Il fascicolo sanitario elettronico è un pilastro della sanità digitale. Il PNRR include investimenti volti a potenziarlo e a garantirne la diffusione su tutto il territorio nazionale. Lo scorso giugno, a quasi un anno dalla pubblicazione del decreto del Ministero della salute del 7 settembre 2023, sul FSE 2.0, il Garante Privacy è intervenuto su 18 Regioni e sulle Province autonome di Trento e Bolzano per numerose violazioni riscontrate nell’attuazione della nuova disciplina. Dopo i rilievi del Garante, il 7 agosto 2024 il Ministero della Saluto ha trasmesso all’Autorità, per il prescritto parere, uno schema di decreto. Pubblicato in Gazzetta Ufficiale il 10 febbraio, il nuovo decreto concede più tempo alle Regioni e alle Province autonome per implementare il fascicolo sanitario elettronico, prevedendo tre fasi di attuazione graduale.
“È urgente intervenire per tutelare i diritti di tutti gli assistiti italiani coinvolti nel trattamento dei dati sulla salute effettuato attraverso il Fascicolo Sanitario Elettronico 2.0”. Con questa motivazione il Garante per la protezione dei dati personali ha notificato a 18 Regioni e alle Province autonome di Trento e Bolzano l’avvio di procedimenti correttivi e sanzionatori per le numerose violazioni riscontrate nell’attuazione della nuova disciplina sul FSE 2.0, introdotta con il decreto del Ministero della salute del 7 settembre 2023. La notizia è apparsa sulla newsletter del 26 giugno 2024 della stessa Autorità che ha spiegato come nei giorni precedenti la grave situazione e l’urgenza di interventi correttivi fosse stata segnalata al Presidente del Consiglio dei ministri e al Ministro della salute. [Per il contenuto del decreto si rimanda a N. Posteraro – S. Corso, “Il decreto Fascicolo sanitario elettronico 2.0”].
Il fascicolo sanitario elettronico è un pilastro della nuova sanità digitale. Il Piano nazionale di ripresa e resilienza ha incluso nella Missione 6, “Salute”, investimenti volti a potenziarlo per garantirne la diffusione su tutto il territorio nazionale (Componente 2: innovazione, ricerca e digitalizzazione del servizio sanitario nazionale). Il potenziamento del FSE implica e allo stesso tempo presuppone la circolazione dei dati che con tutta evidenza costituisce un punto essenziale per un sistema interoperabile e accessibile. La spinta alla valorizzazione dei dati sanitari viene dalle istituzioni europee che non solo si sono impegnate nell’elaborazione di nuovi modelli per la circolazione dei dati, con iniziative quali il Regolamento sulla governance dei dati (Data Governance Act) e il Regolamento sui dati (Data Act), ma hanno anche dato vita ad uno specifico progetto in materia di dati sanitari elettronici con il Regolamento sullo spazio europeo dei dati sanitari. L’European Health Data Space è il primo degli spazi comuni europei di dati specifici per dominio annunciato nella strategia europea dei dati ad essere realizzato. Istituendolo, il Regolamento intende garantire che il personale medico abbia accesso ai dati sanitari delle persone in cura, indipendentemente dallo Stato membro di appartenenza. Inoltre, vuole consentire l’accesso ai dati sanitari elettronici a chi intenda trattarli per finalità ulteriori rispetto a quella di cura, come la ricerca scientifica.
In tale quadro generale si sono inserite le preoccupazioni del Garante Privacy che ha evidenziato come tra le maggiori criticità del fascicolo sanitario elettronico siano emerse “la vulnerabilità nella sicurezza dei trattamenti e le discriminazioni tra pazienti di diverse Regioni”. La rilevante disomogeneità emersa sul territorio nazionale risulta contraddire lo spirito della riforma FSE 2.0, volta, invece, ad introdurre “misure, garanzie e responsabilità omogenee”. Le disarmonie riscontrate rischiano, secondo l’Authority, di compromettere anche la funzionalità, l’interoperabilità e l’efficienza del sistema del FSE.
Si ricorda che, ai sensi dell’articolo 15 del decreto del 7 settembre 2023, il FSE 2.0 è uno strumento a disposizione dell’assistito, che può consentirne l’accesso in consultazione ai soggetti del sistema sanitario nazionale e dei servizi sociosanitari regionali nonché agli esercenti le professioni sanitarie che lo prendono in cura, anche al di fuori del sistema sanitario nazionale. Esso è costituito da un insieme di documenti e di dati di tipo sanitario e sociosanitario relativi ad eventi clinici presenti e trascorsi riguardanti l’utente di prestazioni sanitarie, generati da strutture sanitarie pubbliche e private.
Istituito con il decreto-legge n. 179 del 2012 (ancora fonte primaria di riferimento benché oggi in larga parte abrogato), il FSE è destinato a diventare, nella nuova versione 2.0, il punto unico ed esclusivo di accesso ai servizi del sistema sanitario. La riforma realizzata dal decreto del 7 settembre 2023 per alcuni aspetti ha riconfermato la disciplina previgente e per altri ha introdotto delle novità. Tra le conferme un esempio è costituito dal diritto di oscuramento, ossia dal diritto dell’assistito a far sì che determinati documenti non siano più visibili nel Fascicolo, oscurando altresì l’avvenuto oscuramento, con una scelta reversibile e revocabile.
Per quanto concerne le modifiche, il decreto del 7 settembre 2023 innova la disciplina del FSE nella misura in cui quest’ultimo è usato per “cura”, “prevenzione” e “profilassi internazionale”. Per la prima volta un atto normativo formalmente esterno al corpus del GDPR, del Codice della privacy e delle fonti secondarie ha un contenuto quasi completamente inerente alla materia della protezione dei dati personali. Esso è il risultato della collaborazione, intensissima, tra il Ministero della Salute e l’Ufficio del Garante per la protezione dei dati personali, che ha emanato due pareri in merito (in data 22 agosto 2022 e in data 8 giugno 2023). La privacy è quindi al centro del decreto.
La base giuridica del trattamento dei dati personali (per le tre finalità di cura, prevenzione e profilassi internazionale previste dal DM) è il consenso, liberamente prestato, dell’assistito. La richiesta di consenso deve essere specifica per ciascuna delle tre finalità e l’interessato può fare scelte differenziate. Il consenso è revocabile in qualsiasi momento, con conseguente disabilitazione dell’accesso ai dati da parte di terzi. La revoca del consenso non pregiudica il diritto all’erogazione della prestazione sanitaria.
Inoltre, l’articolo 7 del decreto in esame dispone che in ottemperanza all’adempimento di cui agli articoli 13 e 14 del Regolamento UE 2016/679, quale presupposto di liceità del trattamento, entro tre mesi dalla data di entrata in vigore del DM, “deve essere fornita all’assistito, da parte del Ministero della salute, delle Regioni e Province autonome, idonea informativa che espliciti i trattamenti dei dati del FSE”. Il terzo comma della disposizione stabilisce la necessità del titolare del trattamento di formare adeguatamente il personale coinvolto nel trattamento sugli aspetti rilevanti della disciplina relativa alla protezione dei dati personali, al fine di garantire un più efficace rapporto con gli assistiti e assicurare una piena comprensione degli elementi indicati nell’informativa. Il quarto comma prevede, quindi, che “al fine di garantire all’interessato informazioni omogenee e uniformi nel territorio nazionale, il Ministero della salute predispone, in collaborazione con le Regioni e Province autonome, un modello di informativa che mette a disposizione attraverso la pubblicazione sull’area pubblica del Portale nazionale FSE”.
Proprio in relazione al delicato tema dell’informativa va rilevato che al termine dell’istruttoria del Garante sul fascicolo sanitario elettronico, avviata alla fine di gennaio del 2024, è risultato che 18 Regioni e le due Province autonome di Trento e Bolzano hanno modificato, anche significativamente, il modello di informativa predisposto dal Ministero, previo parere del Garante, che avrebbe dovuto essere adottato su tutto il territorio nazionale. “Le difformità riscontrate hanno reso evidente che alcuni diritti (es. oscuramento, delega, consenso specifico) e misure (es. misure di sicurezza, livelli di accesso differenziati, qualità dei dati) introdotti dal decreto, proprio a tutela dei pazienti, non sono garantiti in modo uniforme in tutto il Paese. Oppure sono esercitabili ed esigibili solo dagli assistiti di talune Regioni e Province autonome, con un potenziale e significativo effetto discriminatorio sugli assistiti”.
Il 13 giugno 2024 è stata quindi inviata dal Presidente dell’Autorità una segnalazione al Parlamento e al Governo in cui è stato rappresentato che molte delle disposizioni rilevanti sotto il profilo della protezione dei dati contenute nel decreto sul FSE 2.0 risultavano disattese. In particolare, l’Autorità ha ricordato come le disomogeneità riscontrate contraddicano lo spirito della riforma del fascicolo sanitario elettronico, volta a introdurre misure, garanzie e responsabilità omogenee sul tutto il territorio nazionale, “rischiando di compromettere, oltre che i diritti fondamentali degli interessati, anche la funzionalità, l’interoperabilità e l’efficienza del sistema FSE e di minare una realizzazione uniforme dell’interesse della collettività alla tutela della salute di matrice costituzionale”.
A seguito di tale intervento sono state avviate delle interlocuzioni informali con il Ministero della salute, nell’ambito delle quali è emersa la necessità di prevedere una disposizione transitoria “per l’attivazione di tutti i servizi e le funzionalità del FSE, con suddivisione in tre fasi, coerenti con le scadenze del PNRR, al fine di tutelare i diritti e le libertà di tutti gli interessati coinvolti nel trattamento dei dati sulla salute effettuate attraverso il FSE 2.0”.
In considerazione dell’urgenza rappresentata dal Garante per “tutelare i diritti degli assistiti coinvolti nel trattamento dei dati sulla salute”, il 7 agosto 2024 il Ministero ha trasmesso all’Autorità, per il prescritto parere, uno schema di decreto, redatto d’intesa con il Sottosegretario di Stato alla Presidenza del Consiglio dei ministri con delega all’innovazione tecnologica e con il Ministro dell’Economia e delle Finanze. Il nuovo decreto, che modifica e integra quello del 7 settembre 2023, ha ottenuto il parere positivo dell’Autorità (che si è espressa con il provvedimento n. 580 del 26 settembre 2024) ed è stato pubblicato in Gazzetta Ufficiale il 10 febbraio 2025. Esso si compone di quattro articoli, dei quali i primi due assumono specifica rilevanza. Con il primo articolo è stato introdotto nel testo del decreto del 2023 l’articolo 27-bis, che stabilisce una disciplina transitoria dell’efficacia delle relative disposizioni, divisa in tre fasi, come indicato nella tabella del nuovo “allegato D”, introdotto con l’articolo 2:
- I fase – entro e non oltre il 31 marzo 2025;
- II fase – entro e non oltre il 30 settembre 2025;
- III fase – entro e non oltre il 31 marzo 2026.
In sintesi, con la pubblicazione e l’entrata in vigore del decreto di aggiornamento della disciplina relativa al FSE 2.0, le autonomie locali, che costituiscono un elemento fondante dell’architettura su cui si basa il progetto del fascicolo sanitario elettronico (e sulle quali non è ancora terminata l’attività istruttoria avviata dall’Autorità) avranno più tempo per assicurare a tutti i cittadini, attraverso una roadmap specifica, il rispetto dei diritti fondamentali e l’adeguata protezione dei dati relativi alla salute.
Considerato che l’attività istruttoria del Garante ha evidenziato la mancata attuazione di tutte le disposizioni del decreto del 7 settembre 2023 e che è emersa la necessità di introdurre una disciplina transitoria, anche alla luce dei tempi di attuazione di cui alla Missione n. 6 del PNRR, si rileva che il Ministero della salute, pur individuando tre fasi di attuazione delle disciplina del FSE 2.0, ha comunque accolto l’invito dell’Autorità Garante a introdurre specifiche misure di garanzia che assicurino, nell’immediato, l’effettiva tutela dei diritti e delle libertà fondamentali degli interessati.
Osservatorio sullo Stato Digitale by Irpa is licensed under CC BY-NC-ND 4.0
