g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere sullo schema di decreto del Ministero della salute che modifica il decreto del Ministero della salute del 7 settembre 2023, introducendo una disciplina transitoria delle disposizioni sul FSE 2.0 (art. 27 - bis) - 26 settembre 2024 [10061545]

Parere sullo schema di decreto del Ministero della salute che modifica il decreto del Ministero della salute del 7 settembre 2023, introducendo una disciplina transitoria delle disposizioni sul FSE 2.0 (art. 27 - bis) - 26 settembre 2024 [10061545]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10061545]

Parere sullo schema di decreto del Ministero della salute redatto congiuntamente con il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega all’innovazione tecnologica e con il Ministro dell’Economia e delle Finanze, che modifica il decreto del Ministero della salute del 7 settembre 2023, introducendo una disciplina transitoria delle disposizioni sul FSE 2.0 (art. 27 - bis) - 26 settembre 2024

Registro dei provvedimenti
n. 580 del 26 settembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. n. 196 del 30 giugno 2003, Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTO l’articolo 12 del decreto-legge 18 ottobre 2012, n. 179, recante ”Fascicolo sanitario elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale”;

VISTO il decreto del Ministero della salute del 7 settembre 2023, recante “Fascicolo sanitario elettronico 2.0.”, su cui il Garante ha espresso il proprio parere l’8 giugno 2023 (doc. web n. 9900433);

VISTO il parere reso il 12 settembre 2024 sullo schema di decreto redatto dal Ministero dell'economia dì e delle finanze di concerto con il Ministro della salute e il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega all’innovazione tecnologica, inerente le modalità con cui il Sistema Tessera Sanitaria (TS), tramite l’Infrastruttura Nazionale per l’Interoperabilità (INI) del Fascicolo sanitario elettronico (FSE), mette a disposizione degli FSE i dati relativi alle prescrizioni e prestazioni erogate di farmaceutica e specialistica, ai sensi dell'art. 12, commi 15-ter e 15-septies del decreto-legge 18 ottobre 2012, n. 179;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal Segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l'avv. Guido Scorza;

PREMESSO

Con la nota del 7 agosto 2024, prot. n 11337, il Ministero della salute ha trasmesso al Garante, per il prescritto parere, uno schema di decreto, redatto congiuntamente con il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega all’innovazione tecnologica e con il Ministro dell’Economia e delle Finanze, che modifica il decreto dello stesso Dicastero del 7 settembre 2023, introducendo una disciplina transitoria delle disposizioni sul FSE 2.0 (art. 27 - bis).

Lo schema di decreto trasmesso si compone di quattro articoli, che prevedono tre fasi di attuazione delle disposizioni del predetto decreto sul FSE 2.0 (art. 1). Gli ulteriori articoli riguardano l’aggiornamento degli allegati tecnici (allegato D), le disposizioni finanziarie e l’entrata in vigore (artt. 2, 3 e 4).

Con successiva nota dell’8 agosto 2024, prot. n. 11697, il Ministero della salute ha trasmesso una versione corretta dell’allegato D) che conteneva un errore materiale.

OSSERVA

1. Premessa

Con il decreto del Ministero della salute del 7 settembre 2023 sul Fascicolo sanitario elettronico (FSE) 2.0, su cui l’Autorità ha espresso il proprio parere l’8 giugno 2023 (doc. web n. 9900433), mediante l’abrogazione -in parte- del dPCM n. 178/2015, è stata parzialmente definita la nuova disciplina di attuazione del FSE alla luce del mutato quadro giuridico di settore e di quello in materia di protezione dei dati personali.

Con specifico riferimento agli aspetti di protezione dei dati personali, il suddetto decreto definisce, ai sensi dell’art. 12, comma 7, del d.l. n. 179/2012 e dell’art. 2 sexies del Codice, i dati personali contenuti nel FSE, i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, anche attraverso una puntuale definizione dei ruoli del trattamento, le modalità e i livelli diversificati di accesso al FSE e le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti dell’assistito.

Il complesso degli elementi contenuti nel predetto decreto individua un quadro di tutele e garanzie omogeneo sul territorio nazionale per i trattamenti di dati personali e sulla salute effettuati attraverso il FSE 2.0 per finalità di cura, prevenzione e profilassi internazionale, attraverso la previsione di un trattamento che è stato dall’Autorità ritenuto proporzionato alle finalità perseguite, rispettoso dell’essenza del diritto alla protezione dei dati personali in funzione dell’avvenuta previsione di misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato (art. 9, par. 2, lett. g) del Regolamento e art. 2 sexies del Codice).

A seguito del predetto decreto del 7 settembre 2023, il Ministero della salute ha adottato il previsto modello di informativa sul trattamento dei dati personali del FSE 2.0, su cui il Garante ha reso il proprio parere il 21 dicembre 2023 (doc. web n. 9976886), al fine di garantire all’interessato informazioni omogenee e uniformi sul territorio nazionale (art. 7, comma 4 del decreto del 7 settembre 2023).

2. Attuazione del decreto del 7 settembre 2023- Attività istruttoria

Alla luce del rinnovato quadro di tutele in materia di protezione dei dati personali previsto dal decreto del 7 settembre 2023 e dei richiamati obblighi informativi posti in capo alle regioni/province autonome e al Ministero della salute, da assolvere entro il 24 gennaio 2024 (art. 7, comma 1 del decreto del 7 settembre 2023), attesa la delicatezza del trattamento dei dati sulla salute effettuato attraverso il FSE 2.0 e che lo stesso coinvolge una larga scala di soggetti potenzialmente vulnerabili (pazienti), l’Autorità ha avviato un’attività istruttoria nei confronti dei predetti enti volta a conoscere le informazioni che sono state rese agli interessati ai sensi degli artt. 13 e 14 del Regolamento (note del 5 e del 12 febbraio 2024).

Contestualmente alla predetta attività sono pervenute all’Ufficio alcune richieste di chiarimenti e segnalazioni in merito alla “personalizzazione” di istituti e di disposizioni contenute nel decreto del 7 settembre 2023 rilevanti sotto il profilo della protezione dei dati personali da parte di talune regioni/province autonome.

Al riguardo, si rappresenta che è tutt’ora in corso l’attività istruttoria avviata nei confronti di tutte le regioni e province autonome in merito alle informazioni rese agli interessati e all’attuazione delle disposizioni di cui al decreto del 7 settembre 2023.

In merito, si evidenzia altresì che in data 13 giugno 2024 è stata inviata dal Presidente dell’Autorità una segnalazione al Parlamento e al Governo sullo stato di attuazione della disciplina di cui al decreto del Ministero della salute del 7 settembre 2023 sul FSE 2.0. in cui è stato rappresentato che molte disposizioni rilevanti sotto il profilo della protezione dei dati contenute nel decreto del 7 settembre 2023 (alcune delle quali erano già presenti nel dPCM n. 178/2015) risultavano essere disattese.

Tali difformità riguardano anche misure e tutele sostanziali quali l’esercizio del diritto di oscuramento dei dati e dei documenti presenti nel FSE, del diritto di poter consultare gli accessi effettuati sul proprio FSE, la possibilità di esprimere consensi specifici per le diverse finalità perseguibili attraverso il FSE 2.0 (cura, prevenzione e profilassi internazionale) e l’attribuzione della titolarità di alcuni trattamenti.

È stato inoltre evidenziato che la circostanza che alcuni diritti connessi alla gestione dei dati personali (es. oscuramento) fossero esercitabili solo dagli assistiti di alcune regioni/province autonome determinava un potenziale e significativo effetto discriminatorio sugli interessati. Analoghe discriminazioni sono state evidenziate anche con riferimento alla mancata adozione da parte di taluni enti delle misure volte a garantire la sicurezza e l’integrità dei trattamenti.

Pertanto, nella predetta segnalazione è stato ricordato come tale disomogeneità contraddica lo spirito della riforma del FSE 2.0 volta a introdurre misure, garanzie e responsabilità omogenee sul tutto il territorio nazionale, rischiando di compromettere, oltre che i diritti fondamentali degli interessati, anche la funzionalità, l’interoperabilità e l’efficienza del sistema FSE e di minare una realizzazione uniforme dell’interesse della collettività alla tutela della salute di matrice costituzionale (art. 32 della Costituzione).

3. Disposizione transitoria

A seguito di tale intervento sono state avviate delle interlocuzioni informali con il Ministero della salute, nell’ambito delle quali è emersa la necessità di prevedere una disposizione transitoria “per l’attivazione di tutti i servizi e le funzionalità del FSE, con suddivisione in tre fasi, coerenti con le scadenze del PNRR, al fine di tutelare i diritti e le libertà di tutti gli interessati coinvolti nel trattamento dei dati sulla salute effettuate attraverso il FSE 2.0” (ultimo ritenuto del preambolo dello schema di decreto).

Sul punto, si prende atto che lo schema di decreto tiene debitamente conto delle osservazioni formulate dall’Ufficio in ordine alla necessità di prevedere:

l’individuazione di fasi per l’attuazione delle disposizioni di cui al decreto del 7 settembre con termini certi e coerenti con le scadenze del PNRR, ma al contempo rispettosi dei diritti e delle libertà fondamentali degli interessati. In tal senso, è stata prevista:

una I fase, da concludersi entro il 31 marzo 2025, in cui dovrà essere data attuazione alle disposizioni relative: al diritto di oscuramento automatico tra le prescrizioni e i relativi documenti collegati (c.d. catena dell’oscuramento); la registrazione delle operazioni su FSE e il connesso diritto dell’interessato di prendere visione degli accessi effettuati sul FSE;

una II fase, da concludersi entro il 30 settembre 2025, in cui dovrà essere data attuazione alle disposizioni relative: all’identificazione dell’assistito tramite ANA; alla completa realizzazione del Profilo Sanitario Sintetico (PSS) da parte dei MMG/PLS di tutte le regioni e province autonome; all’alimentazione da parte di tutte le regioni e province autonome, dei dati soggetti a maggiore tutela dell’anonimato direttamente oscurati; all’accesso in consultazione ai dati e ai documenti del FSE per finalità di cura, secondo i livelli diversificati di accesso previsti nell’allegato A del decreto del 7 settembre 2023; alla completa realizzazione del Taccuino personale (TP); all’accesso al FSE da parte dei minori e di soggetti incapaci di intendere e volere e all’attuazione del sistema delle deleghe;

una III fase, da concludersi entro il 31 marzo 2026, in cui dovrà essere data attuazione alle disposizioni relative: alla completezza dei contenuti del FSE; alla tempestiva alimentazione del FSE, con i dati e documenti, entro 5 giorni dall’erogazione della prestazione sanitaria, nonché all’alimentazione con i dati e i documenti sanitari riferiti alle prestazioni erogate anche al di fuori del Servizio Sanitario Nazionale (SSN); alla realizzazione dei servizi telematici accessibili attraverso un’interfaccia utente unica a livello regionale; all’accesso on-line al FSE da parte delle strutture sanitarie private autorizzate dal SSN e all’alimentazione del FSE da parte delle stesse entro 5 giorni dalla prestazione;

che, nelle more della realizzazione di quanto previsto nella richiamata fase II, i dati soggetti a maggiore tutela dell'anonimato, di cui all’art. 6 del decreto del 7 settembre 2023, non alimentino il FSE;

che, nelle more della piena realizzazione del Profilo sanitario sintetico di cui all’articolo 4 del decreto del 7 settembre 2023, prevista nella citata fase II, l’accesso in emergenza al FSE, previsto all’articolo 20 del predetto decreto, non sia consentito in assenza di consenso dell’assistito alla consultazione dei dati del proprio FSE;

che l’accesso al FSE da parte di infermieri/ostetrici, farmacisti e personale amministrativo (art. 15, comma 3, lett. c), d) ed e) del decreto del 7 settembre 2023) sarà abilitato gradualmente al fine di assicurare che lo stesso sia consentito solo a seguito dell’adozione delle misure necessarie a garantire il rispetto dei profili di accesso di cui all’allegato A, tabella 4.1.1 del predetto decreto.

Si prende inoltre atto che i trattamenti di dati personali per le finalità di prevenzione perseguite dalle regioni, province autonome e dal Ministero della salute e per la finalità di profilassi internazionale perseguita dal Ministero della salute, di cui rispettivamente alle lettere a-bis) e a-ter) del comma 2 dell’art. 12 del d.l. n. 179/2012 saranno effettuati attraverso l’EDS e che pertanto i consensi disgiunti, previsti dall’articolo 8, comma 1, del decreto del 7 settembre 2023 saranno acquisiti prima dell’inizio delle operazioni di trattamento effettuate attraverso dell’EDS.

Si prende ulteriormente atto che, nelle more dell’inizio delle operazioni di trattamento attraverso l’EDS, i trattamenti di dati personali effettuati dagli esercenti le professioni sanitarie attraverso il FSE per finalità di prevenzione siano ricomprese in quelle di cura di cui alla lettera a) del comma 2 dell’art. 12 del d.l. n. 179/2012.

Considerato che l’Autorità ha reso il parere del 12 settembre 2024 sullo schema di decreto redatto dal MEF di concerto con il Ministro della salute e il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega all’innovazione tecnologica, inerente le modalità con cui il Sistema Tessera Sanitaria (TS), tramite l’Infrastruttura Nazionale per l’Interoperabilità (INI) del Fascicolo sanitario elettronico (FSE), mette a disposizione dei Fascicoli i dati relativi alle prescrizioni e prestazioni erogate di farmaceutica e specialistica, ai sensi dell'art. 12, commi 15-ter e 15-septies del d.l. n. 179/2012 e che tale schema di decreto prevede specifiche garanzie a tutela dell’interessato con riferimento alla c.d. catena dell’oscuramento e all’alimentazione dei dati a maggior tutela direttamente oscurati nel FSE, si prende atto che lo schema di decreto in esame prevede che la progettazione e la definizione delle specifiche tecniche necessarie per realizzare le funzionalità evolutive dalla disciplina del FSE 2.0 saranno rese disponibili alle Regioni/Ministero della salute dal Dipartimento per la transazione digitale entro e non oltre il 31 dicembre 2024, al fine di consentire il rispetto dei termini delle fasi I, II e III sopra indicati.

Tenuto conto che l’attività istruttoria dell’Ufficio ha evidenziato la mancata attuazione di tutte le disposizioni del decreto del 7 settembre 2023 e che è emersa la necessità di introdurre una disciplina transitoria anche alla luce dei tempi di attuazione di cui alla Missione n. 6 del PNRR, si prende favorevolmente atto che il Ministero della salute nello schema di decreto in esame, pur individuando tre fasi di attuazione delle disciplina del FSE 2.0, ha comunque accolto l’invito dell’Ufficio di introdurre specifiche misure di garanzia che assicurino nell’immediato l’effettiva tutela dei diritti e delle libertà fondamentali dell’interessato con particolare riferimento alla circostanza che:

i dati soggetti a maggiore tutela dell'anonimato, di cui all’art. 6 del decreto del 7 settembre 2023, non alimentino il FSE fino a quando non sarà garantita la loro automatica alimentazione in forma oscurata;

l’accesso in emergenza al FSE non sia consentito senza il consenso dell’interessato fino a che non sarà completata la realizzazione del Profilo sanitario sintetico di cui all’articolo 4 del decreto del 7 settembre 2023 da parte delle regioni e provincie autonome nella percentuale del 70%;

l’accesso al FSE da parte di infermieri/ostetrici, farmacisti e personale amministrativo (art. 15, comma 3, lett. c), d) ed e) del decreto del 7 settembre 2023) sia escluso sino a che non saranno rispettati i limiti soggettivi e oggettivi di accesso individuati nell’allegato A, tabella 4.1.1 del predetto decreto;

i dati personali potranno essere trattati attraverso l’EDS solamente quando sarà adottato il relativo decreto e a condizione che siano acquisiti i previsti consensi disgiunti prima dell’inizio delle operazioni di trattamento effettuate attraverso l’EDS.

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 58, par. 3, lett. b), del Regolamento e dell’art. 9, comma 7, del d.l. n. 139/2021, esprime parere favorevole sullo schema di decreto del Ministero della salute redatto congiuntamente con il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega all’innovazione tecnologica e con il Ministro dell’Economia e delle Finanze, che modifica il decreto del Ministero della salute del 7 settembre 2023, introducendo una disciplina transitoria delle disposizioni sul FSE 2.0 (art. 27 - bis).

Roma, 26 settembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10061545
Data
26/09/24

Argomenti

Sanità e ricerca scientifica Dati sanitari Fascicolo sanitario elettronico

Tipologie

Parere del Garante

Vedi anche (10)