g-docweb-display Portlet

Parere al Ministero della Salute sullo schema di decreto da adottare assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sull’Ecosistema Dati Sanitari (EDS) - 22 agosto 2022 [9802752]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE COMUNICATO DELL'8 SETTEMBRE 2022

[doc. web n. 9802752]

Parere al Ministero della Salute sullo schema di decreto da adottare assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sull’Ecosistema Dati Sanitari (EDS) - 22 agosto 2022

Registro dei provvedimenti
n. 295 del 22 agosto 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

VISTO l'articolo 12 del decreto-legge 18 ottobre 2012, n. 179, recante “Fascicolo sanitario elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale” così come modificato, da ultimo, dall’art 21 del d.l. 27 gennaio 2022, n. 4 convertito, con modificazioni, dalla legge 28 marzo 2022, n. 25 e, in particolare, il comma 15-quater relativo alla realizzazione dell’Ecosistema dati sanitari (EDS)

VISTO il decreto del Presidente del Consiglio dei Ministri 29 settembre 2015, n. 178, recante “Regolamento in materia di Fascicolo Sanitario Elettronico”;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

Il Ministero della salute, con la nota del 15 luglio 2022, ha trasmesso al Garante, per il prescritto parere di competenza, lo schema di decreto da adottare assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sull’Ecosistema Dati Sanitari (EDS).

Nella nota di trasmissione il Ministero ha segnalato che il predetto schema di decreto e quello sul Fascicolo sanitario elettronico (FSE) (trasmesso in pari data) su cui l’Autorità ha espresso il parere in data odierna, ” si inseriscono nel percorso in più fasi, già anticipato nella richiesta del citato parere n. 117, per la riforma delle disposizioni attuative del FSE alla luce dello specifico investimento del Piano Nazionale di Ripresa e Resilienza (Missione 6 SALUTE - Componente 2 INNOVAZIONE, RICERCA E DIGITALIZZAZIONE DEL SERVIZIO SANITARIO NAZIONALE – Investimento 1.3.1 Fascicolo Sanitario Elettronico)”.

Lo schema di decreto sull’EDS si compone di 20 articoli di seguito sinteticamente descritti.

Alla disposizione sul quadro definitorio (art. 1) seguono quelle relative alle finalità e all’ambito di applicazione (art. 2), ai contenuti dell’EDS (art. 3), ai soggetti che concorrono ad alimentarlo (art. 4) e alle relative modalità (art. 5). Lo schema di decreto disciplina poi i diritti dell’interessato in merito ai trattamenti di dati dell’EDS, l’informativa (art. 6), il consenso dell’assistito alla consultazione dei dati dell’EDS (art. 7) e i servizi per l’accesso da parte dell’assistito (art. 8). L’art. 9 descrive la titolarità dei trattamenti dei dati dell’EDS. Specifiche disposizioni riguardano i servizi per l’accesso ai dati dell’EDS per le finalità di cura (art. 10), di prevenzione (art. 11), di profilassi internazionale (art. 12) e di governo (art. 13). Gli artt. 14 e 15 sono dedicati ai servizi di accesso ai dati, di amministrazione, monitoraggio e controllo e gli artt. 16 e 17 alle misure di sicurezza e al periodo di conservazione dei dati. Le disposizioni finali concernono l’aggiornamento e la pubblicazione delle specifiche tecniche, gli oneri e l’entrata in vigore (artt. 18-20).

Lo schema di decreto sull’EDS è accompagnato da due allegati sulle caratteristiche e i servizi del Gateway (allegato A) e sulle misure di sicurezza (allegato B), nonché dalla valutazione di impatto sulla protezione dei dati personali afferente ai trattamenti svolti nell’ambito dell’EDS di cui è titolare il Ministero della salute.

Considerato che, secondo quanto indicato nell’art. 12 del d.l. n. 179/2012, l’EDS raccoglie ed elabora i dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria, al fine di garantire il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale per il perseguimento delle finalità del FSE e che il Ministero della salute ha rappresentato che i predetti schemi di decreto (FSE e EDS) sono entrambi volti ad “attualizzare e riformare il Fascicolo sanitario elettronico, in coerenza con quanto approvato nel citato investimento PNRR”, rilevata la stretta correlazione tra gli stessi, il presente parere è reso in pari data rispetto a quello richiesto sullo schema di decreto sul FSE ,entrambi trasmessi dal Ministero con la citata nota del 15 luglio 2022, tenendo anche conto di quanto riportato nella citata valutazione d’impatto.

In considerazione di quanto rappresentato dal Ministero della salute in merito alla circostanza che lo schema di decreto in esame si inserisce unitamente a quello sul FSE nel percorso di riforma del Fascicolo “alla luce dello specifico investimento del Piano Nazionale di Ripresa e Resilienza (Missione 6 SALUTE - Componente 2 INNOVAZIONE, RICERCA E DIGITALIZZAZIONE DEL SERVIZIO SANITARIO NAZIONALE – Investimento 1.3.1 Fascicolo Sanitario Elettronico)”, il presente parere è reso nei termini indicati nell’art. 9, comma 7, del d. l. n. 139 del 2021.

OSSERVA

1. Considerazioni preliminari.

Lo schema di decreto in esame mostra delle intrinseche correlazioni con quello sul FSE evidenti già nell’art. 12, commi 5 e 15-quater del d.l. n. 179 del 2012 che impongono una lettura congiunta e coordinata di tali schemi di decreto, che sono stati peraltro trasmessi congiuntamente dal Ministero della salute. Ciò stante, nel richiamare le specifiche osservazioni formulate dall’Autorità nel parere reso in pari data sullo schema di decreto in materia di FSE, si esprimono anche nel presente parere le considerazioni preliminari ivi formulate relativamente agli aspetti di protezione dei dati personali connessi allo sviluppo degli strumenti di sanità digitale.

L’ultimo triennio è stato caratterizzato da numerosi interventi normativi volti ad accelerare lo sviluppo degli strumenti di sanità digitale nel nostro Paese, a cui è stato dato ulteriore impulso con l’attuazione della Missione 6 (salute) del PNRR e del connesso investimento sul potenziamento del Fascicolo Sanitario Elettronico (FSE). Lo scenario normativo tende a definire modelli sanitari sempre più caratterizzati dalla raccolta di informazioni sulle prestazioni sanitarie rese all’assistito al fine di delineare un preciso profilo sanitario dello stesso, inteso come risorsa per la progressione e la sostenibilità del sistema sanitario, che al contempo deve essere considerato anche come bene fondamentale per la tutela dell’identità personale e delle libertà fondamentali dell’individuo.

Lo schema di decreto trasmesso - unitamente a quello sul FSE- rappresenta un primo passo verso la definizione dei predetti modelli, il cui esame impone una lettura coordinata dei recenti interventi normativi nel settore con le disposizioni in materia di protezione dei dati personali.

In tale contesto appare opportuno premettere che, sul piano dei principi e in relazione ai profili di competenza in materia di protezione dei dati personali, non vi sono ostacoli da parte di questa Autorità all’introduzione di strumenti, come quelli in esame, volti ad agevolare uno sviluppo equilibrato e sostenibile dei servizi sanitari offerti ai cittadini che tenga conto della tutela dei diritti fondamentali dell’individuo alla luce del progresso sociale e degli sviluppi scientifici e tecnologici.

I sistemi informativi e le soluzioni tecnologiche introdotti nel contesto emergenziale per la gestione delle vaccinazioni (Piattaforma informativa per l’attuazione del piano strategico vacci-ni anti Sars Cov 2) e delle certificazioni verdi Covid-19 (Piattaforma Nazionale Digital Green Certificate -PNDGC), su cui il Garante ha reso i propri pareri, anche in tempi ristrettissimi, mostrano come l’introduzione di misure a garanzia della riservatezza degli interessati e dell’integrità dei dati sia di fatto conciliabile con le esigenze di salute pubblica e compatibile con una celere realizzazione dei nuovi strumenti della sanità digitale in ossequio al principio di proporzionalità di cui al Considerando 4 del Regolamento.

Ciò premesso, le carenze che, tuttavia, lo schema di decreto in esame presenta sono considerevoli e impongono, prima di entrare nell’esame di dettaglio, un inquadramento di carattere generale sul trattamento dei dati personali nell’ambito della sanità digitale.

1.1 Gli strumenti di sanità digitale in fase di definizione e il necessario coordinamento normativo.

Lo schema di decreto trasmesso, insieme a quello sul FSE, rappresentano i primi decreti in materia di sanità digitale di cui è prevista l’adozione previo parere del Garante alla luce di quanto disposto dal d.l. n. 179/2012, dal d.l. n. 34/2020 e dall’art. 2 sexies, comma 1 bis, del Codice.

Il d.l. n. 34 del 2020, infatti, oltre ad innovare la disciplina sul FSE, ha previsto che con decreto del Ministero della salute, previo parere del Garante, siano individuati i dati personali - anche sulla salute - che il predetto Dicastero, nell’ambito dei propri compiti istituzionali, può trattare, le operazioni eseguibili e le misure appropriate e specifiche per tutelare i diritti degli interessati, per lo sviluppo di metodologie predittive dell’evoluzione del fabbisogno di salute della popolazione.

In materia è attesa anche l’adozione del decreto previsto dal novellato art. 2 sexies, comma 1-bis, del Codice, in cui saranno disciplinati i dati personali relativi alla salute, privati degli elementi identificativi diretti, che potranno essere trattati, nel rispetto delle finalità istituzionali, dal Ministero della salute, dall’Istituto superiore di sanità (ISS), dall'Agenzia nazionale per i servizi sanitari regionali (AGENAS), dall’Agenzia italiana del farmaco (AIFA), dall'Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà (INMP) e, relativamente ai propri assistiti, dalle regioni/province autonome anche mediante l’interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale (SSN), ivi incluso il FSE.

Nelle interlocuzioni con il Ministero della salute e con gli Uffici del Ministro per l’innovazione tecnologica e la transizione digitale l’Ufficio ha evidenziato il necessario coordinamento nella predisposizione dello schema di decreto in esame con i citati emanandi decreti, considerato che, essendo previsto che i sistemi informativi sanitari e il FSE saranno sempre più interconnessi, è necessario che le misure tecniche e organizzative da introdurre nell’attuazione delle richiamate disposizioni a tutela dei diritti fondamentali dell’interessato e dei principi generali del trattamento siano tra di loro coerenti.

Il coordinamento dei previsti interventi normativi si pone inoltre come tema centrale nella regolamentazione del nuovo Sistema FSE, in quanto, dalla lettura combinata della citata disposizione sulle metodologie predittive (art. 7, d.l. n. 34/2020) con la richiamata nuova disciplina dell’art. 2-sexies, comma 1-bis, del Codice, emerge l’intenzione del legislatore di ampliare notevolmente il novero delle informazioni trattate attraverso i sistemi informativi del Ministero della salute, delle regioni/province autonome, dell’ISS, di AGENAS, dell’AIFA e dell’INMP. Ciò in quanto i dati presenti nei sistemi informativi su base individuale del SSN, ivi incluso il FSE, saranno arricchiti con le informazioni non relative alla salute detenute da altre pubbliche amministrazioni (es. dati reddituali detenuti dall’Agenzia delle Entrate) (art. 7, d.l. n. 34 del 2020), per poi essere messe a disposizione, anche mediante interconnessione, alle amministrazioni citate nell’art. 2-sexies, comma 1 bis, del Codice.

Alla luce di tali elementi, l’Ufficio, nelle predette interlocuzioni informali, ha rappresentato la necessità che nello schema di decreto in esame e in quello sul FSE fossero chiaramente delineati i rapporti tra le diverse componenti dei predetti strumenti di sanità digitale, descrivendo la titolarità dei trattamenti effettuati attraverso gli stessi, individuando le responsabilità e i compiti dei soggetti che se ne avvalgono.

Sotto altro profilo, si evidenzia che l’11 luglio 2022 il Ministero della salute ha pubblicato nella Gazzetta Ufficiale le “Linee guida per l’attuazione del FSE” redatte dal gruppo di lavoro FSE, che, secondo l’art. 12, comma 15-bis, d.l. n. 179/2012, devono indicare le regole tecniche per l’attuazione dei decreti di cui al comma 7, dello stesso articolo.

Con specifico riferimento allo schema di decreto in esame, si rileva che l’adozione delle predette Linee guida appare essere stata effettuata con modalità difformi rispetto a quanto previsto dal citato art. 12, comma 15-bis, d.l. n. 179/2012, specie da un punto di vista sostanziale, , in quanto intervengono su aspetti diversi da quelli indicati nel citato art. 12, comma 15-bis, d.l. n. 179/2012 (dati contenuti nel FSE e delle sue componenti, finalità, funzioni delle componenti del sistema FSE, servizi erogabili attraverso il FSE, gestione dei consensi e delle deleghe, funzioni e caratteristiche dell’EDS), che dovrebbero essere invece oggetto dello schema di decreto in esame e di quello sul FSE.

Si rappresenta infine che lo schema di decreto in esame interviene su tematiche che sono oggetto della proposta di Regolamento per uno spazio europeo dei dati sanitari su cui il Comitato europeo per la protezione dei dati e il garante europeo per la protezione dei dati hanno espresso un parere congiunto lo scorso 12 luglio 2022, nell’ambito del quale è stato auspicato il raggiungimento di un equilibrio tra l’agevolazione della disponibilità di dati sanitari elettronici e l’impatto sui diritti e le libertà delle persone in linea con la normativa di settore (cfr. Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space, disponibile in https://edpb.europa.eu/system/files/2022-07/edpb_edps_jointopinion_202203_europeanhealthdataspace_en.pdf).

1.2 Ecosistema dei dati sanitari.

La riforma del FSE ad opera del d.l. n. 4 del 2022 ha previsto che il Ministero della salute, d’intesa con la struttura della Presidenza del Consiglio dei ministri competente per l’innovazione tecnologica e la transizione digitale, curi la realizzazione dell’Ecosistema Dati Sanitari (EDS), con lo scopo di garantire “il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale per il perseguimento delle finalità” del FSE indicate nell’art. 12 del d.l. n. 179/2012 (comma 15-quater).

La disposizione prevede, inoltre, che l’EDS sia alimentato con i dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema TS e attribuisce al Ministero della salute la titolarità del trattamento dei dati raccolti e generati dall’EDS, la cui gestione operativa è affidata all'AGENAS, che la effettua in qualità di responsabile del trattamento, ai sensi dell’art. 28 del Regolamento per conto del predetto Ministero.

Lo schema di decreto in esame su cui, oltre al parere di questa Autorità, è previsto anche quello dell’Agenzia per la cybersicurezza nazionale, deve individuare i contenuti dell’EDS, le modalità di alimentazione dello stesso, nonché i soggetti che hanno accesso all'Ecosistema, le operazioni eseguibili e le misure di sicurezza per assicurare i diritti degli interessati.

L’EDS e la nuova architettura del FSE delineata dai recenti interventi normativi sono dunque fondati sull’elaborazione di dati e documenti sanitari originariamente generati per finalità di cura. In particolare, l’EDS comporta una duplicazione dei dati e dei documenti generati per finalità di cura, costituendo una banca dati (“data repository centrale”) che “acquisisce, memorizza e gestisce i dati”, poi elaborati per offrire servizi agli esercenti le professioni sanitarie, al Ministero della salute, alle regioni/province autonome e allo stesso interessato.

Il modello previsto determina quindi la costituzione della più grande banca di dati sulla salute del nostro Paese, raccogliendo, senza applicare alcuna tecnica di pseudonimizzazione, i dati e i documenti sanitari relativi alle prestazioni socio sanitarie erogate sul territorio nazionale di tutti gli assistiti.

La delicatezza di tale sistema che realizza un trattamento sistematico, su larga scala, di particolari categorie di dati personali di cui all’art. 9 del Regolamento anche attraverso logiche algoritmiche, presentando un rischio elevato per i diritti e le libertà degli interessati, impone nella sua realizzazione un rigoroso rispetto dei principi generali del Regolamento e del dettato normativo che lo ha istituito.

Al riguardo, l’Ufficio ha da subito evidenziato ai predetti Ministeri quanto lo schema di decreto in esame sull’EDS, dovendo individuare i contenuti dell'Ecosistema, le modalità di alimentazione, i soggetti che vi hanno accesso, le operazioni eseguibili e le misure di sicurezza per assicurare i diritti degli interessati sia strettamente legato a quello sul FSE che ne costituisce la base logico giuridica atteso che, secondo quanto prospettato dal Ministero della salute, l’EDS si alimenta proprio con i dati del FSE.

1.3 Perimetro di titolarità dei trattamenti e i limiti di responsabilità dei soggetti coinvolti

Nel corso delle interlocuzioni informali con i predetti Ministeri, l’Ufficio ha più volte evidenziato la necessità che fossero delineati i ruoli in materia di protezione dei dati personali e il sistema delle responsabilità dei numerosi soggetti coinvolti nei trattamenti di dati effettuati attraverso il FSE e l’EDS

La chiara indicazione della titolarità dei trattamenti, è infatti un elemento prodromico per delineare le responsabilità in ordine al rispetto dei principi generali e degli adempimenti in materia di protezione dei dati personali, nonché di garantire l’effettivo esercizio dei diritti da parte degli interessati (cfr. Guidelines 07/2020 on the concepts of controller and processor in the GDPR Version 1.0 adottate il 02 settembre 2020, dal Comitato Europeo per la protezione dei dati).

Nello specifico, nel considerare che la stessa normativa primaria attribuisce al Ministero della salute la titolarità del trattamento effettuato attraverso l’EDS, è necessario che sia chiaramente delineato il perimetro di titolarità del Ministero rispetto a quello degli altri numerosi soggetti che alimentano l’Ecosistema e che ne ricevono specifici servizi.

1.4 Rispetto dei principi generali del trattamento

Il trattamento dei dati personali previsto con l’EDS  deve essere effettuato nel rispetto della disciplina sulla protezione dei dati personali e in particolare dei principi generali applicabili al trattamento con specifico riferimento a quelli di proporzionalità del trattamento rispetto all’interesse pubblico perseguito, di trasparenza, di minimizzazione e di integrità e riservatezza dei dati, nonché di responsabilizzazione, in base al quale il titolare del trattamento deve essere in grado di comprovarne il rispetto, con un ragionamento logico, prove concrete e comportamenti proattivi (artt. 5, par.1 e 2 e 24 del Regolamento).

La valutazione circa il rispetto dei principi generali impone, con un approccio di responsabilizzazione, l’analisi disgiunta di ciascuna delle operazioni effettuate dai diversi soggetti a vario titolo coinvolti nel trattamento per il perseguimento delle finalità loro attribuite dalla normativa primaria. Ciò, soprattutto in considerazione del fatto che la realizzazione dell’EDS prevede una duplicazione di dati sanitari di tutta la popolazione assistita sul territorio nazionale, su cui si impone il rigoroso rispetto di specifiche misure volte a garantire in concreto l’esattezza, l’integrità e l’aggiornamento dei dati e soprattutto la tutela degli interessi e i diritti fondamentali degli interessati.

Già nel citato parere del 7 aprile 2022 l’Autorità aveva rappresentato la necessità che, in virtù del principio di trasparenza, fossero indicati nello schema di decreto in esame e in quello sul FSE i soggetti responsabili del rispetto dei principi applicabili al trattamento di tali dati, con particolare riguardo a quelli di esattezza, aggiornamento e di integrità e sicurezza dei dati.

Come indicato nel parere adottato in pari data sullo schema di decreto sul FSE anche i recenti interventi normativi in materia confermano infatti come il FSE si configuri quale strumento per reperire parte dei dati e dei documenti relativi alla storia sanitaria di un individuo con lo scopo di fornire un inquadramento generale della salute dello stesso ai professionisti sanitari che lo prendono in cura, non prevedendo specifici obblighi di consultazione e di alimentazione da parte dei professionisti sanitari che intervengono nel percorso di cura dell’interessato.

Tali elementi incidono in merito al rispetto dei principi di protezione dei dati, in particolare di quelli di completezza, esattezza, aggiornamento e sicurezza previsti dal Regolamento (art. 5). Il dato non aggiornato influenza anche l’efficacia e la correttezza dei servizi offerti dall’EDS: la fornitura di un servizio al medico di famiglia, ad altro professionista sanitario che prende in cura l’assistito o allo stesso interessato, elaborato sulla base di dati che, per volontà dello stesso, potrebbero non essere incompleti, ha impatto sia sulla correttezza del trattamento ed esattezza del dato che sull’efficacia del servizio reso.

Lo schema di decreto in esame rappresenta pertanto la sede normativa idonea ad individuare le misure adeguate rispetto alle finalità perseguite formulate sulla base di una preventiva valutazione di impatto, per mitigare i predetti rischi di trattamento.

1.5. Valutazione del rischio.

I trattamenti descritti nello schema di decreto in esame rientrano senza dubbio tra quelli su cui è necessaria una preventiva valutazione di impatto ai sensi dell’art. 35 del Regolamento, strumento fondamentale per l’individuazione delle misure idonee a tutelare i diritti e le libertà fondamentali degli interessati e a garantire il rispetto dei principi generali del Regolamento, nonché per consentire l’analisi della proporzionalità dei trattamenti effettuati.

Nel corso delle numerose interlocuzioni intercorse e nel richiamato parere del 7 aprile 2022 l’Autorità aveva rappresentato che, alla luce della rinnovata disciplina in materia di protezione dei dati personali rispetto a quella vigente all’epoca dell’adozione del d.P.C.M. n. 178 del 2015 e della riforma della disciplina di attuazione del FSE, fosse necessario accompagnare lo schema di decreto in esame e quello sul FSE con una valutazione di impatto, anche al fine di dettagliare le specifiche misure da adottare, in considerazione dei rischi individuati in relazione alle diverse finalità perseguite dai soggetti a vario titolo coinvolti. Ciò anche alla luce delle recenti riforme della disciplina sulla realizzazione del modello predittivo del fabbisogno di salute della popolazione assistita (art. 7, comma 1-bis, d.l. n. 34 del 2020) e di quella sull’interconnessione a livello nazionale dei sistemi informativi su base individuale del SSN (art. 2 sexies, comma 1-bis, del Codice).

Nell’ambito delle interlocuzioni con i predetti Ministeri, l’Ufficio ha evidenziato i seguenti principali rischi che lo scenario normativo derivante dalla riforma del FSE e dalla istituzione dell’EDS rendeva necessario analizzare nell’ambito della predetta valutazione di impatto:

- di re-identificazione dell’interessato in considerazione delle interconnessioni con nuovi sistemi informativi e componenti previsti dalla normativa primaria (infrastruttura nazionale, repository centrale, EDS) e anche del possibile ampliamento dei dati a seguito delle modifiche apportate all’art. 2 sexies del Codice e alle disposizioni sulla medicina predittiva (d.l. n. 34 del 2020).  La valutazione di tale rischio impone un’analisi della perdurante efficacia delle disposizioni relative al sistema di codificazione dei dati di cui al D.M. 7 dicembre 2016, n. 262 (Regolamento recante procedure per l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato);

- di accessi abusivi e illeciti;

- di integrità ed esattezza e aggiornamento del dato;

- di perdita e distruzione dei dati;

- di utilizzo dei dati per finalità non compatibili;

- di utilizzi connessi all’uso di nuove tecnologie basate su logiche algoritmiche e strumenti di intelligenza artificiale;

- di trattamenti automatizzati che possono avere ricadute sul singolo interessato.

2. Collaborazione con il Ministero della salute

L’invio dello schema di decreto in esame è stato preceduto da alcuni mesi di proficue interlocuzioni informali con il Ministero della salute e gli uffici del Ministro delegato per l’innovazione tecnologica e la transizione digitale, che si sono svolte nell’ambito della collaborazione decennale tra il predetto dicastero e l’Ufficio del Garante anche in seno al tavolo nazionale sul FSE di cui all’art. 26 del d.P.C.M. n. 178 del 2015.

Nel corso delle predette interlocuzioni l’Ufficio ha rappresentato le posizioni già espresse dall’Autorità in passato sui temi del FSE e della sanità digitale formulate anche nei numerosi pareri e note rese in materia (cfr. in particolare, pareri del 22 maggio 2014, parere del 19 marzo 2015, del 26 luglio 2017, parere del 7 aprile 2022, note del 17 ottobre 2016, prot. n. 30958, del 27 marzo 2017, prot. n. 11538, del 12 giugno 2017, prot. n. 20885, del 6 ottobre 2020, prot. n. 37043 e del 15 dicembre 2020, prot. n. 47857).

In via preliminare si prende atto della riformulazione di alcune delle disposizioni contenute nello schema di decreto in esame alla luce delle osservazioni dell’Ufficio, che hanno riguardato in particolare:

- la necessità di accompagnare la realizzazione dell’EDS con una valutazione di impatto;

- l’introduzione della previsione secondo cui l’EDS rende disponibili ai professionisti sanitari che prendono in cura l’interessato servizi basati sulla elaborazione dei dati raccolti solo su richiesta del professionista sanitario. Attese le finalità perseguibili attraverso l’EDS di cui all’articolo 12 del d.l. n. 179 del 2012, l’Ufficio aveva rappresentato infatti una possibile violazione del principio di proporzionalità del trattamento in relazione all’elaborazione dei dati sulla salute dell’interessato ai fini della generazione di un servizio da parte dell’EDS a prescindere da una richiesta in tal senso del professionista sanitario che ha in cura l’interessato.

3. Elementi di criticità in materia di protezione dei dati personali.

Ai sensi dell’art. 12 del d.l. n. 179/2012, lo schema di decreto in esame deve definire i contenuti dell’Ecosistema, le modalità di alimentazione, nonché i soggetti che vi hanno accesso, le operazioni eseguibili e le misure di sicurezza per assicurare i diritti degli interessati (comma 15 -quater).

Alla luce di quanto previsto nelle predette disposizioni, si rileva che lo schema di decreto in esame non disciplina tutti gli elementi richiesti dalla normativa sopra richiamata, nonché dagli artt. 6, par. 3 e 9 del Regolamento e dall’art. 2-sexies del Codice.

Al riguardo, si rappresenta che l’Ufficio, sulla base di quanto già evidenziato dal Garante nel parere del 7 aprile 2022, ha più volte rappresentato ai predetti Ministeri che lo schema di decreto sull’EDS necessitava di essere esaminato solo a valle della definizione della nuova disciplina sul FSE, in quanto il Fascicolo costituisce la base informativa attraverso la quale il Ministero intende alimentare l’EDS. L’assenza di chiarezza sulla tipologia di dati trattati attraverso il FSE, sui ruoli dei vari soggetti convolti, sull’ubicazione delle diverse banche dati, delle componenti informatiche e dei sistemi informativi interrogabili attraverso il FSE, nonché la presenza nello schema di decreto sul FSE di numerosi elementi di criticità -alcuni dei quali già oggetto di osservazioni da parte dell’Autorità sin dal 2017- non consente al Garante di disporre di elementi sufficienti per poter valutare il rispetto dei principi generali del trattamento e degli adempimenti del Regolamento.

Secondo lo scenario indicato dal Ministero della salute, l’EDS infatti si alimenta attraverso il FSE, è pertanto imprescindibile per poter esaminare compiutamente lo schema di decreto sull’EDS, superare le osservazioni formulate sul FSE e riportate nel parere reso in data odierna sullo schema di decreto in materia di FSE.

A ciò si aggiunga che lo schema di decreto sull’EDS appare una “scatola vuota”, in quanto rinvia a successivi decreti la definizione di molti aspetti essenziali per la sua regolamentazione richiesti dallo stesso art. 12 del d.l. n. 179/2012 e indispensabili sia per rispettare quanto richiesto dagli artt. 6 e 9 del Regolamento, ma anche per consentire la valutazione della proporzionalità del trattamento. Nello specifico, lo schema di decreto sull’EDS si limita spesso solo a riformulare, talvolta con imprecisioni, il testo dell’art. 12 senza fornire gli elementi attuativi richiesti dalla normativa primaria, ovvero senza indicare “i contenuti dell’EDS, le modalità di alimentazione dell'EDS, nonché i soggetti che hanno accesso all'EDS, le operazioni eseguibili e le misure di sicurezza per assicurare i diritti degli interessati”.
Ciò premesso, seguono gli specifici elementi di criticità in materia di protezione dei dati personali rilevati nello schema di decreto trasmesso sull’EDS. Con specifico riferimento agli aspetti del trattamento connessi al FSE si rinvia al parere reso sul relativo schema di decreto reso in data odierna.

3.1. Ambito di applicazione

Ai sensi dell’art. 12, comma 15 quater, del d.l. n. 179/2012 lo schema di decreto in esame deve indicare “i contenuti dell'EDS, le modalità di alimentazione dell'EDS, nonché i soggetti che hanno accesso all'EDS, le operazioni eseguibili e le misure di sicurezza per assicurare i diritti degli interessati”.

In via preliminare, si deve rilevare che lo schema di decreto trasmesso dal Ministero risulta privo degli elementi richiesti dalla normativa primaria, rinviando spesso alla relativa definizione in futuri decreti (es. modalità e strumenti di accesso, informazioni agli interessati, servizi erogabili) o al decreto sul FSE (es. diritti degli interessati, contenuti del EDS, soggetti alimentanti, consenso dell’interessato).

La necessità di una preventiva adozione del decreto sul FSE rispetto a quello sull’EDS appare pertanto evidente, non potendosi adottare lo schema di decreto in esame senza prima aver definito i contenuti del FSE e le caratteristiche del nuovo sistema FSE sulla base del quale si intende alimentare l’EDS.

La stesura del previsto schema sull’EDS, in assenza di un quadro giuridico definito del nuovo sistema FSE, ne caratterizza inevitabilmente l’indeterminatezza del contenuto.

Si rileva, pertanto, da un punto di vista formale e metodologico, che lo schema di decreto sull’EDS, volto a definirne i contenuti (intesi come i dati e i documenti che alimentano il FSE), le modalità di alimentazione e i soggetti che vi hanno accesso, può essere esaminato solo dopo che siano superate tutte le criticità puntualmente evidenziate nel parere reso in data odierna in ordine allo schema di decreto sul FSE.

Da un punto di vista di merito si osserva, inoltre, che una compiuta analisi dei rischi connessi ai trattamenti effettuati attraverso l’EDS, necessaria ai fini dell’individuazione nello schema di decreto in esame delle “misure di sicurezza per assicurare i diritti degli interessati” richieste dalla norma primaria, può essere effettuata solo a seguito della definizione del sistema FSE.

Come già rilevato nell’ambito delle interlocuzioni informali con i predetti Ministeri, lo schema di decreto in esame, ai sensi di quanto richiesto dal predetto art. 12, comma 15 quater del d.l. n. 179/2012, degli artt. 6 e 9 del Regolamento e dell’art. 2-sexies del Codice, non può limitarsi a delineare solo un quadro generale del trattamento dei dati effettuato dall’Ecosistema in esame, attesa l’ampiezza di tale trattamento e la delicatezza della natura dei dati e dei diritti e degli interessi coinvolti, che rendono necessaria un’applicazione rigorosa delle previsioni contenute nel Regolamento e nel Codice in ordine alla base giuridica del trattamento stesso.

Al riguardo, infatti, si rileva come lo schema di decreto in esame deleghi ad altre fonti gli elementi attuativi dell’Ecosistema stesso (es. modalità di accesso ai dati) che la norma primaria richiede siano invece individuate nello schema di decreto in esame (cfr. art. 14 dello schema di decreto e art. 12, comma 15-quater, del d.l. n. 179/2012).

3.2. I contenuti dell’EDS (art. 3 dello schema di decreto)

In tale quadro, sebbene, ai sensi dell’art. 12, comma 15-quater, del d.l. n. 179/2012, lo schema di decreto in esame debba indicare, tra l’altro, “i contenuti dell'EDS”, si rileva che lo stesso si limita a prevedere che “I contenuti dell’EDS s(i)(a)no rappresentati da tutti i dati definiti con i decreti attuativi” del FSE “ nonché dai dati relativi ai servizi offerti dall’EDS”.

Tale formulazione non indica, come invece richiesto dalla normativa primaria di settore e dalle disposizioni in materia di protezione dei dati personali, la tipologia di dati oggetto di trattamento alla luce dell’applicazione dei principi di minimizzazione dei dati, di esattezza e di integrità e riservatezza.

Considerato che i decreti attuativi del nuovo Sistema FSE non sono stati ancora adottati e che quindi non sussiste allo stato una definizione certa e aggiornata del contenuto dei dati e documenti accessibili attraverso il FSE, la predetta formulazione relativa al contenuto dell’EDS appare non adeguata in quanto si riferisce a informazioni, allo stato, indeterminate e indeterminabili.

La predetta genericità dei contenuti dell’EDS travalica quanto previsto dalla normativa primaria, in quanto l’art. 12 del d.l. n. 179/2012 non prevede che l’EDS sia alimentato con tutti i dati del FSE, bensì con i “dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria”, ovvero con un insieme di dati non necessariamente coincidente con quelli del Fascicolo (si pensi ad esempio a quelli inseriti nel taccuino personale dell’assistito (TP) da parte dell’interessato, che sembrerebbero di fatto esclusi dalla formulazione dell’art. 12, del d.l. n. 179/2012) (cfr. artt. 12, comma 15-quater del d.l. n. 179/2012).

Ciò premesso, occorre che, nell’individuare il contenuto dell’EDS, siano forniti elementi in ordine alla necessità di raccogliere tutte le numerose categorie di dati indicati nello schema di decreto FSE rispetto alle finalità perseguibili attraverso l’EDS, al fine di consentire all’Autorità di valutare la proporzionalità del trattamento.

Nel rispetto dei principi di proporzionalità e minimizzazione dei dati occorre, infatti, esplicitare il novero dei dati trattabili in funzione delle diverse tipologie di servizi generati dall’EDS anche in considerazione dei differenti soggetti destinatari degli stessi (Ministero della salute, regioni/province, interessato, esercente le professioni sanitarie, farmacista).

È necessario pertanto che, una volta definiti i contenuti del nuovo sistema FSE anche sulla base di quanto osservato dal Garante nel parere reso in data odierna sullo schema di decreto in materia, anche alla luce delle osservazioni formulate nel presente parere, siano indicati in modo chiaro i contenuti dell’EDS, specificando le tipologie di dati trattati nel FSE che sono oggetto di elaborazione ai fini dell’erogazione di ciascun servizio offerto da EDS.

Si evidenzia inoltre la necessità che lo schema di decreto sia integrato garantendo che siano raccolti soltanto i dati generati successivamente all’adozione dello schema di decreto in esame, stante l’assenza di una diversa previsione nella normativa primaria.

L’indeterminatezza della definizione dei contenuti dell’EDS presente nella disposizione in esame è inoltre evidente anche con riferimento al fatto che la stessa qualifica come “contenuto dell’EDS” anche i “dati relativi ai servizi offerti dall’EDS”, senza tuttavia indicare quali siano tali tipologie di informazioni, andando dunque, anche in questo caso, oltre il dettato normativo dell’art. 12, che non fa riferimento ai medesimi servizi.

Alla luce di tali considerazioni, si rileva che la disposizione in esame, nel disciplinare il contenuto dell’EDS, si limita a rinviare a quanto previsto in altri decreti (quello attuativo del FSE) o a formulazioni generiche (“dati relativi ai servizi offerti dall’EDS”), senza dunque operare una valutazione -come richiesto dalla normativa sulla protezione dei dati personali- né consentire all’Autorità di procedere in tal senso in merito all’adeguatezza e alla pertinenza dei dati rispetto alle finalità indicate nell’art. 12, comma 15 quater, del d.l. n. 179/2012.

È necessario pertanto che la disposizione sia riformulata indicando quali siano i “dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria” che, nel rispetto dei principi di minimizzazione, esattezza e integrità e riservatezza, alimentano l’EDS, al fine di “garantire il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale per il perseguimento delle finalità” perseguibili attraverso il FSE, garantendo che la raccolta riguardi soltanto i dati generati successivamente all’adozione dello schema di decreto in esame.

3.3 Alimentazione dell’EDS (artt. 4 e 5 dello schema di decreto)

Ai sensi dell’art. 12, comma 15-quater, del d.l. n. 179/2012 lo schema di decreto in esame deve indicare anche “le modalità di alimentazione dell'EDS”.

Anche in questo caso si rileva che la disposizione in esame non descrive le predette modalità, limitandosi a indicare che “L’EDS è alimentato dai soggetti che concorrono ad alimentare il FSE” “utilizzando le funzionalità del Gateway”, definito nello schema di decreto come il componente tecnologico, parte del Sistema FSE, che implementa le funzioni di cui all’art. 12, comma 15-quater, lettere a), b) e c), del d.l. n. 179/2012, che sono relative al controllo semantico e formale dei dati, alla conversione delle informazioni e all’invio dei dati stessi.

La disposizione in esame, quindi, invece di indicare in modo puntuale le modalità di alimentazione, fa solo riferimento alle funzionalità del Gateway, che -come evidenziato nel parere reso in data odierna sullo schema di decreto sul FSE- non è previsto dalla normativa primaria, ma solo dagli schemi di decreto in esame.

Tale formulazione non dà quindi attuazione a quanto richiesto dalla normativa primaria limitandosi a esplicitare la necessità che l’alimentazione dell’EDS avvenga a seguito del controllo semantico e formale dei dati e della conversione delle informazioni prima dell’invio, aspetti che erano già previsti dall’art. 12, comma 15-quater, lettere a), b) e c), del d.l. n. 179/2012.

Con specifico riferimento alla previsione secondo cui “L’EDS è alimentato dai soggetti che concorrono ad alimentare il FSE”, nel rinviare alle specifiche osservazioni formulate sulle modalità di alimentazione del FSE nel parere reso in data odierna sullo schema di decreto sul FSE, si ribadisce quanto già evidenziato secondo cui la predetta formulazione travalica quanto previsto dalla normativa primaria, che limita l’alimentazione dell’EDS con i “dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria”, e non anche con tutti i dati del FSE.

È necessario pertanto che gli artt. 4 e 5 dello schema di decreto siano riformulati indicando puntualmente, nel rispetto di quanto previsto dall’art. 12, comma 15 quater, del d.l. n. 179/2012, i soggetti e le modalità di alimentazione dell’EDS.

3.4. Diritti dell’interessato e informativa (art. 6 dello schema di decreto)

Anche con riferimento ai “diritti dell’interessato in merito ai trattamenti di dati dell’EDS” lo schema di decreto in esame si limita a effettuare un mero rinvio al FSE, prevedendo che “si applicano i medesimi diritti, di cui al Regolamento UE 2016/679, esercitabili con riferimento al trattamento dei dati effettuato attraverso il Fascicolo sanitario elettronico, definiti con i decreti attuativi”.

Tale formulazione appare estremamente sommaria sia perché i decreti attuativi del nuovo Sistema FSE non sono stati ancora adottati, sia in quanto, come osservato nel parere reso in data odierna sullo schema di decreto sul FSE, i trattamenti effettuati attraverso il FSE, che sono molteplici ed effettuati per una pluralità di finalità, diverse tra loro, e perseguibili sulla base di diversi presupposti di liceità da parte di una pluralità di soggetti, sono trattamenti diversi da quelli dell’EDS sia per le finalità perseguite, sia per la titolarità degli stessi, nonché per le operazioni oggetto del trattamento.

Lo schema di decreto in esame infatti non prevede specifiche e peculiari misure per garantire l’esercizio dei diritti previsti dal Regolamento per quanto riguarda la raccolta e la elaborazione dei dati sanitari effettuata attraverso l’EDS.

In merito all’esercizio dei diritti dell’interessato si rilevano, inoltre, alcune incongruenze fra lo schema di decreto in esame e quello sul FSE con specifico riferimento all’esercizio del diritto di oscuramento. In particolare, nella documentazione inviata unitamente allo schema di decreto sul FSE (su cui l’Autorità ha reso il proprio parere in data odierna) è riportato che “L’oscuramento applicato ai dati e documenti del FSE si applica anche ai servizi offerti dall’EDS che conseguentemente non utilizzeranno dati e documenti oscurati”. Al riguardo non è chiaro come il predetto Ecosistema, nel raccogliere ed elaborare i dati del FSE, tenga conto delle richieste di oscuramento e di revoca del medesimo FSE avanzate dall’interessato e quindi assicuri l’elaborazione di tali informazioni in conformità ai principi di esattezza, correttezza e aggiornamento dei dati (cfr. modello di informativa, allegato B) allo schema di decreto FSE e artt. 4 e 25 del predetto schema).

Si ritiene pertanto necessario che la disposizione contenuta nell’art. 6 dello schema sia riformulata evidenziando i diritti esercitabili da parte dell’interessato sui dati “raccolti e generati dall'EDS” in relazione alle diverse tipologie di servizi erogati dall’Ecosistema, avendo cura di indicare le specifiche misure adottate per assicurare il rispetto dell’esercizio del diritto di oscuramento nei termini sopra indicati.

Con riferimento all’informativa, si rinvia alle osservazioni formulate nel parere reso in pari data sullo schema di decreto sul FSE atteso che allo stesso è stato allegato uno schema tipo di “Informativa e consenso al trattamento dei dati personali del FSE e dell’EDS ai sensi degli articoli 13 e 14 del Regolamento generale sulla protezione dei dati” (art. 8, comma 2, dello schema di decreto e allegato B), rilevando, in linea generale, che il predetto schema di informativa risulta sostanzialmente privo di tutti gli elementi richiesti dagli artt. 13 e 14 del Regolamento con riferimento agli specifici e delicati trattamenti effettuati dall’EDS, necessitando quindi di essere integralmente riformulato.

Pertanto, il predetto schema tipo di informativa deve essere modificato in relazione a tutte le osservazioni di merito formulate nel presente parere, avendo cura di indicare in relazione ai servizi che EDS può generare attraverso l’elaborazione dei dati del FSE, in modo trasparente ed esaustivo, il trattamento dei dati effettuato e il contesto specifico in cui i dati sono trattati come previsto dagli artt. 13 e 14 del Regolamento ed espressamente richiamato nei considerando nn. 60 e 61.

Si rappresenta poi che il testo dello schema di informativa presenta delle incongruenze rispetto allo schema di decreto in esame, a quello sul FSE e alla normativa primaria circa l’accesso del FSE in emergenza che, secondo quanto indicato nell’art. 25 dello schema di decreto sul FSE, è esteso anche ai servizi dell’EDS.

Si rappresenta infine che fornire informazioni parziali e non chiare sul trattamento, oltre a violare il principio di trasparenza, strettamente legato a quelli di correttezza e liceità del trattamento, inficia anche la regolare espressione del consenso laddove esso costituisca la base giuridica del trattamento (art. 12, comma 2, lett. a), a-bis) e a-ter) del d.l. n. 179/2012, cfr. al riguardo Linee guida sulla trasparenza ai sensi del regolamento 2016/679, adottate il 29 novembre 2017 dal Gruppo di lavoro articolo 29, Versione emendata adottata l’11 aprile 2018 e Linee guida dell’EDPB n. 5/2020 sul consenso ai sensi del Regolamento).

3.5. Consenso dell’interessato (art. 7 dello schema di decreto)

Con riferimento al consenso dell’interessato, la disposizione in esame si limita a riformulare quanto già previsto dalla normativa primaria, ovvero che per le finalità di cura, prevenzione e profilassi internazionale, “la consultazione dei dati presenti nell’EDS può avvenire solo dopo che l’assistito o un suo delegato, nei casi previsti dalla normativa vigente, ha preso visione dell’informativa di cui all’articolo 6 e ha espresso il consenso alla consultazione dei dati e documenti presenti nel FSE”.

Tale formulazione conferma quanto già osservato circa l’esigenza che lo schema di decreto sul FSE sia adottato preventivamente e in via prodromica, atteso che esso reca la disciplina del consenso dell’interessato, rispetto a quella dello schema di decreto in esame.

Al riguardo, nel rinviare integralmente alle osservazioni formulate in merito al consenso dell’interessato nel parere reso in data odierna sullo schema di decreto sul FSE, anche con specifico riferimento ai requisiti di validità e specificità, si rileva che lo schema di decreto in esame non contiene elementi attuativi in ordine all’ambito di operatività del consenso e alle conseguenze di una eventuale revoca dello stesso con specifico riferimento all’elaborazione dei dati dell’Ecosistema ai fini dell’erogazione dei servizi previsti dall’art. 12 del d.l. n. 179/2012, limitandosi a richiamare la manifestazione di volontà espressa nei confronti del FSE.

Come indicato nel parere reso in data odierna sullo schema di decreto sul FSE ,nel rilevare alcune incongruenze in merito a quanto previsto negli schemi di decreto sul FSE e sull’EDS circa la tipologia di dati a cui è consentito l’accesso in emergenza (cfr. l’art. 10 dello schema di decreto EDS con l’art. 25 dello schema di decreto FSE), si evidenzia la necessità che nello schema di decreto in esame siano indicati puntualmente i servizi resi disponibili da EDS “in emergenza”, che -in ogni caso- devono tenere conto di quanto indicato nel parere reso sullo schema di decreto del FSE. In particolare, la realizzazione di tali servizi deve tenere conto che in caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato o di rischio grave, imminente ed irreparabile per la salute o l'incolumità fisica dell'interessato, l’accesso al FSE deve essere limitato alla partizione del FSE denominata Profilo Sanitario Sintetico (PSS) di coloro che non hanno prestato il consenso alla consultazione del FSE per finalità di cura, e, in caso di emergenze sanitarie o di igiene pubblica, l’accesso deve essere consentito solo ai dati non direttamente identificativi presenti nel FSE da parte Ministero della salute e degli Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria (cfr. paragrafo 3.3 del parere reso in data odierna sullo schema di decreto sul FSE).

Ciò stante, nel rilevare che la disposizione in esame risulta priva di un contenuto attuativo delle disposizioni della normativa primaria, si ritiene necessario che la stessa sia riformulata indicando, nel rispetto di quanto indicato nel parere reso in data odierna sullo schema di decreto sul FSE, l’ambito di operatività del consenso e le conseguenze di una eventuale revoca dello stesso con specifico riferimento alla raccolta, elaborazione dei dati ed erogazione di servizi dell’EDS.

3.6 Servizi resi dall’EDS (artt. 8, 10, 11, 12, 14, 15, 16 dello schema di decreto)

Alla luce della riforma della disciplina sul FSE operata dal d.l. n. 4 del 2022, l’EDS raccoglie ed elabora i dati “trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria”, al fine di “garantire il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale per il perseguimento delle finalità” perseguibili attraverso il FSE.

Come già rilevato, in via preliminare si osserva che, da una lettura combinata degli schemi di decreto sull’EDS e sul FSE, le funzioni di coordinamento informatico -delegate dal legislatore all’EDS- è previsto che siano svolte dal c.d. Gateway, componente informatica -non prevista dalla normativa primaria- che è stata introdotta proprio dai predetti schemi di decreto (cfr. anche allegato B) allo schema di decreto sull’EDS).

Si rileva inoltre che lo schema di decreto in esame non descrive in maniera puntuale i “servizi omogenei sul territorio nazionale” che l’EDS dovrebbe erogare per consentire ai soggetti indicati dall’art. 12, del d.l. n. 179/2012 di perseguire, attraverso il FSE, le finalità di cura, prevenzione, profilassi e governo sanitario nei limiti agli stessi attribuiti dalla predetta disposizione.

L’allegato A) allo schema di decreto, a cui l’art. 8 dello stesso rinvia per la definizione dei predetti servizi, infatti, dopo aver sommariamente descritto le funzionalità del Gateway e la struttura delle macro componenti dell’EDS, si limita ad indicare “il catalogo dei processi supportati dall’EDS attraverso la messa a disposizione di servizi” (es. acquisizione dati) senza descrivere in modo specifico la tipologia dei servizi erogabili. I servizi sono infatti descritti facendo riferimento alle operazioni del trattamento (estrazione, filtro, selezione…) ma non anche alle finalità che perseguono di cui all’art. 12.

Gli artt. 10, 11, 12 e 13 dello schema di decreto relativi ai servizi “per l’accesso ai dati dell’EDS” per le finalità di cura, prevenzione, profilassi internazionale e di governo sanitario e il richiamato allegato A) allo schema di decreto in esame elencano in maniera identica una pluralità di operazioni di trattamento che l’EDS effettua senza però descrivere il servizio ad esse collegato. Manca dunque un elenco certo, chiaro e trasparente dei servizi che EDS può erogare, su richiesta, ai molteplici soggetti che possono accedere al FSE in relazione alle singole e diverse finalità dagli stessi perseguibili utilizzando, per tali specifiche finalità, i dati personali sulla salute degli interessati.

Al riguardo, si rileva anche un’incongruenza tra le disposizioni contenute negli schemi di decreto trasmessi in ordine ai servizi erogati dall’EDS, considerato che, a fronte della previsione generale contenuta nello schema di decreto sul FSE di servizi erogati da EDS a farmacisti, MMG, regioni/province e al Ministero della salute, non corrispondono specifiche previsioni nelle disposizioni relative all’EDS (cfr. anche allegato A) allo schema di decreto).

L’estrema genericità delle disposizioni relative ai servizi resi dall’EDS si palesa anche con riferimento ai “Servizi di amministrazione, monitoraggio e controllo” di cui all’art. 15 dello schema di decreto in esame, con riferimento ai quali, oltre a non essere esplicitata la natura di tali servizi, non sono descritte le modalità attraverso le quali l’EDS renda disponibili, senza l’utilizzo di dati identificativi diretti, strumenti “per il monitoraggio e l’amministrazione dei servizi”.

Come prospettato anche nel corso dell’attività istruttoria, l’elaborazione dei dati sanitari di tutti i soggetti assistiti sul territorio nazionale che sono raccolti nell’EDS ai fini dell’offerta dei servizi da parte di tale Ecosistema può ritenersi proporzionata solo se effettuata a seguito di una specifica richiesta del soggetto autorizzato ad accedere al servizio. L’elaborazione dei dati di tutti gli assistiti sul territorio nazionale per fornire agli stessi soggetti autorizzati, nonché ai soggetti che li prendono in cura o a quelli deputati a perseguire finalità di prevenzione, profilassi internazionale o di governo sanitario, specifici servizi (non indicati e indeterminati) in mancanza di una espressa richiesta da parte dei predetti soggetti si porrebbe in contrasto con il principio di proporzionalità del trattamento rispetto alle finalità da perseguire.

A fronte di tale osservazione, si rappresenta che nello schema di decreto in esame e in quello sul FSE non è sempre specificato che l’elaborazione dei dati dell’EDS per l’accesso ai servizi dallo stesso erogati da parte dei diversi soggetti che vi accedono per le finalità indicate dalla normativa primaria è effettuata solo a seguito di una espressa richiesta di attivazione del servizio stesso (cfr. disposizioni su accesso ai servizi dell’EDS per finalità di prevenzione, di profilassi e di governo sanitario contenute nello schema di decreto sul FSE).

Si rende pertanto necessario che lo schema di decreto in esame indichi, oltre alla tipologia di dati che EDS elabora per generare i servizi richiesti, anche le fattispecie nell’ambito delle quali i soggetti deputati al perseguimento delle finalità del FSE possono richiedere tali servizi a EDS.

Sul punto si richiamano le osservazioni formulate nel parere reso in data odierna sullo schema di decreto sul FSE circa la mancata previsione nello schema di decreto sul FSE– come invece richiesto dall’art. 12, comma 7, del d.l. n. 179/2012- dei livelli diversificati di accesso al FSE che assume ancor più rilievo in funzione della possibilità di richiedere, attraverso lo stesso, servizi di elaborazione dati. Secondo la formulazione presente nello schema di decreto in esame e in quello sul FSE tali servizi sono infatti accessibili e richiedibili da parte di tutti i predetti soggetti che accedono al FSE, senza alcuna distinzione né per servizio, né per tipologia di soggetto abilitato a richiederlo in funzione della finalità perseguita. È necessario pertanto che sia prevista, nel rispetto del principio di minimizzazione dei dati, una diversa “profondità” di accesso al FSE anche con riferimento alla richiesta di servizi a EDS.

Alla luce della normativa di settore e di quella in materia di protezione dei dati personali, pertanto, le disposizioni in esame, necessitano di essere riformulate indicando, in relazione alle diverse finalità del trattamento perseguibili attraverso il FSE e ai diversi soggetti a ciò deputati, gli specifici servizi che – su richiesta- l’EDS può erogare, nonché descrivendo, con riferimento a ciascun servizio, la tipologia di dati che si intende raccogliere, le modalità di raccolta e di elaborazione degli stessi e le fattispecie nell’ambito delle quali i soggetti deputati al perseguimento delle finalità del FSE possono richiedere specifici servizi a EDS.

3.7 Titolarità dei trattamenti (art. 9 dello schema di decreto)

Secondo quanto indicato dall’art. 12 del d.l. n. 179/2012, l’EDS, di cui è titolare il Ministero della salute, raccoglie ed elabora dati e documenti sanitari “trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria”.

Lo schema di decreto in esame deve pertanto individuare il perimetro di titolarità del trattamento effettuato dal predetto Ministero attraverso l’EDS, descrivendo il momento in cui cessa la titolarità del soggetto che ha generato il dato e inizia quella del Ministero che raccoglie tale dato nell’EDS. Il perimetro di titolarità deve essere evidenziato anche con riferimento alle operazioni di correzione e aggiornamento dei dati, nonché all’offerta dei servizi da parte dell’EDS.

Nel rinviare alle specifiche osservazioni formulate, in proposito, sullo schema di decreto FSE, segnatamente, sulla titolarità dei trattamenti effettuati attraverso lo stesso e sulle responsabilità dei soggetti a vario titolo coinvolti, si evidenzia che lo schema di decreto in esame non definisce, neanche per macro componenti, le operazioni di trattamento delegate ad Agenas nell’ambito di quanto indicato dall’art. 12, comma 15 quater, del d.l. n. 179/2012.

Ciò stante la disposizione in esame, necessita di essere riformulata descrivendo i ruoli del trattamento nelle fasi di raccolta ed elaborazione dei dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del SSN e quelli resi disponibili tramite il sistema TS, nonché con riferimento alla richiesta dei servizi erogati dall’EDS.

3.8 Valutazione di impatto e misure di sicurezza

Analogamente a quanto già evidenziato con riferimento al Sistema FSE, l’EDS, costituendo un “data repository centrale”, ovvero una banca dati che “acquisisce, memorizza e gestisce i dati” trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del SSN e quelli resi disponibili tramite il sistema TS, relativi quindi alle prestazioni sanitarie erogate a tutti gli assistiti sul territorio nazionale, determinando un trattamento sistematico, su larga scala, di particolari categorie di dati personali di cui all’art. 9 del Regolamento e presentando un rischio elevato per i diritti e le libertà degli interessati, deve essere regolamentato sulla base di una preventiva valutazione di impatto ai sensi dell’art. 35 del Regolamento.

Considerata la necessità della predetta valutazione d’impatto, segnalata dall’Autorità anche nel richiamato parere del 7 aprile 2022 e successivamente evidenziata nell’ambito delle interlocuzioni istruttorie, si prende atto del documento -redatto secondo la metodologia di Sogei S.p.A., sub responsabile del trattamento- trasmesso in versione “bozza” dal Ministero della salute con riferimento ai trattamenti effettuati dall’EDS e si rileva che la stessa presenta numerose carenze, imprecisioni e soprattutto non risulta tenere in considerazione i peculiari trattamenti effettuati attraverso l’Ecosistema, ovvero “della natura, dell'ambito di applicazione, del contesto e delle finalità del trattamento e delle fonti di rischio” (Considerando n. 90 al Regolamento e Linee guida in materia di valutazione d’impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del Regolamento, adottate il 4 aprile 2017, come modificate e adottate da ultimo il 4 ottobre 2017).

Da un punto di vista di merito si osserva poi che una compiuta analisi dei rischi connessi ai trattamenti effettuati attraverso l’EDS, necessaria ai fini dell’individuazione nello schema di decreto in esame delle “misure di sicurezza per assicurare i diritti degli interessati” richieste dalla norma primaria, non può essere effettuata in mancanza di una VIP dei trattamenti effettuati attraverso il FSE, atteso che il patrimonio informativo di quest’ultimo, secondo quanto indicato dal Ministero, costituisce la fonte di alimentazione dei dati dell’EDS.

Nel rilevare poi che la VIP trasmessa contiene elementi di dettaglio (es. tipi di dati, soggetti, misure tecniche e organizzative previste in relazione ai rischi individuati) che non trovano corrispondenza nel testo dello schema di decreto e nei relativi allegati, si rappresenta che il predetto documento risulta privo di alcuni degli elementi indispensabili richiesti dall’art. 35, par. 7 del Regolamento e, in particolare, della valutazione circa:

- la necessità e la proporzionalità dei trattamenti, in relazione alle finalità perseguite, tenuto conto che l’EDS elabora dati sanitari al fine di fornire servizi a una pluralità di soggetti deputati al perseguimento di distinte finalità sulla base di differenti presupposti di liceità (cfr. art. 5, par.1, lett. c) e Considerando n. 39 al Regolamento);

- gli specifici rischi per i diritti e le libertà degli interessati che il trattamento in oggetto potrebbe comportare, considerato che:

alcuni dei rischi indicati nella valutazione trasmessa non risultano coerenti rispetto alle caratteristiche dell’EDS (es. perdita o distruzione di dati che può determinare il “dover ripetere cicli diagnostici per ottenere nuovamente un certificato”, visto che l’EDS elabora dati duplicati che sono comunque presenti nei sistemi informativi dei soggetti che hanno erogato la prestazione sanitaria);

manca l’indicazione dei rischi tipici di una banca dati contenente le informazioni sanitarie duplicate di tutta la popolazione assistita sul territorio nazionale, quali ad esempio quelli relativi alla perdita dei requisiti di qualità dei dati (es. mancato o errato allineamento e aggiornamento), alla revoca del consenso, ove lo stesso costituisca la base giuridica del trattamento, alla re-identificazione dell’interessato in considerazione delle previste interconnessioni con molteplici sistemi informativi e banche dati e all’utilizzo dei dati per finalità non compatibili;

- i rischi connessi alla “generazione” dei dati da parte dell’EDS attraverso tecniche algoritmiche. In merito a tali aspetti si rileva che la VIP trasmessa appare carente con riferimento agli specifici rischi legati all’elaborazione dei dati attraverso logiche algoritmiche e a quelli connessi alla profilazione finalizzata all’adozione di decisioni che possano incidere sull’aspetto sanitario individuale che appaiono imprescindibili per tali tipologie di trattamenti;

-    i rischi specifici di una possibile re-identificazione dell’interessato da parte del Ministero della salute, titolare del trattamento dell’EDS, rispetto ai dati raccolti attraverso l’NSIS, la cui analisi deve condurre ad una valutazione circa la perdurante efficacia delle disposizioni relative al sistema di codificazione dei dati di cui al D.M. 07/12/2016, n. 262 (Regolamento recante procedure per l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato);

- i rischi connessi alla forma dei dati raccolti nell’EDS (informazioni strutturate), che consentono quindi una maggiore fruibilità e facilità di elaborazione.

Oltre alle predette carenze in ordine all’individuazione dei rischi, si rileva comunque che le misure previste per affrontare i rischi ivi censiti, appaiono incomplete sia da un punto di vista tecnico, che organizzativo, in quanto il documento trasmesso:

- rimanda talvolta per l’individuazione delle medesime a una versione successiva del documento (par. 2.4 dell’allegato tecnico con riferimento al sistema di monitoraggio e controllo) o a misure relative a trattamenti estranei all’EDS (es. tamponi Covid-19 e certificati di guarigione- vd. par. 5.2) o ancora da descrivere (cfr. par. 7.4.2);

- risulta privo dell’indicazione delle misure tecniche e organizzative relative ai diversi servizi offerti dall’EDS in relazione sia alle finalità più strettamente sanitarie (cura, prevenzione e profilassi) che a quelle attinenti al governo sanitario e alla gestione dello stesso (attività di governo e sistemi di monitoraggio e controllo);

- non individua in modo puntuale le tecniche utilizzate al fine di “generare” i dati e i servizi attraverso l’EDS. Al riguardo, nel richiamare l’attenzione sul possibile impiego di tecniche di intelligenza artificiale nell’ambito dell’elaborazione dei dati da parte dell’EDS ai fini dell’erogazione dei servizi indicati dalla normativa primaria, si rappresenta che il Regolamento prevede requisiti specifici e garanzie adeguate per i diritti degli interessati, specie ove si faccia ricorso alla profilazione per adottare decisioni che incidano su singoli individui (artt. 13, par. 1 lett. f); 14, par. 2, lett. g), 15, par. 1, lett. h) art. 21, par. 1 e 35, par 3, lett. a) del Regolamento, cfr. parere del 5 marzo 2020, doc. web n. 9304455)). Al riguardo, si richiama la sentenza del Consiglio di stato (Cons. St., sez. VI, 13 dicembre 2019, n. 8472) e il necessario rispetto dei principi nella stessa richiamati di conoscibilità, di non esclusività della decisione algoritmica e di non discriminazione algoritmica. Sul punto si richiama inoltre il documento “I sistemi di intelligenza artificiale come strumento di supporto alla diagnostica” redatto dal Consiglio superiore di sanità, Sez. V, il 9 novembre 2021 che pone elementi di riferimento in ordine ai presupposti giuridici dell’utilizzo dei sistemi di intelligenza artificiale nell’ambito della sanità digitale.

La valutazione trasmessa inoltre contiene alcuni refusi con riferimento alla tipologia di dati trattati dall’EDS, in quanto richiama tipologie di dati che sono esclusi dal novero di quelli alimentanti l’Ecosistema (es. dati genetici- par. 2.3) e utilizza definizioni e classificazioni non corrispondenti e coerenti al quadro normativo (cfr. par. 3.2.1, 3.2.2., 3.2.3., 3.2.4 e 3.2.5, cfr. anche la qualificazione dei dati del profilo sanitario sintetico come “dati di profilazione che hanno natura sanitaria” nel par. 2.3).

Tali elementi rendono evidente come la VIP trasmessa sia ancora incompleta, come del resto conferma la stessa denominazione (“versione bozza”), sia stata redatta su un modello standard che non tiene conto delle specificità del trattamento effettuato per le finalità dell’EDS, attinga ad altre valutazioni già trasmesse all’Autorità che però attengono a trattamenti molto diversi da quelli in esame e analizzi in modo prevalente i rischi fisici del trattamento e le connesse misure (es vigilanza armata) di rilievo ben più modesto rispetto a quelle insite di quella che si appresta ad essere la più grande banca dati sanitaria del nostro Paese.

Ciò premesso, si rileva che solo all’esito di una preventiva e compiuta valutazione di impatto che tenga conto di quanto sopra osservato e anche eventualmente a seguito di una consultazione preventiva del Garante, ai sensi dell’art. 36 del Regolamento, potrà essere adottato il parere dell’Autorità sul decreto in esame.

Si invitano inoltre i predetti dicasteri a coinvolgere per la valutazione del rischio di tali trattamenti anche strutture riconosciute a livello nazionale con competenze mediche ed etiche in ordine, rispettivamente, alla validazione del modello clinico atteso attraverso l’uso di strumenti algoritmici ai dati sanitari oggetto di interconnessione e elaborazione e agli aspetti deontologici ed etici legati al diritto di non sapere.

***

Alla luce delle suesposte considerazioni, nel rilevare l’importanza di completare la diffusione del Fascicolo Sanitario Elettronico quale obiettivo nella Missione 6 del Piano nazionale di ripresa e resilienza, si osserva che lo schema di decreto in esame, per i profili di competenza, oltre a non risultare coerente con il quadro normativo complessivo di settore, reca profili di violazione della disciplina rilevante in materia di protezione dei dati personali che impongono la necessità di operare una profonda revisione del testo.

TUTTO CIÒ PREMESSO, IL GARANTE

in considerazione delle carenze strutturali e sostanziali descritte in premessa, riguardanti la mancanza di garanzie uniformi a livello nazionale per il pieno rispetto dei diritti e delle libertà fondamentali degli interessati e degli elementi richiesti dall’art. 12 del d.l. n. 179/2012 a cui lo schema di decreto in esame dà attuazione e in relazione alle criticità descritte e motivate nel paragrafo 3 del presente parere, cui si rinvia integralmente, relative a:

1. il contenuto dell’EDS, con riferimento al quale devono essere indicati quali siano i “dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria” che, nel rispetto dei principi di minimizzazione, esattezza e integrità e riservatezza, alimentano l’EDS, al fine di “garantire il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale per il perseguimento delle finalità” perseguibili attraverso il FSE, assicurando che la raccolta riguardi soltanto i dati generati successivamente all’adozione dello schema di decreto di cui all’art. 12, comma 15 quater, del d.l. n. 179/2012 (paragrafo 3.2);

2. l’alimentazione dell’EDS, in merito alla quale devono essere indicati, nel rispetto di quanto previsto dall’art. 12, comma 15-quater, del d.l. n. 179/2012, i soggetti e le modalità di realizzazione di tale alimentazione (paragrafo 3.3);

3. i diritti dell’interessato, con riferimento ai quali devono essere indicati gli specifici diritti esercitabili da parte dell’interessato sui dati “raccolti e generati dall'EDS” in relazione ai diversi servizi erogati dall’Ecosistema e descritte le specifiche misure adottate per assicurare il rispetto dell’esercizio del diritto di oscuramento (paragrafo 3.4);

4. il consenso dell’interessato, in merito al quale deve essere indicato l’ambito di operatività del consenso e le conseguenze di un’eventuale revoca dello stesso con specifico riferimento alla raccolta, all’elaborazione dei dati e all’erogazione dei servizi da parte dell’EDS (paragrafi 3.5);

5. i servizi resi dall’EDS, con riferimento ai quali devono essere indicati, in relazione alle diverse finalità del trattamento perseguibili attraverso il FSE e ai differenti soggetti a ciò deputati, gli specifici servizi che – su richiesta- l’EDS può erogare, nonché descritti, con riferimento a ciascun servizio, la tipologia di dati che si intende raccogliere, le modalità di raccolta e di elaborazione degli stessi e le fattispecie nell’ambito delle quali i soggetti deputati al perseguimento delle finalità del FSE possono richiedere specifici servizi all’EDS (paragrafo 3.6);

6. la titolarità dei trattamenti, essendo necessario che siano descritti i ruoli del trattamento nelle fasi di raccolta ed elaborazione dei dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e di quelli resi disponibili tramite il sistema Tessera Sanitaria, nonché con riferimento alla richiesta dei servizi erogati dall’EDS (paragrafo 3.7);

7. la valutazione di impatto e le misure di sicurezza relative all’EDS, essendo necessario che sia riformulata la valutazione trasmessa in versione “bozza”, in modo da rispettare le specifiche osservazioni formulate nel presente parere e nel parere reso in pari data sullo schema di decreto sul FSE in considerazione dei significativi effetti che i trattamenti disciplinati dallo schema di decreto in esame possono avere sulla sfera giuridica degli interessati (paragrafo 3.8);

ritiene che il presente parere, reso ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, sullo schema di decreto trasmesso dal Ministero della salute, con la nota del 15 luglio 2022, da adottare assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sull’Ecosistema Dati Sanitari, ai sensi dell’art. 12, comma 15-quater, del decreto-legge 18 ottobre 2012, n. 179, non possa essere positivo.

Roma, 22 agosto 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei

 



Vedi anche (10)