Introduzione alla privacy del Fascicolo Sanitario Elettronico

Articolo header

La protezione dei dati personali nell'ambito del Fascicolo Sanitario Elettronico.


Articolo a cura del Gruppo Sanità del Comitato Scientifico di ASSO DPO

La costruzione del Fascicolo Sanitario Elettronico (FSE) è figlia del Progetto Mattoni del SSN, Mattone 9 – Realizzazione del Patient File, che come output prodotto nel Libro Bianco del 2007 si è interrogata sulla necessità di uno strumento che realizzasse un fascicolo sanitario personale per ogni cittadino, in grado di condividere le informazioni sanitarie tra operatori sanitari e anche di mettere a disposizione del paziente la propria storia clinica (fonte Ministero della Salute Progetto Mattoni SSN Realizzazione del Patient File Ricognizione delle esperienze nazionali ed internazionali e definizione della mission del progetto).

Tra i primi documenti illustrativi con tale terminologia, si presentano le “Linee guida in tema di Fascicolo Sanitario Elettronico (FSE) e di dossier sanitario” - 16 luglio 2009 (G.U. n. 178 del 3 agosto 2009 – docweb n. 1634116), con cui, prima del legislatore, il Garante per la protezione dati personali si è preoccupato di definire alcuni principi, per regolare questi nuovi profili di sanità elettronica, in cui si colloca questo progetto volto ad archiviare, mediante nuove tecniche, la documentazione che viene generata a diverso titolo nei processi di cura dei pazienti (innanzitutto la cartella clinica), che rende possibile la condivisione da parte di distinti soggetti o professionisti di dati e documenti sanitari che vengono formati, integrati e aggiornati nel tempo da diverse fonti, al fine di documentare in modo unitario e per quanto possibile completo l’intera gamma degli interventi sanitari riguardanti un medesimo individuo ed in prospettiva l’intera sua storia clinica.

Sin da tale momento il Garante italiano, in assenza all’epoca di indicazioni normative, si preoccupa di individuare i contenuti sia del FSE sia del dossier sanitario, che hanno come caratteristica comune il trattamento di dati sanitari relativi ad un medesimo soggetto e riportati in più documenti elettronici tra loro collegati, condivisibili da soggetti sanitari diversi: entrambi contengono informazioni inerenti lo stato di salute di un individuo, relative ad eventi clinici presenti e trascorsi (es. referti, documentazione clinica relativa a ricoveri, accessi al pronto soccorso, vaccinazioni,…) volte a documentare la storia clinica. 

Il collegamento dei dati attraverso sistemi informatici rende possibile un’agevole consultazione da parte dei diversi professionisti o soggetti sanitari, che prendono nel tempo in cura l’interessato, ed anche da parte dello stesso paziente.

La differenza tra FSE e dossier sta nell’ambito di operatività: infatti il FSE è formato da dati sanitari originati da diversi titolari del trattamento (es. aziende sanitarie, laboratori clinici privati, …) mentre il dossier sanitario è costituito presso un organismo sanitario in qualità di unico titolare del trattamento (es. ospedale o clinica privata) al cui interno operino più professionisti (i dossier potrebbero anche costituire l’insieme delle informazioni detenute dai singoli titolari coinvolti in una iniziativa di FSE regionale).

Il legislatore si è preoccupato poi nel tempo di normare il FSE. Per quanto riguarda il dossier sanitario, di cui qui non si tratta, il riferimento descrittivo e regolamentare è dato invece dalle Linee Guida del Garante del 2015 (Provvedimento n. 331 del 4 giugno 2015, “Linee guida in materia di Dossier Sanitario” – 4 giugno 2015, Pubblicato su G.U. n. 164 del 17/07/2015, docweb n. 4084632).

Con la Legge n. 221 del 2012, all’art. 12, viene definito al comma 1 il FSE: “Il fascicolo sanitario elettronico (FSE) è l'insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l'assistito”. 

La costruzione del FSE è demandata alle Regioni e alle Province autonome (comma 2) che spesso ne hanno perseguito la realizzazione attraverso i fondi nazionali POR-FESR, quale piani strategici, in linea con i principi e le strategie promossi dall’Agenzia per l’Italia Digitale (AGID), nell’ambito della Strategia per la Crescita Digitale (realizzazione di servizi sanitari rivolti al cittadino, diffusione di servizi su tutto il territorio regionale, integrazione fra i software delle Aziende Sanitarie e degli altri soggetti coinvolti, incremento dei servizi on-line).

Le finalità del FSE sono descritte nella citata Legge: prevenzione, diagnosi, cura e riabilitazione, studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; programmazione sanitaria, verifica delle qualità delle cure e valutazione dell'assistenza sanitaria. Inoltre, nel FSE viene inclusa la possibilità di costruire il fascicolo farmaceutico.

L’istituzione del FSE era stata originariamente prevista a cura delle Regioni entro il 30 giugno 2015.

Con Decreto del Presidente del Consiglio dei Ministri 29 settembre 2015, n. 178, è stato definito il “Regolamento in materia di fascicolo sanitario elettronico”. In particolare si sottolinea in esso quali sono i contenuti, le responsabilità dei diversi soggetti che intervengono sul FSE, i sistemi di sicurezza e le modalità di accesso al FSE, con particolare riguardo agli aspetti della privacy, che è appositamente regolamentata, proprio perché l’istituzione del FSE da parte delle regioni e province autonome (PA) dà luogo ad un trattamento dei dati personali ulteriore e distinto rispetto all’insieme dei trattamenti derivanti dall’erogazione all’assistito delle prestazioni sanitarie in relazione alle quali i dati sono stati acquisiti o prodotti.

Le disposizioni dettate dal Regolamento dall’art. 6 all’art. 9 si preoccupano in particolare del rispetto della normativa in materia di protezione dei dati personali, disciplinando i diversi temi (informativa, consenso, diritti dell’interessato, accesso FSE). 

Le modalità di accesso al FSE devono essere esplicitate dall’assistito mediante l’espressione di apposito consenso, reso a seguito della visione della relativa informativa. Il consenso può essere manifestato (o revocato) direttamente dall’assistito, sia utilizzando strumenti telematici messi a disposizione della regione/PA previa autenticazione, che mediante dichiarazione resa ad un soggetto delegato dalle Aziende Sanitarie della regione/PA (ad es. MMG/PLS o altri operatori preposti).

Sono inoltre tutelati i dati e i documenti sanitari e socio-sanitari disciplinati da norme che tutelano l’anonimato (es. persone sieropositive, donne che si sottopongono a un’interruzione volontaria di gravidanza, vittime di atti di violenza sessuale o pedofilia, percorse che fanno uso di sostanze stupefacenti, sostanze psicotrope e di alcool, parto in anonimato, …), che possono anche essere esclusi completamente dall’alimentazione del FSE stesso.

Il Regolamento, inoltre, nel distinguere le tre diverse tipologie di trattamenti, cioè trattamenti per finalità di cura, per finalità di ricerca e per finalità di governo, definisce anche regole diverse per l’accesso alle informazioni contenute nel FSE e sui dati che possono essere trattati, proprio sulla base della finalità e quindi del soggetto che ci accede.

Il FSE è quindi anche lo strumento rappresentativo della Sanità Digitale che consente di rendere possibile la consultazione dei dati da diversi soggetti e professionisti, in modo sicuro sia dal punto di vista della normativa privacy, sia della sicurezza dei dati trattati (ad esempio il capo V del Regolamento dedica ampio spazio alle regole tecniche e misure di sicurezza). Del resto in base all’art. 26 del Regolamento è stato istituito anche un tavolo tecnico di monitoraggio e indirizzo, nell’ambito della Cabina di Regia del Nuovo Sistema Informativo Sanitario (NSIS) con il compito di vigilare sull’attuazione delle disposizioni relative al FSE.

Tra gli ulteriori interventi normativi si cita la legge di bilancio 2017, che ha modificato l’art. 12 della citata Legge 221/2012, coinvolgendo il Ministero dell’economia e delle finanze- Ragioneria Generale dello Stato (Sistema TS) nella realizzazione del FSE, per l’implementazione e gestione dell’Infrastruttura Nazionale per l’Interoperabilità (INI) dei FSE regionali, utilizzando quanto già realizzato negli anni precedenti con l’infrastruttura del Sistema tessera sanitaria per la realizzazione a livello nazionale della ricetta elettronica. In tal modo i FSE regionali dovranno essere “interoperabili” fra loro, consentendone sia l’alimentazione sia la consultazione anche da parte delle strutture sanitarie/medici di tutto il territorio nazionale e non solo quelli della regione di assistenza dell’assistito.

PRIVACY E FSE: l’informativa

Il FSE richiede ovviamente la strutturazione di un’idonea informativa che illustri al cittadino sia il tipo di trattamento, sia i dati che vengono trattati, sia le finalità, sia la titolarità del trattamento, secondo quanto definito anche nel citato Regolamento.

Al fine di uniformare l’informativa da fornire agli assistiti, la Ragioneria Generale dello Stato-Ministero dell’Economia e delle Finanze e il Ministero della Salute, in allegato alla Circolare del 17/02/2021 indirizzata alle Regioni, all’AGID e al Garante per la Protezione dei dati personali, ha predisposto un modello di informativa che è resa disponibile per tutte le Regioni per essere adottata ed eventualmente personalizzata per ogni contesto regionale.

Dal punto di vista privacy, sul tema del FSE le maggiori problematiche affrontate riguardano due aspetti: il consenso e la titolarità dei dati raccolti.

PRIVACY E FSE: il consenso

Nella formulazione della legge del 2012, il FSE prevede per la sua costruzione la raccolta di due consensi da parte dell’assistito: un consenso “libero e informato” per l’alimentazione (comma 3-bis), per cui il cittadino poteva decidere se e quali dati relativi alla propria salute possano essere inseriti nel fascicolo, ed un consenso alla consultazione dei dati e documenti, comunque richiamando il rispetto del segreto professionale e prevedendo modalità da individuarsi nei casi di emergenza sanitaria. Il comma 5 del citato art. 12, L. 221/2012, precisa tra l’altro che il mancato consenso “non pregiudica il diritto all’erogazione della prestazione sanitaria”.

Il Decreto Legge 19 maggio 2020, n. 34 (c.d. Decreto Rilancio), convertito in L. 17 luglio 2020, n. 77 (G.U. 18/07/2020, n.180), all’art. 11 introduce alcune modifiche relative al FSE. In particolare, viene abrogato il comma 3-bis, per cui non è più necessario il consenso per l’alimentazione quindi l’attivazione del FSE. 

Permane invece il consenso per la consultazione dei dati e documenti da parte dei sanitari. Per inciso, sempre con la medesima norma si è ampliata la platea dei soggetti che possono alimentare il FSE, aggiungendo ai soggetti ed esercenti le professioni sanitarie che prendono in cura l’assistito nell’ambito del SSN e SSR, nonché ai dati medici in possesso dell’assistito su iniziativa dello stesso, anche altri soggetti che possano aggiungere informazioni.

Pertanto, a seguito di tale modifica, il FSE è alimentato “in maniera continuativa e tempestiva” dagli esercenti le professioni sanitarie che prendono in cura l’assistito, operanti ora anche al di fuori del Servizio sanitario nazionale, nonché su iniziativa dello stesso interessato con i dati a sua disposizione nella partizione del FSE denominata Taccuino personale (cfr. art. 4, DPCM n. 178/2015).

È molto chiara l’infografica prodotta dal Garante per la protezione dei dati personali sin da giugno 2020 che illustra il nuovo funzionamento del FSE (docweb n. 9426939). In particolare, oltre a richiamare la definizione, le finalità ed il contenuto, sono definiti i livelli di accesso al FSE: 

Fonte: Garante privacy- docweb 9426939

Inoltre un riquadro successivo illustra e approfondisce la tematica del consenso, come da norma:

Fonte: Garante privacy- docweb 9426939

Con nota n. 37043 del 6 ottobre 2020 indirizzata alle Regioni, il Garante per la protezione dei dati personali ha fornito indicazioni in merito alla applicazione dell’art. 11 del 34/2020, alla luce delle tematiche emerse nell’ambito del Tavolo tecnico di monitoraggio e indirizzo per l’attuazione del FSE, afferma quanto segue: “preso atto che la nuova formulazione dell’art.12 evidenzia la volontà del legislatore di mettere a disposizione di ognuno un FSE completo con riferimento ai dati relativi agli eventi clinici e tenuto conto che, anche secondo il nuovo assetto normativo, il FSE, salvo che l’interessato abbia prestato i proprio consenso, è accessibile esclusivamente dallo stesso interessato e dagli organi di governo sanitario, nei limiti soggettivi e oggettivi previsti dalla legge e nel rispetto dei criteri di sicurezza e pseudonimizzazione previsti dal predetto dPCM, e che, limitatamente ai dati generati da strutture sanitarie facenti parte del SSN, gli stessi dati sono già nella disponibilità dei predetti organi (attraverso i cc.dd. “flussi amministrativi”), ha ritenuto che il FSE possa essere alimentato, anche con i dati e i documenti relativi alle prestazioni sanitare erogate dal SSN antecedentemente alla data di entrata in vigore del d.l. Rilancio, senza necessità di un’espressa manifestazione di volontà da parte dell’interessato, qualora ricorrano però le seguenti condizioni:

  • sia effettuata un’adeguata campagna informativa a livello nazionale e regionale volta a rendere edotti gli interessati in merito alle caratteristiche del trattamento effettuato attraverso il FSE, con particolare riferimento alle novità introdotte dal d.l. Rilancio;
  • sia comunque garantito all’interessato di poter esercitare il diritto di opporsi alla predetta alimentazione del FSE con i dati sanitari generati da eventi clinici occorsi allo stesso antecedentemente al 19 maggio 2020, entro un termine prestabilito, non inferiore a 30 giorni.

Per quanto riguarda invece i dati relativi alle prestazioni sanitarie, erogate al di fuori del SSN (che fino al 19 maggio non alimentavano il FSE), il Collegio ha ritenuto che, alla luce delle disposizioni vigenti, questi possano essere inseriti nel FSE solo se relativi a prestazioni sanitarie erogate successivamente alla predetta data di entrata in vigore del d.l. Rilancio.

Resta ferma la possibilità per l’interessato di rendere disponibili le informazioni relative alle prestazioni sanitarie eventualmente ricevute dalle strutture sanitarie private prima del 19 maggio 2020 attraverso il Taccuino personale.”

La tematica è stata alquanto dibattuta nel corso degli ultimi 2 anni, in quanto alcune interpretazioni della norma, spesso anche in riferimento alla tematica dell’esecuzione dei tamponi e delle vaccinazioni (che, nelle Regioni dove il sistema è in funzione, sono archiviati nel FSE), hanno fatto pensare che ci fosse una qualche scadenza all’inizio del mese di gennaio (prima 2020, poi 2021) per manifestare l’eventuale opposizione all’inserimento dei propri dati personali nel FSE. In realtà, come illustrato dal Garante per la protezione dati personali, nel docweb n. 9516732 dell’11 gennaio 2021, tale scadenza non esiste ed è priva di qualsiasi fondamento normativo.

La normativa introdotta con l’art. 11 decreto legge "Rilancio" prevede infatti che, a decorrere dal maggio 2020, a prescindere da qualsivoglia manifestazione di consenso dei cittadini, i dati di tutte le prestazioni sanitarie fruite vadano a confluire automaticamente nel FSE (con ovvi limiti alle Regioni che hanno già attivato il FSE). Al riguardo, peraltro, il Garante ha precisato che comunque, anche a seguito di tale alimentazione automatica del FSE, i dati sanitari dei cittadini non saranno accessibili al personale sanitario in assenza di uno specifico consenso del singolo cittadino.

Con l’occasione (come aveva già fatto nella nota n. 37043), inoltre, il Garante ha osservato che, con riguardo all’alimentazione del FSE con i dati delle prestazioni sanitarie effettuate in epoca antecedente al maggio 2020 (data in cui è entrata in vigore la nuova norma che ha abrogato il consenso), l’ingresso nel FSE è possibile solo a tre condizioni: aver proceduto a una campagna nazionale di informazione (che ancora non c’è stata), aver puntualmente informato i cittadini delle Regioni interessate sulle novità relative all’alimentazione del FSE, aver riconosciuto a questi ultimi, dal momento che sono stati informati, un termine non inferiore a 30 giorni per manifestare la propria eventuale opposizione.

Con riferimento alla possibilità che i c.d. dati soggetti “a maggior tutela”, siano caricati automaticamente nel FSE in forma oscurata, il Garante per la protezione dei dati personali ha ritenuto che, ferma restando la necessità di adottare idonee misure tecniche e organizzative che garantiscano l’efficacia della soluzione proposta, la stessa possa essere condivisa a condizione che, analogamente a quanto sopra rappresentato, sia effettuata la predetta campagna comunicativa e sia consentito all’interessato di opporsi all’alimentazione dei c.d. dati pregressi anche con specifico riferimento a tale delicata categoria di dati personali.

PRIVACY E FSE: la titolarità del trattamento

Nel Regolamento di cui al DPCM 178/2015, vengono definiti nell’ambito del FSE diversi titolari per il trattamento dei dati personali, man mano che vengono definite le finalità del trattamento. L’informativa allegata alla citata Circolare del 17/02/2021 esplicita in modo ancora più evidente il passaggio per cui a seconda della specifica finalità del trattamento la titolarità è diversa, distinguendo i tre diversi casi:

  1. Trattamento per finalità di cura: come da art. 10 del DPCM 178/2015, la titolarità del trattamento è della singola struttura sanitaria che ha in carico il paziente; nell’informativa è scritto che “I Titolari del trattamento sono i soggetti e gli esercenti le professioni sanitarie che La prendono in cura, presso cui sono redatti i dati e documenti sanitari che alimentano il FSE, sia nell'ambito del SSN e dei servizi socio-sanitari regionali, sia al di fuori degli stessi.
  2. Trattamento per finalità di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico: come da art. 15 del DPCM 178/2015, la titolarità del trattamento è della singola Regione o del Ministero a seconda del livello a cui viene condotta la ricerca. In questo caso viene esplicitamente previsto che i dati contenuti nel FSE sono trattati attraverso misure di pseudonimizzazione che non consentono di risalire direttamente all’identità dell’interessato e secondo i principi di minimizzazione, necessità, pertinenza e non eccedenza.
  3. Trattamenti per finalità di governo: in essi rientrano i trattamenti effettuati per finalità di programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria: il titolare del trattamento, come da art. 18 del DPCM 178/2015, è la Regione, il Ministero del lavoro e delle politiche sociali e il Ministero della salute nei limiti delle rispettive competenze attribuite dalla legge. Anche in questo caso la norma prevede che i dati siano trattati attraverso misure di pseudonimizzazione e comunque secondo principi di minimizzazione, necessità, pertinenza e non eccedenza. All’art. 20 del citato DPCM vengono inoltre precisati i diversi livelli di governo e conseguentemente di accesso ai dati per ciascun tipo di Titolare: la Regione con le modalità previste per le attività di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria; il Ministero della salute nell’ambito delle attività di valutazione e monitoraggio dell’erogazione dei Livelli essenziali di assistenza, della definizione dei costi standard e secondo le regole del NSIS; il Ministero del lavoro e delle politiche sociali tratta i dati del FSE in forma individuale, ma privi di ogni riferimento che ne permetta il collegamento diretto con gli assistiti e comunque con modalità che pur consentendo il collegamento nel tempo delle informazioni riferite ai medesimi assistiti rendano questi ultimi non identificabili.

La distinzione tra tre tipologie di titolari a seconda delle finalità porta conseguentemente ad individuare nell’informativa diverse basi giuridiche. Inoltre, anche le specifiche relative alle informazioni sul Data Protection Officer, sulle modalità di esercizio dei diritti degli interessati, sono modulate con i livelli di Titolarità.

Il sistema è quindi alquanto complesso, tenuto conto che in un eventuale data breach dovrà essere stabilito il soggetto che prende in carico la questione e che chiarisce la Titolarità coinvolta.

Altre news