Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere del Garante su uno schema di decreto del Presidente del Consiglio dei ministri in materia di fascicolo sanitario elettronico - 22 maggio 2014 [3230826]

VEDI ANCHE  Newsletter del 26 giugno 2014

[doc. web n. 3230826]

Parere del Garante su uno schema di decreto del Presidente del Consiglio dei ministri in materia di fascicolo sanitario elettronico - 22 maggio 2014

Registro dei provvedimenti
n. 261 del 22 maggio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere della Presidenza del Consiglio dei ministri;

Visto l'articolo 154, comma 4, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Bianchi Clerici;

PREMESSO

1. Premessa.

La Presidenza del Consiglio dei ministri ha richiesto il parere del Garante su uno schema di decreto del Presidente del Consiglio dei ministri in materia di fascicolo sanitario elettronico, adottato ai sensi dell'articolo 12, comma 7, del decreto-legge 18 ottobre 2012, n. 179, convertito dalla legge 17 dicembre 2012, n. 221, e successive modificazioni, e dell'articolo 13, comma 2-quater, del decreto-legge 21 giugno 2013, n. 69, convertito dalla legge 9 agosto 2013, n. 98.

L'articolo 12 del decreto-legge n. 179/2012 –successivamente modificato e integrato dall'articolo 17 del predetto decreto-legge n. 69/2013- prevede l'istituzione, da parte delle regioni e delle province autonome, del fascicolo sanitario elettronico (d'ora innanzi: FSE), definito dalla legge "l'insieme dei dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi riguardanti l'assistito" (art. 12, comma 1, d.l. n. 179/2012).

Il FSE è istituito per corrispondere a tre tipi di finalità: 1) prevenzione, diagnosi, cura e riabilitazione; b)  studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; c)  programmazione sanitaria, verifica delle qualità delle cure e valutazione dell'assistenza sanitaria (art. 12, comma 2).

Il comma 7 dell'articolo 12 prevede che con uno o più decreti siano stabiliti: i contenuti del FSE e del dossier farmaceutico nonché i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, i sistemi di codifica dei dati, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti dell'assistito, le modalità e i livelli diversificati di accesso al FSE, la definizione e le relative modalità di attribuzione di un codice identificativo univoco dell'assistito che non consenta l'identificazione diretta dell'interessato, i criteri per l'interoperabilità del FSE a livello regionale, nazionale ed europeo, nel rispetto delle regole tecniche del sistema pubblico di connettività.

Con i previsti decreti si devono altresì disciplinare le modalità di accesso da parte del cittadino ai servizi sanitari on line, in forma protetta e riservata; le interfacce, i sistemi e le applicazioni software adottati devono assicurare piena interoperabilità tra le soluzioni (art. 12, commi 2, ultimo periodo e 6-bis).

Infine l'articolo 12 prevede che con il decreto di cui al comma 7 siano definiti livelli di accesso, modalità e logiche di organizzazione ed elaborazione dei dati relativi alle finalità di ricerca scientifica e di programmazione sanitaria perseguite dalle regioni e dalle province autonome, nonché dal Ministero del lavoro e delle politiche sociali e dal Ministero della salute, nei limiti delle rispettive competenze attribuite dalla legge, senza l'utilizzo dei dati identificativi degli assistiti presenti nel FSE e in conformità ai principi di proporzionalità, necessità e indispensabilità nel trattamento dei dati personali (art. 12, comma 6).

RILEVATO

2. Il contenuto del regolamento.

Nella relazione illustrativa si legge che l'odierno schema è il primo dei decreti attuativi previsti dall'articolo 12, allo scopo di consentire il concreto avvio della realizzazione del FSE. Esso definisce i contenuti del fascicolo, le responsabilità e i compiti dei soggetti coinvolti, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali, le modalità e i livelli diversificati di accesso al fascicolo in relazione alle specifiche finalità, i criteri di interoperabilità, nonché i contenuti informativi e le codifiche del profilo sanitario sintetico e del referto di laboratorio, individuati quali primi contenuti da attivare a livello nazionale.

Il decreto si compone di 30 articoli ed è strutturato in più capi, di cui il primo concernente i principi generali, i successivi tre contenenti le disposizioni specifiche per le finalità sopra descritte -sinteticamente definite dallo schema, rispettivamente, "finalità di cura", "finalità di ricerca" e "finalità di governo" (art. 2, comma 1, lett. d), e) ed f) dello schema)- e gli altri recanti regole tecniche e misure di sicurezza (capo V) e l'istituzione di un Tavolo tecnico di monitoraggio e indirizzo (capo VI), oltre alle disposizioni transitorie (capo VII). Al regolamento è allegato un disciplinare tecnico.

Nel capo I si disciplina il contenuto del FSE (nucleo minimo e dati integrativi), il profilo sanitario sintetico o "patient summary", che riassume la storia clinica del paziente per un suo rapido inquadramento sanitario al momento del contatto con il SSN, il taccuino personale dell'assistito, il trattamento di dati soggetti a maggior tutela di anonimato, le diverse forme di consenso all'utilizzo dei dati, l'informativa e gli altri diritti dell'interessato, nonché le sue modalità di accesso al FSE (artt. 3-10).

Il capo II disciplina i trattamenti per finalità di cura, individuando nei soggetti del SSN e dei servizi socio-sanitari regionali che hanno in cura l'assistito i titolari del trattamento di tutti i dati e documenti presenti nel FSE. Sono poi specificati le modalità di alimentazione del FSE e di accesso alle informazioni, consentito ai predetti soggetti previo consenso dell'interessato, salvo i casi di emergenza (artt. 11-15).

Per quanto riguarda i trattamenti effettuati per finalità di ricerca (capo III) titolari del trattamento sono le regioni, le province autonome e il Ministero della salute. Per tali finalità possono essere trattati i dati presenti nei documenti individuati all'articolo 3, purché privati dei dati identificativi diretti dell'assistito. Sono espressamente individuati nello schema i dati esclusi dal trattamento (artt. 16 e 17).

Analoghe disposizioni reca il capo IV per i trattamenti effettuati per finalità di governo, la cui titolarità è riconosciuta anche al Ministero del lavoro e delle politiche sociali, per le competenze attribuite dalla legge (artt. 19 e 20). Di particolare importanza è la disciplina dell'accesso alle informazioni del FSE per finalità di governo e del relativo trattamento rispetto ai diversi soggetti titolari del trattamento (art. 21).

Il capo V, infine, è dedicato alle regole tecniche e di sicurezza, secondo le specifiche di cui all'allegato tecnico. In particolare, l'accesso ai dati contenuti nel FSE è consentito, per tutte le finalità previste, solo utilizzando le modalità e gli strumenti previsti dall'articolo 64 del codice dell'amministrazione digitale (d.lg. n. 82/2005) (art. 24, comma 2). Devono essere adottati idonei accorgimenti per evitare il rischio di accessi abusivi alle informazioni, anche ricorrendo a tecniche crittografiche (art. 24, comma 4), e sono assicurati idonei sistemi di autenticazione e di autorizzazione, protocolli di comunicazione sicuri, criteri per la cifratura dei dati, la tracciabilità degli accessi e delle operazioni, sistemi di audit log, procedure di anonimizzazione degli elementi identificativi diretti (art. 24, comma 5), nonché sistemi di codifica dei dati che assicurino l'interoperabilità semantica nei diversi contesti regionali, nazionali ed europei (artt. 25 e 26).

RITENUTO

3. La partecipazione dell'Ufficio del Garante al tavolo di lavoro presso il Ministero della salute.

Lo schema di decreto (inizialmente di competenza ministeriale) è stato elaborato nell'ambito di un tavolo di lavoro istituito presso il Ministero della salute, cui ha partecipato anche l'Ufficio del Garante fin dalla sua costituzione risalente al mese di gennaio 2013. Di tale collaborazione viene dato conto anche nella relazione illustrativa accompagnata al decreto.

Al tavolo di lavoro hanno preso parte rappresentati di DigitPA, del Coordinamento della commissione salute delle regioni (Conferenza delle Regioni e delle Province Autonome), del Dipartimento per la digitalizzazione della PA e l'innovazione tecnologica della Presidenza del Consiglio dei Ministri, nonché di medici in rappresentazione della Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri (Fnomceo).

Il testo dello schema di decreto elaborato dal tavolo è stato trasmesso alla Presidenza del Consiglio dei Ministri il 30 ottobre 2013 in quanto il decreto, ai sensi dell'articolo 13, comma 2-quater, del decreto-legge n. 69/2013, è stato ricondotto alla competenza della Presidenza.

Nel corso delle riunioni del tavolo di lavoro l'Ufficio ha formulato numerosi rilievi e ha fornito indicazioni volte a perfezionare il testo e a renderlo pienamente conforme alla disciplina in materia di protezione dei dati personali, indicazioni che sono state quasi integralmente accolte dalle amministrazioni interessate attraverso una nuova formulazione di numerosi articoli.

Le indicazioni rese dall'Autorità hanno riguardato, in particolare, i seguenti aspetti:

a) in relazione al contenuto del FSE, è stato modificato l'articolo 3 dello schema di decreto eliminando tra i dati c.d. "integrativi" del FSE la dizione "altri documenti rilevanti" in quanto generica; ulteriori documenti da inserire nel FSE potranno essere individuati, eventualmente, solo con successivo decreto ministeriale, da emanarsi previo parere del Garante;

b) sono state individuate con maggior precisione le modalità di acquisizione e di aggiornamento dei dati da parte del medico di medicina generale/pediatra di libera scelta (MMG/PLS) per la compilazione del profilo sanitario sintetico o patient summary, anche in caso di variazione dei medici. Così, ad esempio, sono stati inseriti nel set minimo di dati del FSE anche quelli identificativi e anagrafici, che saranno direttamente acquisiti dal sistema attraverso le anagrafi sanitarie (art. 4 schema);

c) particolare attenzione è stata riservata alla disciplina del consenso all'utilizzo delle informazioni. Innanzitutto, sulla base dei rilievi formulati dall'Ufficio alcune informazioni di particolare delicatezza sono ora inseribili nel FSE solo con uno specifico consenso dell'interessato (sieropositività, interruzione volontaria di gravidanza, violenza sessuale, pedofilia, uso di sostanze stupefacenti, parto in anonimato, attività dei consultori) (art. 6). Sono state, poi, meglio esplicitate le diverse fattispecie di consenso previste dall'articolo 12 del decreto-legge n. 179/2012 per l'utilizzo dei dati e le conseguenze di un loro mancato conferimento, distinguendo fra consenso all'alimentazione del FSE (in mancanza del quale il FSE rimane vuoto e, quindi, non accessibile né per finalità di cura, né per finalità di ricerca e di governo) e consenso alla consultazione del FSE per finalità di cura, da esprimere successivamente al consenso all'alimentazione; in mancanza di tale consenso il FSE (alimentato sulla base del primo consenso) potrà essere utilizzato solo per fini di governo e ricerca nel rispetto dei limiti stabiliti dal quadro normativo vigente (cfr. art. 12, commi 3-bis e 5, d.l. 179/2012 e artt. 7 e 8 schema);

d) è stata evidenziata la differenza tra la mancata alimentazione del FSE con riferimento a uno specifico dato o documento e l'oscuramento di questi, disciplinando sia le modalità di esercizio di tali facoltà da parte dell'interessato, sia le relative conseguenze (art.9);

e) l'accesso al FSE ai fini di alimentazione e verifica della correttezza dei dati è stato limitato ai soggetti del SSN e dei servizi socio-sanitari regionali (art. 13), in linea con il quadro normativo vigente. È stato perfezionato il disciplinare tecnico allegato allo schema nella parte relativa alla gestione dei privilegi (per evidenziare la necessità dell'abbinamento di tale gestione con i contesti applicativi di esercizio dei ruoli) e prevedendo -anche da un punto di vista tecnologico- l'accesso al FSE solo da parte del personale abilitato che abbia effettivamente in cura il paziente e per il tempo necessario allo svolgimento di tale attività (cfr. paragrafo 4.2 del disciplinare tecnico);

f) per quanto riguarda le c.d. finalità di ricerca, nell'articolo 18 è stato inserito il rinvio agli articoli 110 e 39 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice") al fine di meglio individuare il quadro normativo in materia, ed è stato espunto, di converso, il riferimento al Ministero del lavoro in ragione dell'assenza in capo a tale dicastero di competenze istituzionali nel campo delle ricerca medica biomedica ed epidemiologica;

g) con specifico riferimento al perseguimento delle finalità di governo da parte del Ministero del lavoro e delle politiche sociali, sono state inserite adeguate garanzie per il trattamento dei dati effettuato da tale dicastero, non essendo ad esso applicabili le cautele individuate nella scheda n. 12 dell'allegato A) allo schema di regolamento per il trattamento dei dati sensibili e giudiziari delle regioni (cfr. art. 21, comma 3, schema);

h) è stata perfezionata la disposizione dello schema che disciplina i "servizi di elaborazione di dati" per finalità di cura, prevedendone i necessari limiti (art. 12, comma 2, schema). Si è convenuto sull'opportunità di rinviare, invece, l'individuazione di tali servizi nell'ambito del perseguimento delle finalità di governo e di ricerca in un successivo decreto, da emanarsi ai sensi del comma 7 dell'art. 12 d.l. n. 179/2012, previo parere del Garante, essendosi riconosciuta la necessità di una maggiore riflessione sulla natura e le caratteristiche di tali servizi.

i) al fine di scongiurare il rischio di accessi abusivi al FSE e di garantire l'esattezza e la continuità della fruibilità dei dati, lo schema è stato integrato prevedendo l'obbligo per il titolare del trattamento di avvisare tempestivamente il Garante nel caso in cui i dati trattati nell'ambito del FSE subiscano violazioni (c.d."data breach": si pensi a attacchi informatici, incendi o altre calamità, che possano comportare la perdita, la distruzione o la diffusione indebita di dati ( (cfr. art. 24, comma 9, schema).

Per quanto sopra esposto e poiché lo schema recepisce pressoché integralmente le indicazioni rese dall'Ufficio del Garante in via di collaborazione al tavolo di lavoro, le disposizioni dello schema di regolamento in esame non presentano profili di criticità sotto il profilo della protezione dei dati personali e, pertanto, il Garante non ha osservazioni da formulare sull'articolato.

4. La segnalazione del Garante al Parlamento e al Governo e il trattamento di dati per finalità "di ricerca" e "di governo".

4.1. L'articolo 12 del decreto-legge n. 179 del 2012 –come già precisato sopra- è stato modificato e integrato dall'articolo 17 del decreto-legge n. 69/2013. A dibattito parlamentare avviato per la conversione in legge del provvedimento d'urgenza, il Garante ha segnalato al Parlamento e al Governo alcune criticità riscontrate nel decreto, anche in materia di fascicolo sanitario elettronico.

L'articolo 12, comma 6, del predetto decreto-legge n. 179/2012, nella sua formulazione originaria, prevedeva che le Regioni e le Province autonome, il Ministero del Lavoro e delle politiche sociali e il Ministero della Salute potessero perseguire le finalità di studio e ricerca scientifica, nonché di programmazione sanitaria e monitoraggio loro assegnate ("finalità di ricerca" e "finalità di governo" di cui all'art. 12, comma 2, lett. b) e c)) "senza l'utilizzo dei dati identificativi degli assistiti e dei documenti clinici presenti nel FSE". Ciò, sul presupposto che per tali finalità, le quali non attengono alla cura della persona, fosse sufficiente utilizzare informazioni non identificative dei pazienti, in applicazione dei principi di necessità, proporzionalità e indispensabilità nel trattamento dei dati personali, e senza che fossero in alcun modo presi in considerazione documenti clinici.

L'articolo 17, comma 1, lett. e), del decreto–legge n. 69/2013 ha soppresso il riferimento ai "documenti clinici", sicché la vigente disposizione prevede che le predette finalità possano essere perseguite dai soggetti sopra citati "senza l'utilizzo di dati identificativi degli assistiti presenti nel FSE". L'Autorità ha espresso forti perplessità su tale ampliamento del novero dei dati oggetto di possibile trattamento (si pensi alle risultanze diagnostiche radiologiche o a quelle di analisi cliniche, ecc.) sul presupposto che tali dati rappresentano un patrimonio informativo prezioso per gli operatori sanitari nel momento in cui devono fare una diagnosi o prestare le cure mediche richieste, ma sproporzionato per lo svolgimento delle attività di ricerca scientifica o programmazione sanitaria.

Il Garante ha quindi segnalato la necessità di modificare la norma in modo da assicurare ai soggetti pubblici l'utilizzo delle sole informazioni veramente utili e pertinenti per il perseguimento delle finalità loro assegnate, anche demandando al regolamento di attuazione (ora d.P.C.M.) –che deve definire i contenuti del FSE- di individuare a suo tempo i "documenti sanitari" utilizzabili per le ripetute finalità.
La norma non è stata modificata in Parlamento, ma il tavolo di lavoro ha convenuto nel prevedere tra i dati "espressamente esclusi dal trattamento" per il raggiungimento delle attività di ricerca e di governo anche le "copie per immagine su supporto informatico di documenti analogici; (le) informazioni non strutturate di tipo testuale; (le) informazioni non strutturate di tipo grafico, sia statiche (immagini) che dinamiche (video)" (cfr. artt. 17 e 20). Tale precisazione tende a reintrodurre la garanzia relativa all'esclusione dei dati clinici dai trattamenti effettuati.

4.2. Ai sensi dell'articolo 21, comma 1, dello schema, l'accesso da parte delle regioni e delle province autonome alle informazioni del Fse per finalità di governo deve avvenire con le modalità di cui alla scheda 12 dell'allegato A dello schema tipo di regolamento per i trattamenti di dati sensibili e giudiziari effettuati presso le regioni e province autonome, le aziende sanitarie, gli enti e agenzie regionali/provinciali e gli enti vigilati dalle regioni e province autonome (artt. 20 e 21 del Codice).

Al riguardo, si evidenzia la necessità di un coordinamento di quanto previsto nella predetta scheda 12, circa le modalità con cui le regioni raccolgono i dati sanitari a fini di governo, con le disposizioni di cui agli articoli 15, comma 25-bis, del decreto-legge 6 luglio 2012, n. 95, convertito dalla legge 7 agosto 2012, n. 135, in materia di interconnessione dei sistemi informativi del SSN, e 35, comma 1, del decreto legislativo 23 giugno 2011, n. 118, in materia di sistemi informativi della sanità. Tali articoli, infatti, prevedono che i dati individuali presenti nei flussi informativi sanitari, già oggi acquisiti in modo univoco sulla base del codice fiscale dell'assistito, siano resi disponibili per le attività di valutazione e monitoraggio del Servizio sanitario nazionale mediante apposito sistema di codifica in modo da tutelare l'identità dell'assistito.

4.3. Il trattamento dei dati per finalità di ricerca e di governo deve avvenire senza l'utilizzo dei dati identificativi degli assistiti presenti nel FSE (art. 20, comma 1, schema).

In relazione a tale aspetto, anche a seguito dei rilievi formulati dall'Ufficio al tavolo di lavoro, il Ministero della salute ha proposto di provvedere all'individuazione delle modalità di privazione dei dati identificativi degli assistiti dai dati presenti nel FSE nel decreto ministeriale da emanare in attuazione del predetto articolo 15, comma 25-bis, del decreto-legge n. 95 del 2012, in relazione al quale è già avviata la collaborazione dell'Ufficio del Garante con l'amministrazione competente per il perfezionamento del relativo schema. Tale proposta appare condivisibile alla luce della necessaria omogeneità dei sistemi di codifica dei dati nei flussi sanitari operanti nell'ambito del SSN.

5. Responsabile della protezione dei dati.

Nel tavolo di lavoro si è fatto riferimento alla figura del "responsabile della protezione dei dati". Al riguardo, pur condividendo la scelta di non inserire nel regolamento una disposizione che obblighi i titolari del trattamento ad istituire tale figura, l'Autorità, in ragione della particolare delicatezza delle informazioni trattate nell'ambito dell'FSE utilizzate per le molteplici finalità previste dalla legge, auspica che ogni titolare coinvolto dall'applicazione del presente decreto individui al suo interno una figura di responsabile della protezione dei dati che interloquisca con il Garante, anche in relazione ai casi di data breach previsti nell'articolo 24, comma 9 dello schema.

IL GARANTE

esprime parere favorevole sullo schema di decreto del Presidente del Consiglio dei ministri in materia di fascicolo sanitario elettronico, adottato ai sensi dell'articolo 12, comma 7, del decreto-legge 18 ottobre 2012, n. 179, convertito dalla legge 17 dicembre 2012, n. 221, e successive modificazioni, e dell'articolo 13, comma 2-quater, del decreto-legge 21 giugno 2013, n. 69, convertito dalla legge 9 agosto 2013, n. 98 (punto 3).

Roma, 22 maggio 2014

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia