai diversi modelli architetturali che le regioni o le province autonome possono adottare nella realizzazione del FSE (modello centralizzato, decentralizzato, in sussidiarietà), definendo misure e livelli di tutela uniformi su tutto il territorio nazionale.
1.1 Ambito di applicazione del FSE
Il vecchio schema di decreto sul FSE bocciato nell’estate 2022 non era correttamente coordinato con il Regolamento in materia di Fascicolo sanitario elettronico e con il decreto del Ministero della salute del 18 maggio 2022 contenente l'integrazione dei dati essenziali che compongono i documenti del FSE.
In particolare, il decreto del 18 maggio 2022 era andato a modificare il vecchio regolamento sul FSE, che avrebbe dovuto perciò cessare di avere efficacia con l'emanando decreto (per capirci, quello bocciato dal Garante Privacy).
Lo schema di decreto approvato dal Garante Privacy nel giugno 2023, per ovviare a questo inconveniente, prevede espressamente la cessazione dell'efficacia del Regolamento in materia di FSE del 2015, a eccezione dei capi III e IV, che rimarranno in vigore fino all'adozione delle specifiche disposizioni per finalità di ricerca e di governo. Inoltre, è stato precisato che dal giorno successivo all'entrata in vigore dello schema di decreto in esame è prevista la cessazione dell'efficacia anche del decreto ministeriale del 18 maggio 2022.
1.2 Contenuti del FSE
Il FSE conterrà, naturalmente, i dati relativi alle esenzioni dal pagamento ticket per reddito e i relativi codici di esenzione, che nel nuovo schema di decreto saranno consultabili dal solo interessato, nel rispetto del principio di minimizzazione sancito dal GDPR.
Per quanto concerne, invece, le esenzioni per patologia, posto che queste non sono detenute dal sistema Tessera Sanitaria (TS), servirà un nuovo decreto ministeriale per stabilire le modalità e le misure tecniche e organizzative necessarie a garantire la sicurezza del trattamento dei dati, dei diritti e delle libertà degli interessati, con cui il sistema TS renderà disponibilità ai FSE tutti i dati presenti negli archivi del sistema TS, compresi quelli inerenti alle esenzioni per patologia.
La nuova disciplina in materia di contenuti del FSE prevede, inoltre, che al momento dell'oscuramento della prescrizione siano automaticamente oscurati anche i documenti collegati all'erogazione delle prestazioni indicate e i relativi referti.
Visualizza e scarica la Guida
Il nuovo decreto sul FSE, completamente riscritto dopo la bocciatura del 2022, specifica in maniera completa e analitica come trattare e tutelare i dati dei pazienti. Approfondisci nella Guida Consulcesi Club creata per te
Accesso al FSE in emergenza
Nell'ipotesi in cui il paziente non abbia prestato il proprio consenso al FSE per finalità di cura e si trovi in condizione di impossibilità fisica, incapacità di agire, di intendere o di volere, oppure di rischio grave, imminente e irreparabile per la sua salute o incolumità fisica si pone il problema dell'accesso al FSE per potergli offrire assistenza sanitaria ed eventualmente salvargli la vita.
Nel corso delle varie interlocuzioni tra il Ministero e il Garante per la redazione del nuovo schema di decreto, la Società italiana medicina di emergenza-urgenza ha evidenziato che una delle maggiori criticità nella gestione del paziente critico in Medicina d'Emergenza-Urgenza risiede proprio nella carenza o nella totale assenza di informazioni sulla storia clinica recente e passata. È stato inoltre evidenziato che la semplice sintesi della storia clinica del paziente (il cosiddetto Patient Summary) presente nel FSE è insufficiente, poiché per salvare la vita in situazioni di emergenza-urgenza è cruciale poter attingere direttamente al dato originale di numerose possibili informazioni.
La nuova bozza di decreto, recependo queste osservazioni, prevede che in caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere e di rischio grave, imminente e irreparabile per la salute o l'incolumità fisica del paziente che non abbia espresso il consenso alla consultazione per finalità di cura dei dati del proprio FSE, gli operatori del SSN e dei servizi socio-sanitari regionali, nonché gli esercenti le professioni sanitarie, potranno accedere prioritariamente al Profilo Sanitario Sintetico (PSS) del medesimo interessato e, ove necessario, agli ulteriori dati e documenti del FSE, a eccezione di quelli per i quali lo stesso abbia richiesto l’oscuramento, in ogni caso solo dopo averne verificato l’incapacità fisica o giuridica di esprimere il consenso e per il tempo strettamente necessario ad assicurare allo stesso le indispensabili cure o fino a quando l’interessato non sia nuovamente in grado di esprimere la propria volontà al riguardo.
2.1 I diritti degli interessati
Il nuovo schema di decreto sul FSE, in applicazione del principio di trasparenza, garantisce il diritto di oscuramento di tutti i dati presenti in ogni partizione del Fascicolo Sanitario Elettronico, indicando anche le conseguenze dell’oscuramento sulla consultabilità dei dati e dei documenti per le diverse finalità perseguibili attraverso il FSE. Viene assicurata, inoltre, l’immediata efficacia dell’istanza presentata dal paziente per l’oscuramento dei dati contenuti nel fascicolo sanitario.
Gli accessi effettuati al proprio FSE saranno visibili esclusivamente al paziente, il quale potrà decidere liberamente in qualunque momento di renderli visibili a terzi attraverso una manifestazione di volontà specifica ed espressa, da rendere al soggetto erogante la prestazione, il quale sarà direttamente responsabile in caso di mancato oscuramento dei dati o dei documenti oggetto della richiesta del paziente.
Sempre con riferimento al diritto del paziente di visionare gli accessi da parte di un professionista al suo FSE, il decreto precisa che il paziente potrà conoscere:
- la tipologia di dato o documento oggetto dell’operazione di accesso da parte del professionista,
- la tipologia di operazione effettuata (alimentazione o consultazione del FSE),
- categoria di soggetto che ha effettuato l’accesso, senza generalità (assistito, delegato dell’assistito, medici di medicina generale, pediatri di libera scelta, struttura sanitaria, unità organizzativa regionale o provinciale competente in materia di prevenzione sanitaria, unità organizzativa del Ministero della salute),
- data e ora dell’operazione,
- per le operazioni di accesso in mera consultazione, finalità dell’operazione.
Il Profilo sanitario sintetico
Il titolare del trattamento dei dati contenuti nel Profilo Sanitario Sintetico (PSS) è la Regione o la ASL di assistenza, in base all’architettura del FSE adottata dalla singola regione o provincia autonoma di competenza. Ai suddetti soggetti, titolari del trattamento dei dati contenuti nel PSS, è preclusa la consultazione dei dati ivi contenuti, con l’eccezione delle ASL per le finalità di prevenzione e cura dalle stesse perseguibili.
Lo schema di decreto, per ovviare alla criticità relativa alla storicizzazione dei PSS redatti da diversi MMG/PLS durante la vita del paziente e garantire a quest’ultimo la possibilità di consultarli in qualunque momento, ha stabilito che in caso di variazione del MMG/PLS, il nuovo medico dovrà redigere un nuovo PSS e i precedenti dovranno essere conservati dalla regione o dall’ASL territorialmente competenti all’epoca della loro redazione, indicando le modalità di consultazione da parte dell’interessato.
3.1 Il Taccuino personale dell'assistito
Il Taccuino personale (TP è una sezione riservata del FSE all’interno del quale solo l’interessato, o un suo delegato, può inserire, modificare ed eliminare dati e documenti, garantendone l’esattezza e l’eventuale aggiornamento. La Regione di assistenza è il titolare del trattamento dei documenti contenuti nel TP, e su di essa grava la responsabilità di adottare le relative misure di sicurezza per la tutela dei dati.
3.2 Il dossier farmaceutico
La disciplina del Dossier Farmaceutico (DF) è stata espunta dal decreto sul FSE: trattandosi di un servizio erogato da parte dell’Ecosistema Dati Sanitari (EDS) mediante l’elaborazione di dati e documenti del FSE, il Ministero della Salute ha ritenuto più utile disciplinare il DS con il decreto sull’EDS.
3.3 L'informativa
Lo schema di decreto non contiene un modello di informativa da rendere agli interessati in merito al trattamento dei dati effettuato attraverso il FSE; questa informativa dovrebbe essere omogenea e uniforme su tutto il territorio nazionale e messa a disposizione delle Regioni e delle province autonome tramite pubblicazione sull’area pubblica del Portale nazionale FSE, quando sarà realizzato.
Il modello di informativa, a livello tecnico, dovrà essere redatto tenendo conto delle peculiarità tipiche delle due soluzioni architetturali del FSE individuate specificamente nell’allegato C della bozza di decreto, e dovrà essere costantemente aggiornato a seguito dell’attuazione delle disposizioni relative al Portale nazionale del FSE, alla medicina predittiva, all’interconnessione dei sistemi informativi, al ruolo del Sistema TS, ai servi resi da EDS e all’interconnessione del FSE con le infrastrutture nazionali e regionali di telemedicina.
3.4 Il consenso dell'interessato
Dato che il FSE può essere usato per svariate finalità, è stata prevista la possibilità per il paziente di esprimere il consenso al trattamento dei dati personali in maniera disgiunta per ogni singola finalità:
- diagnosi, cura e riabilitazione,
- prevenzione,
- profilassi internazionale.
Sono state definite, per ciascuna singola manifestazione di volontà, le conseguenze della revoca del consenso al trattamento dei dati personali, le modalità di espressione del consenso e della revoca, anche in relazione ai minori e ai soggetti sottoposti a tutela; il decreto, inoltre, specifica le modalità di alimentazione della cosiddetta anagrafe consensi.
Lo schema di decreto, nel disciplinare le modalità di accesso al FSE, pone particolare attenzione all’ipotesi in cui il paziente conferisca delega a un altro soggetto per l’accesso, e ciò attraverso:
- analitica descrizione dei trattamenti di dati connessi all’esercizio dell’istituto della delega,
- individuazione delle rispettive titolarità del trattamento, delle fattispecie legate all’accesso di un FSE di un minore o di soggetto sottoposto alle forme di tutela previste dal codice civile,
- puntuale definizione, nelle more della realizzazione del Sistema Gestione Deleghe, del numero massimo di deleghe consentite sia al delegante che al delegato, delle procedure utilizzabili per effettuare la delega, il suo rinnovo e revoca, della durata di validità e dell’ambito di operatività della delega che - in ogni caso - esclude l’accesso ai dati soggetti a maggior tutela.
3.6 I soggetti che alimentano il sistema FSE e le relative modalità
Le strutture sanitarie avranno l’onere di alimentare il FSE entro cinque giorni dall’erogazione della prestazione sanitaria, e saranno considerati responsabili in caso di mancata, intempestiva o inesatta alimentazione del fascicolo. L’attività di verifica formale e semantica dei dati e dei documenti che andranno ad alimentare il FSE, nonché il tracciamento degli accessi ai dati e documenti del FSE, dovranno avvenire attraverso soluzioni tecnologiche che non prevedono meccanismi di persistenza dei dati trattati.
Trattamenti per finalità di prevenzione
Il FSE sarà accessibile, oltre che dal personale sanitario autore del dato e del documento oggetto di accesso, solo da quello che effettivamente interviene nel percorso di cura dell’interessato (ad esempio medico, infermiere, ecc.), con esclusione dei soggetti che, pur operando in tale settore, non sono coinvolti concretamente nello specifico percorso di cura dell’interessato.
Il FSE non sarà accessibile a soggetti operanti in ambito sanitario che non perseguono finalità di cura; il decreto stila un elenco tipizzato di soggetti esclusi dall’accesso al FSE: periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, personale medico nell’esercizio di attività medico-legale quale quella per l’accertamento dell’idoneità lavorativa o per il rilascio di certificazioni necessarie al conferimento di permessi o abilitazioni.
Il FSE dovrà essere organizzato in modo da assicurare l’accesso selettivo ai dati: i soggetti abilitati dovranno poter accedere alle sole informazioni indispensabili per raggiungere lo scopo per cui stanno accedendo a quel determinato fascicolo.
A livello temporale, l’accesso al FSE dovrà essere limitato al tempo in cui si articola il processo di cura, ma sarà garantita la possibilità di accedervi nuovamente qualora ciò si renda necessario in base al tipo di trattamento medico da erogare all’interessato.
Dovranno essere previste misure tecniche e organizzative per ridurre i rischi per erroneo inserimento/associazione/attribuzione dei dati per omonimia degli interessati anche derivanti, ad esempio, da bug dei software, errori di transcodifica dei metadati nel colloquio fra sistemi e attribuzioni di identificativi errati.
4.1 Trattamenti per finalità di profilassi internazionale
Nel perseguire le finalità di profilassi internazionale, le regioni, le province autonome e il Ministero potranno avere accesso limitato al FSE, previo specifico consenso dell’interessato e fatto salvo il suo diritto a chiedere l’oscuramento. L’accesso sarà garantito solo al personale sanitario sottoposto alle regole del segreto professionale non coincidente con quello che, per altre finalità, accede a flussi di dati pseudonimizzati, al fine di ridurre il rischio di re-identificazione del paziente.
Gli Uffici della Direzione generale del Ministero della salute competente in materia di prevenzione sanitaria, nonché gli Uffici delle Regioni competenti in materia di prevenzione sanitaria, potranno accedere esclusivamente ai metadati dei documenti del FSE, privati degli elementi identificativi diretti e pseudonimizzati, per pianificare, rispettivamente, le attività di prevenzione in ambito nazionale e quelle di prevenzione nel relativo ambito territoriale, che saranno in ogni caso attuate dalle competenti ASL.
4.2 Trattamenti per finalità di governo sanitario
Potrà accedere al FSE per finalità di governo sanitario esclusivamente il personale medico sottoposto alle regole del segreto professionale operante presso la Direzione generale del Ministero competente in materia di profilassi internazionale (designata quale Centro Nazionale Italiano per il Regolamento sanitario internazionale); questo personale dovrà essere comunque diverso da quello che accede, per altre finalità, ai flussi di dati pseudonimizzati di cui è destinatario lo stesso Ministero.
Per assicurare la massima sicurezza contro la diffusione internazionale delle malattie infettive e fronteggiare eventi di sanità pubblica inaspettati, il personale sanitario operante presso la Direzione generale del Ministero della salute, previo consenso espresso del paziente, potrà trattare i soli dati e documenti del FSE rilevanti al fine di individuare:
- la circolazione di nuovi patogeni o l’emergere di sintomatologie sconosciute o di fattori di rischio ambientale e/o alimentare;
- nuovi fattori di rischio legati a patologie correlate come co-infezioni;
- lo sviluppo di nuovi casi di farmacoresistenza verso specifici gruppi di patogeni;
- possibili nuove complicanze non conosciute di alcune malattie infettive che possono portare al decesso.
I suddetti medici potranno accedere ai dati e documenti del FSE solo se la consultazione risulterà necessaria per la valutazione della situazione sanitaria dei soggetti destinatari delle seguenti azioni di competenza del Ministero:
- somministrare vaccinazioni o profilassi obbligatorie o raccomandate per soggetti diretti all’estero, su richiesta degli interessati;
- somministrare vaccinazioni o profilassi obbligatorie o raccomandate per soggetti provenienti dall’estero segnalandoli alle ASL territorialmente competenti;
- sottoporre a misure di quarantena o isolamento segnalandoli alle ASL territorialmente competenti;
- effettuare attività di contact tracing internazionale segnalandoli alle ASL territorialmente competenti;
- disporre misure di profilassi conseguenti a esposizioni ad agenti patogeni relative a soggetti che abbiano utilizzato mezzi di trasporto collettivi o soggiornato in comunità chiuse segnalandoli alle ASL territorialmente competenti.
4.3 La valutazione di impatto
L’utilizzo e l’accesso al FSE, oltre che l’istituzione (con separato decreto) del sistema EDS, comporta numerosi rischi, tra cui:
- re-identificazione del paziente in virtù dell’interconnessione tra i vari sistemi informatici,
- accessi abusivi e/o illeciti al FSE,
- rischi connessi all’integrità, esattezza e aggiornamento del dato,
- perdita e/o distruzione dei dati,
- utilizzo dei dati per finalità diverse da quelle per cui sono stati forniti,
- utilizzo dei dati connessi all’uso di nuove tecnologie basate su algoritmi e strumenti di intelligenza artificiali,
- trattamenti automatizzati che possono avere ricadute sul singolo paziente.
Per questo motivo, le regioni e le province autonome dovranno predisporre la valutazione di impatto sul trattamento dei dati contenuti nel FSE entro tre mesi dall’adozione del decreto sul FSE.
4.4 Il Parere favorevole conclusivo del Garante sullo schema di decreto FSE
Il Garante Privacy ha espresso parere favorevole al nuovo schema di decreto ministeriale sul FSE, chiedendo però che vengano fissati dei termini congrui entro i quali i soggetti coinvolti (Ministero della Salute, regioni, province autonome) dovranno fornire ai pazienti le informazioni relative ai dati trattati con il FSE ed effettuare campagne di informazione in materia spiegando ai pazienti tutti gli aspetti legati al FSE e ai diritti connessi al suo utilizzo.