[doc. web n. 10062302]

Parere sullo schema di decreto del Ministero della salute, da adottare di concerto con Ministro dell'economia e delle finanze e con il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega all’innovazione tecnologica e la transizione digitale sull’Ecosistema Dati Sanitari (EDS), ai sensi dell’art. 12, comma 15-quater, del decreto-legge 18 ottobre 2012, n. 179 - 26 settembre 2024

Registro dei provvedimenti
n. 605 del 26 settembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

VISTO l’articolo 12 del decreto-legge 18 ottobre 2012, n. 179, recante ”Fascicolo sanitario elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale” e, in particolare, il comma 15-quater;

VISTO il parere non favorevole del 22 agosto 2022 sullo schema di decreto del Ministero della salute e del Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sull’Ecosistema Dati Sanitari (EDS), ai sensi dell’art. 12, comma 15-quater, del decreto-legge 18 ottobre 2012, n. 179 (doc. web n. 9802752);

VISTO il decreto del 7 settembre 2023, recante “Fascicolo sanitario elettronico 2.0”, su cui il Garante ha espresso il proprio parere l’8 giugno 2023 (doc. web n. 9900433);

VISTO il parere reso il 12 settembre 2024 sullo schema di decreto redatto dal Ministro dell’economia e delle finanze (MEF) di concerto con il Ministro della salute e il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega all’innovazione tecnologica, inerente le modalità con cui il Sistema Tessera Sanitaria (TS), tramite l’Infrastruttura Nazionale per l’Interoperabilità (INI) del Fascicolo sanitario elettronico (FSE), mette a disposizione dei Fascicoli i dati relativi alle prescrizioni e prestazioni erogate di farmaceutica e specialistica, ai sensi dell'art. 12, commi 15-ter e 15-septies del decreto-legge 18 ottobre 2012, n. 179;

VISTO il parere reso in pari data sullo schema di decreto del Ministero della salute redatto congiuntamente con il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega all’innovazione tecnologica e con il Ministro dell’Economia e delle Finanze, che modifica il decreto del Ministero della salute del 7 settembre 2023, introducendo una disciplina transitoria delle disposizioni sul FSE 2.0 (art. 27 - bis).

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

Il Ministero della salute, con la nota del 14 agosto 2024, prot. n. 11722, ha trasmesso al Garante, per il prescritto parere di competenza, lo schema di decreto sull’Ecosistema Dati Sanitari (EDS) da adottare di concerto con Ministro dell'economia e delle finanze (MEF) e con il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega all’innovazione tecnologica e la transizione digitale (art. 12, comma 15-quater del d.l. n. 179 del 2012).

Lo schema di decreto si compone di 27 articoli, di seguito sinteticamente descritti.

Successivamente al quadro definitorio (art. 1), sono indicate le finalità e l’ambito di applicazione del decreto (art. 2), i contenuti dell’EDS (art. 3), la relativa soluzione architetturale (art. 4) e le modalità di alimentazione (art. 6). Gli articoli 5 e 18 dello schema descrivono le funzionalità dell’EDS legate al dossier farmaceutico (DF) e all’accesso dell’interessato al servizio sanitario in emergenza e urgenza. Sotto il profilo della protezione dei dati personali, specifiche disposizioni riguardano l’informativa e il consenso dell’interessato (artt. 7 e 8), i diritti da questo esercitabili (art. 9), il periodo di conservazione dei dati (art. 10), l’accesso all’EDS da parte dell’interessato (art. 11) e i ruoli del trattamento (art. 12).

Gli artt. 13, 14, 15, 16 e 17 riguardano l’accesso ai servizi dell’EDS per la finalità di cura, di prevenzione, di profilassi internazionale, di governo e di studio e di ricerca scientifica.

L’art. 19 concerne i servizi di monitoraggio e controllo e gli artt. 20, 21 e 22 la registrazione delle operazioni, il servizio di notifica delle operazioni sull’EDS e le misure di sicurezza. L’articolo 23 descrive le unità di archiviazione regionali (UA-R), mentre gli articoli finali riguardano gli allegati, le disposizioni transitorie, gli oneri e l’entrata in vigore del decreto (artt. 24- 27).

Unitamente allo schema di decreto sono stati trasmessi 3 allegati, che ne costituiscono parte integrante e sono quindi oggetto del presente parere, concernenti: i contenuti, i servizi e i tipi di dati trattati dall’EDS (allegato A), le misure di sicurezza (allegato B) e l’architettura e i moduli dell’EDS (allegato C). Parimenti è stata trasmessa la valutazione d’impatto che tuttavia non è oggetto del presente parere.

In considerazione dell’attuazione del piano di investimento sul FSE del PNRR, il presente parere è reso nei termini indicati nell’art. 9, comma 7, del d. l. n. 139 del 2021.

OSSERVA

1. Premessa.

Lo schema di decreto in esame dà attuazione a quanto previsto dall’art. 12, comma 15-quater del d.l. n. 179/2012 secondo cui, al fine di garantire il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale, per il perseguimento delle finalità del Fascicolo sanitario elettronico (FSE), il Ministero della Salute, d’intesa con la struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la transizione digitale, assicurando l’adeguatezza delle infrastrutture tecnologiche e la sicurezza cibernetica in raccordo con l’Agenzia per la cybersicurezza nazionale (ACN), cura la realizzazione dell’Ecosistema Dati Sanitari (di seguito EDS).

La predetta disposizione prevede inoltre che l’EDS sia alimentato dai dati del FSE trasmessi dalle strutture sanitarie e sociosanitarie, dagli enti del Servizio sanitario nazionale (SSN) e da quelli resi disponibili tramite il Sistema Tessera Sanitaria (TS).

Secondo quanto indicato dal citato art. 12, comma 15-quater, il Ministero della salute è titolare del trattamento dei dati raccolti e generati dall’EDS, la cui gestione operativa è affidata ad Agenas, che la effettua in qualità di responsabile del trattamento.

La citata disposizione legislativa ha poi stabilito che con decreto -costituito dallo schema di decreto in esame- del Ministro della salute, adottato di concerto con il Ministro delegato per l’innovazione tecnologica e la transizione digitale e con il MEF, acquisiti i pareri dell’Autorità garante per la protezione dei dati personali e dell’Agenzia per la cybersicurezza nazionale, siano individuati i contenuti dell’EDS, le modalità di alimentazione, nonché i soggetti che hanno accesso allo stesso, le operazioni eseguibili e le misure di sicurezza idonee ad assicurare i diritti degli interessati.

Lo schema di decreto in esame, nel dare attuazione alla predetta disposizione, tiene conto dei numerosi rilievi formulati dal Garante nel richiamato parere non positivo del 22 agosto 2022, dell’innovata disciplina sul FSE 2.0, a cui è stata data attuazione, da ultimo, con il decreto del 7 settembre 2023, e di quanto previsto nello schema di decreto del MEF, inerente le modalità con cui il Sistema TS, tramite l’Infrastruttura Nazionale per l’Interoperabilità (INI) del FSE, mette a disposizione dei Fascicoli i dati relativi alle prescrizioni e prestazioni erogate di farmaceutica e specialistica, esaminato dal Garante nell’adunanza del 12 settembre 2024 e in quello -esaminato dall’Autorità in data odierna- di modifica del decreto del Ministero della salute del 7 settembre 2023, volto ad introdurre una disciplina transitoria alle disposizioni sul FSE 2.0 (art. 27 bis).

Nel parere non favorevole del 22 agosto 2022, adottato congiuntamente ad un ulteriore parere non favorevole sullo schema di decreto di riforma del FSE, l’Autorità aveva mosso numerosi rilievi, in quanto il modello di EDS all’epoca previsto determinava la costituzione della più grande banca di dati sulla salute del nostro Paese, raccogliendo, senza applicare alcuna tecnica di pseudonimizzazione, i dati e i documenti sanitari relativi a tutte le prestazioni socio sanitarie erogate sul territorio nazionale relative alla totalità degli interessati senza offrire garanzie sufficienti sotto il profilo della protezione dei dati personali.

Tale sistema, che intendeva realizzare un trattamento sistematico, su larga scala, di particolari categorie di dati personali di cui all’art. 9 del Regolamento anche attraverso logiche algoritmiche, presentando un rischio elevato per i diritti e le libertà degli interessati, imponeva infatti nella sua realizzazione un rigoroso rispetto dei principi generali del Regolamento e del dettato normativo che lo ha istituito.

Ciò stante, erano state evidenziate specifiche criticità in ordine ai contenuti informativi dell’EDS, al perimetro di titolarità dei trattamenti, ai limiti di responsabilità dei soggetti coinvolti, alle modalità di alimentazione, al rispetto dei diritti degli interessati e dei principi generali del trattamento con particolare riguardo a quelli di esattezza, di integrità, di aggiornamento dei dati e di liceità del trattamento e alla necessità di una preventiva valutazione d’impatto (VIP).

Nell’agosto del 2022 inoltre il Garante aveva ritenuto che l’EDS, così come descritto nello schema di decreto allora esaminato, fosse una “scatola vuota”, in quanto rinviava a successivi decreti la definizione di molti aspetti essenziali per la sua regolamentazione richiesti dallo stesso art. 12 del d.l. n. 179/2012 e indispensabili sia per rispettare quanto previsto dagli artt. 6 e 9 del Regolamento e dall’art. 2 sexies del Codice, ma anche per consentire la valutazione della proporzionalità del trattamento.

Nel suddetto parere era stato inoltre evidenziato che la valutazione non favorevole dello schema di decreto sull’EDS era dipesa anche dall’assenza di chiarezza sulla tipologia di dati trattati attraverso il FSE, fonte di alimentazione dell’EDS, sui ruoli dei vari soggetti convolti e sull’ubicazione delle diverse banche dati, delle componenti informatiche e dei sistemi informativi interrogabili attraverso il FSE.

Il parere non favorevole sull’EDS richiamava infatti anche i numerosi elementi di criticità rilevati nello schema di decreto all’epoca esaminato sul FSE, alcuni dei quali erano stati già oggetto di osservazioni da parte dell’Autorità sin dal 2017. Sul punto, in considerazione del fatto che è previsto che l’EDS elabori i dati estratti dal FSE, nel 2022 il Garante aveva rilevato che si rendeva imprescindibile esaminare compiutamente lo schema di decreto di attuazione della disciplina dell’EDS solo se superate le osservazioni formulate sul FSE; ciò è avvenuto con l’adozione del decreto del 7 settembre 2023 sul FSE 2.0.

Con tale decreto, su cui l’Autorità ha espresso il proprio parere l’8 giugno 2023 (doc. web n. 9900433), mediante l’abrogazione -in parte- del d.P.C.M. n. 178/2015, è stata parzialmente definita la nuova disciplina di attuazione del FSE 2.0, alla luce del mutato quadro giuridico di settore e di quello in materia di protezione dei dati personali, superando appunto le criticità evidenziate dal Garante nel richiamato parere non favorevole del 22 agosto 2022.

Con specifico riferimento agli aspetti di protezione dei dati personali, il suddetto decreto ha definito, ai sensi dell’art. 12, comma 7, del d.l. n. 179/2012 e dell’art. 2 sexies del Codice, i dati personali contenuti nel FSE 2.0, i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, anche attraverso una puntuale definizione dei ruoli del trattamento, le modalità e i livelli diversificati di accesso al FSE e le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti dell’interessato.

Nel mese di febbraio del 2024 l’Ufficio ha avviato una specifica attività istruttoria in merito allo stato di attuazione del FSE 2.0, da cui è emerso, come rappresentato dal Presidente nella segnalazione presentata al Parlamento e al Governo il 13 giugno 2024, che molte disposizioni rilevanti sotto il profilo della protezione dei dati contenute nel decreto del 7 settembre 2023 (alcune delle quali erano già presenti nel d.P.C.M. n. 178/2015) risultavano essere disattese in molte regioni e province autonome. A fronte di ciò, in sede governativa, è stata manifestata l’opportunità di introdurre nella disciplina del 7 settembre 2023 sul FSE 2.0 una disposizione transitoria esaminata in data odierna, per l’attuazione di tutti i servizi e le funzionalità del FSE 2.0, che prevede tre fasi di realizzazione, i cui termini sono stati individuati in coerenza con le scadenze del PNRR, al fine di tutelare i diritti e le libertà di tutti gli interessati coinvolti nel trattamento dei dati sulla salute effettuati attraverso il FSE 2.0.

Le predette difformità riguardano anche misure e tutele sostanziali sotto il profilo della protezione dei dati personali quali l’esercizio del diritto di oscuramento dei dati e dei documenti presenti nel FSE 2.0, del diritto di poter consultare gli accessi effettuati sul proprio fascicolo, la possibilità di esprimere consensi specifici per le diverse finalità perseguibili attraverso il FSE 2.0 (cura, prevenzione e profilassi internazionale) e l’attribuzione della titolarità di alcuni trattamenti.

In questa sede occorre inoltre evidenziare che nel predetto schema di decreto sul regime transitorio del FSE -esaminato in data odierna- è previsto che i trattamenti di dati personali per le finalità di prevenzione, perseguite dalle regioni, province autonome e dal Ministero della salute e per la finalità di profilassi internazionale, perseguita dal Ministero della salute, di cui rispettivamente alle lettere a-bis) e a-ter) del comma 2 dell’art. 12 del d.l. n. 179/2012, disciplinati nel predetto decreto del 7 settembre 2023, saranno effettuati esclusivamente attraverso l’EDS e che pertanto i consensi disgiunti, previsti dall’articolo 8, comma 1, saranno acquisiti prima dell’inizio delle operazioni di trattamento effettuate attraverso l’Ecosistema.

2. Caratteristiche dell’EDS e superamento delle criticità rilevate nel parere del 22 agosto 2022 (artt. 2, 3 e 10 dello schema di decreto)

Lo schema di decreto in esame è stato elaborato a seguito delle numerosissime e frequenti interlocuzioni informali che si sono tenute con il Ministero della salute anche con riferimento alla riforma del FSE 2.0.

Complessivamente lo schema trasmesso risulta profondamente modificato rispetto alla versione su cui l’Autorità si era espressa ad agosto del 2022, in quanto da un lato, al fine di superare i rilevi formulati dal Garante, si è reso necessario approfondire, integrare e regolamentare tutti gli aspetti del trattamento dei dati personali connessi alla realizzazione dell’EDS e dall’altro ne è emersa una visione profondamente diversa da quella precedentemente proposta che tiene conto della riforma del FSE 2.0.

L’EDS descritto nello schema di decreto in esame infatti è molto diverso da quello su cui l’Autorità si è espressa nel 2022. Nella versione attualmente analizzata, l’EDS, alimentato con i dati del FSE, ad eccezione di quelli oggetto di oscuramento, li elabora al fine di fornire, su richiesta, appositi servizi (individuati nell’allegato A) ai professionisti sanitari, alle regioni e province autonome, al Ministero della salute e allo stesso interessato, nonché specifici servizi di supporto alla compilazione del Profilo Sanitario Sintetico (PSS) e al processo di cura e per la realizzazione del dossier farmaceutico (DF) (art. 3 dello schema di decreto).

Fermi restando gli specifici profili esaminati nei successivi paragrafi, con riferimento all’impianto generale dell’EDS, si evidenzia che lo schema di decreto ha recepito le osservazioni dell’Ufficio in ordine:

all’individuazione certa del contenuto informativo dell’EDS;

alla circostanza che i dati oggetto di oscuramento ai sensi degli articoli 6 e 9 del decreto del 7 settembre 2023 non devono alimentare l’EDS (art. 3, comma 2 dello schema di decreto);

alla previsione secondo cui i servizi di elaborazione dei dati siano indicati in modo tassativo nell’allegato A e siano realizzati solo su richiesta, non essendo ammissibile l’elaborazione automatica dei dati e delle informazioni del FSE 2.0 (art. 3, comma 1 dello schema di decreto);

all’eliminazione del riferimento a sistemi di intelligenza artificiale (IA) per l’elaborazione dei dati del FSE 2.0 al fine di offrire i servizi dell’EDS;

all’individuazione di un periodo di conservazione dei dati coerente con quello del FSE 2.0 (art. 10 dello schema di decreto).

2.1 Presupposti di liceità del trattamento (artt. 7 e 8 dello schema di decreto)

Come già evidenziato nel parere del 22 agosto 2022, sulla base del quadro normativo di settore, l’alimentazione e l’elaborazione dei dati del FSE da parte di EDS per offrire servizi finalizzati alla cura, prevenzione e profilassi internazionale potrà avvenire solo dopo che l’assistito abbia preso visione dell’informativa e abbia espresso un consenso libero, specifico, informato, inequivocabile, esplicito e in modo disgiunto per ciascuna delle predette finalità, e, con riferimento a quella di prevenzione, anche in modo separato nei confronti dei professionisti/strutture sanitarie e del Ministero della salute, delle regioni e province autonome (art. 8 dello schema di decreto).

Al riguardo, si evidenzia che le disposizioni in esame recepiscono le osservazioni dell’Ufficio in ordine alla necessità di prevedere:

che il consenso al trattamento dei dati effettuati attraverso l’EDS sia specifico ed espresso, non potendo essere ritenuto valido il consenso reso (anche in passato) per il FSE anche per i trattamenti effettuati attraverso l’EDS. È stato pertanto accolto l’invito dell’Ufficio a prevedere specifiche, disgiunte, informate ed espresse manifestazioni di volontà per i trattamenti effettuati per le finalità di cura, diagnosi e riabilitazione, di prevenzione e di profilassi internazionale, assicurando le medesime garanzie che sono state introdotte al riguardo nel decreto sul FSE 2.0 (vd. art. 8);

che l’anagrafe dei consensi e delle revoche di cui alla disciplina sul FSE 2.0 sia integrata anche con i consensi relativi all’EDS;

specifiche disposizioni relative al consenso del minore e dei soggetti sottoposti alle forme di tutela previste dal Codice civile, alla delega e all’istituto della revoca dei predetti consensi, indicando le conseguenze in caso di revoca di ciascuna delle previste manifestazioni di volontà dell’interessato;

che la verifica dell’avvenuta manifestazione del consenso dell’interessato sia effettuata dall’EDS ad ogni richiesta di elaborazione assicurando il pieno allineamento anche con le eventuali revoche espresse;

che siano tassativamente indicati i soggetti abilitati, previo consenso dell’interessato, ad accedere all’EDS.

Sul punto si evidenzia che nel predetto schema di decreto sul regime transitorio del FSE esaminato in data odierna è previsto che i predetti trattamenti di dati personali per le finalità di prevenzione perseguite dalle regioni, province autonome e dal Ministero della salute e per la finalità di profilassi internazionale perseguita dal Ministero della salute, di cui rispettivamente alle lettere a-bis) e a-ter) del comma 2 dell’art. 12 del d.l. n. 179/2012 e già disciplinati dall’articolo 8, comma 1 del decreto del 7 settembre 2023 saranno effettuati esclusivamente attraverso l’EDS e che pertanto i consensi disgiunti saranno acquisiti prima dell’inizio delle operazioni di trattamento effettuate attraverso l’EDS.

Come sopra richiamato, un ulteriore presupposto di liceità del trattamento indicato nello schema di decreto è costituito dall’obbligo del Ministero della salute, delle regioni e province autonome di fornire all’interessato, in attuazione degli articoli 12, 13 e 14 del Regolamento, un’idonea informativa che espliciti i trattamenti dei dati personali effettuati attraverso l’EDS (art. 7 dello schema di decreto).

Al fine di assicurare una piena comprensione degli elementi indicati nell’informativa, è stato previsto, come richiesto dall’Ufficio, che il titolare formi adeguatamente il personale coinvolto nel trattamento dei dati sugli aspetti rilevanti della disciplina relativa alla protezione dei dati, anche al fine di un più efficace rapporto con gli interessati.

A seguito delle predette interlocuzioni è stato inoltre accolto l’invito dell’Ufficio affinché, al fine di garantire all’interessato informazioni omogenee e uniformi sul territorio nazionale, il Ministero della salute, in collaborazione con le regioni e province autonome, integri il modello di informativa relativa al FSE 2.0, su cui l’Autorità ha reso il proprio parere il 21 dicembre 2023 (doc. web n. 9976886), con i trattamenti dei dati effettuati attraverso l’EDS, acquisendo un nuovo parere del Garante (art. 7, comma 3 dello schema di decreto).

2.2 I diritti dell’interessato (artt. 9, 11 e 20 e allegato A) allo schema di decreto)

Lo schema di decreto descrive nell’allegato A i servizi che l’EDS offrirà all’interessato tra i quali merita evidenziare quello di richiedere di poter prendere visione delle registrazioni delle operazioni sui file di log relative ai servizi resi dall’EDS attraverso l’elaborazione dei dati del FSE, mediante apposita funzionalità presente nel portale FSE della Regione di assistenza (RdA) e nel portale nazionale FSE (artt. 9, 11 e 20 dello schema di decreto).

Come richiesto dall’Ufficio, è stato specificato che i diritti di accesso, integrazione, rettifica, oscuramento e aggiornamento dei dati possano essere esercitati dall’interessato direttamente sui documenti e sui dati del FSE, ai sensi dell’articolo 9 del decreto 7 settembre 2023, in quanto la soluzione architetturale dell’EDS garantirà il pieno allineamento delle informazioni in conformità ai principi di esattezza e aggiornamento dei dati personali.

2.3 Il dossier farmaceutico (DF) (art. 5 e dello schema di decreto)

Come evidenziato nel parere dell’8 giugno 2023, il decreto del 7 settembre 2023 ha indicato nelle premesse che la disciplina del dossier farmaceutico sarebbe stata individuata nel decreto sull’EDS, in quanto servizio reso disponibile dall’EDS su alcuni dati estratti dai documenti del FSE 2.0.

Secondo quanto previsto dal decreto del 7 settembre 2023, al fine di favorire la qualità, il monitoraggio, l’appropriatezza nella dispensazione dei medicinali e l’aderenza alla terapia ai fini della sicurezza del paziente, l’EDS rende disponibile, tra i servizi offerti, anche quello sul DF (art. 5 dello schema di decreto).

A tal fine, l’EDS estrae i dati relativi alle prescrizioni farmaceutiche, all’erogazione di farmaci, come indicati nell’allegato A, dai documenti del FSE e dai dati resi disponibili dal Sistema TS e dall’Anagrafe nazionale degli assistiti (ANA).

Al riguardo, si evidenzia che la disposizione in esame recepisce le osservazioni dell’Ufficio in ordine alla necessità di prevedere:

in modo tassativo, non solo le categorie di dati che l’EDS può elaborare per offrire il servizio DF, ma anche i soggetti che possono richiederlo;

che il DF non sia costituito da una banca dati, ma sia un servizio di estrazione ed elaborazione di determinate categorie di dati presenti nel FSE 2.0 effettuato solo su richiesta;

il riferimento alle sole prescrizioni e erogazioni di farmaci e non anche alla somministrazione degli stessi in quanto nel FSE 2.0 non sono registrate le informazioni relative all’avvenuta somministrazione di un medicinale;

che in nessun caso l’accesso al DF potrà consentire, da parte di soggetti diversi dall’assistito, la consultazione dei documenti oscurati ai sensi dell’articolo 9 del decreto FSE 2.0.

2.4 Servizi di elaborazione dei dati del FSE attraverso l’EDS per finalità di cura (art. 13 dello schema di decreto e allegato A)

Lo schema di decreto prevede che, previo consenso dell’assistito, l’EDS renda disponibili alle strutture sanitarie e socio-sanitarie e ai medici convenzionati, nonché agli esercenti le professioni sanitarie che prendono in cura l’interessato, anche al di fuori del servizio sanitario nazionale (SSN), una serie di servizi -descritti nell’allegato A- pertinenti alla finalità di cura, cui gli stessi accedono su propria iniziativa, nel rispetto dei principi di minimizzazione, necessità e pertinenza dei dati.

Al riguardo, si evidenzia che la disposizione in esame recepisce le osservazioni dell’Ufficio in ordine alla necessità di prevedere che:

i predetti soggetti che hanno in cura l’interessato possano accedere ai servizi dell’EDS per finalità di cura, secondo i ruoli e i profili di autorizzazione di cui all’allegato A, previa dichiarazione che tale processo di cura è in atto al momento dell’accesso e assunzione della relativa responsabilità ai sensi dell’articolo 47 del d.P.R. n. 445 del 2000;

possano altresì accedere ai servizi dell’EDS per la finalità di cura, secondo i ruoli e i profili di autorizzazione di cui all’allegato A, i medici di medicina generale e pediatri di libera scelta solo per la durata dell’assistenza o il medico sostituto solo per la durata della sostituzione;

l’accesso ai servizi dell’EDS sia sempre escluso ai soggetti operanti in ambito sanitario che non perseguono finalità di cura quali periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, personale medico nell’esercizio di attività medico legale quale quella per l’accertamento dell’idoneità lavorativa o per il rilascio di certificazioni necessarie al conferimento di permessi o abilitazioni.

2.5 Servizi di elaborazione dei dati del FSE attraverso l’EDS per finalità di prevenzione (art. 14 dello schema di decreto e allegato A)

Lo schema di decreto stabilisce che per la finalità di prevenzione, previo consenso dell’assistito, l’EDS renda disponibili ai soggetti del SSN e dei servizi sociosanitari regionali della RdA, agli esercenti le professioni sanitarie che hanno in cura l’interessato, o comunque gli prestano assistenza, un insieme di servizi -descritti nell’allegato A- pertinenti alla finalità di prevenzione, cui gli stessi accedono su propria iniziativa, nel rispetto dei principi di minimizzazione, necessità e pertinenza, secondo i livelli diversificati di accesso di cui all’allegato A.

Come sopra evidenziato, da una lettura congiunta del presente schema di decreto con quello sul regime transitorio del FSE 2.0 esaminato in data odierna è previsto che i predetti trattamenti di dati personali per le finalità di prevenzione perseguite dalle regioni, province autonome e dal Ministero della salute, già disciplinati dall’articolo 8, comma 1, del decreto del 7 settembre 2023, saranno effettuati esclusivamente attraverso l’EDS.

L’EDS infatti renderà disponibili alle regioni e alle province autonome, attraverso gli uffici competenti in materia di prevenzione sanitaria e limitatamente ai propri assistiti, nonché alla Direzione generale competente in materia di prevenzione sanitaria del Ministero della salute un insieme di servizi, descritti nell’allegato A, al fine di pianificare le attività di prevenzione rispettivamente in ambito regionale, attuate dalle competenti ASL, e in ambito nazionale.

Al riguardo, si evidenzia che la disposizione in esame recepisce le osservazioni dell’Ufficio in ordine alla necessità di prevedere che:

le regioni/province autonome e il Ministero della salute possano accedere solo ai dati privati degli elementi identificativi diretti e pseudonimizzati, secondo i livelli diversificati di accesso descritti nell’allegato A;

possa accedere, per conto delle regioni/province autonome e il Ministero della salute, esclusivamente il personale sanitario autorizzato, soggetto alle regole del segreto professionale, e che non acceda anche ad altri flussi di dati pseudonimizzati per altre finalità.

2.6 Servizi di elaborazione dei dati del FSE attraverso l’EDS per finalità di profilassi internazionale (art. 15 dello schema di decreto e allegato A)

Per la finalità di profilassi internazionale lo schema di decreto stabilisce che, previo consenso dell’interessato, l’EDS renda disponibili alla Direzione generale competente in materia di profilassi internazionale del Ministero della salute, designata quale Centro Nazionale Italiano per il Regolamento Sanitario Internazionale, ivi compresi gli Uffici di Sanità Marittima e Aerea e di Frontiera, un insieme di servizi omogenei sul territorio nazionale, descritti nell’allegato A e pertinenti alla finalità di profilassi internazionale.

Come sopra evidenziato, da una lettura congiunta del presente schema di decreto con quello sul regime transitorio del FSE 2.0 esaminato -in data odierna- è previsto che i predetti trattamenti di dati personali per le finalità di profilassi internazionale perseguite dalle regioni, province autonome e dal Ministero della salute già disciplinati dall’articolo 8, comma 1, del decreto del 7 settembre 2023 saranno effettuati esclusivamente attraverso l’EDS.

Al riguardo, si evidenzia che la disposizione in esame recepisce le osservazioni dell’Ufficio in ordine alla necessità di prevedere:

tassativamente e in coerenza con il decreto del 7 settembre 2023 le specifiche attività di profilassi perseguibili (es. circolazione di nuovi patogeni o l’emergere di sintomatologie sconosciute o di fattori di rischio ambientale e/o alimentare), nonché le relative azioni che possono essere disposte (es. sottoposizione a misure di quarantena o isolamento);

che i soggetti operanti presso la predetta Direzione generale del Ministero della salute possano accedere ai servizi dell’EDS, secondo i livelli diversificati di accesso determinati sulla base delle relative attività di competenza individuate nell’allegato A, debitamente autorizzati e da individuare esclusivamente in personale medico soggetto alle regole del segreto professionale che non accede, per altre finalità, a flussi di dati pseudonimizzati.

2.7 Servizi di elaborazione dei dati del FSE attraverso l’EDS per finalità di governo (artt. 16 e 25 dello schema di decreto e allegato A)

Il decreto del 7 settembre 2023 ha previsto la cessazione dell’efficacia del d.P.C.M n. 178 del 2015, ad eccezione dei Capi III e IV relativi rispettivamente alle finalità di ricerca e di governo che rimarranno in vigore fino all’adozione delle specifiche disposizioni di cui al comma 7, dell’art. 12 del d.l. n. 179 del 2012 (art. 27, comma 5).

Lo schema di decreto in esame prevede che la finalità di governo sia perseguita -a regime- esclusivamente attraverso i servizi che l’EDS renderà disponibili al personale dei competenti Uffici del Ministero della salute, di Agenas e delle regioni e delle province autonome competenti in materia di governo, a cui gli stessi accederanno nel rispetto dei principi di minimizzazione, necessità e pertinenza, secondo i livelli diversificati di accesso indicati nell’allegato A (art. 16).

Secondo quanto indicato nelle disposizioni transitorie dello schema di decreto (art. 25), tali servizi dell’EDS saranno attivati entro il 31 marzo 2026 data dalla quale cesserà di avere efficacia il capo IV del d.P.C.M n. 178/2015.

Al riguardo, si evidenzia che le disposizioni in esame recepiscono le osservazioni dell’Ufficio in ordine alla necessità di prevedere:

termini per la realizzazione di tale servizio coerenti con quelli indicati nello schema di decreto esaminato in data odierna sul regime transitorio del FSE 2.0;

che i soggetti abilitati possano accedere esclusivamente ai dati, messi a disposizione dai servizi dell’EDS descritti nell’allegato A, privati degli elementi identificativi diretti, pseudonimizzati, nonché dati aggregati;

che il personale del Ministero della salute e delle regioni e delle province autonome che, per altre finalità, ha accesso a flussi di dati pseudonimizzati, non acceda ai dati messi a disposizione dai servizi dell’EDS per finalità di governo.

2.8 Servizi di elaborazione dei dati del FSE attraverso l’EDS per finalità di studio e ricerca scientifica (artt. 17 e 25 dello schema di decreto e allegati A e B)

L’art. 17 dello schema di decreto disciplina l’”accesso ai servizi dell’EDS per finalità di studio e ricerca scientifica” in campo medico, biomedico ed epidemiologico, di cui all’articolo 1, lett. ii) del medesimo schema di decreto.

Il servizio, allo stato attuale, consiste esclusivamente nel rendere disponibile l’estrazione dall’EDS di dati anonimizzati secondo le tecniche indicate nell’allegato B, al personale dei competenti Uffici del Ministero della salute, di Agenas e delle regioni e province autonome (comma 1).

Il medesimo servizio può essere erogato ai soggetti pubblici e privati che istituzionalmente perseguono finalità di studio e di ricerca scientifica in campo medico, biomedico ed epidemiologico per il tramite di Agenas, previa valutazione da parte della predetta Agenzia di una richiesta di estrazione di dati anonimizzati, corredata da un progetto di ricerca conforme alle regole metodologiche ed etiche, e, se del caso, alle regole deontologiche per trattamenti a fini statistici e di ricerca scientifica, di cui all’allegato A5 del Codice, nonché al Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. n. 101/2018 (comma 2).

I dati anonimizzati resi disponibili attraverso il servizio di estrazione in esame non sono conservati nell’EDS (comma 3).

L’articolo stabilisce inoltre che i servizi dell’EDS, che consentiranno trattamenti di dati di natura personale per le finalità di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico, nel rispetto delle garanzie di cui all’art. 89 del Regolamento, saranno disciplinati nell’ambito di successivi decreti (comma 4).

L’ultimo comma dell’articolo (comma 5) dispone che il Capo III del d.P.C.M. n. 178/2015, relativo all’uso dei dati e dei documenti dell’FSE per finalità di ricerca scientifica, cesserà di avere efficacia solo a decorrere dal 31 marzo 2026, data entro la quale, per esplicita previsione dello schema di decreto medesimo, dovranno essere attivati tutti i servizi dell’EDS resi disponibili per tali scopi (art. 25, comma 2). Tale previsione tiene conto della circostanza che -come sopra ricordato- il decreto del 7 settembre 2023 sul FSE 2.0 (art. 27, comma 5), nel disporre la cessazione dell’efficacia del richiamato d.P.C.M. n. 178/2015, ne aveva fatto salvo il Capo III, fino all’adozione, con successivi decreti, di specifiche disposizioni per il trattamento dei dati e dei documenti per le richiamate finalità.

Al riguardo, si evidenzia che la disposizione in esame ha recepito le osservazioni dell’Ufficio in ordine a:

- la circostanza che, in attesa dell’adozione del decreto di cui al comma 4, l’accesso ai servizi dell’EDS per finalità di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico consiste esclusivamente nel rendere disponibile l’estrazione dall’EDS di dati anonimizzati secondo le tecniche indicate nell’allegato B;

- la corretta individuazione dei soggetti legittimati ad usufruire del servizio di estrazione di dati anonimizzati per le predette finalità di ricerca in campo medico, biomedico ed epidemiologico;

- l’indicazione della disciplina rilevante in materia di protezione dei dati personali per scopi di ricerca scientifica, con particolare riferimento all’art. 89 del Regolamento, alle Regole deontologiche per trattamenti a fini statistici e di ricerca scientifica e alle Prescrizioni per il trattamento di categorie particolari di dati;

- la circostanza che i dati oggetto della richiesta siano anonimizzati esclusivamente in occasione della stessa e che, in omaggio al principio di minimizzazione di cui all’art. 5, par. 1, lett. c) del Regolamento, non siano conservati nell’EDS;

- l’individuazione di misure tecniche volte ad assicurare l’anonimizzazione dei dati, coerentemente con le indicazioni contenute nel parere 5/2014, adottato dal Gruppo articolo 29 il 10 aprile del 2014 sulle tecniche di anonimizzazione dei dati, come più diffusamente rappresentato nell’allegato B allo schema di decreto.

2.9 Accesso ai servizi resi da EDS in emergenza (art. 18 schema di decreto)

L’art. 18 dello schema di decreto prevede che, in caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere e di rischio grave, imminente e irreparabile per la salute o l’incolumità fisica dell’interessato, che non abbia espresso il consenso al FSE e all’EDS, gli operatori del SSN e dei servizi socio-sanitari regionali, nonché gli esercenti le professioni sanitarie, secondo quanto previsto nell’articolo 20 del decreto FSE 2.0, possano accedere, prioritariamente al PSS ed eventualmente al resto del FSE e, ove ritenuto necessario, ai servizi resi disponibili dall’EDS per finalità di cura.

Come richiesto dall’Ufficio, in coerenza con il criterio di progressività previsto per il FSE 2.0, tale fattispecie di accesso ai servizi dell’EDS è stata limitata all’ipotesi in cui il professionista sanitario, verificata l’incapacità fisica o giuridica dell’interessato di esprimere il consenso, non ritenga sufficiente l’accesso al PSS e comunque solo per il tempo strettamente necessario ad assicurare all’interessato le cure indispensabili e fino a quando lo stesso non sia nuovamente in grado di esprimere la propria volontà al riguardo.

2.10 I ruoli del trattamento (artt. 5, 6, 8 , 12 e 14 dello schema di decreto)

Già nel parere non favorevole del 22 agosto 2022 il Garante aveva chiesto di individuare con chiarezza i ruoli del trattamento dei dati effettuato attraverso l’EDS. A fronte di una espressa sollecitazione dell’Ufficio, lo schema di decreto ha precisato che lo stesso non modifica i ruoli del trattamento dei dati personali indicati nel decreto del 7 settembre 2023, né gli oneri e le connesse responsabilità in ordine al rispetto dei requisiti di qualità dei dati ivi previsti (art. 12).

Ciò premesso, come richiesto dall’Ufficio, è stato previsto che:

il Ministero della salute sia titolare dei trattamenti effettuati dall’EDS, la cui gestione operativa è affidata ad Agenas, in qualità di responsabile del trattamento (art. 12, comma 2);

il Ministero della salute sia anche titolare del trattamento di elaborazione dei dati del DF (art. 5, comma 4);

le regioni e le province autonome siano titolari dei trattamenti di estrazione dei dati del FSE, nonché di trasmissione degli stessi all’EDS, attraverso le soluzioni tecnologiche descritte nello schema di decreto, garantendo la riconducibilità del dato estratto al documento medesimo, ove presente;

le predette soluzioni tecnologiche non prevedano meccanismi di persistenza, né di duplicazione dei dati trattati (art. 6);

Agenas sia nominato dalle regioni e dalle province autonome quale responsabile dei trattamenti effettuati tramite le predette soluzioni tecnologiche che assicurano la corretta e omogenea trasmissione dei dati da parte della struttura sanitaria e sociosanitaria verso l’EDS (art. 6, comma 2);

la RdA e il Ministero della salute, limitatamente agli assistiti del Servizio di Assistenza Sanitaria al personale Navigante (SASN), siano titolari dei trattamenti di raccolta e registrazione dei consensi (art. 8, comma 12);

i soggetti del SSN e dei servizi sociosanitari regionali della RdA, gli esercenti le professioni sanitarie che hanno in cura l’assistito o comunque gli prestano assistenza sanitaria, siano titolari del trattamento per finalità di prevenzione, così come sono titolari del trattamento per finalità di prevenzione le regioni attraverso gli uffici competenti in materia di prevenzione sanitaria, nonché il Ministero della salute attraverso la Direzione generale competente in materia di prevenzione sanitaria (art. 14, commi 3 e 4).

2.11 La soluzione architetturale dell’EDS (artt. 4, 20, 22, 23 e 24 dello schema di decreto e allegati A, B e C)

La soluzione architetturale dell’EDS e le misure tecniche e organizzative per garantire un livello di sicurezza adeguato al rischio in coerenza con le disposizioni di cui agli articoli 25 e 32 del Regolamento sono stabilite e descritte da diversi articoli dello schema di decreto (artt. 4, 20, 22, 23 e 24) e, in particolare, dagli allegati B e C.

L’EDS, la cui soluzione architetturale è disciplinata dall’articolo 4 dello schema, è alimentato da flussi di dati provenienti dai diversi sistemi produttori tramite le “soluzioni tecnologiche”, definite all’articolo 1, comma 1, lettera r) e rese disponibili da parte di Agenas alle regioni, alle strutture sanitarie e sociosanitarie a livello nazionale o regionale, ai sensi dell’articolo 69 del CAD. Ciò al fine di assicurare, coordinare e semplificare la corretta e omogenea formazione dei documenti e dei dati che alimentano il FSE 2.0, il controllo formale e semantico dei documenti e dei corrispondenti dati correlati prodotti dalle strutture sanitarie e sociosanitarie per alimentare il FSE, la conversione delle informazioni, secondo i formati standard di cui all’art. 12, comma 15-octies, del d.l. n. 179/2012 e per l’invio dei dati da parte della struttura sanitaria e sociosanitaria verso l’EDS.

I diversi sistemi delle strutture sanitarie e sociosanitarie, degli enti del SSN, nonché il Sistema TS inviano alla predetta “soluzione tecnologica” il documento sanitario prodotto a seguito di una prestazione sanitaria per alimentare l’EDS.

La soluzione architetturale dell’EDS prevede 3 tipologie di unità di archiviazione distinte e indipendenti, volte a garantire, in particolare:

la separazione dei dati in chiaro, pseudonimizzati e anonimizzati;

il pieno allineamento tra i documenti sanitari pubblicati nei FSE regionali e i dati resi disponibili nell’EDS;

la non duplicazione dei dati estratti dai documenti sanitari;

la piena interoperabilità delle diverse unità di archiviazione contenenti i dati in chiaro;

la facoltà per le regioni e le province autonome di gestire in proprio l’unità di archiviazione dei dati in chiaro.

Nell’allegato C sono individuate le caratteristiche architetturali dell’EDS funzionali ad assicurare il rispetto dei requisiti previsti dall’articolo 4, comma 1, del decreto, la possibilità per le regioni/province autonome di attivare unità di archiviazione regionali (UA-R) come previsto dall’articolo 23 dello schema, nonché le misure di protezione dei dati e i meccanismi di gestione degli accessi, le misure di sicurezza, gli algoritmi e le procedure di anonimizzazione e di pseudonimizzazione.

L’EDS è costituito da tre elementi principali, dettagliati nell’allegato C:

1. il “Modulo dati” per la gestione dei dati sanitari degli interessati che prevede 3 componenti, ciascuna distinta, indipendente e separata dalle altre, rispettivamente per i dati in chiaro, i dati pseudonimizzati e quelli anonimizzati;

2. il “Broker EDS” per la cooperazione delle unità di archiviazione (regionali e SASN) e il recupero dei dati per le finalità di cura, prevenzione e profilassi internazionale;

3. il “Modulo dei servizi” che comprende tutte le funzionalità e i servizi resi disponibili dall’EDS, quali, fra gli altri, quelli di consultazione, di gestione delle terminologie, codifiche, dizionari e mappature con cui allineare le soluzioni tecnologiche e permetterne il corretto funzionamento, di verifica della qualità dei dati, di interrogazione delle anagrafiche -ANA (articolo 62-ter del CAD), Anagrafe Nazionale consensi e revoche (articolo 12, comma 15-ter, punto 4-bis, del d.l. n. 179/2012), sistema di gestione deleghe (articolo 64-ter del CAD)-, di pseudonimizzazione e anonimizzazione dei dati e di interoperabilità.

In particolare, la componente per i “dati in chiaro” si compone di 22 distinte “Unità di archiviazione”, di cui 21 contenenti i dati alimentati dalle regioni e dalle province autonome (UA-R) e una dedicata ai SASN. Le regioni e province autonome possono infatti avvalersi della facoltà di cui all’articolo 23 dello schema di decreto per realizzare e gestire in proprio una soluzione di UA-R in grado di garantire almeno le medesime funzionalità della UA-R resa disponibile dal “modulo dati”. Le UA-R devono assicurare il pieno rispetto dei requisiti tecnologici, di protezione dei dati e di sicurezza dettagliati negli allegati B, C, che saranno pubblicati sul sito di progetto www.fascicolosanitario.gov.it e nella VIP. A tal fine, l’articolo 23, comma 3 dello schema, prevede la sottoscrizione di un accordo di collaborazione - ai sensi dell’art. 15 della legge n. 241/1990- con il Ministero della Salute, Agenas, Dipartimento per la trasformazione digitale e il MEF - per disciplinare le modalità di progettazione, realizzazione e gestione della suddetta UA-R. Nel caso di UA-R attivate dalle regioni/province autonome viene disattivata la corrispondente Unità di archiviazione a livello centrale. Le regioni e le province autonome, al fine di rispondere alle proprie esigenze territoriali, possono altresì prevedere servizi aggiuntivi e adottare la soluzione architetturale di UA-R più idonea (modello regionale centralizzato, federato o federazione di data repository aziendali). Inoltre, al fine di realizzare la propria soluzione di UA-R, i predetti enti possono avvalersi in riuso della soluzione UA-R resa disponibile dal “modulo dati” dell’EDS, ai sensi dell’art. 69 del CAD.

La componente per i “dati pseudonimizzati” è costituita da una singola unità (Unità Dati Pseudonimizzati – UD-P), con partizioni logiche per regioni, province autonome e SASN e contiene i dati pseudonimizzati mediante gli specifici “servizi di pseudonimizzazione” del “modulo servizi” a partire dai dati in formato standard Fast Healthcare Interoperability Resources (FHIR) ricevuti dalla “Soluzione tecnologica”, secondo i principi e le tecniche descritti nell’allegato B.

La componente per i “dati anonimizzati” è costituita da una singola unità (Unità Dati Anonimizzati – UD-A) e contiene “viste” di dati anonimizzati mediante gli specifici “servizi di anonimizzazione” del “Modulo servizi“. I predetti servizi provvedono all’estrazione -per specifiche necessità di accesso espresse dai soggetti autorizzati- dei dati pseudonimizzati che sono contenuti nella unità dedicata (UD-P) per estrapolare esclusivamente i dati clinici da trasferire all’unità dedicata (UD-A), assicurandone la non riconducibilità all’interessato, secondo i principi e le tecniche descritti nell’allegato B. Tali dati non sono riconducibili a dati in chiaro o pseudonimizzati e la persistenza dei dati nella UD-A è consentita solo per il tempo strettamente necessario a soddisfare la finalità alla base dell’estrazione effettuata.

Per quanto riguarda le misure tecniche e organizzative l’articolo 20 prevede la registrazione delle operazioni relative a ogni servizio dell’EDS, in particolare di quelle relative alla consultazione, in file di log di cui l’interessato può prendere visione con le modalità indicate nel precedente paragrafo 2.2.

L’articolo 22 individua le principali misure, anche dettagliate nell’allegato B, quali, fra le altre: il rispetto delle disposizioni di cui all’articolo 51 del CAD in materia di sicurezza e disponibilità dei dati, dei sistemi e delle infrastrutture delle pubbliche amministrazioni, nonché delle linee guida rese disponibili da AGID e ACN in materia di sviluppo e gestione dei sistemi informativi, l’adozione di idonei sistemi di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento, di procedure per la verifica periodica dei profili di autorizzazione assegnati agli incaricati, di protocolli di comunicazione sicuri basati sull’utilizzo di standard crittografici per la comunicazione elettronica dei dati, di meccanismi di cifratura o di separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali, di tracciabilità degli accessi e delle operazioni effettuate, di sistemi di audit log per il controllo degli accessi e per il rilevamento di eventuali anomalie, di apposite sessioni di formazione, anche con riferimento agli aspetti di protezione dei dati personali, con particolare riferimento all’accessibilità delle informazioni, alle operazioni di trattamento eseguibili e alla sicurezza dei dati, al fine di garantire il corretto impiego dell’EDS da parte degli utilizzatori e per rendere gli stessi edotti dei rischi che incombono sui dati, nonché delle misure di sicurezza adottate.

Al riguardo, si evidenzia che le disposizioni e gli allegati in esame hanno recepito le osservazioni dell’Ufficio in ordine alla necessità di:

rendere la definizione di pseudonimizzazione coerente con quanto previsto dal Regolamento e tener conto nella scelta delle tecniche dello stato dell’arte tecnologico (articolo 1) e delle “Linee guida funzioni crittografiche - funzioni di hash” del dicembre 2023 di ACN;

far riferimento in tutto il decreto e nei relativi allegati al concetto di “dati anonimizzati”, piuttosto che “anonimi”, descrivendo in modo dettagliato le tecniche che si intendono implementare, includendo anche misure per la gestione delle singolarità e dei rischi di re-identificazione nella VIP e negli allegati tecnici;

perfezionare e specificare le informazioni registrate nei file di log, tenendo conto del principio di minimizzazione dei dati (articolo 20);

uniformare a quanto previsto dall’articolo 25, comma 8 del decreto 7 settembre 2023 le misure adottate con riferimento agli incidenti di sicurezza che comportano rischi per i diritti e le libertà degli interessati, anche in relazione a trattamenti effettuati da altri soggetti;

individuare le modalità con cui è garantita la piena interoperabilità delle unità di archiviazione contenenti i dati in chiaro (allegato C);

prevedere specifiche misure che le regioni/province autonome devono assicurare per la realizzazione e gestione delle UA-R (articolo 23);

inserire nello schema di decreto la misura relativa alla gestione degli accessi alle informazioni presenti nell’EDS previa individuazione di livelli di visibilità per ciascuna categoria di professionisti ed operatori sanitari strettamente connesse con le funzioni agli stessi attribuite nel decreto FSE 2.0 (allegato A) per l’accesso dei diversi soggetti autorizzati;

integrare le misure tecniche applicate alle password conservate sui sistemi informatici utilizzati per la verifica dell’identità degli utenti in linea con linee guida che forniscono -allo stato dell’arte- ai titolari e ai responsabili del trattamento indicazioni e raccomandazioni sugli algoritmi di password hashing e sui relativi parametri di utilizzo (cfr. provvedimento n. 594 del 7 dicembre 2023, doc. web n. 9962283);

perfezionare le misure adottate sulle componenti EDS, tenendo conto delle misure già previste dal decreto del 7 settembre 2023 sul FSE 2.0.

2.12 Disposizioni transitorie (art. 25 dello schema di decreto)

Lo schema di decreto trasmesso prevede che i servizi resi da EDS per le finalità di cura, di prevenzione e di profilassi internazionale (artt. 13, 14 e 15) saranno attivi entro il 31 dicembre 2025, mentre quelli per finalità di governo e di studio e di ricerca scientifica (artt. 16 e 17) entro il 31 marzo 2026.

Come sopra richiamato è stato inoltre stabilito che, al momento dell’attivazione dei predetti servizi, l’informativa del FSE sarà integrata con riferimento ai relativi trattamenti di dati personali.
Con riferimento ai termini indicati nella predetta disposizione si rende necessario procedere ad una lettura congiunta degli stessi con quelli indicati nello schema di decreto sulla disciplina transitoria del FSE 2.0 esaminato in data odierna.

Ciò premesso, si osserva che il termine previsto per l’attivazione dei servizi di governo e di studio e di ricerca scientifica è coerente con quanto indicato nelle disposizioni transitorie sul FSE 2.0 in quanto coincide con quello previsto per il completamento delle 3 fasi di attuazione del FSE 2.0.

Per quanto riguarda invece le finalità di cura, di prevenzione e di profilassi internazionale si rileva che l’attivazione dei relativi servizi da parte dell’EDS entro il 31 dicembre 2025 non tiene conto del fatto che per quella data saranno completate solo le prime due fasi di attuazione del FSE 2.0 e non sarà invece ancora assicurata la completezza informativa del FSE e la sua alimentazione entro i termini indicati dal decreto del 7 settembre 2023 la cui realizzazione è prevista solo nella terza fase di attuazione, ovvero entro il 31 marzo 2026.

Considerato che l’EDS si alimenta con i dati del FSE, ad eccezione di quelli oggetto di oscuramento, e li elabora al fine di fornire, su richiesta, appositi servizi ai professionisti sanitari, alle regioni e province autonome, al Ministero della salute, si ritiene che l’attivazione dei servizi dell’EDS per le finalità sopra indicate, ma anche per l’erogazione del servizio del DF e di quelli relativi alla compilazione del PSS e all’accesso in emergenza (par. 2.3 e 2.9), possa essere effettuata solo quando sarà completata l’attuazione delle disposizioni di cui al decreto del 7 settembre 2023 secondo le tre fasi previste nello schema di decreto esaminato in data odierna.

Se l’EDS effettuasse estrazioni ed elaborazione dei dati del FSE 2.0 prima della completa attuazione della disciplina di riferimento di tale strumento (decreto del 7 settembre 2023), il trattamento potrebbe potenzialmente violare:

il principio di esattezza dei dati, che comprende anche il requisito dell’aggiornamento degli stessi, in quanto l’alimentazione del FSE con tutte le tipologie di dati indicati dal decreto del 7 settembre 2023 è prevista solo al termine della III fase, cioè entro il 31 dicembre 2026;

il principio di minimizzazione dei dati con particolare riferimento al PSS, il cui completamento è strettamente collegato all’accesso in emergenza al FSE, e all’accesso in consultazione ai dati e ai documenti del FSE per finalità di cura, secondo i livelli diversificati di accesso di cui è previsto il completamento solo nella II fase, ovvero entro il 30 settembre 2025;

i diritti fondamentali degli interessati in quanto quelli di oscuramento sono garantiti solo al completamento della I e della II fase di attuazione del FSE 2.0 ovvero entro il 30 settembre 2025;

i principi di integrità e riservatezza perché la registrazione delle operazioni sul FSE e i connessi diritti di visione degli accessi saranno completati solo entro la I fase ovvero entro il 31 marzo 2025.

Ciò premesso, sotto il profilo della protezione dei dati personali, si rileva la necessità di modificare lo schema di decreto in esame, prevendo che l’alimentazione e l’elaborazione dei dati del FSE 2.0 effettuate al fine di offrire tutti i servizi dell’EDS indicati nello schema di decreto in esame possano essere realizzate solo previa completa attuazione delle disposizioni di cui al decreto del 7 settembre 2023 secondo le tre fasi indicate nello schema di decreto esaminato in data odierna redatto dal Ministero della salute congiuntamente con il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega all’innovazione tecnologica e con il Ministro dell’Economia e delle Finanze, che modifica il decreto del Ministero della salute del 7 settembre 2023, introducendo una disciplina transitoria delle disposizioni sul FSE 2.0.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 58, par. 3, lett. b), del Regolamento e dell’art. 9, comma 7, del d. l. n. 139 del 2021, esprime parere favorevole sullo schema di decreto del Ministero della salute, da adottare di concerto con Ministro dell'economia e delle finanze e con il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega all’innovazione tecnologica e la transizione digitale sull’Ecosistema Dati Sanitari (EDS), ai sensi dell’art. 12, comma 15-quater, del decreto-legge 18 ottobre 2012, n. 179, a condizione che nello schema di decreto in esame sia previsto che l'alimentazione e l’elaborazione dei dati del FSE effettuate al fine di offrire tutti i servizi dell'EDS indicati nello schema di decreto in esame possano essere realizzate solo previa completa attuazione della disciplina sul FSE 2.0 secondo quanto indicato delle tre fasi di cui allo schema di decreto esaminato in data odierna redatto dal Ministero della salute congiuntamente con il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega all’innovazione tecnologica e con il Ministro dell’Economia e delle Finanze, che modifica il decreto del Ministero della salute del 7 settembre 2023, introducendo una disciplina transitoria delle disposizioni sul FSE 2.0.

Roma, 26 settembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL SEGRETARIO GENERALE
Mattei