g-docweb-display Portlet

Parere al Ministero della Salute sullo schema di decreto, da adottare assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sul Fascicolo Sanitario Elettronico (FSE) - 22 agosto 2022 [9802729]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE COMUNICATO DELL'8 SETTEMBRE 2022

[doc. web n. 9802729]

Parere al Ministero della Salute sullo schema di decreto, da adottare assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sul Fascicolo Sanitario Elettronico (FSE) - 22 agosto 2022

Registro dei provvedimenti
n. 294 del 22 agosto 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

VISTO l'articolo 12 del decreto-legge 18 ottobre 2012, n. 179, recante “Fascicolo sanitario elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale” così come modificato, da ultimo, dall’art 21 del d.l. 27 gennaio 2022, n. 4 convertito, con modificazioni, dalla legge 28 marzo 2022, n. 25;

VISTO il decreto del Presidente del Consiglio dei Ministri 29 settembre 2015, n. 178, recante “Regolamento in materia di Fascicolo Sanitario Elettronico”;

VISTO il decreto 18 maggio 2022, recante “Integrazione dei dati essenziali che compongono i documenti del Fascicolo sanitario elettronico” su cui l’Autorità ha reso il proprio parere il 7 aprile 2022, n. 117;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

Il Ministero della salute, con la nota del 15 luglio 2022, ha trasmesso al Garante, per il prescritto parere di competenza, lo schema di decreto, da adottare assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sul Fascicolo Sanitario Elettronico (FSE).

Nella nota di trasmissione il Ministero ha segnalato che il predetto schema e quello sull’Ecosistema dati sanitari (trasmesso in pari data) su cui l’Autorità ha espresso il parere in data odierna, ”si inseriscono nel percorso in più fasi, già anticipato nella richiesta del citato parere n. 117, per la riforma delle disposizioni attuative del FSE alla luce dello specifico investimento del Piano Nazionale di Ripresa e Resilienza (Missione 6 SALUTE - Componente 2 INNOVAZIONE, RICERCA E DIGITALIZZAZIONE DEL SERVIZIO SANITARIO NAZIONALE – Investimento 1.3.1 Fascicolo Sanitario Elettronico)”.

Lo schema di decreto si compone di 37 articoli di seguito sinteticamente descritti.

Successivamente al quadro definitorio (art. 1), sono indicate le finalità e l’ambito di applicazione del decreto (art. 2) e i contenuti del Sistema FSE (art. 3). Specifiche disposizioni riguardano il profilo sanitario sintetico (PSS) (art. 4), il taccuino personale dell’assistito (TP) (art. 5) e il dossier farmaceutico (DS) (art. 6). Gli artt. 7, 8, 9 e 10 concernono i dati soggetti a maggior tutela dell’anonimato, l’informativa da fornire all’assistito, il suo consenso e i diritti riconosciuti allo stesso. L’art. 11 disciplina il periodo di conservazione dei dati e l’art. 12 l’accesso al Fascicolo da parte dell’assistito. Gli artt. 13, 14 e 15 concernono l’alimentazione del Sistema FSE. Gli articoli seguenti sono relativi ai trattamenti effettuati per finalità di cura (artt. 16-18), di prevenzione (artt. 19-21), di profilassi internazionale (artt. 22-24) e di governo (artt. 26-28). L’art. 25 disciplina l’accesso in emergenza al FSE e gli artt. 30 e 31 l’identificazione degli assistiti. Dall’art. 31 al 34 sono indicate le misure di sicurezza e le regole di interoperabilità. Le disposizioni finali riguardano le previsioni transitorie, gli oneri e l’entrata in vigore (artt. 35- 37).

Unitamente allo schema di decreto sono stati trasmessi 4 allegati, che ne costituiscono parte integrante e sono quindi oggetto del presente parere, concernenti: i contenuti dei dati e dei documenti del FSE e i soggetti abilitati all’accesso al FSE, (allegato A); lo schema tipo di “Informativa e consenso al trattamento dei dati personali del FSE e dell’EDS ai sensi degli articoli 13 e 14 del Regolamento” (allegato B), le caratteristiche e i servizi del Gateway per la raccolta, la validazione e la conversione dei dati e documenti che alimentano il FSE e l’EDS (allegato C) e le modalità di trattamento dei dati da parte delle regioni e del Ministero della salute per le finalità di governo e le misure di sicurezza (allegato D).

Secondo quanto indicato nell’art. 34, comma 5, lo schema di decreto in esame sostituirà il decreto del Presidente del Consiglio dei ministri 29 settembre 2015, n. 178.

Il predetto Dicastero ha contestualmente rappresentato che, “essendo il FSE istituito dalle regioni e provincie autonome ai sensi del comma 2 dell’articolo 12 del decreto-legge 18 ottobre 2012, n. 179, su citato, la predisposizione della DPIA è stata prevista nei piani di adeguamento che le regioni dovranno predisporre, ai sensi del comma 15-bis del medesimo artico 12, entro tre mesi a decorrere dalla data di pubblicazione del DECRETO 20 maggio 2022 recante “Adozione delle Linee guida per l’attuazione del Fasciolo sanitario elettronico” pubblicato sulla Gazzetta Ufficiale n. 170 del 11-7-2022”.

Considerato che, secondo quanto indicato nell’art. 12 del d.l. n. 179/2012, l’Ecosistema Dati Sanitari raccoglie ed elabora i dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria, al fine di garantire il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale per il perseguimento delle finalità del FSE e che il Ministero della salute ha rappresentato che i predetti schemi di decreto (FSE e EDS) sono entrambi volti ad “attualizzare e riformare il Fascicolo sanitario elettronico, in coerenza con quanto approvato nel citato investimento PNRR”, rilevata la stretta correlazione tra gli stessi, il presente parere è reso in pari data rispetto a quello richiesto sullo schema di decreto sull’EDS, entrambi trasmessi dal Ministero con la citata nota del 15 luglio 2022.

In considerazione di quanto rappresentato dal Ministero della salute in merito alla circostanza che lo schema di decreto in esame si inserisce unitamente a quello sull’EDS nel percorso di riforma del FSE “alla luce dello specifico investimento del Piano Nazionale di Ripresa e Resilienza (Missione 6 SALUTE - Componente 2 INNOVAZIONE, RICERCA E DIGITALIZZAZIONE DEL SERVIZIO SANITARIO NAZIONALE – Investimento 1.3.1 Fascicolo Sanitario Elettronico)”, il presente parere è reso nei termini indicati nell’art. 9, comma 7, del d. l. n. 139 del 2021.

OSSERVA

1. Considerazioni preliminari.

L’ultimo triennio è stato caratterizzato da numerosi interventi normativi volti ad accelerare lo sviluppo degli strumenti di sanità digitale nel nostro Paese, a cui è stato dato ulteriore impulso con l’attuazione della Missione 6 (salute) del PNRR e del connesso investimento sul potenziamento del Fascicolo Sanitario Elettronico (FSE). Lo scenario normativo tende a definire modelli sanitari sempre più caratterizzati dalla raccolta di informazioni sulle prestazioni sanitarie rese all’assistito al fine di delineare un preciso profilo sanitario dello stesso, inteso come risorsa per la progressione e la sostenibilità del sistema sanitario, che al contempo deve essere considerato anche come bene fondamentale per la tutela dell’identità personale e delle libertà fondamentali dell’individuo.

Lo schema di decreto trasmesso -unitamente a quello sull’EDS- rappresenta un primo passo verso la definizione dei predetti modelli, il cui esame impone una lettura coordinata dei recenti interventi normativi nel settore con le disposizioni in materia di protezione dei dati personali.

In tale contesto appare opportuno premettere che, sul piano dei principi e in relazione ai profili di competenza in materia di protezione dei dati personali, non vi sono ostacoli da parte di questa Autorità all’introduzione di strumenti, come quelli in esame, volti ad agevolare uno sviluppo equilibrato e sostenibile dei servizi sanitari offerti ai cittadini che tenga conto della tutela dei diritti fondamentali dell’individuo alla luce del progresso sociale e degli sviluppi scientifici e tecnologici.

I sistemi informativi e le soluzioni tecnologiche introdotti nel contesto emergenziale per la gestione delle vaccinazioni (Piattaforma informativa per l’attuazione del piano strategico vacci-ni anti Sars Cov 2) e delle certificazioni verdi Covid-19 (Piattaforma Nazionale Digital Green Certificate -PNDGC), su cui il Garante ha reso i propri pareri, anche in tempi ristrettissimi, mostrano come l’introduzione di misure a garanzia della riservatezza degli interessati e dell’integrità dei dati sia di fatto conciliabile con le esigenze di salute pubblica e compatibile con una celere realizzazione dei nuovi strumenti della sanità digitale in ossequio al principio di proporzionalità di cui al Considerando 4 del Regolamento.

Ciò premesso, le carenze che, tuttavia, lo schema di decreto in esame presenta sono considerevoli e impongono, prima di entrare nell’esame di dettaglio, un inquadramento di carattere generale sul trattamento dei dati personali nell’ambito della sanità digitale.

1.1 Gli strumenti di sanità digitale in fase di definizione e il necessario coordinamento normativo.

Lo schema di decreto trasmesso insieme a quello sull’Ecosistema dei dati sanitari (EDS) rappresentano i primi decreti in materia di sanità digitale di cui è prevista l’adozione previo parere del Garante alla luce di quanto disposto dal d.l. n. 179/2012, dal d.l. n. 34/2020 e dall’art. 2 sexies, comma 1 bis, del Codice.

Il d.l. n. 34 del 2020, infatti, oltre ad innovare la disciplina sul FSE, ha previsto che con decreto del Ministero della salute, previo parere del Garante, siano individuati i dati personali -anche sulla salute- che il predetto Dicastero, nell’ambito dei propri compiti istituzionali, può trattare, le operazioni eseguibili e le misure appropriate e specifiche per tutelare i diritti degli interessati, per lo sviluppo di metodologie predittive dell’evoluzione del fabbisogno di salute della popolazione.

In materia è attesa anche l’adozione del decreto previsto dal novellato art. 2 sexies, comma 1 bis, del Codice, in cui saranno disciplinati i dati personali relativi alla salute, privati degli elementi identificativi diretti, che potranno essere trattati, nel rispetto delle finalità istituzionali, dal Ministero della salute, dall’Istituto superiore di sanità (ISS), dall'Agenzia nazionale per i servizi sanitari regionali (AGENAS), dall’Agenzia italiana del farmaco (AIFA), dall'Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà (INMP) e, relativamente ai propri assistiti, dalle regioni/province autonome anche mediante l’interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale (SSN), ivi incluso il FSE.

Nelle interlocuzioni con il Ministero della salute e con gli Uffici del Ministro per l’innovazione tecnologica e la transizione digitale l’Ufficio ha evidenziato il necessario coordinamento nella predisposizione dello schema di decreto in esame e di quello sull’EDS con i citati emanandi decreti, considerato che, essendo previsto che i sistemi informativi sanitari e il FSE saranno sempre più interconnessi, è necessario che le misure tecniche e organizzative da introdurre nell’attuazione delle richiamate disposizioni a tutela dei diritti fondamentali dell’interessato e dei principi generali del trattamento siano tra di loro coerenti.

Il coordinamento dei previsti interventi normativi si pone inoltre come tema centrale nella regolamentazione del nuovo Sistema FSE, in quanto, dalla lettura combinata della citata disposizione sulle metodologie predittive (art. 7, d.l. n. 34/2020) con la richiamata nuova disciplina dell’art. 2 sexies, comma 1 bis, del Codice, emerge l’intenzione del legislatore di ampliare notevolmente il novero delle informazioni trattate attraverso i sistemi informativi del Ministero della salute, delle regioni/province autonome, dell’ISS, di AGENAS, dell’AIFA e dell’INMP. Ciò in quanto i dati presenti nei sistemi informativi su base individuale del SSN, ivi incluso il FSE, saranno arricchiti con le informazioni non relative alla salute detenute da altre pubbliche amministrazioni (es. dati reddituali detenuti dall’Agenzia dell’entrate) (art. 7, d.l. n. 34 del 2020), per poi essere messe a disposizione, anche mediante interconnessione, alle amministrazioni citate nell’art. 2 sexies, comma 1 bis, del Codice.

Alla luce di tali elementi, l’Ufficio, nelle predette interlocuzioni informali, ha rappresentato la necessità che nello schema di decreto in esame e in quello sull’EDS fossero chiaramente delineati i rapporti tra le diverse componenti dei predetti strumenti di sanità digitale, descrivendo la titolarità dei trattamenti effettuati attraverso gli stessi, individuando le responsabilità e i compiti dei soggetti che se ne avvalgono -come del resto richiesto dallo stesso art. 12, comma 7, del d.l. n. 179 del 2012- e soprattutto che fossero indicate quali componenti del FSE saranno oggetto delle previste interconnessioni con gli altri sistemi informativi sanitari indicati dall’art. 2 sexies, comma 1-bis, del Codice (infra par. 1.2) e quali saranno impiegate ai fini dello sviluppo delle metodologie predittive di cui al d.l. n. 34 del 2020.

Sotto altro profilo, si evidenzia che l’11 luglio 2022 il Ministero della salute ha pubblicato nella Gazzetta Ufficiale le “Linee guida per l’attuazione del FSE” redatte dal gruppo di lavoro FSE, che, secondo l’art. 12, comma 15-bis, d.l. n. 179/2012, devono indicare le regole tecniche per l’attuazione dei decreti di cui al comma 7, dello stesso articolo, ivi comprese quelle relative al sistema di codifica dei dati e quelle necessarie a garantire l’interoperabilità del FSE a livello regionale, nazionale ed europeo.

Al riguardo, si rileva che l’adozione delle predette Linee guida appare essere stata effettuata con modalità difformi rispetto a quanto previsto dal citato art. 12, comma 15-bis, d.l. n. 179/2012 sia da un punto di vista formale, che sostanziale. Sotto il primo aspetto si rileva infatti che le predette Linee guida sono state adottate prima dello schema di decreto sul FSE in esame a cui avrebbero dovuto dare attuazione. Da un punto di vista sostanziale si rappresenta che le stesse intervengono su aspetti diversi da quelli indicati nel citato art. 12, comma 15-bis, d.l. n. 179/2012 (dati contenuti nel FSE e delle sue componenti, finalità, funzioni delle componenti del sistema FSE, servizi erogabili attraverso il FSE, gestione dei consensi e delle deleghe, funzioni e caratteristiche dell’EDS), che dovrebbero essere invece oggetto dello schema di decreto in esame e di quello sull’EDS.

Si rappresenta infine che lo schema di decreto in esame interviene su tematiche che sono oggetto della proposta di Regolamento per uno spazio europeo dei dati sanitari su cui il Comitato europeo per la protezione dei dati e il garante europeo per la protezione dei dati hanno espresso un parere congiunto lo scorso 12 luglio 2022, nell’ambito del quale è stato auspicato il raggiungimento di un equilibrio tra l’agevolazione della disponibilità di dati sanitari elettronici e l’impatto sui diritti e le libertà delle persone in linea con la normativa di settore (cfr. Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space, disponibile in https://edpb.europa.eu/system/files/2022-07/edpb_edps_jointopinion_202203_europeanhealthdataspace_en.pdf).

1.2 Natura giuridica del FSE

L’art. 12 del d.l. n. 179 del 2012 definisce il FSE come l’insieme dei dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi, riguardanti l'assistito, riferiti anche alle prestazioni erogate al di fuori del Servizio sanitario nazionale (comma 1). La disposizione prevede inoltre che il FSE sia alimentato con i dati degli eventi clinici in maniera continuativa e tempestiva, dai soggetti e dagli esercenti le professioni sanitarie che prendono in cura l’assistito (comma 3). La disciplina sul FSE prevede inoltre che lo stesso possa essere utilizzato per finalità di cura, prevenzione e profilassi internazionale solo con il consenso dell’interessato (art. 12, comma 5). Anche qualora l’interessato acconsenta all’utilizzo del FSE per finalità di cura, è comunque riconosciuto allo stesso il diritto di oscurare dati e documenti accessibili attraverso il FSE (art. 8 del d.P.C.M n. 178/2015 e art. 10 dello schema di decreto), nonché è previsto che i c.d. dati soggetti a maggior tutela di anonimato siano di default oscurati nel Fascicolo rimanendo visibili solo all’interessato (art. 7 dello schema di decreto FSE).

Oltre a tali elementi normativi si deve inoltre considerare che -allo stato- non sussiste un obbligo di consultazione e di alimentazione del FSE, né risulta definito il margine di responsabilità dei professionisti sanitari in ordine all’accesso a tale strumento (obbligo/onere di consultazione e di alimentazione), in quanto la norma primaria si limita a prevedere che il FSE sia “alimentato in maniera continuativa e tempestiva” (art. 12, comma 3, d.l. n. 179 del 2012).

L’analisi di tali elementi consente di ribadire quanto già rappresentato nel 2019 dall’Ufficio del Garante al Ministero della salute relativamente alla natura giuridica del FSE (nota del Segretario generale 18 ottobre 2019). I recenti interventi normativi in materia avvalorano un inquadramento del FSE quale strumento per reperire parte dei dati e dei documenti relativi alla storia sanitaria di un individuo con lo scopo di fornire uno scenario generale della salute dello stesso ai professionisti sanitari che lo prendono in cura, che non sono comunque- allo stato- obbligati a consultarlo né ad alimentarlo.

Al riguardo si rileva una sostanziale differenza tra il FSE e la cartella clinica; mentre quest’ultima documenta fino a querela di falso quanto accaduto nell’ambito di un ricovero, il FSE non assume la natura di atto pubblico in quanto non certifica lo stato di salute di un individuo, bensì fornisce, in maniera potenzialmente incompleta, informazioni sanitarie che possono agevolare il percorso di cura. A normativa vigente, infatti, mentre non è richiesto il consenso alla compilazione della cartella clinica, all’interessato è riconosciuto il diritto di non acconsentire all’utilizzo del FSE per finalità di cura, prevenzione e profilassi internazionale. Analogamente non è possibile richiedere l’oscuramento dei dati inseriti nella cartella clinica, mentre è previsto che taluni dati e documenti (c.d. a maggior tutela di anonimato) siano di regola oscurati attraverso il Fascicolo e che l’interessato possa comunque decidere di non renderne consultabili altri (diritto di oscuramento).

Ciò rende evidente la potenziale non completezza del FSE e la sua facoltatività per l’utilizzo dello stesso a fini di cura/prevenzione della salute dell’interessato, confermata anche dall’assenza di un quadro normativo in ordine alle responsabilità connesse all’alimentazione e alla consultazione dello stesso da parte di chi lo prende in cura.

Alla luce di tali considerazioni, questa Autorità ha formalmente rappresentato al Ministero della salute, da ultimo con nota del 15 dicembre 2020, prot. n. 47857, la centralità del ruolo del consenso dell’interessato per l’utilizzo del FSE per finalità di cura, oltre che per quelle di prevenzione e profilassi internazionale, che è stata peraltro confermata dal legislatore nell’opera di rimeditazione normativa effettuata con il citato d.l. n. 34 del 2020. Tale disposizione infatti ha abrogato il consenso all’alimentazione del Fascicolo, ma non quello alla consultazione per finalità di cura.

L’eventuale mancata espressione del consenso alla consultazione del Fascicolo deve essere quindi considerata come frutto di una consapevole scelta dell’interessato a non consentire l’accesso al FSE da parte degli operatori della sanità che lo prenderanno in cura. L’Autorità ha più volte ribadito al riguardo che il consenso alla consultazione del FSE per finalità di cura, da acquisire una tantum, costituisce infatti il presupposto di liceità per tutti i trattamenti di dati personali effettuati nel percorso di cura, ivi compreso quello realizzato in emergenza.

In tale contesto l’Autorità ha infatti rilevato che, alla luce del combinato disposto delle specifiche disposizioni del Regolamento e del d.l. n. 179/2012, in merito al trattamento dei dati effettuato per la tutela di un interesse vitale dell’interessato incapace di prestare il proprio consenso (art. 9, par. 1, lett. c) del Regolamento), nei casi di emergenza sanitaria (art. 12, comma 5, d.l. n. 179/2012) e nell’ambito delle quali l’interessato sia in pericolo di vita, i professionisti dell’emergenza che lo hanno in cura, verificata la sua incapacità fisica o giuridica di esprimere il consenso, possono accedere alla partizione del FSE denominata Profilo sanitario sintetico, ovvero a quella sezione del Fascicolo che “riassume la storia clinica dell'assistito e la sua situazione corrente conosciuta” al fine “di favorire la continuità di cura, permettendo un rapido inquadramento dell'assistito al momento di un contatto con il SSN” (art. 3 del D.P.C.M n. 178/2015 e art. 4 dello schema di decreto in esame).

Alla luce delle disposizioni sopra richiamate, considerato che il Ministero della salute non ha in alcun modo documentato, con valutazioni tecnico-scientifiche, la necessità clinica di accedere a tutto il FSE di un paziente che sia nell’immediato pericolo di vita e non abbia già manifestato il consenso al Fascicolo, l’Autorità con la citata nota del 2020 aveva già ritenuto che la previsione -proposta anche nello schema di decreto in esame- secondo cui in caso di mancata espressione del consenso dell’interessato all’utilizzo del FSE per finalità di cura, gli operatori sanitari che intervengono in emergenza possano accedere a tutto il FSE, non rispetti quanto disposto dal richiamato quadro normativo e la centralità del consenso per l’utilizzo del FSE per finalità di cura e non sia proporzionata rispetto agli interessi e ai diritti costituzionalmente rilevanti tutelati dalle predette disposizioni legislative.

Il bilanciamento del diritto alla riservatezza con quello alla cura, alla luce delle citate disposizioni, ha portato il Garante a ritenere che il personale sanitario operante in urgenza, nei casi in cui l’interessato non abbia rilasciato il consenso all’utilizzo del FSE per finalità di cura, e non sia in grado di prestarlo all’atto delle cure, possa accedere alla partizione del FSE denominata Profilo Sanitario Sintetico (PSS) per il tempo strettamente necessario ad assicurare le indispensabili cure all’interessato e, in ogni caso, fino a quando lo stesso non sia di nuovo in grado di esprime la propria volontà al riguardo. In assenza di specifiche e documentate valutazioni sulla necessità clinica di accedere all’intero FSE, è necessario far riferimento al dato normativo che individua  il PSS proprio come la partizione del FSE in grado di inquadrare rapidamente, in emergenza, la situazione sanitaria di un individuo in quanto recante informazioni strutturate e di agevole consultazione in ordine agli aspetti principali e rilevanti della salute di un individuo come ad esempio l’attuale situazione clinica, le allergie sofferte, gli eventuali trapianti o asportazioni d’organo subiti, i fattori di rischio clinico e sanitario e le terapie farmacologiche croniche in atto e, quindi, quella più utile ad un sanitario per prestare cure  in emergenza  ad un soggetto in condizione di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere o di rischio grave, imminente ed irreparabile per la sua salute o incolumità fisica.

1.3 Perimetro di titolarità dei trattamenti e i limiti di responsabilità dei soggetti coinvolti

L’art. 12, comma 7, del d.l. n. 179 del 2012, in forza del quale il Ministero ha redatto lo schema di decreto sul FSE in esame, prevede che lo stesso indichi, tra l’altro, i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, le modalità e i livelli diversificati di accesso al FSE.

Nel corso delle interlocuzioni informali con i predetti Ministeri, l’Ufficio ha più volte evidenziato la necessità che fossero delineati i ruoli in materia di protezione dei dati personali e il sistema delle responsabilità dei numerosi soggetti coinvolti.

Nel parere del 7 aprile 2022 l’Autorità aveva infatti rappresentato la necessità che nel decreto sul FSE attualmente in esame fosse indicata in modo trasparente la titolarità dei trattamenti dei dati e dei documenti che alimentano il Fascicolo, con particolare riferimento al profilo sanitario sintetico (PSS), alle prescrizioni farmaceutiche e specialistiche, al dossier farmaceutico e al taccuino personale. La chiara indicazione della titolarità di tali trattamenti, è infatti un elemento prodromico per delineare le responsabilità in ordine al rispetto dei principi generali e degli adempimenti in materia di protezione dei dati personali, nonché di garantire l’effettivo esercizio dei diritti da parte degli interessati (cfr. Guidelines 07/2020 on the concepts of controller and processor in the GDPR Version 1.0 adottate il 02 settembre 2020, dal Comitato Europeo per la protezione dei dati).

Al riguardo, si rappresenta che nello schema di decreto in esame non è chiaramente descritta la titolarità del trattamento dei dati effettuato attraverso il Sistema FSE. La disposizione infatti spesso fa riferimento alla titolarità di fasi del trattamento non chiaramente distinguibili dalle altre, confondendo la titolarità del trattamento (intesa come fonte di determinazione delle finalità e dei mezzi del trattamento oltre che di specifiche responsabilità) con le specifiche operazioni di trattamento come l’alimentazione o la consultazione del Fascicolo (cfr. art. 13 dello schema in esame e successivo paragrafo 3.11).

È necessaria pertanto una visione complessiva della titolarità del trattamento che tenga conto che lo stesso, ai sensi dell’art. 12 del d.l. n. 179/2012, è istituito presso le regioni/province autonome, ma che può essere acceduto per differenti finalità da parte di una molteplicità di soggetti sulla base di diversi presupposti di liceità.

Pur prevedendo infatti la norma primaria che il FSE sia “istituito” dalle regioni/province autonome, lo schema di decreto in esame non definisce la funzione di tali enti in relazione ai ruoli del trattamento previsti dal Regolamento e risulta privo dell’indicazione della titolarità del trattamento con riferimento alle operazioni effettuate dalla regioni/province autonome ai fini della predetta istituzione.

1.4 Rispetto dei principi generali del trattamento

Il trattamento dei dati personali effettuato nell’ambito della nuova architettura del FSE richiesto dal legislatore deve essere effettuato nel rispetto della disciplina sulla protezione dei dati personali e in particolare dei principi generali applicabili al trattamento con specifico riferimento a quelli di proporzionalità del trattamento rispetto all’interesse pubblico perseguito, di trasparenza, di minimizzazione e di integrità e riservatezza dei dati, nonché di responsabilizzazione, in base al quale il titolare del trattamento deve essere in grado di comprovarne il rispetto, con un ragionamento logico, prove concrete e comportamenti proattivi (artt. 5, par.1 e 2 e 24 del Regolamento).

La valutazione circa il rispetto dei principi generali impone, con un approccio di responsabilizzazione, l’analisi disgiunta di ciascuna delle operazioni effettuate dai diversi soggetti a vario titolo coinvolti nel trattamento per il perseguimento delle finalità loro attribuite dalla normativa primaria. Ciò, soprattutto in considerazione del fatto che la nuova architettura del FSE/EDS prevede una duplicazione di dati sanitari di tutta la popolazione assistita sul territorio nazionale, su cui si impone il rigoroso rispetto di specifiche misure volte a garantire in concreto l’esattezza, l’integrità e l’aggiornamento dei dati e soprattutto la tutela degli interessi e i diritti fondamentali degli interessati.

Già nel citato parere del 7 aprile 2022 l’Autorità aveva rappresentato la necessità che, in virtù del principio di trasparenza, fosse indicato nello schema di decreto in esame e in quello sull’EDS i soggetti responsabili del rispetto dei principi applicabili al trattamento di tali dati, con particolare riguardo a quelli di esattezza, aggiornamento e di integrità e sicurezza dei dati.

Come indicato nel precedente paragrafo 1.2, anche i recenti interventi normativi in materia confermano infatti come il FSE si configuri quale strumento per reperire parte dei dati e dei documenti relativi alla storia sanitaria di un individuo con lo scopo di fornire un inquadramento generale della salute dello stesso ai professionisti sanitari che lo prendono in cura, non prevedendo specifici obblighi di consultazione e di alimentazione da parte dei professionisti sanitari che intervengono nel percorso di cura dell’interessato.

L’assenza di una disciplina organica in ordine agli obblighi di alimentazione e consultazione del FSE da parte dei professionisti sanitari, pone la necessità di definire nello schema di decreto in esame, come del resto indicato anche nell’art. 12, comma 7, del d.l. n. 179/2012, il quadro delle responsabilità in caso di mancato aggiornamento o rettifica dei dati. Tali elementi infatti incidono in merito al rispetto dei principi di protezione dei dati, in particolare di quelli di completezza, esattezza, aggiornamento e sicurezza previsti dal Regolamento (art. 5).

Lo schema di decreto in esame rappresenta pertanto la sede normativa idonea ad individuare le misure adeguate rispetto alle finalità perseguite formulate sulla base di una preventiva valutazione di impatto, per mitigare i predetti rischi di trattamento.

1.5 Valutazione del rischio.

I trattamenti descritti nello schema di decreto in esame rientrano senza dubbio tra quelli su cui è necessaria una preventiva valutazione di impatto ai sensi dell’art. 35 del Regolamento, strumento fondamentale per l’individuazione delle misure idonee a tutelare i diritti e le libertà fondamentali degli interessati e a garantire il rispetto dei principi generali del Regolamento, nonché per consentire l’analisi della proporzionalità dei trattamenti effettuati.

Nel corso delle numerose interlocuzioni intercorse e nel richiamato parere del 7 aprile 2022 l’Autorità aveva rappresentato che, alla luce della rinnovata disciplina in materia di protezione dei dati personali rispetto a quella vigente all’epoca dell’adozione del d.P.C.M. n. 178 del 2015 e della riforma della disciplina di attuazione del FSE, fosse necessario accompagnare lo schema di decreto in esame con una valutazione di impatto, anche al fine di dettagliare le specifiche misure da adottare, in considerazione dei rischi individuati in relazione alle diverse finalità perseguite dai soggetti a vario titolo coinvolti. Ciò anche alla luce delle recenti riforme della disciplina sulla realizzazione del modello predittivo del fabbisogno di salute della popolazione assistita (art. 7, comma 1-bis, d.l. n. 34 del 2020) e di quella sull’interconnessione a livello nazionale dei sistemi informativi su base individuale del SSN (art. 2 sexies, comma 1-bis, del Codice).

Nell’ambito delle interlocuzioni con i predetti Ministeri, l’Ufficio ha evidenziato i seguenti principali rischi che lo scenario normativo derivante dalla riforma del FSE e dalla istituzione dell’EDS rendeva necessario analizzare nell’ambito della predetta valutazione di impatto:

- di re-identificazione dell’interessato in considerazione delle interconnessioni con nuovi sistemi informativi e componenti previsti dalla normativa primaria (infrastruttura nazionale, repository centrale, EDS) e anche del possibile ampliamento dei dati a seguito delle modifiche apportate all’art. 2 sexies del Codice e alle disposizioni sulla medicina predittiva (d.l. n. 34 del 2020).  La valutazione di tale rischio impone un’analisi della perdurante efficacia delle disposizioni relative al sistema di codificazione dei dati di cui al D.M. 07 dicembre 2016, n. 262 (Regolamento recante procedure per l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato);

- di accessi abusivi e illeciti;

- di integrità ed esattezza e aggiornamento del dato;

- di perdita e distruzione dei dati;

- di utilizzo dei dati per finalità non compatibili;

- di utilizzi connessi all’uso di nuove tecnologie basate su logiche algoritmiche e strumenti di intelligenza artificiale;

- di trattamenti automatizzati che possono avere ricadute sul singolo interessato.

2. Collaborazione con il Ministero della salute

L’invio dello schema di decreto in esame è stato preceduto da alcuni mesi di proficue interlocuzioni informali con il Ministero della salute e gli uffici del Ministro delegato per l’innovazione tecnologica e la transizione digitale, che si sono svolte nell’ambito della collaborazione decennale tra il predetto dicastero e l’Ufficio del Garante anche in seno al tavolo nazionale sul FSE di cui all’art. 26 del d.P.C.M. n. 178 del 2015.

Nel corso delle predette interlocuzioni l’Ufficio ha rappresentato le posizioni già espresse dall’Autorità in passato sui temi oggetto dell’attuale intervento normativo, formulate anche nei numerosi pareri e note rese in materia (cfr. in particolare, pareri del 22 maggio 2014, parere del 19 marzo 2015, del 26 luglio 2017, parere del 7 aprile 2022, note del 17 ottobre 2016, prot. n. 30958, del 27 marzo 2017, prot. n. 11538, del 12 giugno 2017, prot. n. 20885, del 6 ottobre 2020, prot. n. 37043 e del 15 dicembre 2020, prot. n. 47857).

In primo luogo, si prende atto che, come auspicato dall’Autorità nel citato parere del 7 aprile 2022, il Ministero, dopo aver adottato il decreto il 18 maggio 2022, ha inteso procedere ad una definizione della riforma del FSE aggiornando le indicazioni del d.P.C.M. n. 178 del 2015, che ormai risulta formulato sulla base di una impostazione del Fascicolo in parte normativamente superata.

In via preliminare, si prende inoltre favorevolmente atto che è stato accolto l’invito dell’Autorità, formulato sin dal 2020 (cfr. comunicato stampa del 20 gennaio 2020, doc. web n. 9516732) e, da ultimo, nel citato parere del 7 aprile 2022, circa la necessità di prevedere che, a seguito dell’eliminazione del consenso all’alimentazione del Fascicolo ad opera del d.l. n. 34 del 2020, l’alimentazione automatica dello stesso a partire dal 18 maggio 2020 con tutti i dati delle prestazioni sanitarie effettuate in epoca antecedente a tale data sia possibile solo qualora siano rispettate le seguenti specifiche condizioni: sussistenza di un’idonea campagna nazionale e regionale di informazione sulle novità in materia e diritto agli interessati, dal momento in cui sono stati informati, di opporsi a tale alimentazione entro un termine non inferiore a 30 giorni (art. 35 dello schema di decreto).

Si prende inoltre atto della riformulazione di alcune delle disposizioni contenute nello schema di decreto in esame alla luce delle osservazioni dell’Ufficio, che hanno riguardato in particolare:

- i contenuti del FSE, con riferimento ai quali è stata espunta una formulazione generica che non garantiva l’elencazione chiara ed esaustiva dei dati e dei documenti;

- il rapporto tra lo schema di decreto sul FSE e il d.P.C.M n. 178/2015, con riferimento al quale è stato specificato che lo stesso cessa di avere efficacia dal giorno dell’entrata in vigore del decreto in esame (’art. 35, comma 5);

- il profilo sanitario sintetico (PSS), con riferimento all’individuazione della titolarità dei trattamenti effettuati attraverso lo stesso attribuita al medico di medicina generale/pediatra di libera scelta (MMG/PLS), al ruolo di responsabile del trattamento della Asl territorialmente competente, al contenuto, al periodo di conservazione dei dati, all’esercizio del diritto all’oscuramento e alle conseguenze in caso di variazione del MMG/PLS;

- il taccuino personale dell’assistito (TS), in merito all’individuazione della titolarità del trattamento, al contenuto e all’indicazione del tempo di conservazione;

- il dossier farmaceutico (DF) in merito al tempo di conservazione dei dati e all’esercizio del diritto di oscuramento;

- i dati soggetti a maggiore tutela dell’anonimato, relativamente alla responsabilità del soggetto deputato all’oscuramento da parte degli interessati;

- le conseguenze della revoca della manifestazione del consenso dell’interessato per finalità di cura;

- il ruolo di responsabile del trattamento del Ministero dell’economia e delle finanze, per le operazioni compiute attraverso il Sistema Tessera Sanitaria (TS) e di titolare con riferimento all’anagrafe dei consensi e delle revoche e all’indice nazionale dei dati e dei documenti;

- la titolarità dei trattamenti necessari a consentire l’identificazione e l’autenticazione informatica dell’assistito che accede al FSE.

3. Elementi di criticità in materia di protezione dei dati personali.

Ai sensi dell’art. 12 del d.l. n. 179/2012, lo schema di decreto in esame deve definire i contenuti del Fascicolo e del dossier farmaceutico, i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti dell'assistito, le modalità e i livelli diversificati di accesso al FSE da parte dei soggetti che vi accedono per le diverse finalità, la definizione e le relative modalità di attribuzione di un codice identificativo univoco dell'assistito che non consenta l'identificazione diretta dell'interessato (comma 7)..

Alla luce di quanto previsto nelle predette disposizioni, si rileva che lo schema di decreto in esame non disciplina tutti gli elementi richiesti dalla normativa sopra richiamata, nonché dagli artt. 6, par. 3 e 9 del Regolamento e dall’art. 2 sexies del Codice.

In particolare, lo schema trasmesso non definisce con chiarezza, come richiesto anche dal Garante nel parere del 7 aprile 2022, “i limiti di responsabilità e i compiti dei soggetti” che concorrono all’implementazione del FSE e “le modalità e i livelli diversificati di accesso al FSE da parte dei soggetti che vi accedono per le diverse finalità”.

L’assenza di indicazioni puntuali in ordine alle misure per garantire l’esercizio dei diritti e a quelle di sicurezza che devono essere adottate dai soggetti che a diverso titolo accedono al FSE rischiano inoltre di non assicurare modalità uniformi di tutela sul territorio nazionale.

Le modifiche all’art. 12 del d.l. n. 179 del 2012 evidenziano l’intenzione del legislatore di operare un profondo cambiamento circa la natura e le caratteristiche del FSE, che non sono state interamente colte nello schema di decreto in esame che risulta infatti ancora legato, per molti aspetti, a un quadro normativo non aggiornato.

Ciò premesso, seguono gli specifici elementi di criticità in materia di protezione dei dati personali rilevati nello schema di decreto trasmesso sul FSE. Con specifico riferimento agli aspetti del trattamento connessi all’Ecosistema dei dati sanitari si rinvia al parere reso sul relativo schema di decreto reso in pari data odierna.

3.1. Ambito di applicazione (art. 2 dello schema di decreto)

In via preliminare, si rileva che, sebbene a seguito di un’espressa osservazione dell’Ufficio sia stato specificato che il d.P.C.M n. 178/2012 cesserà di avere efficacia dall’entrata in vigore dello schema di decreto in esame, quest’ultimo non specifica il rapporto con il decreto adottato dal Ministero della salute il 18 maggio 2022, sul quale l’Autorità ha reso il citato parere del 7 aprile 2022, n. 117 (art. 35, comma 5, dello schema di decreto.

Al riguardo, tenuto conto che, secondo quanto indicato nell’art. 1 del decreto del 18 maggio 2022, lo stesso è stato adottato nelle more dell’adozione del decreto di cui all’art. 12, comma 7, del d.l. n. 179/2012, ovvero del decreto in esame, e che il predetto decreto del 18 maggio ha modificato il disciplinare tecnico allegato al d.P.C.M n. 178/2015 che cesserebbe di avere efficacia con l’adozione del decreto trasmesso dal Ministero, si ritiene che l’efficacia del decreto adottato il 18 maggio 2022 cessi unitamente a quella del richiamato d.P.C.M.

La circostanza che lo schema di decreto in esame sostituirà il d.P.C.M. pone inoltre il problema in merito ai trattamenti effettuati per finalità di ricerca attualmente disciplinati nel predetto d.P.C.M e non anche nello schema di decreto in esame.

Ciò premesso, si rappresenta che lo schema di decreto trasmesso in materia di FSE specifica di essere adottato in attuazione delle disposizioni di cui al comma 7 dell’art. 12 del d.l. n. 179/2012, e non anche del comma 15 -ter del medesimo articolo sebbene ne disciplini alcuni contenuti. Lo schema di decreto in esame infatti disciplina in parte quanto dovrebbe essere regolamentato dal decreto di cui all’art. 12, comma 15-ter, non ancora adottato. Ci si riferisce in particolare alle modalità attraverso le quali il Sistema Tessera sanitaria (TS) rende disponibili ai FSE e ai dossier farmaceutici, attraverso l’infrastruttura nazionale, i dati risultanti negli archivi del medesimo Sistema -relativi tra l’altro alle esenzioni dell’assistito, alle prescrizioni e prestazioni erogate di farmaceutica e alle prestazioni erogate non a carico del SSN- e alla previsione delle deleghe alla consultazione del FSE (combinato disposto dell’art. 12, commi 15-ter, n. 3 e 15-septies).

Si ritiene pertanto necessario riformulare il testo al fine di renderlo conforme a quanto indicato nell’art. 12, commi 7, 15-ter e 15 septies del d.l. n. 179/2012.

Si rileva infine che lo schema di decreto in esame non fornisce elementi relativi al necessario coordinamento con le recenti disposizioni che sono intervenute nel settore della sanità digitale (cfr. paragrafo 1.1), non indicando quali componenti del FSE saranno oggetto delle previste interconnessioni con gli altri sistemi informativi sanitari indicati dall’art. 2 sexies, comma 1-bis, del Codice e quali saranno impiegate ai fini dello sviluppo delle metodologie predittive di cui all’art. 7 del d.l. n. 34 del 2020.

La mancanza di tali elementi non consente di ricostruire lo scenario generale dei trattamenti di dati effettuati attraverso il FSE e quindi di valutare in modo ponderato i rischi del trattamento e la proporzionalità dello stesso rispetto alle finalità individuate dalla norma primaria.

Si richiama infine quanto rilevato nel paragrafo 1.1 del presente parere con riferimento alle “Linee guida per l’attuazione del FSE” adottate lo scorso 11 luglio 2022, che, secondo quanto indicato nell’art. 12, comma 15 -bis, d.l. n. 179/2012, dovrebbero dettare le regole tecniche per l’attuazione dello schema di decreto in esame adottato ai sensi del comma 7.

Al riguardo, si ribadisce che, al di là dei richiamati aspetti relativi alla tempistica circa l’adozione delle predette Linee guida (attuative dello schema di decreto in esame), le stesse intervengono su aspetti diversi da quelli indicati nel citato art. 12, comma 15-bis, d.l. n. 179/2012 (dati contenuti nel FSE e delle sue componenti, finalità, funzioni delle componenti del sistema FSE, alimentazione del Fascicolo, livelli di accesso al FSE, servizi erogabili attraverso il FSE, gestione dei consensi e delle deleghe, funzioni e caratteristiche dell’EDS), che dovrebbero essere invece oggetto dello schema di decreto in esame e di quello sull’EDS, che si limitano invece solo a rinviare alle predette Linee guida (cfr. art. 14 dello schema di decreto).

3.2. Contenuti del FSE (art. 3 dello schema di decreto)

Sebbene nel corso delle interlocuzioni informali, il Ministero abbia riformulato l’art. 3 dello schema di decreto relativo ai contenuti del Fascicolo espungendo clausole aperte e riferimenti generici, permangono alcuni elementi di criticità in ordine alle seguenti tipologie di dati e di documenti elencati nella citata disposizione:

a)  “dati identificativi e amministrativi dell’assistito (esenzioni per reddito e patologia, contatti, delegati)” (art. 3, comma 1, lett. a) dello schema di decreto)

Nel richiamato parere del 26 luglio 2017 l’Autorità aveva preso atto della circostanza che il Ministero dell’economia e delle finanze avesse convenuto che le informazioni sulle esenzioni per reddito non fossero consultabili dai soggetti che accedono al FSE per finalità di cura, né per finalità di ricerca o di governo, limitandone l’accesso al solo interessato. Nell’ambito di tali precedenti interlocuzioni l’Ufficio aveva ricordato che il decreto 11 dicembre 2009 sulla “Verifica delle esenzioni, in base al reddito, dalla compartecipazione alla spesa sanitaria, tramite il supporto del Sistema tessera sanitaria” ha definito le modalità di riconoscimento del diritto all’esenzione per motivi di reddito nell’ambito delle prescrizioni di specialistica ambulatoriale e ha introdotto puntuali modalità per l’autocertificazione (cfr. nota del 27 marzo 2017, prot. n. 11538).

Considerato che il FSE non è utilizzato in fase di prescrizione, l’Autorità aveva rilevato la necessità di non rendere consultabile tale informazione (esenzione per reddito) ai soggetti che accedono al FSE per finalità di cura e per finalità di governo sanitario, anche atteso che le regioni e il Ministero della salute non sono tra i soggetti legittimati ad accedere a tale codice ai sensi del predetto decreto ministeriale.

Nel ribadire quanto già rilevato nel 2017, in considerazione del fatto che il Ministero non ha motivato la necessità di modificare l’assetto su cui il Garante ha già espresso il proprio parere, né le ragioni per cui sarebbe necessario per le finalità di governo, cura, prevenzione e profilassi internazionale perseguibili attraverso il FSE acquisire anche l’informazione sull’esenzione per reddito, alla luce del principio di minimizzazione dei dati e di limitazione delle finalità, si ritiene che lo schema in esame debba essere riformulato prevedendo che l’indicazione del codice di esenzione sia accessibile attraverso il FSE al solo interessato.

Con specifico riferimento alle esenzioni per patologia, l’Autorità aveva fornito chiarimenti nei citati interventi del 2017, evidenziando che tali informazioni non sono detenute dal Sistema TS, in quanto nessuna previsione normativa prevede uno specifico flusso attraverso tale Sistema.

Si ritiene pertanto necessario che lo schema di decreto evidenzi la fonte attraverso la quale tale informazione (esenzione per patologia) è resa accessibile tramite il Sistema TS, anche in considerazione del fatto che l’art. 12, comma 15 septies del d.l. n. 179/2012 si riferisce genericamente alle “esenzioni dell’assistito”.

Si rinvia inoltre alle osservazioni formulate nel precedente paragrafo 3.1. con riferimento alla circostanza che l’art. 12, comma 15-septies prevede che il Sistema TS renda disponibili ai FSE e ai dossier farmaceutici, attraverso l’infrastruttura nazionale di cui al comma 15-ter, i dati risultanti negli archivi del medesimo Sistema anche relativi alle esenzioni dell’assistito, alle prescrizioni e prestazioni erogate di farmaceutica, e le prestazioni erogate non a carico del SSN, secondo le modalità stabilite, previo parere del Garante, da altro decreto ovvero da quello di cui al numero 3) del comma 15-ter che individuerà le misure tecniche e organizzative necessarie a garantire la sicurezza del trattamento e i diritti e le libertà degli interessati;

b) “prescrizioni (specialistiche, farmaceutiche, ecc.)” (art. 3, comma 1, lett. g) dello schema di decreto)

In via preliminare si rileva la necessità di riformulare la disposizione in esame che, alla luce di quanto richiesto dalla disciplina in materia di protezione dei dati personali, deve indicare in modo chiaro i tipi di dati e di documenti cui si riferisce, evitando formulazioni generiche come quelle ivi contenute (es. “ecc.”) (cfr. Considerando n. 41 al Regolamento).

Nel merito si rileva che nell’ambito delle interlocuzioni informali con i predetti dicasteri, l’Ufficio aveva ricordato quanto già espresso dal Garante con riferimento all’accessibilità attraverso il FSE di dati e documenti resi disponibili dal Sistema TS attinenti all’aspetto prescrittivo e certificatorio legato alle prestazioni sanitarie, farmaceutiche e alle agevolazioni erogate dal SSN o da altri organismi statali (cfr. parere del 26 luglio 2017 e nota del 27 marzo 2017, prot. n. 11538).

In particolare, si rappresenta che nel citato parere del 27 marzo 2017 l’Autorità aveva favorevolmente preso atto della soluzione tecnica prevista volta a collegare i documenti amministrativi alla prestazione erogata e ai relativi referti in modo tale che, in caso di esercizio del diritto di oscuramento su un documento, automaticamente fossero oscurati nel FSE anche i documenti amministrativi a questo collegati. Secondo tale soluzione, al momento dell’oscuramento della prescrizione tramite il numero elettronico della ricetta, è oscurato anche il documento collegato e l’interessato, attraverso l’accesso al proprio FSE, ha anche la possibilità di oscurare le prescrizioni specialistiche e farmaceutiche, prima che alle stesse sia associato un referto, consentendo quindi di non vanificare le eventuali richieste di oscuramento con riferimento agli eventi sanitari correlati a tali documenti (es. referto di una prestazione specialistica con riferimento alla relativa prescrizione).

Si rende pertanto necessario che tale garanzia sia confermata anche nello schema di decreto in esame.

Analogamente a quanto rilevato nel precedente paragrafo si rinvia alle osservazioni formulate nel paragrafo 3.1.1. relativamente alla circostanza che l’art. 12, comma 15-septies, del d.l. n. 179/2012 prevede che il Sistema Tessera sanitaria (TS) renda disponibili ai FSE e ai dossier farmaceutici, attraverso l’infrastruttura nazionale di cui al comma 15-ter, i dati risultanti negli archivi del medesimo Sistema Tessera sanitaria relativi anche alle esenzioni dell'assistito, alle prescrizioni e prestazioni erogate di farmaceutica, e le prestazioni erogate non a carico del SSN, secondo le modalità stabilite, previo parere del Garante, in altro decreto, ovvero quello di cui al numero 3) del comma 15-ter, che individuerà le misure tecniche e organizzative necessarie a garantire la sicurezza del trattamento e i diritti e le libertà degli interessati.

3.3 Accesso al FSE in emergenza (art. 25 dello schema di decreto)

Nelle richiamate interlocuzioni (cfr. paragrafo l.2) il Garante aveva esortato il Ministero a introdurre nella revisione del d.P.C.M n. 178 del 2015 le condizioni e le modalità attraverso le quali il personale sanitario, operante in emergenza, potesse accedere, anche in assenza del consenso dell’interessato alla consultazione del FSE per finalità di cura, alla partizione del FSE denominata Profilo Sanitario Sintetico (PSS), per il tempo strettamente necessario a prestare le cure indispensabili, ferma restando la necessità di interpellare l’interessato, non appena sia in grado di manifestare il proprio consenso.

Come indicato nel precedente paragrafo 1.2, l’accesso in emergenza al PSS, quale partizione del FSE volta a consentire “un rapido inquadramento dell’assistito”, nel rispetto delle condizioni sopra evidenziate, è stata già ritenuta dall’Autorità frutto di un equilibrato bilanciamento tra il diritto di autodeterminazione dell’interessato e la tutela di un suo interesse vitale, qualora lo stesso non abbia prestato il consenso al FSE per finalità di cura e si trovi nell’incapacità fisica o giuridica di farlo.

Il PSS infatti “riassume la storia clinica dell'assistito e la sua situazione corrente conosciuta” e ha proprio la finalità “di favorire la continuità di cura, permettendo un rapido inquadramento dell'assistito al momento di un contatto con il SSN” (art. 3 del D.P.C.M n. 178/2015). Tale partizione del FSE consente pertanto di recuperare in un unico documento informazioni complete circa gli aspetti clinici e sanitari rilevanti dell’interessato relativi ad esempio all’attuale situazione clinica (Patologie croniche e/o rilevanti dell'assistito), alle allergie sofferte, agli eventuali trapianti o asportazioni d’organo subiti, all’eventuale presenza di malformazioni, alla presenza di protesi e ausili, all’anamnesi familiare, ai fattori di rischio clinico e sanitario (ad esempio fumatore, dipendenza da stupefacenti o da alcool, esposizione a sostanze tossiche), alle terapie farmacologiche croniche in atto, allo stato attuale delle vaccinazioni effettuate, all’eventuale dichiarazione di donazione degli organi, alle patologie in atto, all’eventuale assistenza domiciliare integrata/programmata usufruita, ai piani di cura e ai ricoveri.

Il PSS è quindi quella partizione del FSE che consente ad un sanitario di reperire in modo agevole e strutturato tutte le informazioni necessarie ad inquadrare velocemente lo stato di salute di un interessato ed è quindi la partizione del FSE più utile a prestare un intervento sanitario in emergenza in caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell’assistito o di rischio grave, imminente ed irreparabile per la sua salute o incolumità fisica; in tali casi infatti assume un valore preminente la possibilità di consultare un unico documento -omogeneo per tutto il territorio nazionale- contenente in modo esaustivo la situazione sanitaria dell’assistito.

In tale quadro, pertanto, salvo che il Ministero della salute, sulla base di un’idonea e documentata valutazione tecnico-scientifica, dimostri, dandone conto al Garante, l’eventuale esigenza di un accesso all’intero FSE in quanto l’accesso al solo PSS non sia ritenuto sufficiente per apprestare le cure in emergenza ai  pazienti che non hanno già manifestato il proprio consenso alla consultazione del FSE, fermo restando comunque, anche in tale ipotesi, che il personale medico, in emergenza, potrà accedere, con un criterio di gradualità, prima al PSS e solo qualora non vi trovasse le informazioni necessarie, all’intero FSE, si conferma che, alla luce dell’art. 9, par. 2, lett. c) del Regolamento e di quanto disposto dall’art. 12, comma 5, d.l. n. 179/2012, la previsione contenuta nell’art. 25, comma 1, dello schema di decreto in esame, esplicitata anche nell’allegato A) allo stesso, secondo cui, in caso di mancata espressione del consenso dell’interessato all’utilizzo del FSE per finalità di cura, gli operatori sanitari che intervengono in emergenza possano accedere a tutto il FSE (tranne che ai documenti oscurati), non rispetti quanto disposto dal richiamato quadro normativo, la centralità del consenso per l’utilizzo del FSE per finalità di cura e quindi la volontà dell’interessato e non sia proporzionata rispetto agli interessi e ai diritti costituzionalmente rilevanti tutelati dalle predette disposizioni.

La disposizione così formulata non tiene conto del fatto che la mancata espressione del consenso dell’interessato al FSE per finalità di cura sia frutto di una scelta consapevole dello stesso, il quale non intende che tale strumento sia accessibile nel suo percorso di cura neanche in emergenza.

La disposizione in esame non si coordina dunque con quanto indicato nell’art. 18 dello schema di decreto in esame secondo cui “Il FSE è uno strumento a disposizione dell’assistito, che può consentirne l’accesso ai soggetti del SSN e dei servizi socio-sanitari regionali nonché agli esercenti le professioni sanitarie che lo prendono in cura, anche al di fuori del SSN”.

In considerazione del fatto che, come anzidetto, non sussiste un obbligo per i professionisti sanitari di consultare e alimentare il FSE, la disposizione in esame porterebbe al paradosso secondo cui la mancata manifestazione di volontà dell’interessato all’utilizzo del FSE per finalità di cura risulterebbe automaticamente negata, in caso di una sua emergenza sanitaria, senza che sia previsto un obbligo per il professionista sanitario che interviene nella stessa emergenza di consultare il FSE dell’interessato.

Si ricorda ad ogni buon conto che -come più volte evidenziato dal Garante- i soggetti che hanno preso in cura l’assistito possono sempre accedere ai dati e ai documenti sanitari e socio-sanitari che hanno prodotto.

Considerato che, come già osservato, il FSE è uno strumento per sua natura incompleto in quanto privo dei dati nativi oscurati e di quelli oggetto di oscuramento da parte dell’interessato, si ritiene non in linea con il principio di proporzionalità del trattamento anche la disposizione contenuta nel secondo comma dell’art. 25, secondo cui in caso di emergenze sanitarie o di igiene pubblica, con ordinanza del Ministro della salute o del Presidente della Regione ai sensi dell’art. 32 della legge n. 833 del 1978 e dell’art. 177 del d.lgs n. 112 del 1998, il Ministero della salute e gli Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria sono autorizzati a trattare i dati del FSE e dell’EDS per le finalità di prevenzione e di profilassi internazionale anche in assenza del consenso alla consultazione da parte degli assistiti.

L’accesso ad un sistema informativo contenente dati non codificati sulla salute di tutta la popolazione assistita sul territorio nazionale che non risponde a requisiti di completezza e aggiornamento, essendo per sua natura incompleto, da parte di soggetti che istituzionalmente non sono deputati a trattare dati direttamente identificativi per finalità di prevenzione e profilassi internazionale appare in contrasto con la disciplina di settore e con i principi di minimizzazione dei dati e di limitazione delle finalità del trattamento (art. 5 del Regolamento). Al riguardo, si evidenzia inoltre che nella documentazione trasmessa non sono forniti elementi in merito alla necessità, in caso di emergenze sanitarie o di igiene pubblica, per il Ministero della salute gli Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria di trattare dati direttamente identificativi di tutta la popolazione italiana al di fuori delle specifiche disposizioni di legge adottate al riguardo (cfr. ad esempio la disciplina in materia di vaccinazioni).

Si rappresenta poi che la disposizione di cui all’art. 25, comma 2, dello schema di decreto in esame supera il dettato normativo dell’art. 12 del d.l. n. 179 del 2012, nella parte in cui attribuisce alle regioni/province autonome la possibilità di accedere al FSE per finalità di profilassi internazionale, atteso che la norma primaria attribuisce tale compito esclusivamente al Ministero della salute (cfr. art. 12, commi 2, lett. a-ter e 4- ter del d.l. n. 179/2012).

L’intrinseca incompletezza del sistema informativo FSE, la natura giuridica dello stesso, che, per le finalità di cura, di profilassi internazionale e di prevenzione, prevede che possa essere utilizzato solo con il consenso dell’interessato da parte di determinati soggetti giuridici (art. 12, commi 2, lett. a), a-bis) e a-ter) e 5 del d.l. n. 179/2012), portano a ritenere che la previsione di cui all’art. 25, comma 2 dello schema di decreto non sia conforme alle citate disposizioni normative e contraria al principio di proporzionalità del trattamento.

Si ritiene pertanto necessario che tale disposizione sia riformulata sulla base delle suddette osservazioni, prevedendo, in caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato o di rischio grave, imminente ed irreparabile per la salute o l’incolumità fisica dell'interessato:

- l’accesso al solo profilo sanitario sintetico (PSS) di coloro che non hanno prestato il consenso alla consultazione del FSE per finalità di cura, salvo che il Ministero della salute, sulla base di un’idonea e documentata valutazione tecnico-scientifica, dimostri, dandone conto al Garante, l’eventuale esigenza di un accesso all’intero FSE in quanto l’accesso al solo PSS non sia ritenuto sufficiente per apprestare le cure in emergenza, fermo restando comunque, anche in tale ipotesi, che il personale medico, in emergenza, potrà accedere, con un criterio di gradualità, prima al PSS e solo qualora non vi trovasse le informazioni necessarie, all’intero FSE,

-, in caso di emergenze sanitarie o di igiene pubblica, l’accesso a dati non direttamente identificativi presenti nel FSE da parte Ministero della salute e degli Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria. La predetta riformulazione deve inoltre prevedere che in tali casi l’operatore sanitario agisca comunque nel rispetto dei principi di necessità e minimizzazione dei dati.

Nel rinviare sugli specifici aspetti relativi all’accesso all’EDS al parere reso dall’Autorità in pari data, si rilevano alcune incongruenze in merito a quanto previsto nello schema di decreto in esame con quello sull’EDS in merito alla tipologia di dati a cui è consentito l’accesso in emergenza (cfr. l’art. 10 dello schema di decreto EDS con l’art. 25 dello schema di decreto FSE). Al riguardo, si rinvia anche alle specifiche osservazioni sui servizi offerti attraverso EDS formulate nel parere reso in pari data sullo schema di decreto sull’EDS.

3.4. Diritti degli interessati (artt. 7 e 10 dello schema di decreto)

Lo schema di decreto in esame dedica l’art. 10 alla disciplina delle modalità di esercizio dei diritti dell’interessato.

La predetta disposizione risulta tuttavia non adeguata a indicare i diritti esercitabili da parte dell’interessato nei confronti dei molteplici trattamenti effettuati attraverso il FSE, atteso che il novero dei diritti riconosciuti all’interessato risulta diversamente delineato in relazione alla specifica base giuridica su cui si fondano i trattamenti. Al riguardo, l’Ufficio, previa condivisione con il Collegio, aveva già fornito indicazioni al Ministero della salute e alle regioni/province autonome in merito all’esercizio dei diritti di opposizione, di portabilità e di oblio (cfr. comunicato stampa dell’11 gennaio 2021, doc. web n. 9516732 e nota del 5 febbraio 2021, prot. n. 7255).

Al riguardo, a titolo esemplificativo, si evidenzia che l’attuale formulazione dell’art. 10 dello schema di decreto individua in capo alla Regione/Provincia autonoma il soggetto nei cui confronti esercitare alcuni diritti che sono tuttavia esercitabili solo nei confronti di alcuni dei trattamenti effettuati ai sensi dello schema di decreto in esame (cfr. art. 10, comma 4, riferibile esclusivamente agli accessi al FSE effettuati per finalità di cura).

Con specifico riferimento al diritto di oscuramento, nel citato parere del 7 aprile 2022 il Garante aveva rappresentato che, atteso l’ampliamento del novero dei dati e dei documenti contenuti nel FSE, nel decreto in esame si sarebbero dovute specificare le misure adottate per garantire l’esercizio del diritto di oscuramento previsto dalla normativa di settore. Ciò anche con riferimento al profilo sanitario sintetico (PSS), e al dossier farmaceutico (DF), al fine di evitare che i documenti sanitari su cui l’interessato ha eventualmente esercitato il diritto di oscuramento siano poi accessibili in chiaro attraverso tali componenti, vanificando quindi il diritto esercitato.

Nel prendere atto delle integrazioni effettuate dal Ministero, si rappresenta che lo schema di decreto e il relativo allegato A) risultano privi di specifiche indicazioni in merito alle modalità di esercizio del diritto di oscuramento (es. soggetto a cui inoltrare l’istanza, definizione dei tempi per il riscontro) e di revoca dello stesso, nonché alle responsabilità connesse al mancato rispetto dell’istanza formulata dall’interessato. Ciò assume particolare rilievo in quanto l’assenza di misure adeguate e univoche definite a livello nazionale, secondo quanto previsto dall’art. 12, comma 7, del d.l. n. 179/2012, può determinare una tutela non uniforme sul territorio nazionale, nonché la difficoltà di imputare specifiche responsabilità nel caso in cui non sia soddisfatta l’istanza di oscuramento da parte dell’interessato, come riscontrato dall’Autorità in molte segnalazioni e reclami oggetto di procedimenti istruttori (cfr. provvedimenti del 29.4.2021, n. 175, del 27.5.2021, n. 211 e del 27.5.2021, n. 212).

Con riferimento alle modalità di espressione di tale diritto si rileva infatti che l’allegato A) allo schema di decreto in esame prevede genericamente una specifica funzionalità al riguardo, senza indicare le operazioni e i soggetti che ne sono coinvolti (cfr. paragrafo 4.1).

Analogamente, si rileva che lo schema di decreto in esame, nel prevedere che i dati soggetti a maggior tutela dell’anonimato siano oscurati di default, essendo visibili solo all’interessato, non definisce -come invece richiesto dall’art. 12, comma 7, del d.l. n. 179 del 2012- le misure di sicurezza adottate nel trattamento di tali dati personali (art. 7 dello schema di decreto).

Si ritiene pertanto necessario che la disposizione sia riformulata indicando puntualmente i diritti esercitabili da parte dell’interessato in relazione alle diverse finalità perseguibili attraverso il FSE e alla pluralità dei soggetti deputati a raggiungerle, avendo cura di specificare le misure adottate per garantire l’esercizio del diritto di oscuramento previsto dalla normativa di settore (soggetto a cui inoltrare l’istanza, definizione dei tempi per il riscontro, modalità di revoca dello stesso e responsabilità connesse al mancato rispetto dell’istanza formulata dall’interessato, oscuramento dei documenti amministrativi correlati al dato oscurato), l’oscuramento di default dei dati soggetti a maggior tutela e quelle per assicurare il diritto dell’interessato di prendere visione degli accessi al suo FSE, con riferimento alla tipologia di accessi registrati dalla Regione di assistenza dell’interessato e di cui lo stesso può avere visione, alla tipologia di operazione registrata, alla tipologia di soggetto che l’ha effettuato e alla finalità dallo stesso perseguita.

Con specifico riferimento al diritto dell’interessato di prendere visione degli accessi al suo FSE, si rinvia alle osservazioni formulate nei successivi paragrafi 3.10 e 3.12 con riferimento all’assenza di elementi in ordine alla tipologia di accessi registrati dalla Regione di assistenza dell’interessato e di cui lo stesso può avere visione, alla tipologia di operazione registrata (alimentazione, consultazione, ecc.), alla categoria di soggetto che l’ha effettuata e alla finalità dallo stesso perseguita (cfr. artt. 12, comma 7 e 18, comma 4, dello schema di decreto in esame).

3.5 Profilo sanitario sintetico (PSS) (artt. 4 e 11 dello schema di decreto)

Nel prendere atto delle misure introdotte dal Ministero in merito al trattamento dei dati personali effettuato attraverso il PSS, con particolare riguardo alla definizione dei ruoli del trattamento, già auspicate dal Garante nel provvedimento del 7 aprile 2022, suscita perplessità la disposizione secondo cui è previsto che il PSS sia conservato presso l’Azienda sanitaria locale (ASL) territorialmente competente, in qualità di responsabile del trattamento del MMG/PLS.

Al riguardo, si ravvisa la necessità che sia meglio definito il perimetro di responsabilità del MMG/PLS e della ASL, con particolare riferimento alla circostanza che, secondo il quadro definito dalla disposizione in esame, l’ASL svolgerà il ruolo di responsabile del trattamento relativamente ai PSS di tutti i MMG e PLS insistenti sul suo territorio di competenza, prevedendo, presumibilmente, modalità di conservazione e misure di sicurezza dei dati unitarie che rischiano di sfuggire al previsto ambito di controllo del titolare.

La previsione contenuta nell’art. 4 dello schema di decreto dovrà pertanto essere attuata garantendo che il titolare del trattamento (MMG/PLS) possa esercitare i compiti ad esso attribuiti dal Regolamento nei confronti del responsabile, ivi compreso quello relativo alla fornitura di specifiche istruzioni sulle modalità del trattamento (cfr. artt. 28 e 29 del Regolamento e Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento ai sensi del Regolamento dell’EDPB del 7 luglio 2021).

Si ritiene inoltre necessario meglio definire i compiti attribuiti alla Asl in ordine alla “conservazione” dei dati e chiarire se tra gli stessi debbano ricomprendersi anche gli oneri di cancellazione con riferimento ai quali, allo stato, non sono definiti elementi di dettaglio (art. 11, comma 2, dello schema di decreto).

Ulteriore aspetto critico in merito ai trattamenti effettuati attraverso il PSS si ravvisa in merito alla previsione secondo cui in caso di variazione del MMG/PLS è redatto un nuovo PSS. Al riguardo, pur avendo il Ministero accolto l’invito a prevedere la possibilità per l’interessato di consultare i suoi precedenti PSS, lo schema di decreto in esame non specifica le modalità attraverso le quali l’interessato possa consultarli e il soggetto tenuto alla conservazione degli stessi ai fini dell’esercizio di tale diritto.

Si ritiene pertanto necessario che la disposizione sia riformulata alla luce delle predette osservazioni definendo in modo più chiaro il perimetro di responsabilità del MMG/PLS e della ASL, con particolare riferimento alle modalità di conservazione e alle misure sicurezza dei dati trattati attraverso il PSS anche in relazione alle distinte versioni di tale documento che possono essere redatte nel tempo.

3.6 Taccuino personale dell’assistito (TP) (artt. 5 e 11 dello schema di decreto)

A fronte dell’osservazione formulata dall’Autorità nel citato parere del 7 aprile 2022, in ordine alla necessità di individuare la titolarità del trattamento dei dati e dei documenti effettuato attraverso il TP (sezione del FSE all’interno della quale l’interessato può inserire dati, anche generati dai dispositivi medici e/o wearable, e documenti personali relativi ai propri percorsi di cura) e di esplicitare ove risiedano gli stessi, si rileva che lo schema di decreto si limita ad indicare che “La RdA [Regione di assistenza dell’interessato] protempore dell’assistito è titolare del trattamento di conservazione dei dati e dei documenti del taccuino”.

Tale formulazione presenta elementi di criticità atteso che le operazioni di trattamento legate al TP non si limitano alla conservazione dei dati e dei documenti tramite lo stesso accessibili. e che non sono individuati con chiarezza i soggetti cui poter attribuire la responsabilità in caso di alterazione, perdita, accesso illecito o di utilizzo improprio.

Si rappresenta inoltre che la titolarità del trattamento in capo alla RdA appare incongruente rispetto alla natura del TP e al quadro normativo che non attribuiscono alla Regione finalità di cura dell’interessato.

Analogamente a quanto rilevato per il PS, si rileva l’assenza dell’indicazione del soggetto tenuto a provvedere alla cancellazione dei dati di cui all’art. 11 dello schema di decreto medesimo (cfr. art. 5, comma 3, dello schema di decreto).

Si rileva infine che nello schema di decreto non sono indicate le modalità attraverso le quali è previsto il trasferimento del TP ad altra Regione in caso di cambio di residenza dell’interessato.

Si ritiene pertanto necessario che la disposizione in esame debba essere riformulata indicando, in modo coerente con il dettato normativo, i ruoli del trattamento, con specifico riferimento alla titolarità dello stesso e anche in considerazione delle operazioni di conservazione, cancellazione e trasferimento dei dati tra Regioni previste nello schema di decreto.

È inoltre necessario che sia meglio esplicitato che tale sezione del FSE sia alimentabile dal solo interessato.

3.7 Dossier farmaceutico (DF) (art. 6 dello schema di decreto)

Con specifico riferimento al DF, nel citato parere del 7 aprile 2022, l’Autorità aveva rappresentato la necessità che lo schema di decreto in esame evidenziasse la titolarità dei trattamenti, ove risiedessero i dati e i documenti e i soggetti che possono accedervi e per quali finalità.

L’art. 6 dello schema di decreto risulta privo di tutti i predetti elementi. La disposizione infatti non individua la titolarità dei trattamenti effettuati attraverso il DF, ove risiedano i dati che, secondo quanto previsto dall’art. 12, comma 2 -bis, del d.l. n. 179 del 2012, devono essere aggiornati dalla farmacia che effettua la dispensazione, né i soggetti che possono accedervi e per quali finalità.

La mancanza di tali elementi rende la disposizione in esame non conforme a quanto previsto dal citato art. 12, comma 7 cui dovrebbe dare attuazione, non indicando i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, le modalità e i livelli diversificati di accesso.

Si rappresenta infine che l’art. 6 dello schema di decreto indica come contenuto del DF anche i “servizi dell’EDS necessari per consentire la (loro) fruizione” dei dati e documenti di cui si compone senza specificare quali siano tali servizi e perché si rendano necessari per consentire la fruizione dei dati e documenti accessibili attraverso il DF. Sul punto si rinvia inoltre alle osservazioni formulate nel parere reso sullo schema di decreto sull’EDS adottato in pari data in ordine al rispetto del principio di proporzionalità nell’elaborazione dei dati sulla salute effettuata attraverso EDS rispetto alle finalità individuate dalla normativa primaria.

Si ritiene pertanto necessario che la disposizione in esame debba essere riformulata definendo la titolarità dei trattamenti e indicando ove risiedano i dati e i soggetti che possono accedervi e per quali finalità.

3.8 Informativa (articolo 8 dello schema di decreto e allegato B)

In allegato allo schema di decreto sul FSE il Ministero della salute ha trasmesso lo schema tipo di “Informativa e consenso al trattamento dei dati personali del FSE e dell’EDS ai sensi degli articoli 13 e 14 del Regolamento generale sulla protezione dei dati” (art. 8, comma 2, dello schema di decreto e allegato B).

Nel corso della collaborazione con il Ministero della salute, l’Ufficio aveva già fornito delle preliminari indicazioni, condivise con il Collegio, in merito al contenuto del predetto schema tipo, limitatamente ai trattamenti effettuati attraverso il FSE (nota del 15 dicembre 2020, prot. n. 47857).

In particolare, le predette indicazioni riguardavano la necessità di modificare lo schema di informativa in relazione alle osservazioni formulate sul Sistema FSE con riferimento al contenuto del FSE, all’accesso ai dati in emergenza, all’alimentazione del Fascicolo con i dati e i documenti generati prima del 18 maggio 2020 e all’istituto della delega.

Nel ribadire la necessità che lo schema di informativa sia modificato in relazione a tutte le osservazioni di merito formulate nel presente parere, si rileva che nello stesso permangono alcune criticità che sono state già segnalate al Ministero della salute nell’ambito delle più recenti interlocuzioni.

Più nel dettaglio, in considerazione del fatto che attraverso il sistema FSE è effettuato il trattamento automatico dei dati sulla salute di tutta la popolazione assistita sul territorio nazionale, oggetto di elaborazione nell’ambito dei servizi resi da EDS, si ritiene che lo schema di informativa non indichi in modo trasparente ed esaustivo il trattamento dei dati effettuato e il contesto specifico in cui i dati sono trattati  ponendosi quindi in contrasto con quanto previsto dagli artt. 13 e 14 del Regolamento ed espressamente richiamato nei considerando nn. 60 e 61.

Lo schema di informativa risulta inoltre incompleto rispetto a quanto previsto dagli artt. 13 e 14 in ordine all’indicazione dell’identità di tutti i titolari coinvolti e dei relativi responsabili del trattamento in relazione alle molteplici finalità perseguibili e dei diversi diritti esercitabili da parte dell’interessato.

Si rappresenta poi che il testo dello schema di informativa presenta delle incongruenze rispetto allo schema di decreto in esame e a quello sull’EDS e alla normativa primaria circa la titolarità dei trattamenti e all’accesso del FSE in emergenza che, secondo quanto indicato nell’art. 25 dello schema di decreto, è esteso anche ai servizi dell’EDS.

Si rileva inoltre alcune imprecisioni con riferimento all’accesso alle prestazioni in anonimato che possono essere rese dal SSN solo per un novero ristretto di prestazioni.

Si rappresenta infine che fornire informazioni parziali e non chiare sul trattamento, oltre a violare il principio di trasparenza, strettamente legato a quelli di correttezza e liceità del trattamento, inficia anche la regolare espressione del consenso laddove esso costituisca la base giuridica del trattamento (art. 12, comma 2, lett. a), a-bis) e a-ter) del d.l. n. 179/2012, cfr. al riguardo Linee guida sulla trasparenza ai sensi del regolamento 2016/679, adottate il 29 novembre 2017 dal Gruppo di lavoro articolo 29, Versione emendata adottata l’11 aprile 2018 e Linee guida dell’EDPB n. 5/2020 sul consenso ai sensi del Regolamento).

Si ritiene pertanto necessario che la disposizione in esame sia riformulata, integrando il modello trasmesso con tutti gli elementi richiesti dagli artt. 13 e 14 del Regolamento, sopra richiamati, in relazione ai molteplici trattamenti effettuati attraverso il FSEsuperando le predette inesattezze e le incongruenze con la normativa primaria.

3.9 Consenso dell’interessato (art. 9 dello schema di decreto)

Con la riforma della disciplina del FSE ad opera del d.l. n. 4 del 2022, è previsto che il Fascicolo, oltre alle finalità di cura, persegua anche finalità di prevenzione (distintamente da quelle di cura come invece originariamente previsto) e profilassi internazionale (art. 12, comma 2, lett. a- bis) e a-ter), del d.l. n. 179 del 2012).

La predetta disposizione ha previsto che “la consultazione dei dati e documenti presenti nel FSE” per le finalità di diagnosi, cura e riabilitazione (art. 12, comma 2, lett. a)) prevenzione (art. 12, comma 2, lett. a- bis)) e di profilassi internazionale (art. 12, comma 2, lett. a-ter)) “può essere realizzata soltanto con il consenso dell'assistito e sempre nel rispetto del segreto professionale”.

L’art. 12 del d.l. n. 179 del 2012 individua anche i soggetti che possono perseguire le predette finalità specificando che quelle di:

- diagnosi, cura e riabilitazione di cui art. 12, comma 2, lett. a) siano perseguibili dai soggetti del Servizio sanitario nazionale e dei servizi socio-sanitari regionali e da tutti gli esercenti le professioni sanitarie;

- prevenzione (art. 12, comma 2, lett. a- bis)), dai soggetti del Servizio sanitario nazionale e dei servizi socio-sanitari regionali, dagli esercenti le professioni sanitarie nonché dagli Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria e dal Ministero della salute;

- profilassi internazionale finalità di cui alla lettera a-ter) del comma 2 siano perseguite dal Ministero della Salute.

L’attuazione delle predette disposizioni deve avvenire in modo conforme alle previsioni del Regolamento relative ai requisiti del consenso richiamati anche dal Comitato europeo per la protezione dei dati (cfr. art. 7 del Regolamento e Linee guida n. 5/2020 sul consenso ai sensi del Regolamento).

In particolare, si richiama l’attenzione sulla necessità che il consenso manifestato sia libero, specifico, informato e inequivocabile e, con riferimento alle particolari categorie di dati, esplicito oltre che sempre revocabile.

La specificità del consenso, come indicato nelle citate Linee guida, è strettamente correlata alla particolare finalità perseguita e alla “granularità” delle richieste previste anche al fine di scongiurare il rischio noto come “function creep”, ovvero di uso non previsto di dati personali da parte del titolare del trattamento o di terzi e la perdita del controllo da parte dell’interessato (cfr. punto 3.2 delle predette Linee guida). Come indicato dal Comitato europeo “il consenso deve essere specifico per finalità” e in caso di “consenso per finalità diverse” si deve “prevedere una possibilità di adesione distinta per ciascuna finalità, in modo da consentire all’utente di esprimere un consenso specifico per le finalità specifiche”.

Il rispetto di tali requisiti impone -diversamente da quanto previsto dallo schema di decreto in esame- che le manifestazioni di volontà richieste dal citato art. 12 del d.l. n. 179/2012 siano esprimibili disgiuntamente nei confronti dei trattamenti effettuati per finalità di diagnosi, cura e riabilitazione (art. 12, comma 2, lett. a)), di prevenzione (successiva lett. a- bis)) e di profilassi internazionale (successiva, lett. a-ter)).

Nel constatare che l’impostazione seguita dal Ministero prevede un’unica espressione del consenso per tutte le predette finalità, considerato il diverso ambito del trattamento effettuato in relazione alle stesse, i differenti soggetti che possono perseguirle e il requisito della specificità del consenso, si rileva che tale scelta non risulta conforme ai requisiti del consenso richiesti dal Regolamento.

È pertanto necessario che la disposizione sia riformulata prevedendo in primo luogo distinte e autonome espressioni di volontà dell’interessato, in relazione alle diverse finalità del trattamento che si fondano sul consenso, avendo cura di indicare, per ciascuna di esse le conseguenze della revoca del consenso, le modalità di espressione, anche in relazione ai minori e ai soggetti sottoposti a tutela, e di alimentazione dell’Anagrafe dei consensi.

Con specifico riferimento alla manifestazione del consenso per le finalità di prevenzione, il rispetto dei requisiti previsti dal Regolamento, impone che tale manifestazione di volontà sia espressa in modo disgiunto nei confronti delle tre diverse tipologie di soggetti che possono perseguirla, attesa l’eterogeneità degli stessi (esercenti le professioni sanitarie, Ministero della salute, uffici regionali e provinciali competenti in materia di prevenzione) e delle funzioni istituzionali ad essi attribuite.

In merito alla previsione del citato art. 12, comma 2, lett. a- bis, del d.l. n. 179/2012, secondo cui il consenso dell’interessato è richiesto per il trattamento dei dati del FSE per finalità di prevenzione perseguibili dagli Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria e dal Ministero della salute e per finalità profilassi internazionale (successiva lettera a-ter)) perseguibili dal solo Ministero della Salute, è necessario richiamare quanto indicato nel Considerando n. 43 al Regolamento, ribadito anche dal Comitato europeo nelle citate linee guida (cfr. punto 3.1, n. 15), secondo cui “per assicurare la libertà di espressione del consenso, è opportuno che il consenso non costituisca un valido presupposto per il trattamento dei dati personali in un caso specifico, qualora esista un evidente squilibrio tra l’interessato e il titolare del trattamento, specie quando il titolare del trattamento è un’autorità pubblica e ciò rende pertanto improbabile che il consenso sia stato espresso liberamente in tutte le circostanze di tale situazione specifica”. Al riguardo, il Comitato, nel ricordare l’esistenza di basi giuridiche più appropriate per i trattamenti effettuati da autorità pubbliche, evidenzia che quando il trattamento è effettuato da tali soggetti “sussiste spesso un evidente squilibrio di potere nella relazione tra il titolare del trattamento e l’interessato” non disponendo quest’ultimo di “alternative realistiche all’accettazione (dei termini) del trattamento”.

Nell’evidenziare che l’art. 12 del d.l. n. 179/2012 ha previsto che “la consultazione dei dati e documenti presenti nel FSE” per le finalità di diagnosi, cura e riabilitazione, prevenzione e di profilassi internazionale “può essere realizzata soltanto con il consenso dell'assistito e sempre nel rispetto del segreto professionale”, si rende necessario specificare le modalità attraverso le quali è garantito che il Ministero della salute -per le finalità di prevenzione e di profilassi internazionale- e le regioni/province autonome -per quelle di prevenzione- assicurino che il trattamento dei dati avvenga esclusivamente ad opera di personale soggetto al “segreto professionale”.

Si ritiene pertanto necessario che la disposizione in esame sia riformulata come sopra osservato prevedendo distinte e autonome espressioni di volontà dell’interessato in relazione alle diverse finalità del trattamento che si fondano sul consenso, perseguite da ciascuna categoria di soggetti prevista dalla normativa primaria, avendo cura di indicare, per ognuna di esse, le conseguenze della revoca del consenso, le modalità di espressione, anche in relazione ai minori e ai soggetti sottoposti a tutela, e di alimentazione dell’Anagrafe dei consensi e di assicurare che siano frutto di una scelta libera, specifico, informata, esplicita e sempre revocabile.

3.10 Accesso al FSE da parte dell’interessato (art. 12 dello schema di decreto)

L’art. 12 dello schema di decreto concerne la possibilità per l’interessato di accedere al proprio FSE e, secondo quanto indicato nell’art. 12 comma 2, ultimo periodo del d.l. n. 179/2012 le modalità attraverso le quali il cittadino accede, attraverso il FSE, “ai servizi sanitari on line”.

La disposizione in esame contempla anche la possibilità per l’interessato di delegare altri soggetti, “come risultanti dall’Anagrafe consensi e revoche, nelle more della disponibilità del Sistema di gestione deleghe”, alla consultazione del FSE.

Al riguardo, l’Ufficio, previa condivisione con il Collegio, già nel 2017 aveva formulato specifiche osservazione sull’istituto della delega connesso alla consultazione del FSE (nota del 12 giugno 2017, prot. n. 20885).

In particolare, era stato rappresentato al Ministero la necessità di configurare i sistemi affinché l’utenza del soggetto delegato sia collegata già ad un profilo di autorizzazione che consenta di accedere al Fascicolo del/dei delegante/i, adottando idonee misure per registrare gli accessi al FSE anche da parte del soggetto delegato.

Con specifico riferimento al contenuto della delega, era stato evidenziato che la stessa deve indicare con chiarezza l’ambito di operatività, esplicitando, ad esempio, se è relativa alla sola consultazione dei dati o anche all’inserimento degli stessi nel taccuino personale (procura speciale) e che, al fine di evitare possibili distorsioni o usi impropri, fosse preventivamente individuato il periodo di validità della delega e un numero massimo di deleghe attribuibili ad un medesimo soggetto. Analogamente, l’Ufficio aveva ritenuto necessaria l’individuazione del numero massimo di deleghe che ogni assistito può effettuare per l’accesso al proprio FSE.

Al riguardo, si fa inoltre presente che l’art. 12, nell’istituire l’anagrafe nazionale dei consensi e delle relative deleghe, prevede che con decreto del Ministro dell'economia e delle finanze, di concerto con il Ministro della salute e con il Ministro per l'innovazione tecnologica e la transizione digitale, sentito il Garante, siano indicate le modalità e le misure di sicurezza relative all’inserimento nella predetta anagrafe delle informazioni relative all'eventuale soggetto delegato dall'assistito (art. 12, comma 15 -ter), nn. 3 e 4-bis), d.l. n. 179/2012). Si conferma al riguardo quanto già rilevato nel precedente paragrafo 3.1, in merito all’ambito di applicazione dello schema di decreto in esame, che risulta travalicare quanto previsto dal combinato disposto dell’art. 12, commi 7 e 15 ter, d.l. n. 179/2012.

Nel confermare le osservazioni formulate nel 2017 con riferimento all’istituto della delega nell’utilizzo del FSE e nel ritenere necessario che siano individuate misure uniformi sul territorio nazionale, anche al fine di garantire pari tutela agli interessati, si ritiene necessario pertanto che la disciplina sulla delega alla consultazione del FSE sia coerente con quanto indicato nell’art. 12 in termini di fonti normative e sia definita con i richiamati elementi che risultano allo stato mancanti (ambito di operatività della delega, indicazione del periodo di validità, numero massimo di deleghe attribuibili ad un medesimo soggetto e numero massimo di deleghe di cui può disporre l’interessato), definendo in modo puntuale l’intero processo della delega nell’ambito del quale prevedere moduli o procedure on-line standard a supporto degli interessati.

In materia si richiamano poi le osservazioni formulate dal Garante nel parere reso il 14 ottobre 2021 sul sistema delle deleghe connesso alla Piattaforma per la notificazione degli atti della pubblica amministrazione in ordine alle misure di garanzia da prevedere nelle more della realizzazione del sistema di gestione delle deleghe di cui all’art. 64-ter del CAD, (doc. web n. 9716841) e, da ultimo, nel parere reso il 24 febbraio 2022 sullo schema di decreto del Presidente del Consiglio dei Ministri in materia di “Sistema di gestione deleghe” (SGD), da adottare, con il concerto del Ministero dell’interno, ai sensi dell’art. 64-ter, comma 7, del d.lgs. 7 marzo 2005, n. 82 (Codice dell’amministrazione digitale – CAD) ( doc. web n. 9752853) che risultano allo stato ignorate

Come già sopra rilevato, si rappresenta infine che la formulazione dell’articolo relativa alla possibilità per l’interessato di conoscere gli accessi che sono stati effettuati sul proprio FSE (comma 7) risulta generica e non coordinata con il successivo art. 18, comma 4, dello schema di decreto, non specificando se ci riferisca ai soli accessi effettuati per finalità di cura o anche a quelli effettuati per il perseguimento delle altre finalità perseguibili attraverso il FSE.

Si ritiene pertanto necessario che la disposizione in esame sia riformulata in linea con quanto sopra descritto, prevedendo, nel rispetto dell’art. 12, commi 7 e 15 ter), del d.l. n. 179/2012. la configurazione dei sistemi affinché l’utenza del soggetto delegato sia collegata già ad un profilo di autorizzazione che consenta di accedere al Fascicolo del/dei delegante/i, adottando idonee misure per registrare gli accessi al FSE anche da parte del soggetto delegato, nonché determinando l’ambito di operatività della delega, il periodo di validità della stessa, il numero massimo di deleghe attribuibili ad un medesimo soggetto e quello che ogni assistito può effettuare per l’accesso al proprio FSE.

3.11 Soggetti che concorrono alla alimentazione del Sistema FSE e le relative modalità (artt. 13 -15 dello schema di decreto)

L’art. 13 dello schema di decreto in esame prevede che i seguenti soggetti concorrano all’alimentazione del FSE: a) il personale che opera all’interno delle ASL e delle strutture sanitarie del SSN e dei servizi socio-sanitari regionali; b) i medici convenzionati con il SSN e i loro sostituti nel rispetto delle specifiche competenze; c) ogni altro esercente le professioni sanitarie, anche convenzionato, che operi all’interno del SSN e dei servizi socio-sanitari regionali; d) gli esercenti le professioni sanitarie e il personale delle strutture che prendono in cura l’assistito anche al di fuori del SSN e dei servizi socio-sanitari regionali.

La disposizione presenta due principali criticità, già sollevate al Ministero nell’ambito delle predette interlocuzioni informali. In primo luogo, non si evince la differenza tra la tipologia di soggetti elencati nella lettera a) rispetto a quelli della lettera c), in secondo luogo si rileva la non corretta formulazione circa l’attribuzione della titolarità dei trattamenti. La disposizione in esame prevede infatti che i predetti soggetti siano “titolari dei trattamenti di alimentazione del FSE”. Tale formulazione pone delle criticità sia in ordine alla circostanza che le singole persone fisiche che alimentano il FSE (professionisti sanitari che operano in strutture sanitarie del SSN o non) non operano, prevalentemente, in qualità di titolari del trattamento, bensì di soggetti autorizzati dalla struttura sanitaria, pubblica o privata presso cui operano (es. asl, ospedale, casa di cura), sia con riferimento al fatto che limita la titolarità del trattamento alla fase della “alimentazione” del FSE, senza indicare quella relativa all’intero trattamento effettuato attraverso il FSE. Al di là dei casi in cui il singolo professionista opera in via autonoma (es. studio professionale) con riferimento ai quali lo stesso riveste la qualifica di titolare dei trattamenti effettuati, quando il sanitario agisce come operatore di una struttura sanitaria lo stesso non agisce come titolare, bensì come soggetto autorizzato al trattamento dei dati (art. 29 del Regolamento).

Come già richiamato nel paragrafo 1.4 del presente parere, la disposizione in esame confonde la titolarità del trattamento (intesa come fonte di determinazione delle finalità e dei mezzi del trattamento) con la mera operazione di alimentazione del Fascicolo. Appare evidente, infatti nel caso di specie, come il singolo professionista sanitario, operante all’interno di una struttura sanitaria, nell’alimentare il FSE con i documenti sanitari dallo stesso prodotti nell’ambito del processo di cura dell’interessato, non possa essere qualificato come titolare del trattamento, non determinando le finalità e i mezzi dello stesso, né tantomeno possano essere allo stesso attribuiti i compiti e le responsabilità derivanti dall’assunzione di tale ruolo.

Con specifico riferimento alle responsabilità connesse alla mancata alimentazione del FSE si rinvia a quanto già osservato nei precedenti paragrafi 1.2 e 1.4. del presente parere, rilevando la necessità che il testo in esame sia integrato con la previsione dei “limiti di responsabilità e dei compiti dei soggetti che concorrono alla (sua) implementazione” del FSE (art. 12, comma 7 del d. l. n.179/2012).

Si rappresenta inoltre che non risulta evidenziata la titolarità dei trattamenti dei dati personali effettuati per informare l’interessato dell’aggiornamento del FSE, tramite l’applicazione per dispositivi mobili, o attraverso l’invio di un messaggio alla casella di posta elettronica indicata dallo stesso assistito, nell’ambito dei quali risultano coinvolto sia il Ministero della salute, con riferimento ai servizi dell’EDS, che la singola Regione, presumibilmente (in assenza di specifiche indicazioni nel testo) di assistenza dell’interessato (art. 13, comma 4, dello schema di decreto).

Come indicato nel paragrafo 3.1 del presente parere la disposizione in esame rinvia l’individuazione di alcune delle modalità di alimentazione del FSE alle Linee guida FSE, sebbene tali aspetti dovrebbero essere disciplinati nel presente decreto, superando quindi il dettato normativo dell’art. 12, comma 7, del d.l. n. 179/2012.

Le disposizioni in esame inoltre attribuiscono al Gateway funzioni che l’art. 12 attribuisce espressamente all’infrastruttura nazionale FSE, senza descrivere il rapporto tra tali componenti, né definire -in modo puntuale- i ruoli dei soggetti che intervengono in tale processo in relazione alle molteplici funzionalità descritte (artt. 14 e 15 dello schema di decreto).

Con particolare riferimento al Gateway si rileva infatti che tale componente non è espressamente indicata nella normativa primaria e che, secondo quanto definito nello schema di decreto in esame e in quello sull’EDS, lo stesso è descritto come il componente tecnologico, parte del Sistema FSE, che implementa le funzioni di cui all’art. 12, comma 15-quater, lettere a), b) e c), del d.l. n. 179/2012. Tale definizione rende evidente come lo schema di decreto abbia introdotto una nuova componente rispetto a quelle indicate dalla normativa primaria.

Si ritiene pertanto necessario che le disposizioni in esame siano riformulate nel senso sopra descritto, con riferimento alla tipologia dei soggetti che concorrono all’alimentazione del FSE, individuando i limiti di responsabilità e i compiti degli stessi, nonché alla titolarità del trattamento e ai ruoli dei soggetti che vi intervengono.

3.12 Trattamenti per finalità di diagnosi, cura e riabilitazione (artt. 16-18 dello schema di decreto)

Ai sensi dell’art. 12, del d.l. n. 179/2012 lo schema di decreto in esame deve indicare, tra l’altro, “i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione” e “le modalità e i livelli diversificati di accesso al FSE da parte dei soggetti” “del Servizio sanitario nazionale e dei servizi socio-sanitari regionali e da tutti gli esercenti le professioni sanitarie (…) e da parte degli esercenti le professioni sanitarie” nel perseguimento delle finalità di diagnosi, cura e riabilitazione (di seguito “cura”) (commi 2, lett. a), 4 e 7).

Il legislatore ha infatti richiesto che fossero definite nello schema di decreto in esame “le modalità e i livelli diversificati di accesso” da parte di ciascuno dei predetti soggetti che prendono in cura l’interessato -che per tale finalità abbia già manifestato il consenso alla consultazione del FSE- nonché i compiti agli stessi attribuiti e le connesse responsabilità.

Lo schema di decreto, tuttavia, non assolve pienamente al dettato normativo, in quanto si limita a descrivere -in maniera unitaria per tutti i soggetti che alimentano il Fascicolo- il trattamento dei dati senza individuare, come invece richiesto dall’art. 12, comma 7, del d.l. n. 179/2012, le modalità e i livelli diversificati di accesso da parte di ciascuna delle predette categorie di soggetti. A fronte della molteplicità dei soggetti che concorrono all’alimentazione del Fascicolo e alle numerose casistiche di accesso allo stesso nell’ambito del percorso di cura dell’interessato, lo schema di decreto in esame non prevede alcuna forma di diversificazione in termini di alimentazione, consultazione o di profondità di accesso ai dati e ai documenti del FSE (cfr. anche l’allegato A) allo schema di decreto) (es. tutti i soggetti che prendono in cura l’assistito indipendentemente dal ruolo rivestito- medico, operatore sanitario- è previsto che possano svolgere le medesime funzioni sia di alimentazione che di consultazione dei dati).

Alla luce di quanto richiesto dal legislatore e dell’esperienza maturata a seguito delle numerose istruttorie avviate dal Garante sui trattamenti effettuati attraverso il FSE, nonché dei molteplici provvedimenti e pareri adottati in materia, l’Ufficio, nell’ambito delle predette interlocuzioni informali, aveva evidenziato la necessità che nello schema di decreto in esame fossero indicate, anche in considerazione di una preventiva valutazione d’impatto, specifiche misure volte a garantire che:

- il FSE sia accessibile, oltre che dal personale sanitario autore del dato e del documento oggetto d’accesso, solo da quello che effettivamente interviene nel percorso di cura dell’interessato, con esclusione dei soggetti che, pur operando in tale settore, non sono coinvolti concretamente nello specifico percorso di cura dell’interessato;

- il FSE non sia accessibile da soggetti operanti in ambito sanitario che non perseguono finalità di cura (periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, personale medico nell’esercizio di attività medico-legale (ad es., visite per l’accertamento dell’idoneità lavorativa o per il rilascio di certificazioni necessarie al conferimento di permessi o abilitazioni));

- sia assicurato l’accesso selettivo ai dati in linea con i principi di minimizzazione, necessità, pertinenza, prevedendo un’organizzazione modulare del FSE, in modo tale da limitare l’accesso dei diversi soggetti abilitati alle sole informazioni indispensabili al raggiungimento dello scopo per il quale è stato consentito l’accesso. L’art. 17 dello schema di decreto invece stabilisce che per le finalità di cura siano “trattati tutti i dati e documenti”, senza definire, come richiesto dal legislatore, i richiamati “livelli diversificati” di accesso al FSE. Analogamente, il successivo art. 18 si limita genericamente a indicare che i predetti soggetti “consultano i dati e i documenti del FSE e accedono ai servizi dell’EDS (…) limitatamente alle informazioni pertinenti al processo di cura o assistenza in cui gli stessi sono coinvolti”;

- l’accesso al FSE sia limitato al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente allo stesso qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all’interessato;

- sia prevista, nel rispetto del principio di minimizzazione dei dati, una diversa “profondità” di accesso al FSE con riferimento alle operazioni di alimentazione, di consultazione e di richiesta dei servizi EDS da parte dei molteplici soggetti indicati dalla norma primaria, e in relazione ai diversi profili di autenticazione al FSE e alle specifiche finalità dagli stessi perseguite (cfr. al riguardo anche quanto indicato nell’allegato A), punto 4.1);

- la riduzione dei rischi per erroneo inserimento/associazione/attribuzione dei dati per omonimia degli interessati anche derivanti ad esempio da bug software, errori di transcodifica dei metadati nel colloquio fra sistemi, attribuzioni di identificativi errati etc..

Si ribadisce inoltre quanto già sopra espresso con riferimento all’assenza di definizione dei limiti di responsabilità dei predetti soggetti nel caso di mancata o incompleta consultazione del FSE dell’interessato nei cui confronti si stia erogando una prestazione sanitaria.

La previsione di tali misure è volta ad ottemperare sia a quanto richiesto dall’art. 12 del d.l. n. 179/2012, sia ai principi generali del trattamento, realizzando un modello uniforme sul territorio nazionale che assicuri al contempo anche un omogeneo livello di tutela per i diritti e le libertà degli interessati.

Al riguardo, si osserva inoltre che l’art. 18 dello schema di decreto in esame prevede che “L’accesso alle informazioni contenute nel FSE e ai servizi dell’EDS è effettuato, previa autorizzazione della Regione competente o del Ministero della salute nel caso degli assistiti SASN, secondo modalità ai sensi delle Linee Guida per interoperabilità”. Sul punto, si precisa che, secondo quanto stabilito dall’art. 12 del d.l. n. 179/2012, le modalità e i livelli diversificati di accesso devono essere oggetto dello schema di decreto in esame e non anche delle citate Linee guida, su cui tra l’altro non è previsto il parere dell’Autorità, che si dovrebbero limitare invece a individuate le regole tecniche per l’attuazione del modello per l’accesso diversificato -sia in termini di alimentazione che di consultazione al FSE (art. 12, commi 4, 7 e 15 bis, d.l. n. 179/2012).

Analogamente a quanto rilevato nei precedenti paragrafi 1.4 e 3.10, anche la disposizione di cui all’art. 16 dello schema di decreto pone delle criticità in ordine alla definizione della titolarità del trattamento nella parte in cui prevede che “i soggetti che prendono in cura l’assistito, anche al di fuori del SSN, sono titolari dei trattamenti di consultazione dei dati e documenti del FSE”. Al riguardo, nel rinviare a quanto sopra rilevato, si ribadisce che le singole persone fisiche che consultano il FSE non operano -nella maggior parte dei casi (professionisti sanitari che operano in strutture sanitarie del SSN o non) - in qualità di titolari del trattamento, bensì di soggetti autorizzati ai sensi dell’art. 29 del Regolamento.

Si ritiene pertanto che il predetto art. 16 dello schema di decreto confonda la titolarità del trattamento (intesa come fonte di determinazione delle finalità e dei mezzi del trattamento) con la mera operazione di consultazione del Fascicolo, essendo palese che il singolo professionista sanitario, operante all’interno di una struttura sanitaria, nel consultare il FSE, non possa essere qualificato come titolare del trattamento non determinando le finalità e i mezzi del trattamento, né possano essere allo stesso attribuiti i compiti e le responsabilità derivanti dall’assunzione di tale ruolo.

Manca, pertanto, come già sopra evidenziato, una visione complessiva della titolarità dei trattamenti effettuati attraverso il FSE per finalità di cura, in quanto lo schema di decreto descrive -peraltro con le inesattezze sopra evidenziate- le macro operazioni (alimentazione e consultazione) effettuabili.

Sebbene il Ministero rappresenti, nella nota di trasmissione dello schema di decreto in esame che, ai sensi del comma 2 dell’art. 12 del d.l.n.179/ 2012, il FSE è “istituito” dalle regioni e dalle province autonome, le disposizioni presenti nello stesso schema non definiscono, nel rispetto della complessità del nuovo Sistema FSE, in modo corretto ed esaustivo, la/e titolarità dei trattamenti effettuati attraverso il FSE per finalità di cura.

Si rappresenta poi che, sebbene l’art. 12, comma 7, del d.l. n. 179/2012 richieda che siano definite nello schema di decreto in esame “le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti dell’assistito”, -come già rilevato nel precedente paragrafo 3.1.10- non risulta chiara la tipologia di accessi al FSE “registrati” dalla Regione di assistenza dell’interessato di cui lo stesso può avere visione, con riferimento alla tipologia di operazione (alimentazione, consultazione, ecc.), alla categoria di soggetto che l’ha effettuata, alla finalità dallo stesso perseguita (cfr. artt. 12, comma 7, e 18, comma 4, dello schema di decreto in esame).

In merito ai servizi che l’EDS può offrire ai predetti soggetti per il perseguimento della finalità di cura, che non sono neanche genericamente descritti nello schema di decreto in esame, si rinvia alle osservazioni formulate nel parere reso in pari data sullo schema di decreto sull’EDS.

Si ritiene pertanto necessario che le disposizioni in esame siano riformulate nel senso sopra descritto, definendo, in modo conforme alla disciplina sulla protezione dei dati e a quella di settore, la titolarità del trattamento e indicando, nel rispetto dell’art. 12, commi 7 e 15 ter), del d.l. n. 179/2012, per ciascuna categoria dei soggetti che prendono in cura l’interessato che abbia già manifestato il consenso alla consultazione del FSE, i compiti agli stessi attribuiti, le connesse responsabilità e le modalità e i livelli diversificati di accesso nel rispetto delle misure sopra indicate.

3.13 Trattamenti per finalità di prevenzione (artt. 19-21 dello schema di decreto)

Ai sensi dell’art. 12, del d.l. n. 179/2012 lo schema di decreto in esame deve indicare, tra l’altro, “i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione” e “le modalità e i livelli diversificati di accesso al FSE da parte dei soggetti” che perseguono finalità di “prevenzione” “del Servizio sanitario nazionale e dei servizi socio-sanitari regionali, dagli esercenti le professioni sanitarie nonché dagli Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria e dal Ministero della salute” (commi 2, lett. a-bis), 4- bis e 7).

Per tutte le tipologie di soggetti che possono trattare i dati del FSE per finalità di prevenzione il legislatore ha previsto che sia necessario acquisire il consenso dell’interessato (art. 12, comma 5, del d.l. n. 179/2012).

Analogamente a quanto osservato nel precedente paragrafo, anche le disposizioni in esame non danno attuazione a quanto previsto dalla norma primaria, non prevedendo specifiche modalità e livelli di accesso diversificati per i molteplici soggetti che è previsto possano trattare i dati e i documenti del FSE per finalità di prevenzione.

Ciò assume un rilievo ancor più significativo tenuto conto dell’eterogeneità di tali soggetti e che solo alcuni di questi intervengono nel percorso di cura dell’interessato con specifico riferimento alle attività di prevenzione (esercenti le professioni sanitarie), mentre gli altri sono deputati in via istituzionale allo svolgimento di finalità amministrative correlate alla attività di prevenzione (“Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria e dal Ministero della salute”).

Al riguardo, nel richiamare quanto già osservato nel precedente paragrafo 3.9 sulla specificità dell’espressione del consenso, è necessario che la disposizione in esame sia riformulata prevedendo, nel rispetto del principio di minimizzazione dei dati, i livelli diversificati di accesso al FSE per il perseguimento della finalità di prevenzione per ciascuna categoria di soggetti indicati nell’art. 12, comma 4-bis, d.l. n. 179/2012.

Non si ritiene infatti sufficiente a soddisfare quanto richiesto dalla norma primaria la previsione secondo cui tali soggetti “consultano i dati e i documenti del FSE e accedono ai servizi dell’EDS limitatamente alle informazioni pertinenti al processo di prevenzione in cui gli stessi sono coinvolti”, attesa la genericità della formulazione e la circostanza che non tutti i soggetti indicati nella norma (es. Ministero della salute) sono poi di fatto coinvolti in un processo di prevenzione “individuale” dell’assistito, svolgendo istituzionalmente attività di vigilanza, programmazione e controllo in materia.

Come evidenziato per i trattamenti per finalità di cura, anche per quelli finalizzati alla prevenzione lo schema di decreto in esame prevede che siano “trattati tutti i dati e documenti di cui all’articolo 3, presenti nel FSE, nel rispetto dell’art. 5 del Regolamento UE 2016/679”, senza individuare, come invece richiesto dall’art. 12 del d.l. n. 179/2012 e proprio dall’art. 5 del Regolamento, i livelli diversificati di accesso non solo per il profilo soggettivo, ma anche oggettivo, ovvero descrivendo -nel rispetto del principio di minimizzazione- le tipologie di dati e documenti adeguati, pertinenti e limitati a quanto necessario per consentire alle diverse tipologie di soggetti indicati dalla norma (professionisti sanitari, uffici competenti di regioni e province e Ministero della salute) di perseguire le finalità indicate dal legislatore per l’esecuzione dei relativi compiti istituzionali.

Come già rilevato nei precedenti paragrafi 1.3, 3.10 e 3.11, anche la disposizione di cui all’art. 19 dello schema di decreto presenta delle criticità in ordine alla definizione della titolarità del trattamento secondo cui “I soggetti che assistono l’assistito, anche al di fuori del SSN, sono titolari dei trattamenti di consultazione dei dati e documenti del FSE”. Oltre a quanto già rilevato nei richiamati paragrafi al riguardo e a cui si rinvia (in ordine alla circostanza che i soggetti che assistono l’interessato operano per lo più all’interno di strutture sanitarie), la formulazione non tiene conto del fatto che, ai sensi della norma primaria, la finalità di prevenzione è perseguibile anche da soggetti pubblici che non “assistono” l’interessato (Ministero della salute, Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria).

Alla luce di tali considerazioni, si rileva che le disposizioni in esame non indicano correttamente la titolarità di tutti i trattamenti che sono svolti attraverso il FSE per finalità di prevenzione dai molteplici soggetti indicati dalla norma primaria.

Con specifico riferimento al Ministero della salute e alle regioni e alle province autonome, si pone, inoltre, una significativa criticità in ordine al rischio di re-identificazione dell’interessato.

Ai sensi dello schema tipo di Regolamento per il trattamento dei dati sensibili e giudiziari adottato da tutte le Regioni province autonome (cfr. scheda n.12) e del citato d.m. n. 262/2016, le stesse e il Ministero della salute possono trattare i dati sulla salute dei soggetti assistiti solo nel rispetto di specifiche tecniche di pseudonimizzazione (cfr. artt. 2 e 3 del d.m. 262 del 2016 - utilizzo dei c.d. codici CUNI e CUNA). La possibilità di accedere ai dati degli interessati presenti nel FSE “in chiaro” per finalità di prevenzione (e per il Ministero della salute anche per quelle di profilassi internazionale) rende evidente come la tenuta del sistema di codifica vigente possa essere profondamente compromessa.

Al riguardo, va tenuto in adeguata considerazione che le cautele sopra menzionate a tutela della riservatezza degli interessati rischierebbero infatti di essere vanificate, laddove si prospettasse la possibilità per il Ministero di re-identificare gli assistiti cui si riferiscono i dati presenti nel NSIS attraverso l’accesso ai dati in chiaro presenti nel FSE per finalità di prevenzione e profilassi internazionale (su tali rischi cfr. anche parere nei confronti del Consiglio di Stato del 5 marzo 2020, doc. web n. 9304455, par. 2. a)).

Una valutazione di impatto unitaria sul Sistema FSE avrebbe reso evidente tale significativo rischio per i diritti e le libertà degli interessati, più volte evidenziato dall’Ufficio.

Si ritiene pertanto che il perseguimento delle finalità di prevenzione da parte delle regioni e delle province autonome e del Ministero della salute (e con riferimento a quest’ultimo anche con riferimento a quelle di profilassi internazionale) attraverso il FSE possa essere effettuato solo dopo che – come richiesto dalla norma primaria- siano definite le modalità e i livelli diversificati di accesso degli stessi al Fascicolo che tengano conto dei predetti rischi di re-identificazione dell’interessato e sempre che lo stesso interessato abbia prestato un valido consenso libero, specifico, inequivocabile e informato.

Si evidenzia poi che le disposizioni in esame dovrebbero anche indicare con chiarezza la tipologia di soggetti che per le regioni e le province autonome e il Ministero della salute possono trattare i dati e i documenti del FSE per finalità di prevenzione, atteso che -secondo quanto indicato dall’art. 12 del d.l. n. 179/2012- tale trattamento deve essere limitato solo ai soggetti operanti presso gli Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria e del Ministero della salute tenuti al “segreto professionale” (commi 4 bis e 5). Mentre infatti è possibile far riferimento alle numerose disposizioni vigenti in materia di segreto professionale per gli esercenti le professioni sanitarie, non appare altrettanto facile l’individuazione delle specifiche categorie di soggetti sottoposti a tali vincoli nell’ambito delle amministrazioni locali e del Ministero della salute.

Analogamente a quanto osservato per le finalità di cura, si rileva inoltre che anche l’art. 21 dello schema di decreto prevede che “L’accesso alle informazioni contenute nel FSE e ai servizi dell’EDS è effettuato, previa autorizzazione della Regione competente o del Ministero della salute per gli ambiti di competenza, secondo modalità ai sensi delle Linee Guida per interoperabilità”, non tenendo conto che, secondo quanto stabilito dall’art. 12 del d.l. n. 179/2012, le modalità e i livelli diversificati di accesso devono essere oggetto del decreto in esame e non anche delle citate Linee guida, che dovrebbero limitarsi a individuare le regole tecniche per l’attuazione del modello per l’accesso diversificato indicato nello schema di decreto in esame (art. 12, commi 4, 7 e 15 bis, d.l. n. 179/2012).
Come già rilevato nel precedente paragrafo, non risulta chiara la tipologia di accessi per finalità di prevenzione al FSE registrati dalla Regione di assistenza dell’interessato di cui lo stesso può avere visione, con riferimento alla tipologia di soggetti che l’ha effettuato e all’operazione eseguita (cfr. artt. artt. 12, comma 7, e 21, comma 3 e 4, dello schema di decreto in esame).

Anche in questo caso, con riferimento ai servizi che l’EDS può offrire ai predetti soggetti per il perseguimento della finalità di prevenzione, non descritti nello schema di decreto in esame, si rinvia alle osservazioni formulate nel parere reso in pari data sullo schema di decreto sull’EDS.

Si ritiene pertanto necessario che le disposizioni in esame siano riformulate nel senso sopra descritto, definendo, in modo conforme alla disciplina sulla protezione dei dati e a quella di settore, la titolarità del trattamento e indicando, nel rispetto dell’art. 12, commi 7 e 15 ter), del d.l. n. 179/2012, per ciascuna categoria dei soggetti che possono perseguire tale finalità, previo consenso dell’interessato, i compiti agli stessi attribuiti e le connesse responsabilità, nonché le modalità e i livelli diversificati di accesso, che tengano conto, con riferimento al Ministero della salute, alle regioni e alle province autonome, dei rischi di re-identificazione degli interessati e assicurino che il trattamento avvenga esclusivamente ad opera di personale soggetto al “segreto professionale”.

3.14 Trattamenti per finalità di profilassi internazionale (artt. 22-24 dello schema di decreto)

Ai sensi dell’art. 12, del d.l. n. 179/2012 lo schema di decreto in esame deve indicare, tra l’altro, “i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione” e “le modalità e i livelli diversificati di accesso al FSE da parte” “del Ministero della salute” “per le finalità di profilassi internazionale” (commi 2, lett.a-ter), 4-ter) e 7).

Anche nelle disposizioni sulle finalità di profilassi internazionale, formulate in modo sostanzialmente coincidente con quelle relative alle finalità di cura e di prevenzione, manca l’indicazione delle modalità e dei livelli diversificati di accesso ai dati e ai documenti del FSE da parte del Ministero, essendo genericamente previsto -anche in questo caso- “l’accesso a tutti i dati e documenti di cui all’articolo 3, presenti nel FSE, nel rispetto dell’art. 5 del Regolamento UE 2016/679”.

Si rinvia pertanto alle precedenti osservazioni in merito alla necessità di individuare la tipologia di dati e di documenti che, nel rispetto del principio di minimizzazione, siano trattati dal Ministero della salute sulla base di uno specifico e valido consenso dell’interessato, avendo cura di indicare le misure idonee a scongiurare che l’accesso ai dati in chiaro del FSE per tali finalità non vanifichi il sistema di codifica dei dati trattati dal Ministero stesso ai sensi del richiamato d.m. n. 262/2015.

Si richiamano inoltre gli elementi rilevati nei precedenti paragrafi in merito alle analoghe previsioni sul rinvio, contenuto nello schema di decreto, alle Linee guida per l’interoperabilità del FSE, che non tiene conto che, secondo quanto stabilito dall’art. 12 del d.l. n. 179/2012, le modalità e i livelli diversificati di accesso devono essere oggetto del decreto in esame e non facendo rinvio alle citate Linee guida (art. 12, commi 4, 7 e 15 bis, d.l. n. 179/2012), nonché alla genericità della formulazione relativa alla registrazione degli accessi al FSE per finalità di profilassi da parte della Regione di assistenza dell’interessato di cui lo stesso può avere visione, con riferimento alla tipologia di soggetto che li ha effettuati e all’operazione eseguita (cfr. artt. artt. 12, comma 7 e 24, comma 3 e 4, dello schema di decreto in esame).

Con riferimento alle disposizioni in esame, si conferma anche quanto sopra osservato in merito alla circostanza che le stesse dovrebbero indicare con chiarezza la tipologia di soggetti che per il Ministero della salute possono trattare i dati e di documenti del FSE per finalità di profilassi internazionale, atteso che -secondo quanto indicato dall’art. 12 del d.l. n. 179/2012- tale trattamento deve essere limitato solo ai soggetti operanti presso il Ministero della salute tenuti al “segreto professionale” (commi 4 bis e 5).

Analogamente a quanto già indicato nei precedenti paragrafi, con riferimento ai servizi che EDS può offrire al Ministero della salute per il perseguimento della finalità di profilassi internazionale, non descritti nello schema di decreto in esame, si rinvia alle osservazioni formulate nel parere reso in pari data sullo schema di decreto sull’EDS.

Si ritiene pertanto necessario che le disposizioni in esame debbano essere riformulate nel senso sopra descritto, definendo in modo conforme alla disciplina sulla protezione dei dati e a quella di settore, la titolarità del trattamento e indicando, nel rispetto dell’art. 12, commi 7 e 15 ter), del d.l. n. 179/2012, la tipologia di dati e di documenti che, nel rispetto del principio di minimizzazione, il Ministero della salute può trattare sulla base di uno specifico e valido consenso dell’interessato, avendo cura di indicare le misure idonee a scongiurare il rischio di re-identificazione dell’interessato e ad assicurare che il trattamento avvenga esclusivamente ad opera di personale soggetto al “segreto professionale”.

3.15 Trattamenti per finalità di governo sanitario (artt. 26-28 dello schema di decreto)

Ai sensi dell’art. 12, del d.l. n. 179/2012 lo schema di decreto in esame deve indicare, tra l’altro, “i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione” e “le modalità e i livelli diversificati di accesso al FSE” “dalle regioni e dalle province autonome, nonché dal Ministero del lavoro e delle politiche sociali e dal Ministero della salute, nei limiti delle rispettive competenze attribuite dalla legge, senza l'utilizzo dei dati identificativi degli assistiti presenti nel FSE, secondo livelli di accesso, modalità e logiche di organizzazione ed elaborazione dei dati definiti, (…) in conformità ai principi di proporzionalità, necessità e indispensabilità nel trattamento dei dati personali”, nonché “la definizione e le relative modalità di attribuzione di un codice identificativo univoco dell'assistito che non consenta l'identificazione diretta dell'interessato (art. 12, commi 2, lett. c), 6 e 7).

Salvo che per il Ministero del lavoro e delle politiche sociali, i cui trattamenti non sono descritti nello schema di decreto, anche le disposizioni in esame, come quelle relative alle finalità di cura, di prevenzione e di profilassi, sono prive dell’indicazione delle modalità e dei livelli diversificati di accesso al FSE in relazione alle diverse tipologie di soggetti previsti dalla normativa primaria (regioni/province e Ministero della salute).

Le disposizioni in esame infatti prevedono in modo unitario e non differenziato, come invece richiesto dall’art. 12 del d.l. n. 179/2012, che tali soggetti accedano a tutti i dati e i documenti di cui si compone il FSE, “purché privati dei dati identificativi diretti dell’assistito e nel rispetto dei principi di cui all’art. 5 del Regolamento UE 2016/679, con particolare riferimento alla pseudonimizzazione” (art. 27, comma 1).

La disposizione tuttavia non specifica come siano rispettati i predetti requisiti di pseudonimizzazione, stante il fatto che i predetti soggetti (Ministero della salute e gli uffici delle regioni/province competenti in materia di prevenzione) possono accedere ai medesimi dati in chiaro per finalità di prevenzione e anche di profilassi internazionale nel caso del Ministero della salute.

Le disposizioni in esame infatti si limitano ad indicare una serie di dati esclusi dal trattamento, che in ogni caso sarebbero già acquisiti dagli stessi soggetti per le finalità di prevenzione e profilassi internazionale indicate nei precedenti articoli dello schema di decreto (art. 27, comma 2).

In merito alle tecniche di pseudonimizzazione appare pertanto non adeguato il rinvio al citato d.m. 262/2015, atteso che l’idoneità delle tecniche di pseudonimizzazione ivi indicate e su cui il Garante aveva reso il proprio parere era stata valutata in considerazione del fatto che il Ministero della salute, in quel momento storico, non accedeva ad altre banche dati che contenevano dati sulla salute in chiaro degli interessati.

La circostanza che, previo specifico consenso dell’interessato, il Ministero della salute possa accedere ai dati in chiaro del FSE per finalità di prevenzione e profilassi internazionale rende quindi necessario che, tenendo conto dello state dell’arte, siano riesaminati, attraverso un’idonea valutazione di impatto, i rischi (allo stato non censiti) di re-identificazione dell’interessato derivanti dall’applicazioni delle misure individuate nel d.m. n. 262/2015, le quali si riferiscono- come evidenziato- ad un contesto differente, e siano conseguentemente previste, se del caso, ulteriori e specifiche misure di adeguamento.

Considerata l’assenza di specifiche indicazioni nel testo dello schema di decreto in esame e l’assenza di una valutazione di impatto sul FSE non è possibile -allo stato- individuare e valutare le misure che il Ministero della salute intenderebbe adottare in relazione ai rischi connessi all’acquisizione di tutti i dati e documenti presenti nel FSE nell’ambito dei nuovi trattamenti per finalità di prevenzione e profilassi internazionale; ciò anche atteso che, ai sensi dell’art. 12 del d.l. n. 179/2012, lo schema di decreto in esame avrebbe dovuto definire “livelli di accesso, modalità e logiche di organizzazione ed elaborazione dei dati (…) in conformità ai principi di proporzionalità, necessità e indispensabilità nel trattamento dei dati personali” (commi 6 e 7).

Analoghe valutazioni riguardano i sistemi di codifica adottati dalle regioni e province autonome.

Con specifico riferimento al sistema di codifica, si rinvia inoltre a quanto già osservato dall’Autorità nel 2015 in ordine alla trasformazione del codice fiscale presente nelle schede di dimissione ospedaliera (cfr. parere del 26.3.2015 doc. web n. 3878687).

Analogamente a quanto già rappresentato, con riferimento ai servizi che l’EDS può offrire per il perseguimento della finalità di governo al Ministero della salute e alle regioni/province autonome, non descritti nello schema di decreto in esame, si rinvia alle osservazioni formulate nel parere reso in pari data sullo schema di decreto sull’EDS.

Si ritiene pertanto necessario che le disposizioni in esame siano riformulate nel senso sopra descritto, indicando la tipologia di dati e di documenti, le modalità e i livelli diversificati di accesso al FSE, in relazione alle diverse tipologie di soggetti (regioni/province e Ministero della salute) che, secondo la normativa primaria, possono accedere al Fascicolo per finalità di governo, avendo cura di indicare le misure idonee a scongiurare il rischio di re-identificazione dell’interessato.

3.16 La valutazione di impatto (VIP)

La previsione di un sistema centralizzato a livello nazionale attraverso il quale accedere potenzialmente a tutti i dati e i documenti sanitari di ogni soggetto assistito sul territorio che, al contempo, alimenta l’EDS con lo scopo di elaborare i predetti dati e documenti per offrire servizi, determinando un trattamento sistematico, su larga scala, di particolari categorie di dati personali di cui all’art. 9 del Regolamento e presentando un rischio elevato per i diritti e le libertà degli interessati, deve essere preceduta da una valutazione di impatto ai sensi dell’art. 35, par. 10 del Regolamento.

Considerata la necessità della predetta valutazione d’impatto, rilevata dall’Autorità anche nel richiamato parere del 7 aprile 2022 e successivamente evidenziata dall’Ufficio nell’ambito delle predette interlocuzioni, si prende atto che il Ministero della salute ha rappresentato, nella nota di trasmissione dello schema di decreto in esame, “che, essendo il FSE istituito dalle regioni e provincie autonome ai sensi del comma 2 dell’articolo 12 del decreto-legge 18 ottobre 2012, n. 179, su citato, la predisposizione della DPIA è stata prevista nei piani di adeguamento che le regioni dovranno predisporre, ai sensi del comma 15-bis del medesimo artico 12, entro tre mesi a decorrere dalla data di pubblicazione del decreto 20 maggio 2022 recante “Adozione delle Linee guida per l’attuazione del Fasciolo sanitario elettronico” pubblicato sulla Gazzetta Ufficiale n. 170 del 11-7-2022”.

Al riguardo, si rileva che la riforma del Sistema FSE, prevedendo l’accentramento di funzioni e componenti a livello nazionale (indici nazionali, infrastruttura nazionale, anagrafe dei consensi e delle revoche, Gateway) e lo svolgimento di specifiche finalità in capo al Ministero della salute, alle Regioni e a tutte le strutture sanitarie, anche al di fuori del SSN, impone una visione coordinata e uniforme delle misure “da adottare nel trattamento dei dati personali nel rispetto dei diritti dell’assistito”, come del resto richiesto dall’art. 12, comma 7, cui lo schema di decreto in esame dichiara di dare attuazione.

L’adeguatezza di tali misure, da assicurare in modo omogeneo e uniforme sull’intero territorio nazionale, è valutabile solo alla luce della prevista e preventiva valutazione di impatto sui trattamenti effettuati per le differenti finalità previste dall’art. 12 da parte dei molteplici soggetti ivi indicati.

L’assenza di tale valutazione d’impatto preventiva e unitaria e il contestuale rinvio alla predisposizione di singole VIP regionali non consente di effettuare un esame complessivo e preventivo sull’adeguatezza e proporzionalità delle misure che si intendono implementare. Circostanza questa non ammissibile con riguardo ad un sistema informativo che tratterà ed elaborerà i dati e i documenti sanitari di tutti i soggetti assistiti nel territorio nazionale per i quali è necessario che vengano predisposte misure tecniche e organizzative omogenee per assicurare una tutela uniforme sul territorio nazionale dei diritti e delle libertà fondamentali degli interessati correlati al trattamento dei loro dati personali (sul punto si richiama anche il recente intervento della Corte Costituzionale, sentenza n. 164 del 2022, punto 10).

Il rinvio alle VIP regionali, che necessariamente potrebbe essere effettuato limitatamente ai trattamenti di cui gli enti/regioni sono titolari, inoltre non permetterebbe di valutare i rischi dei trattamenti effettuati da soggetti che operano al di fuori di tale ambito, qualificati nel decreto come autonomi titolari del trattamento (es. Ministero della salute, soggetti erogatori di prestazioni sanitarie al difuori del SSN, farmacisti).

Ciò stante, si rileva la necessità che venga svolta una preventiva valutazione di impatto sul nuovo sistema FSE, che tenga conto degli specifici rischi indicati nel precedente paragrafo 1.6, e dei significativi effetti che i trattamenti disciplinati dallo schema di decreto in esame possono avere sulla sfera giuridica degli interessati. Tale valutazione d’impatto si ritiene debba essere effettuata in relazione all’insieme dei trattamenti che saranno effettuati nell’ambito del nuovo Sistema FSE da una pluralità di titolari, che presentano rischi analoghi, ai sensi dell’art. 35, par. 10. In particolare, si ritiene necessario che il Ministero della salute predisponga la valutazione d’impatto in ordine ai trattamenti, di cui è titolare, che sono indicati nello schema di decreto in esame, tenendo conto, in fase di coordinamento, anche dei trattamenti dei diversi titolari a vario titolo coinvolti. Solo all’esito di tale valutazione e alla luce delle misure individuate per affrontare i rischi, anche a seguito dell’eventuale consultazione preventiva del Garante, ai sensi dell’art. 36 del Regolamento, sarà possibile valutare l’adeguatezza e la proporzionalità delle misure che si intendono adottare.

***

Alla luce delle suesposte considerazioni, nel rilevare l’importanza di completare la diffusione del Fascicolo Sanitario Elettronico quale obiettivo nella Missione 6 del Piano nazionale di ripresa e resilienza, si osserva che lo schema di decreto in esame, per i profili di competenza, oltre a non risultare coerente con il quadro normativo complessivo di settore, reca profili di violazione della disciplina rilevante in materia di protezione dei dati personali che impongono la necessità di operare una profonda revisione del testo.

TUTTO CIÒ PREMESSO, IL GARANTE

in considerazione delle carenze strutturali e sostanziali descritte in premessa, riguardanti la mancanza di garanzie uniformi a livello nazionale per il pieno rispetto dei diritti e delle libertà fondamentali degli interessati e degli elementi richiesti dall’art. 12 del d.l. n. 179/2012 a cui lo schema di decreto in esame dà attuazione e in assenza dell’osservanza delle condizioni descritte e motivate nel paragrafo 3 del presente parere, cui si rinvia integralmente, concernenti l’esigenza di riformulare lo schema di decreto in esame in merito a:

1. l’ambito di applicazione con particolare riferimento al rapporto tra lo schema di decreto sul FSE e il d.P.C.M. n. 178/2015 e quello con il d.m. 18 maggio 2022, nonché agli aspetti su cui lo stesso è chiamato a dare attuazione alla luce del combinato disposto dell’art. 12, commi 7, 15-bis, 15-ter e 15 septies del d.l. n. 179/2012 (paragrafo 3.1);

2. i contenuti del FSE con particolare riferimento ai “dati identificativi e amministrativi dell’assistito” e alle “prescrizioni” secondo quanto indicato nel paragrafo 3.2;

3. l’accesso al FSE in emergenza (impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato o rischio grave, imminente ed irreparabile per la salute o l'incolumità fisica dell'interessato), nel caso in cui l’interessato non abbia prestato il proprio consenso al FSE:

limitando lo stesso per finalità di cura -nel rispetto dei principi di necessità e minimizzazione dei dati- alla partizione del FSE denominata Profilo sanitario sintetico (PSS), salvo che il Ministero della salute, sulla base di un’idonea e documentata valutazione tecnico-scientifica, dimostri, dandone conto al Garante, l’eventuale esigenza di un accesso all’intero FSE in quanto l’accesso al solo PSS non sia ritenuto sufficiente per apprestare le cure in emergenza, fermo restando comunque, anche in tale ipotesi, che il personale medico, in emergenza, potrà accedere, con un criterio di gradualità, prima al PSS e solo qualora non vi trovasse le informazioni necessarie, all’intero FSE (paragrafo 3.3);

prevedendo, in caso di emergenze sanitarie o di igiene pubblica, l’accesso a dati non direttamente identificativi del FSE da parte del Ministero della salute, degli Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria (paragrafo 3.3);

4. i diritti degli interessati, indicando puntualmente quelli esercitabili da parte dell’interessato in relazione alle diverse finalità perseguibili attraverso il FSE e alla pluralità dei soggetti deputati a raggiungerle, avendo cura di specificare le misure adottate per garantire l’esercizio del diritto di oscuramento previsto dalla normativa di settore (soggetto a cui inoltrare l’istanza, definizione dei tempi per il riscontro, modalità di revoca dello stesso e responsabilità connesse al mancato rispetto dell’istanza formulata dall’interessato, oscuramento dei documenti amministrativi correlati al dato oscurato), l’oscuramento di default dei dati soggetti a maggior tutela e quelle per assicurare il diritto dell’interessato di prendere visione degli accessi al suo FSE con riferimento alla tipologia di accessi registrati dalla Regione di assistenza dell’interessato e di cui lo stesso può avere visione, alle operazioni registrate, al soggetto che l’ha effettuata e alla finalità dallo stesso perseguita (paragrafo 3.4);

5. il Profilo Sanitario Sintetico (PSS), chiarendo il perimetro di responsabilità del MMG/PLS e della ASL, con particolare riferimento alle modalità di conservazione e alle misure di sicurezza dei dati trattati attraverso il PSS anche in relazione alle distinte versioni di tale documento che possono essere redatte nel tempo (paragrafo 3.5);

6. il Taccuino personale, definendo, in modo coerente con il dettato normativo, i ruoli del trattamento, con particolare riferimento alla titolarità dello stesso, anche in considerazione alle operazioni di conservazione, cancellazione e di trasferimento dei dati tra Regioni previste nello schema di decreto (paragrafo 3.6);

7. il Dossier farmaceutico, definendo la titolarità dei trattamenti e indicando ove risiedano i dati e i soggetti che possono accedervi e per quali finalità (paragrafo 3.7);

8. le informazioni da fornire agli interessati, integrando il modello di informativa trasmesso con tutti gli elementi richiesti dagli artt. 13 e 14 del Regolamento in relazione ai molteplici trattamenti effettuati attraverso il FSE e superando le inesattezze e le incongruenze ivi contenute rispetto a quanto previsto nella normativa primaria (paragrafo 3.8);

9. il consenso dell’interessato, prevedendo distinte e autonome espressioni di volontà dell’interessato in relazione alle diverse finalità del trattamento che si fondano sul consenso, perseguite da ciascuna categoria di soggetti prevista dalla normativa primaria e avendo cura di indicare, per ognuna di esse, le conseguenze della revoca del consenso, le modalità di espressione (anche in relazione ai minori e ai soggetti sottoposti a tutela) e di alimentazione dell’Anagrafe dei consensi, nonché le misure adottate per assicurare l’espressione di un consenso libero, specifico, informato, esplicito e sempre revocabile (paragrafo 3.9);

10. la delega dell’interessato, prevedendo, nel rispetto dell’art. 12, commi 7 e 15 ter, del d.l. n. 179/2012, la configurazione dei sistemi affinché l’utenza del soggetto delegato sia collegata già ad un profilo di autorizzazione che consenta di accedere al Fascicolo del/dei delegante/i, adottando idonee misure per registrare gli accessi anche da parte del soggetto delegato, nonché determinando l’ambito di operatività della delega, il periodo di validità della stessa, il numero massimo di deleghe attribuibili ad un medesimo soggetto e quello che ogni assistito può effettuare per l’accesso al proprio FSE (paragrafo 3.10);

11. l’alimentazione del FSE, con riferimento alla tipologia dei soggetti che vi concorrono, individuando i limiti di responsabilità e i compiti degli stessi, alla titolarità del trattamento e ai ruoli dei soggetti che vi intervengono (paragrafo 3.11);

12. i trattamenti per finalità di diagnosi, cura e riabilitazione, definendo, in modo conforme alla disciplina sulla protezione dei dati e a quella di settore, la titolarità del trattamento e indicando, nel rispetto dell’art. 12, commi 7 e 15 ter, del d.l. n. 179/2012, per ciascuna categoria dei soggetti che prendono in cura l’interessato che abbia già manifestato il consenso alla consultazione del FSE, i compiti agli stessi attribuiti, le connesse responsabilità e le modalità e i livelli diversificati di accesso nel rispetto delle misure indicate nel paragrafo 3.12;

13. i trattamenti per finalità di prevenzione, definendo, in modo conforme alla disciplina sulla protezione dei dati e a quella di settore, la titolarità del trattamento e indicando, nel rispetto dell’art. 12, commi 7 e 15 ter, del d.l. n. 179/2012, per ciascuna categoria dei soggetti che possono perseguire tale finalità -previo consenso dell’interessato- i compiti agli stessi attribuiti e le connesse responsabilità, nonché le modalità e i livelli diversificati di accesso, con modalità tali che tengano conto, con riferimento al Ministero della salute, alle regioni e alle province autonome, dei rischi di re-identificazione degli interessati e che assicurino che il trattamento avvenga esclusivamente ad opera di personale tenuto al “segreto professionale” (paragrafo 3.13);

14. i trattamenti per finalità di profilassi internazionale, definendo, in modo conforme alla disciplina sulla protezione dei dati e a quella di settore, la titolarità del trattamento e indicando, nel rispetto dell’art. 12, commi 7 e 15 ter, del d.l. n. 179/2012, la tipologia di dati e di documenti che, in linea con il principio di minimizzazione, il Ministero della salute può trattare sulla base di uno specifico e valido consenso dell’interessato, avendo cura di indicare le misure adottate per scongiurare il rischio di re-identificazione dell’interessato e per assicurare che il trattamento avvenga esclusivamente ad opera di personale tenuto al “segreto professionale” (paragrafo 3.14);

15. i trattamenti per finalità di governo sanitario, indicando la tipologia di dati e di documenti, le modalità e i livelli diversificati di accesso al FSE, in relazione alle diverse tipologie di soggetti (regioni/province e Ministero della salute) che, secondo la normativa primaria, possono accedere al Fascicolo per finalità di governo, avendo cura di indicare le misure idonee a scongiurare il rischio di re-identificazione dell’interessato (paragrafo 3.15);

16. la necessità che sia accompagnato dalla valutazione d’impatto sul nuovo sistema FSE, da effettuare, tenendo conto degli specifici rischi indicati nel paragrafo 1.6, e dei significativi effetti che i trattamenti disciplinati dallo schema di decreto in esame possono avere sulla sfera giuridica degli interessati, ai sensi dell’art. 35, par. 10, in relazione all’insieme dei trattamenti che saranno posti in essere nell’ambito del nuovo Sistema FSE da una pluralità di titolari, che presentano rischi analoghi; in particolare, si ritiene necessario che il Ministero della salute predisponga la valutazione d’impatto in ordine ai trattamenti, di cui è titolare, che sono indicati nello schema di decreto in esame, assicurando il coordinamento delle misure previste in tale valutazione con i trattamenti effettuati dai diversi titolari a vario titolo coinvolti (paragrafo 3.16);

ritiene che il presente parere, reso ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, sullo schema di decreto trasmesso dal Ministero della salute, con la nota del 15 luglio 2022, da adottare assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sul Fascicolo Sanitario Elettronico ai sensi dell’art. 12, comma 7, del decreto-legge 18 ottobre 2012, n. 179, non possa essere positivo.

Roma, 22 agosto 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei



Vedi anche (9)