Cerrina Feroni, vice presidente Garante privacy: "Anagrafe degli assistiti, strumento di innovazione"
Intervista a Ginevra Cerrina Feroni, Vice Presidente del Garante per la protezione dei dati personali
(di Adriana Riccomagno, Policy and Procurement in HealthCare, 19 aprile 2022)

Nelle scorse settimane il Garante per la protezione dei dati personali ha dato via libera al Ministero della salute sullo schema di decreto del Presidente del Consiglio dei Ministri che disciplina l’Anagrafe nazionale degli assistiti (Ana). Si apre così la strada a un importante strumento di innovazione che agevola il sistema di monitoraggio della spesa sanitaria, accelera il processo di automazione amministrativa e migliora i servizi per i cittadini e le pubbliche amministrazioni.

La nuova banca dati, realizzata dal Ministero della salute in accordo col Ministero dell’Economia e delle Finanze, assicura infatti alle singole Aziende sanitarie la disponibilità delle informazioni esatte e aggiornate sugli assistiti per lo svolgimento delle funzioni di propria competenza. Numerose e importanti le novità introdotte dal decreto, che scopriamo insieme alla professoressa Ginevra Cerrina Feroni, vice presidente del Garante privacy.

Quali sono i principali profili di privacy in relazione alle finalità della nuova Anagrafe?

Ginevra Cerrina FeroniTutte le "Anagrafi" realizzate nell’ambito del Sistema sanitario nazionale hanno la caratteristica comune di garantire che i dati personali in esse contenute siano esatti e aggiornati (art. 5, § 1, lett. d) del Regolamento EU 679/2016 (Gdpr). Precondizione necessaria per la corretta realizzazione dei processi di interoperabilità, pertanto, è la verifica dei dati anagrafici dell’assistito che deve ricevere una prestazione sanitaria da parte di una struttura sanitaria regionale. Le pubbliche amministrazioni, anche nel contesto sanitario, hanno infatti l’obbligo, nella realizzazione dei propri sistemi informatici, di consentire il coordinamento informativo e informatico dei dati tra le strutture centrali, regionali e locali, nonché tra queste e i sistemi dell’Unione Europea, con i gestori di servizi pubblici e dei soggetti privati (v. Linee Guida Agid del 27 aprile 2021).

Proprio al fine di effettuare tale verifica dei dati anagrafici dell’assistito, è in corso di completamento l’istituzione dell’Ana, l’anagrafe nazionale degli assistiti; in proposito, il Garante ha reso al Ministero della salute il richiesto parere sullo schema di decreto del Presidente del Consiglio dei Ministri da adottare, su proposta del Ministro della salute e del Ministro dell’economia e delle finanze previa intesa in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano. Il parere del Garante del 24 febbraio 2022 (delibera n. 75) è disponibile sul sito dell’Autorità.

Dal parere dell’Autorità su tale schema di decreto si può evincere chiaramente l’utilità che tale anagrafe assicura a tutti i cittadini. L’Ana è realizzata dal Ministero dell’economia e delle finanze in accordo con il Ministero della salute e subentra alle anagrafi e agli elenchi degli assistiti tenuti dalle singole Asl, che mantengono la titolarità dei dati di propria competenza e ne assicurano l’aggiornamento. In pratica, l’Ana assicura alle singole Asl la disponibilità dei dati e degli strumenti per lo svolgimento delle funzioni di propria competenza e garantisce l’accesso ai dati in essa contenuti da parte delle pubbliche amministrazioni per le relative finalità istituzionali.

Una novità importante è che con il subentro dell’Ana, le Asl cessano di fornire ai cittadini il libretto sanitario personale; in particolare, in base al nuovo decreto esaminato dal Garante, l’interessato, anche per il tramite del Fascicolo sanitario elettronico, può accedere ai dati contenuti in Ana, e può ottenere la copia informatica del libretto sanitario personale. Altro elemento di novità e di modernizzazione riguarda la circostanza che in caso di trasferimento di residenza del cittadino, è previsto che l’Ana ne dia immediata comunicazione -in modalità telematica- alle aziende sanitarie locali interessate dal trasferimento e che l’Asl nel cui territorio è compresa la nuova residenza provveda alla presa in carico del cittadino, nonché all’aggiornamento dell’Ana stessa per i dati di propria competenza. Attraverso tale servizio l’interessato non sarà tenuto a fornire nessun’altra comunicazione in merito al trasferimento di residenza alle aziende sanitarie locali interessate. In tale quadro, il Garante ha accertato, nell’ambito dell’istruttoria per il parere, il corretto flusso dei dati personali attivato tra l’Ana e l’Anagrafe della popolazione residente (Anpr) per il corretto aggiornamento anagrafico del singolo cittadino e in relazione al suo nucleo familiare di appartenenza.

Attualmente, nelle more del completamento della realizzazione dell’Ana, viene utilizzata l’anagrafe rappresentata dal Sistema TS. Il presupposto perché il Sistema TS/ANA possa essere considerato il punto di riferimento per l’identificazione anagrafica è l’allineamento anagrafico puntuale con il sistema centrale.

Perché è così importante tutelare la privacy dei cittadini e in particolare sui dati sanitari?

Il Gdpr stabilisce un generale divieto di trattamento dei dati relativi alla salute, divieto che non si applica se sono utilizzati esclusivamente per:

• finalità connesse alla salute (finalità di cura);
• per motivi di interesse pubblico o finalità di governo (es. monitoraggio della spesa sanitaria);
• per la ricerca nel pubblico interesse (se effettuata in base a norme di legge o regolamento e previa valutazione di impatto).

La disciplina normativa europea ha pertanto ritenuto che la privacy dei cittadini, in relazione all’utilizzo dei dati sanitari debba essere tutelata con specifiche garanzie a partire dalle finalità che possono essere perseguite con l’utilizzo di tale categoria di informazioni.

In tale contesto, il Garante è chiamato, quotidianamente, a verificare che l’utilizzo dei dati sanitari sia corretto e conforme al quadro normativo: tali forme di controllo sono preventive, mediante i pareri sugli atti legislativi o amministrativi e regolamentari, e successive, mediante l’esame dei reclami e delle segnalazioni.

I dati sulla salute, infatti, sono suscettibili di esporre i singoli a discriminazioni e classificazioni e per questo beneficiano della maggior tutela, di misure di garanzia rafforzate, di presupposti di liceità di trattamento stringenti, della declinazione più tassativa del canone di proporzionalità. E la stretta indispensabilità nell’utilizzo di questi dati a fini informativi è il parametro di ammissibilità per la comunicazione degli stessi.

La tutela della privacy dei cittadini, in relazione alle informazioni sulla loro salute, impone al Garante importanti riflessioni in relazione allo sviluppo della digitalizzazione della sanità ponendo non poche sfide. Tale sviluppo, infatti, va realizzato all’interno di un progetto organico e lungimirante di governance che minimizzi i rischi cyber e promuova una condivisione selettiva dei dati ma con le dovute cautele per evitare l’identificazione degli interessati al di fuori delle attività di cura di ciascun individuo.

Tenendo conto anche dell’alta correlazione tra digitalizzazione e rischio cyber, come del fatto che il rischio informatico si può riflettere sul rischio clinico, per esempio di fronte alla scelta di basi di dati alterate in grado di rendere sbagliata la diagnosi. Si pensi per esempio ai sistemi di Intelligenza artificiale allenati su serie statistiche non rappresentative che possono condurre anche a discriminazioni. A questo proposito, lo stesso Gdpr offre le opportune garanzie esigendo trasparenza, contestabilità del processo algoritmico, cautele per la delocalizzazione del trattamento ed un approccio generale fondato su prevenzione del rischio e previsione di adeguate misure di sicurezza, sulla base di una strategia di forte responsabilizzazione di chi effettua il trattamento. Sulla sinergia tra salute, innovazione e privacy si gioca una sfida determinante nel segno della centralità della persona.

In tale quadro, si inserisce lo sviluppo del Fascicolo Sanitario Elettronico (Fse) quale strumento attraverso il quale il cittadino può tracciare e consultare -in sicurezza- tutta la storia della propria vita sanitaria, condividendola con i professionisti sanitari, con il suo consenso, per garantire un servizio più efficace ed efficiente. Tutte le informazioni e i documenti che costituiscono il Fse sono resi interoperabili per consentire la sua consultazione e il suo popolamento in tutto il territorio nazionale e non solo nella regione di residenza dell’assistito. Questo permette all’assistito una maggiore libertà nella scelta della cura e nella condivisione delle informazioni che -con il suo consenso- sono tutte disponibili tramite l’accesso al Fascicolo dai professionisti sanitari. Inoltre, l’accesso al Fse da parte dei professionisti sanitari, in special modo in situazioni di emergenza, consente di conoscere tutto ciò che è necessario per intervenire con prontezza e garanzia del risultato.

Il Fascicolo Sanitario Elettronico è la prima manifestazione della cultura e-Health in Italia con la quale si progetta un’architettura al completo servizio dell’interazione tra i professionisti della salute – tra il medico o pediatra di famiglia e il medico specialista – e tra il cittadino e il medico. L’efficace e sicura (anche in termini di protezione dei dati personali) realizzazione del Fse a livello nazionale e la sua successiva diffusione saranno inoltre in grado di generare ingenti risparmi legati alla dematerializzazione del cartaceo, ma anche di abilitare una fase di completa rivisitazione dei processi clinici e amministrativi oltre che dell’intera organizzazione della sanità pubblica.

In relazione a tali aspetti, appare utile evidenziare che il legislatore (art. 21 del D.L. 27 gennaio 2022, n. 4) ha deciso di potenziare il Fse nel quadro della "specifica linea di investimento nell’ambito del Piano nazionale di ripresa e resilienza (Missione 6 Salute – Componente 2, Innovazione, Ricerca e Digitalizzazione del Servizio Sanitario Nazionale -Investimento 1.3.1 Fascicolo Sanitario Elettronico)". A tal fine l’Ufficio del Garante è stato di recente coinvolto nel tavolo di lavoro con il Ministero della salute e i rappresentanti del Ministro delegato per l’innovazione tecnologica e la transizione digitale, al fine di contribuire, per i profili di competenza, all’aggiornamento dei nuovi contenuti del Fascicolo, verificando anche i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali, le modalità e i livelli diversificati di accesso al FSE, nonché la definizione e le relative modalità di attribuzione di un codice identificativo univoco dell’assistito che non consenta l’identificazione diretta dello stesso.

Come in concreto si procederà in questo senso per quanto riguarda l’Ana?

Con il parere reso dall’Autorità è stato verificato che il flusso dei dati personali assicuri alle singole aziende sanitarie locali la disponibilità dei dati e degli strumenti per lo svolgimento delle funzioni di propria competenza, nonché garantisca l’accesso ai dati contenuti nell’Ana da parte delle pubbliche amministrazioni per le relative finalità istituzionali. L’intervento del Garante si inserisce, dunque, nel quadro dei controlli preventivi sulle procedure per l’interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato.

Entrando nel merito delle garanzie che il Garante verifica nei casi di attivazione dei flussi di dati particolari, come quelli riguardanti l’interconnessione a livello nazionale dei sistemi informativi del Servizio sanitario nazionale, è previsto che i fornitori dei dati per il livello nazionale, prima di inviare al Ministero della salute, nell’ambito del Nuovo sistema informativo sanitario (Nsis), i dati relativi ai flussi informativi, effettuino:

• la verifica della validità del codice identificativo attraverso il servizio fornito dall’Anagrafe nazionale degli assistiti;
• l’assegnazione di un codice univoco non invertibile (Cuni) che sostituisce il codice identificativo, tramite un sistema di codifica univoco a livello nazionale, definito dal Ministero della salute, che non consente alcuna correlazione immediata con i dati anagrafici del soggetto e consiste in una sequenza di caratteri alfanumerici casuali di lunghezza fissa ottenuti attraverso una procedura di cifratura (algoritmi) biunivoca non invertibile del codice identificativo.

Tali dati, una volta privati del codice identificativo, unitamente ai correlati dati sanitari, vengono inviati al Nsis, in forma individuale, ma priva di ogni riferimento che ne permetta il collegamento diretto con gli interessati e comunque con modalità che, pur consentendo il collegamento nel tempo delle informazioni riferite ai medesimi individui, rendono questi ultimi non identificabili.

Il Ministero della salute, quindi, per il perseguimento delle finalità di rilevante interesse pubblico previste dalla legge, sostituisce il suddetto codice univoco non invertibile con il codice univoco nazionale dell’assistito (Cuna). Tale codice permette l’interconnessione a livello nazionale, nell’ambito del Nsis, di tutti i sistemi informativi su base individuale; in tale quadro, l’Ana fornisce al Ministero della salute il servizio di verifica della validità del codice identificativo e di aggiornamento dei dati.

In generale a che punto è l’Italia dal punto di vista della consapevolezza del bisogno di privacy e di tutela dei cittadini? Da che punto di vista ci sono margini e prospettive di miglioramento?

Il Gdpr è diventato il punto di riferimento globale per la regolamentazione della privacy e costituisce un fondamento della nostra politica digitale su cui l’Europa sta costruendo altre iniziative nell’ambito della strategia digitale. Il trattamento dei dati personali dovrebbe essere progettato per servire la società e rispettare i diritti degli individui. Iniziative come il prossimo Data Act o il Data Governance Act contribuiscono a creare un quadro per l’accesso e l’uso dei dati che sia più chiaro ed equo, dando alle aziende e agli individui europei più controllo sui loro dati e rendendo più dati disponibili per l’uso, anche per il bene pubblico. Allo stesso tempo, ulteriori iniziative nell’ambito della strategia digitale europea, come la legge sui servizi digitali, la legge sui mercati digitali e la legge sull’intelligenza artificiale contribuiranno anche a questi obiettivi.

L’aumento dei servizi offerti dai sistemi, anche quelli sanitari, ha reso gli individui più consapevoli dei diversi modi in cui i loro dati personali possono essere trattati; e proprio questa consapevolezza dei rischi a cui ci esponiamo, particolarmente quando pubblichiamo on line contenuti intimi, ha fatto emergere l’attenzione sui temi dell’adescamento di minori, dello sfruttamento sessuale, del revenge porn, del cyber bullismo. In relazione a tali fenomeni nuovi delle società moderne, vi è anche una nuova consapevolezza del fatto che ora possiamo chiedere di cancellare quei contenuti perché abbiamo finalmente il "diritto di cambiare idea". Si deve essere consapevoli che, quando scopriamo che determinate immagini sono state condivise senza consenso, è possibile agire mediante meccanismi di segnalazione sui social ed eventualmente chiedendo aiuto alla Polizia Postale e al Garante privacy.

Cosa possono fare i cittadini per avere un maggiore controllo sui propri dati?

I cittadini, nel contesto sanitario elettronico quale, ad esempio, il fascicolo sanitario, sono al centro del sistema con la loro storia sanitaria ed ogni azione medica che li riguarda viene tracciata e codificata, al fine specifico di evitare anche la ripetizione di indagini cliniche non necessarie. Tutto ciò avviene nel rispetto delle condizioni definite da ciascun assistito al momento del primo accesso al Fse e modificabili in qualunque momento. L’assistito, infatti, può scegliere chi è autorizzato a consultare il suo Fascicolo, in quali condizioni e anche quali dati, scegliendo, quindi, anche l’oscuramento di alcune informazioni e ha, inoltre, la visibilità di chi e quando ha avuto accesso al suo Fse.

Appare utile qui ricordare che è stato eliminato invece il consenso all’alimentazione del Fse ad opera del d. l. n. 34 del 2020 (c.d. d.l. Rilancio). Sul punto il Garante è intervenuto per precisare che il Fse possa essere alimentato, anche con i dati e i documenti relativi alle prestazioni sanitare erogate dal Servizio sanitario nazionale antecedentemente alla data di entrata in vigore del d.l. Rilancio (19 maggio 2020), senza necessità di un’espressa manifestazione di volontà da parte dell’interessato, qualora ricorrano però le seguenti condizioni:

• sia effettuata un’adeguata campagna informativa a livello nazionale e regionale volta a rendere edotti gli interessati in merito alle caratteristiche del trattamento effettuato attraverso il Fse, con particolare riferimento alle novità introdotte dal d.l. Rilancio e
• sia comunque garantito all’interessato di poter esercitare il diritto di opporsi alla predetta alimentazione del Fse con i dati sanitari generati da eventi clinici occorsi allo stesso antecedentemente al 19 maggio 2020, entro un termine prestabilito, non inferiore a 30 giorni.

In tema di controllo sui propri dati, le disposizioni contenute nel Gdpr sono volte ad attribuire all’interessato il potere di disporre dei propri dati, assicurando all’individuo il controllo su tutte le informazioni riguardanti la sua vita privata, e fornendogli nel contempo gli strumenti per la tutela di queste informazioni esercitando i diritti previsti dagli articoli da 15 a 22 del Gdpr.

In concreto, spetta in primo luogo all’interessato presentare un’istanza al titolare, senza particolari formalità (es., mediante lettera raccomandata, posta elettronica, ecc.).

Al riguardo il Garante ha reso disponibile un modulo. All’istanza il titolare deve fornire idoneo riscontro, al più tardi entro 1 mese dal suo ricevimento. Tale termine può essere prorogato di 2 mesi, qualora si renda necessario per la complessità e del numero di richieste. In tal caso, il titolare deve comunque darne comunicazione all’interessato entro 1 mese dal ricevimento della richiesta.

Quale strumento di tutela, l’interessato può presentare al Garante un reclamo con il quale rappresenta una violazione dei suoi dati personali (articolo 77 Gdpr e artt. da 140-bis a 143 del Codice). La presentazione del reclamo è gratuita.

Per quanto concerne i reclami che abbiano ad oggetto, in via esclusiva, la violazione degli articoli da 15 a 22 del Gdpr per i quali l’istante abbia già esercitato, in relazione al medesimo oggetto, i diritti riconosciuti da tali disposizioni nei confronti del titolare del trattamento senza ottenere un idoneo riscontro, entro quarantacinque giorni dalla data della sua ricezione, il reclamo è comunicato al titolare, con invito ad esercitare entro venti giorni dal suo ricevimento la facoltà di comunicare all’istante e all’Ufficio la propria eventuale adesione spontanea. In tal caso, il Garante avvia il procedimento nei confronti del titolare che può sfociare nel provvedimento sanzionatorio.