[doc. web n. 9900433]

Parere sullo schema di decreto del Ministero della salute, da adottare assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sul Fascicolo Sanitario Elettronico (FSE) - 8 giugno 2023

Registro dei provvedimenti
n. 256 dell'8 giugno 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

VISTO l'articolo 12 del decreto-legge 18 ottobre 2012, n. 179, recante “Fascicolo sanitario elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale” così come modificato, da ultimo, dall’art 21 del d.l. 27 gennaio 2022, n. 4 convertito, con modificazioni, dalla legge 28 marzo 2022, n. 25;

VISTO il decreto del Presidente del Consiglio dei Ministri 29 settembre 2015, n. 178, recante “Regolamento in materia di Fascicolo Sanitario Elettronico”;

VISTO il parere non positivo reso dal Garante il 22 agosto 2022, n, 294 (doc. web n. 9802729);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

Il Ministero della salute, con la nota dell’11 aprile 2023, prot. n. 6126, ha trasmesso al Garante, per il prescritto parere di competenza, lo schema di decreto, da adottare assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sul Fascicolo Sanitario Elettronico (FSE) unitamente agli allegati A), B) e C).

La nota di trasmissione è stata accompagnata da un appunto sul predetto schema di decreto per il Sig. Ministro della salute, dallo stesso successivamente vistato, in cui sono stati sinteticamente descritti i recenti interventi normativi sulla disciplina di settore ed è stato rappresentato che l’attuazione degli stessi è legata al “raggiungimento degli obiettivi del sub-investimento FSE del PNRR”.

Nel predetto appunto è stato inoltre evidenziato che l’Autorità si era già espressa su una prima versione dello schema di decreto di attuazione della nuova disciplina del FSE con il parere non positivo del 22 agosto 2022, n. 294 a seguito del quale è stata “avviata un’intensa interlocuzione con il competente ufficio del Garante che ha comportato un complesso percorso di condivisione informale”, nell’ambito del quale si è delineata “la necessità di procedere per gradi attraverso la predisposizione dello schema di decreto FSE e, successivamente, alla predisposizione dello schema di decreto EDS, nonché al conseguente adeguamento del decreto interministeriale riguardante l’Infrastruttura Nazionale di Interoperabilità (INI).

Successivamente, con comunicazione del 6 maggio 2023, il Dipartimento per l’innovazione tecnologica e la trasformazione digitale, rilevata l'esigenza di un approfondimento con il Ministero della Salute sullo schema di decreto dallo stesso trasmesso, ha chiesto di valutare un rinvio dell’esame dello stesso da parte del Garante.

Con la nota del 24 maggio 2023 (prot. n. 8751) il Ministero della salute ha trasmesso una nuova versione dello schema di decreto, priva degli allegati, “nella quale, d’intesa con il Dipartimento per l’innovazione tecnologica e la trasformazione digitale, sono state apportate alcune modifiche, evidenziate in grassetto, al testo dell’articolo 13”.

Ciò stante, il presente parere è espresso sullo schema di decreto trasmesso in data 24 maggio 2023 e sugli allegati precedentemente trasmessi con nota dell’11 aprile 2023 che, non essendo stati nuovamente inviati, si intendono non modificati.

Lo schema di decreto si compone di 29 articoli di seguito sinteticamente descritti.

Successivamente al quadro definitorio (art. 1), sono indicate le finalità e l’ambito di applicazione del decreto (art. 2) e i contenuti del Sistema FSE (art. 3). Specifiche disposizioni riguardano il profilo sanitario sintetico (PSS) (art. 4) e il taccuino personale dell’interessato (TP) (art. 5). Gli artt. 6, 7, 8 e 9 concernono i dati soggetti a maggior tutela dell’anonimato, l’informativa da fornire all’interessato, il suo consenso e i diritti riconosciuti allo stesso. L’art. 10 disciplina il periodo di conservazione dei dati e l’art. 11 l’accesso al Fascicolo da parte dell’interessato. Gli artt. 12, 13 e 14 riguardano l’alimentazione del Sistema FSE e la titolarità dei trattamenti di tracciamento. Gli articoli seguenti disciplinano i trattamenti effettuati per finalità di cura (artt. 15), di prevenzione (artt. 16, 17) e di profilassi internazionale (artt. 18, 19). L’art. 20 concerne l’accesso in emergenza al FSE e gli artt. 21 e 22 la registrazione delle operazioni sul FSE e il servizio di notifica delle medesime. Dall’art. 23 all’art. 26 sono indicate le modalità di identificazione dell’assistito, le misure di sicurezza e le regole di interoperabilità. Le disposizioni finali riguardano le previsioni transitorie, gli oneri e l’entrata in vigore del decreto (artt. 27- 29).

Unitamente allo schema di decreto con la richiamata nota dell’11 aprile 2023 sono stati trasmessi 3 allegati, che ne costituiscono parte integrante e sono quindi oggetto del presente parere, concernenti: i contenuti dei dati e dei documenti, i soggetti abilitati a consultarli e i servizi che i FSE regionali devono assicurare ai propri assistiti (allegato A); le misure di sicurezza che i FSE regionali devono mettere in atto e manutenere nel tempo (allegato B) e i modelli architetturali tecnologici adottati per gli FSE regionali (allegato C).

Con la nota dell’11 aprile 2023 è stata inoltre trasmessa la valutazione d’impatto sulla protezione dei dati che, seppur non soggetta al parere dell’Autorità, costituisce, secondo quanto indicato dal predetto Ministero, un “elemento integrante per la richiesta formale di parere”.

In considerazione di quanto rappresentato dal Ministero della salute in merito all’attuazione del piano di investimento sul FSE del PNRR, il presente parere è reso nei termini indicati nell’art. 9, comma 7, del d. l. n. 139 del 2021.

OSSERVA

1. Premessa.

Lo schema di decreto in esame, come indicato anche dallo stesso Ministero della salute, intende dare una prima attuazione alle modifiche dell’art. 12 del decreto-legge 18 ottobre 2012, n. 179 sul FSE intervenute successivamente all’applicazione del d.P.C.M. n. 178 del 29 settembre 2015, tenendo conto della piena applicazione del Regolamento e dei numerosi rilievi formulati dal Garante nel richiamato parere non positivo del 22 agosto 2022.
In tale parere il Garante aveva rappresentato di aver rilevato nello schema di decreto allora trasmesso numerose carenze strutturali e sostanziali, riguardanti la mancanza sia di garanzie uniformi a livello nazionale per il pieno rispetto dei diritti e delle libertà fondamentali degli interessati che degli elementi richiesti dall’art. 12 del d. l. n. 179/2012 a cui lo schema di decreto intendeva dare attuazione.

L’Autorità aveva, pertanto, indicato una serie di condizioni ostative al rilascio del proprio parere favorevole, rilevando l’esigenza di riformulare lo schema di decreto sul FSE in merito ai seguenti aspetti:

1. Ambito di applicazione con particolare riferimento al rapporto tra lo schema di decreto sul FSE e il d.P.C.M. n. 178/2015 e il d.m. 18 maggio 2022 e al combinato disposto dell’art. 12, commi 7, 15-bis, 15-ter e 15 septies del d.l. n. 179/2012 (paragrafo 3.1 del predetto parere);

2. Contenuti del FSE con particolare riferimento ai “dati identificativi e amministrativi dell’assistito” e alle “prescrizioni” (paragrafo 3.2 del predetto parere);

3. Accesso al FSE in emergenza

• in caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere dell'interessato o rischio grave, imminente ed irreparabile per la salute o l'incolumità fisica dell'interessato qualora lo stesso non abbia prestato il proprio consenso al FSE per finalità di cura -nel rispetto dei principi di necessità e minimizzazione dei dati- limitando l’accesso al PSS, salvo che il Ministero della salute, sulla base di un’idonea e documentata valutazione tecnico-scientifica, avesse dimostrato, dandone conto al Garante, l’eventuale esigenza di un accesso all’intero FSE in quanto l’accesso al solo PSS non fosse ritenuto sufficiente per apprestare le cure in emergenza, fermo restando comunque, anche in tale ipotesi, che il personale medico, in emergenza, avrebbe potuto accedere, con un criterio di gradualità, prima al PSS e, solo qualora non vi avesse trovato le informazioni necessarie, all’intero FSE;

• in caso di emergenze sanitarie o di igiene pubblica, limitando l’accesso a dati non direttamente identificativi del FSE da parte del Ministero della salute, degli Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria (paragrafo 3.3 del predetto parere);

4. Diritti degli interessati, indicando puntualmente quelli esercitabili da parte dell’interessato in relazione alle diverse finalità perseguibili attraverso il FSE e alla pluralità dei soggetti deputati a raggiungerle, avendo cura di specificare le misure adottate per garantire l’esercizio del diritto di oscuramento previsto dalla normativa di settore (soggetto a cui inoltrare l’istanza, definizione dei tempi per il riscontro, modalità di revoca dello stesso e responsabilità connesse al mancato rispetto dell’istanza formulata dall’interessato, oscuramento dei documenti amministrativi correlati al dato oscurato), l’oscuramento di default dei dati soggetti a maggior tutela e quelle per assicurare il diritto dell’interessato di prendere visione degli accessi al suo FSE con riferimento alla tipologia di accessi registrati dalla propria Regione di assistenza di cui lo stesso può avere visione, alle operazioni registrate, al soggetto che le ha effettuate e alle finalità dallo stesso perseguite (paragrafo 3.4 del predetto parere);

5. Profilo Sanitario Sintetico (PSS), chiarendo il perimetro di responsabilità del MMG/PLS e della ASL, con particolare riferimento alle modalità di conservazione e alle misure di sicurezza dei dati trattati attraverso il PSS anche in relazione alle distinte versioni di tale documento che possono essere redatte nel tempo (paragrafo 3.5 del predetto parere);

6. Taccuino personale (TP), definendo, in modo coerente con il dettato normativo, i ruoli del trattamento, con particolare riferimento alla titolarità dello stesso, anche in considerazione delle operazioni di conservazione, cancellazione e di trasferimento dei dati tra Regioni (paragrafo 3.6 del predetto parere);

7. Dossier farmaceutico (DS), definendo la titolarità dei trattamenti e indicando ove risiedano i dati e i soggetti che possono accedervi e per quali finalità (paragrafo 3.7 del predetto parere);

8. Informazioni da fornire agli interessati, integrando il modello di informativa trasmesso con tutti gli elementi richiesti dagli artt. 13 e 14 del Regolamento in relazione ai molteplici trattamenti effettuati attraverso il FSE e superando le inesattezze e le incongruenze ivi contenute rispetto a quanto previsto nella normativa primaria (paragrafo 3.8 del predetto parere);

9. Consenso dell’interessato, prevedendo distinte e autonome espressioni di volontà dell’interessato in relazione alle diverse finalità del trattamento che si fondano sul consenso, perseguite da ciascuna categoria di soggetti prevista dalla normativa primaria e avendo cura di indicare, per ognuna di esse, le conseguenze della revoca del consenso, le modalità di espressione (anche in relazione ai minori e ai soggetti sottoposti a tutela) e di alimentazione dell’Anagrafe dei consensi, nonché le misure adottate per assicurare l’espressione di un consenso libero, specifico, informato, esplicito e sempre revocabile (paragrafo 3.9 del predetto parere);

10. Delega dell’interessato, prevedendo, nel rispetto dell’art. 12, commi 7 e 15 ter, del d.l. n. 179/2012, la configurazione dei sistemi con modalità tali che l’utenza del soggetto delegato sia collegata già ad un profilo di autorizzazione che consenta di accedere al Fascicolo del/dei delegante/i, adottando idonee misure per registrare gli accessi anche da parte del soggetto delegato, nonché determinando l’ambito di operatività della delega, il periodo di validità della stessa, il numero massimo di deleghe attribuibili ad un medesimo soggetto e quello che ogni assistito può effettuare per l’accesso al proprio FSE (paragrafo 3.10 del predetto parere);

11. Alimentazione del FSE, con riferimento alla tipologia dei soggetti che vi concorrono, individuando i limiti di responsabilità e i compiti degli stessi, alla titolarità del trattamento e ai ruoli dei soggetti che vi intervengono (paragrafo 3.11 del predetto parere);

12. Trattamenti per finalità di diagnosi, cura e riabilitazione, definendo, in modo conforme alla disciplina sulla protezione dei dati e a quella di settore, la titolarità del trattamento e indicando, nel rispetto dell’art. 12, commi 7 e 15 ter, del d.l. n. 179/2012, per ciascuna categoria dei soggetti che prendono in cura l’interessato che abbia già manifestato il consenso alla consultazione del FSE, i compiti agli stessi attribuiti, le connesse responsabilità, le modalità e i livelli diversificati di accesso (paragrafo 3.12 del predetto parere);

13.  Trattamenti per finalità di prevenzione, definendo, in modo conforme alla disciplina sulla protezione dei dati e a quella di settore, la titolarità del trattamento e indicando, nel rispetto dell’art. 12, commi 7 e 15 ter, del d.l. n. 179/2012, per ciascuna categoria dei soggetti che possono perseguire tale finalità -previo consenso dell’interessato- i compiti agli stessi attribuiti e le connesse responsabilità, nonché le modalità e i livelli diversificati di accesso, con modalità tali che tengano conto, con riferimento al Ministero della salute, alle regioni e alle province autonome, dei rischi di re-identificazione degli interessati e che assicurino che il trattamento avvenga esclusivamente a opera di personale tenuto al “segreto professionale” (paragrafo 3.13 del predetto parere);

14. Trattamenti per finalità di profilassi internazionale, definendo, in modo conforme alla disciplina sulla protezione dei dati e a quella di settore, la titolarità del trattamento e indicando, nel rispetto dell’art. 12, commi 7 e 15 ter, del d.l. n. 179/2012, la tipologia di dati e di documenti che, in linea con il principio di minimizzazione, il Ministero della salute può trattare sulla base di uno specifico e valido consenso dell’interessato, avendo cura di indicare le misure adottate per scongiurare il rischio di re-identificazione dell’interessato e per assicurare che il trattamento avvenga esclusivamente ad opera di personale tenuto al “segreto professionale” (paragrafo 3.14 del predetto parere);

15. Trattamenti per finalità di governo sanitario, indicando la tipologia di dati e di documenti, le modalità e i livelli diversificati di accesso al FSE, in relazione alle diverse tipologie di soggetti (regioni/province e Ministero della salute) che, secondo la normativa primaria, possono accedere al Fascicolo per finalità di governo, avendo cura di indicare le misure idonee a scongiurare il rischio di re-identificazione dell’interessato (paragrafo 3.15 del predetto parere);

16. Valutazione d’impatto da effettuare con riferimento al nuovo sistema FSE, tenendo conto degli specifici rischi indicati nel paragrafo 1.6 del predetto parere, e dei significativi effetti che i trattamenti che si intende disciplinare possono avere sulla sfera giuridica degli interessati, ai sensi dell’art. 35, par. 10, del Regolamento, in relazione all’insieme dei trattamenti che saranno posti in essere nell’ambito del nuovo Sistema FSE da una pluralità di titolari, che presentano rischi analoghi; in particolare, il Garante aveva evidenziato la necessità che il Ministero della salute predisponesse una valutazione d’impatto in ordine ai trattamenti, di cui è titolare, assicurando il coordinamento delle misure previste in tale valutazione con i trattamenti effettuati dai diversi titolari a vario titolo coinvolti (paragrafo 3.16 del predetto parere).

2. Il superamento delle criticità rilevate nel parere del 22 agosto 2022

Lo schema di decreto trasmesso con le note dell’11 aprile e del 24 maggio 2023 è stato elaborato a seguito delle numerosissime e frequenti interlocuzioni informali che si sono tenute con il Ministero della salute dal mese di settembre 2022 al mese di aprile 2023 in merito alle criticità rilevate nel citato parere del 22 agosto 2022.

Complessivamente lo schema trasmesso risulta profondamente modificato rispetto alla versione su cui l’Autorità si era espressa ad agosto del 2022, in quanto, al fine di superare i rilevi formulati dal Garante, si è reso necessario approfondire, integrare e regolamentare tutti gli aspetti del trattamento dei dati personali connessi alla realizzazione al nuovo sistema di FSE.

L’assetto risultante dal nuovo schema di decreto risponde, in via prioritaria, all’osservazione formulata dal Garante in ordine alla necessità di fornire una visione complessiva della titolarità del trattamento che tenga conto che il FSE, ai sensi dell’art. 12 del d.l. n. 179/2012, è istituito presso le regioni/province autonome, ma che può essere utilizzato, per differenti finalità, da parte di una molteplicità di soggetti sulla base di diversi presupposti di liceità. Come richiesto dall’Autorità, lo schema di decreto in esame definisce la funzione di tali enti in relazione ai ruoli del trattamento previsti dal Regolamento e in funzione dei diversi modelli architetturali che le regioni e le province autonome possono adottare nella realizzazione del FSE (modello centralizzato, decentralizzato e in sussidiarietà), definendo misure e livelli di tutela uniformi sul territorio nazionale e dando attuazione all’art. 12 del d.l. n. 179 del 2012 (cfr. allegato C allo schema di decreto).

Ciò premesso, di seguito sono esaminati gli interventi correttivi e integrativi effettuati dal Ministero della salute sullo schema di decreto sul FSE trasmesso il 24 maggio 2023 nella versione finale e sugli  allegati trasmessi con la richiamata nota dell’11 aprile 2023 in relazione alle singole condizioni ostative indicate dal Garante nel predetto parere del 22 agosto 2022 con riferimento alle quali si impone una lettura congiunta.

2.1. Ambito di applicazione (art. 2 dello schema di decreto e par. 3.1. del parere del 22 agosto 2022)

Nel parere del 22 agosto 2022 il Garante aveva evidenziato che lo schema di decreto allora in esame non regolava compiutamente il rapporto con il d.P.C.M n. 178 del 2015 e con il decreto del Ministero della salute del 18 maggio 2022, sul quale l’Autorità aveva reso il parere del 7 aprile 2022, n. 117.

In particolare, l’Autorità aveva richiamato l’attenzione sul fatto che il decreto del 18 maggio 2022 era stato adottato nelle more dell’adozione del nuovo decreto attuativo della disciplina sul FSE (modificando l’abrogando d.P.C.M n. 178/2015) e che, quindi, avrebbe dovuto cessare di avere efficacia con l’emanando decreto. Sotto altro profilo, considerato che lo schema di decreto sul FSE avrebbe sostituito il predetto d.P.C.M., era stato evidenziato il tema della disciplina dei trattamenti effettuati per finalità di ricerca regolati nel predetto d.P.C.M ma non anche nello schema di decreto allora in esame.

I profili di criticità sopra evidenziati sono stati superati nello schema di decreto in esame, in quanto è stata espressamente prevista la cessazione dell’efficacia del d.P.C.M n. 178 del 2015, a eccezione dei Capi III e IV che rimarranno in vigore fino all’adozione delle specifiche disposizioni (finalità di ricerca e di governo) che saranno adottate ai sensi del comma 7, dell’art. 12 del d.l. n. 179 del 2012, (art. 27, comma 5, dello schema di decreto).

Inoltre, è stato poi precisato che dal giorno successivo all’entrata in vigore dello schema di decreto in esame è prevista la cessazione dell’efficacia del citato decreto del Ministro della salute del 18 maggio 2022 (art. 27, comma 6, dello schema di decreto).

Un’ulteriore criticità rilevata nel predetto parere riguardava la circostanza che lo schema di decreto allora esaminato disciplinava, in parte, quanto sarebbe dovuto essere regolamentato da altro decreto, ovvero da quello di cui all’art. 12, comma 15-ter, del d.l. n. 179 del 2012, che non risultava essere stato ancora adottato (es. modalità attraverso le quali il Sistema Tessera sanitaria (TS) rende disponibili ai FSE e ai dossier farmaceutici, attraverso l’infrastruttura nazionale, i dati risultanti negli archivi del medesimo Sistema).

Al riguardo, si prende atto che, seguendo le osservazioni formulate dall’Autorità, lo schema di decreto in esame prevede che, con distinto decreto del Ministro dell'economia e delle finanze, di concerto con il Ministro della salute e con il Ministro per l'innovazione tecnologica e la transizione digitale, previo parere del Garante, saranno stabilite, ai sensi del combinato disposto dell’art. 12, commi 15-ter, numero 3) e 15-septies, del d. l. n. 179 del 2012, le modalità, nonché le misure tecniche e organizzative necessarie a garantire la sicurezza del trattamento e i diritti e le libertà degli interessati, con cui il Sistema TS renderà disponibile ai FSE, attraverso l'infrastruttura nazionale di cui allo stesso comma 15-ter, i dati -risultanti negli archivi del medesimo Sistema TS- relativi alle esenzioni dell'assistito, alle prescrizioni e prestazioni erogate di farmaceutica, ivi compresi i relativi piani terapeutici, di specialistica a carico del Servizio sanitario nazionale (SSN), nonché alle ricette e alle prestazioni erogate non a carico del SSN, ai certificati di malattia telematici e alle prestazioni di assistenza protesica, termale e integrativa, nonché ai dati di cui all'art. 3 del d.lgs. n. 175 del 2014, comprensivi dei dati relativi alla prestazione erogata e al relativo referto (art. 3, comma 4, dello schema di decreto).

Sul punto, si evidenzia, inoltre, che le disposizioni transitorie dello schema di decreto in esame precisano, come richiesto dall’Ufficio, che le funzionalità rese dal Portale nazionale FSE, indicate nello stesso schema di decreto, saranno rese operative solo a seguito dell’adozione del decreto attuativo di cui al comma 15-ter, dell’art. 12 del d.l. n. 179 del 2012 (art. 27, comma 7, dello schema di decreto).

Al riguardo, l’Ufficio, nell’ambito delle molteplici interlocuzioni informali intercorse con il Ministero della salute, aveva evidenziato che la “realizzazione” del Portale nazionale FSE deve essere prevista con un decreto del Ministro dell'economia e delle finanze, di concerto con il Ministro della salute e con il Ministro per l'innovazione tecnologica e la transizione digitale, previo parere del Garante, e deve disciplinare anche l’“interconnessione con i corrispondenti portali delle regioni e province autonome, per consentire, tramite le funzioni dell'Indice Nazionale, l'accesso on line al FSE da parte dell'assistito e degli operatori sanitari autorizzati” (art. 12, comma 15-ter, punti 3 e 4-quater del d.l. n. 179/2012).

Le bozze di decreto precedenti allo schema in esame, infatti, attribuivano al predetto Portale numerose funzioni e trattamenti, ivi compresa la conservazione dei dati personali, senza che fosse ancora adottato il richiamato decreto interministeriale chiamato a “realizzare” lo stesso Portale, non assicurando, quindi, l’auspicato coordinamento normativo invocato dal Garante nel parere del 22 agosto 2022.

Il tema del necessario coordinamento tra le numerose disposizioni intervenute nel settore della sanità digitale era stato invocato dal Garante ad agosto 2022 anche al fine di individuare le componenti del FSE oggetto delle previste interconnessioni con gli altri sistemi informativi sanitari indicati dall’art. 2 sexies, comma 1-bis, del Codice e quelle impiegate ai fini dello sviluppo delle metodologie predittive di cui all’art. 7 del d.l. n. 34 del 2020. Al riguardo, si prende atto che, nel preambolo dello schema in esame, si precisa che i trattamenti dei dati del FSE per le predette finalità predittive e per le finalità di cui all’art. 2 sexies, comma 1 bis del Codice saranno disciplinati nei decreti attuativi delle predette disposizioni.

Si dà infine atto che è stato espunto il richiamo alle “Linee guida per l’attuazione del FSE” pubblicate l’11 luglio 2022, che, secondo quanto rilevato dall’Autorità nel citato parere, intervenivano su aspetti diversi da quelli indicati nell’art. 12, comma 15-bis, d.l. n. 179/2012 (dati contenuti nel FSE e delle sue componenti, finalità, funzioni delle componenti del sistema FSE, alimentazione del Fascicolo, livelli di accesso al FSE, servizi erogabili attraverso il FSE, gestione dei consensi e delle deleghe, funzioni e caratteristiche dell’EDS), che sono invece stati oggetto, come previsto dalla norma di riferimento, dello schema di decreto in esame e dell’allegato A.

Ciò premesso, lo schema di decreto in esame supera tutte le criticità relative all’ambito di applicazione e al necessario coordinamento normativo di cui al paragrafo 3.1 del predetto parere del 22 agosto 2022.

2.2. Contenuti del FSE (art. 3 dello schema di decreto e par. 3.2. del parere del 22 agosto 2022)

Con riferimento ai dati e documenti contenuti nel FSE, il Garante, nel citato parere, aveva rilevato alcune criticità in ordine alla raccolta dei dati relativi alle esenzioni per reddito, richiamando quanto già rappresentato nel parere del 26 luglio 2017 e, in particolare, che, alla luce dei principi di minimizzazione dei dati e di limitazione delle finalità, tali dati devono essere accessibili al solo interessato.

Al riguardo, si prende atto della previsione contenuta nello schema di decreto in esame secondo cui le informazioni delle esenzioni per reddito e i relativi codici esenzione, resi disponibili nel FSE, sono consultabili dal solo interessato (art. 3, comma 2, dello schema di decreto).

Con specifico riferimento alle esenzioni per patologia, su cui l’Autorità aveva chiesto chiarimenti in merito alla fonte di raccolta, atteso che le stesse non sono detenute dal Sistema TS, si richiama quanto indicato nel precedente paragrafo in ordine al rinvio contenuto nello schema di decreto in esame a un distinto decreto del Ministro dell'economia e delle finanze, di concerto con il Ministro della salute e con il Ministro per l'innovazione tecnologica e la transizione digitale, previo parere del Garante, in cui saranno stabilite, ai sensi del combinato disposto dell’art. 12, commi 15-ter, numero 3) e 15-septies, del d.l. n. 179 del 2012, le modalità, nonché le misure tecniche e organizzative necessarie a garantire la sicurezza del trattamento e i diritti e le libertà degli interessati, con cui il Sistema TS renderà disponibile ai FSE, attraverso l'infrastruttura nazionale di cui allo stesso comma 15-ter, i dati risultanti negli archivi del medesimo Sistema TS, relativi anche alle esenzioni dell'assistito (art. 3, comma 4, dello schema di decreto).

L’art. 3 dello schema di decreto in esame è stato, inoltre, riformulato eliminando le enunciazioni generiche presenti e prevedendo, come richiesto dall’Autorità nel parere del 22 agosto 2022, che al momento dell’oscuramento della prescrizione siano automaticamente oscurati anche i documenti collegati all’erogazione delle prestazioni ivi indicate e i relativi referti, ciò al fine di non vanificare l’eventuale richiesta di oscuramento dell’interessato attraverso la presenza nel FSE dei documenti sanitari connessi alla prestazione (es. referto di una prestazione specialistica con riferimento alla relativa prescrizione) (cfr. anche art. 9, comma 7, dello schema di decreto in esame).

Ciò stante, lo schema di decreto in esame supera tutte le criticità concernenti i contenuti del FSE di cui al paragrafo 3.2 del predetto parere del 22 agosto 2022.

2.3 Accesso al FSE in emergenza (art. 20 dello schema di decreto e par. 3.3. del parere del 22 agosto 2022)

Nel richiamato parere del 22 agosto 2022, il Garante aveva espresso puntuali riserve in ordine alla possibilità di accedere all’intero FSE da parte del personale sanitario operante in emergenza, nel caso in cui l’interessato non avesse prestato il proprio consenso al FSE per finalità di cura e si trovasse in una condizione di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere o di rischio grave, imminente e irreparabile per la sua salute o incolumità fisica.

In particolare, l’Autorità aveva ritenuto che -salvo che il Ministero della salute, sulla base di un’idonea e documentata valutazione tecnico-scientifica, dimostrasse, dandone conto al Garante, l’eventuale esigenza di un accesso, con criteri di gradualità, all’intero FSE, in quanto l’accesso al solo PSS non fosse ritenuto sufficiente per apprestare le cure in emergenza ai pazienti che non avessero già manifestato il proprio consenso alla consultazione del FSE, alla luce dell’art. 9, par. 2, lett. c) del Regolamento e di quanto disposto dall’art. 12, comma 5, d.l. n. 179/2012- la previsione all’epoca formulata, secondo cui, in caso di mancata espressione del consenso dell’interessato all’utilizzo del FSE per finalità di cura, gli operatori sanitari che intervengono in emergenza potevano accedere a tutto il FSE (tranne che ai documenti oscurati), non rispettasse quanto disposto dal richiamato quadro normativo, la centralità del consenso per l’utilizzo del FSE per finalità di cura e quindi la volontà dell’interessato e non fosse proporzionata rispetto agli interessi e ai diritti costituzionalmente rilevanti tutelati dalle predette disposizioni.

A seguito del predetto rilievo, nell’ambito delle numerose interlocuzioni con il Ministero della salute, l’Ufficio ha più volte sollecitato quest’ultimo a produrre idonea e documentata valutazione tecnico-scientifica per dimostrare l’esigenza di accedere, in emergenza, all’intero FSE dell’interessato che non abbia prestato il consenso alla consultazione del FSE per finalità di cura. A fronte di tali sollecitazioni, il Ministero ha inviato, nel mese di febbraio 2023, una nota della Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri che, tuttavia, è risultata non sufficientemente incentrata sulla specifica fattispecie richiesta dall’Autorità nel citato parere (accesso in emergenza al FSE di un interessato che non abbia manifestato il consenso al FSE e che si trovi in condizione di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere o di rischio grave, imminente e irreparabile per la sua salute o incolumità fisica). Successivamente, nel mese di marzo 2023, il Ministero ha trasmesso un’ulteriore documentazione della Società italiana medicina di emergenza-urgenza in cui è stato evidenziato che “una delle maggiori criticità nell’ambito della gestione del paziente critico in Medicina d’Emergenza Urgenza risiede nella carenza, spesso nella totale assenza, di informazioni sulla storia clinica recente e passata”. Nella predetta nota è stato, inoltre, rappresentato che “la semplice sintesi della storia clinica del paziente, che costituisce il “Patient Summary” previsto nel Fascicolo Sanitario Elettronico” debba considerarsi “insufficiente” “essendo invece cruciale poter attingere direttamente al dato originale di numerose possibili informazioni”.

Alla luce di tali indicazioni e in conformità a quanto indicato dal Garante nel predetto parere del 22 agosto 2022, la relativa disposizione dello schema di decreto in esame è stata completamente riformulata prevedendo, in caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere e di rischio grave, imminente e irreparabile per la salute o l'incolumità fisica dell'interessato che non abbia espresso il consenso alla consultazione per finalità di cura dei dati del proprio FSE, che gli operatori del SSN e dei servizi socio-sanitari regionali, nonché gli esercenti le professioni sanitarie, possano accedere prioritariamente al PSS del medesimo interessato e, ove necessario, agli ulteriori dati e documenti del FSE, a eccezione di quelli per i quali lo stesso abbia richiesto l’oscuramento, in ogni caso solo dopo averne verificato l’incapacità fisica o giuridica di esprimere il consenso e per il tempo strettamente necessario ad assicurare allo stesso le indispensabili cure o fino a quando l’interessato non sia nuovamente in grado di esprimere la propria volontà al riguardo (art. 20 dello schema di decreto).

La nuova formulazione in ordine all’accesso in emergenza al FSE supera le criticità rilevate nel predetto parere essendo stata formulata sulla base di una valutazione tecnico scientifica, e avendo previsto, anche tecnicamente, un accesso al FSE in emergenza graduale, ovvero dapprima al solo PSS e, nel caso in cui questo non sia sufficiente, all’intero FSE, limitatamente al tempo strettamente necessario ad assicurare le cure emergenziali all’interessato e sempre nel rispetto del diritto di oscuramento eventualmente esercitato (cfr. art. 20 dello schema di decreto e punto 4.1 dell’allegato A).

Si prende inoltre atto dell’eliminazione della previsione -considerata dal Garante nel predetto parere del 22 agosto 2022 non in linea con il principio di proporzionalità del trattamento- secondo cui, in caso di emergenze sanitarie o di igiene pubblica, con ordinanza del Ministro della salute o del Presidente della Regione ai sensi dell’art. 32 della legge n. 833 del 1978 e dell’art. 177 del d.lgs n. 112 del 1998, il Ministero della salute e gli Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria potevano essere autorizzati a trattare i dati del FSE per le finalità di prevenzione e di profilassi internazionale anche in assenza del consenso alla consultazione da parte degli assistiti.

Secondo l’Autorità, infatti, l’accesso a un sistema informativo contenente dati non codificati sulla salute di tutta la popolazione assistita sul territorio nazionale -che non risponde a requisiti di completezza e aggiornamento, essendo per sua natura incompleto- da parte di soggetti che istituzionalmente non sono deputati a trattare dati direttamente identificativi per finalità di prevenzione e profilassi internazionale, appariva in contrasto con la disciplina di settore e con i principi di minimizzazione dei dati e di limitazione delle finalità del trattamento (art. 5 del Regolamento), atteso anche che non erano stati forniti elementi in merito alla necessità, in caso di emergenze sanitarie o di igiene pubblica, per il Ministero della salute e gli Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria, di trattare dati direttamente identificativi di tutta la popolazione italiana, al di fuori delle specifiche disposizioni di legge adottate in materia.

Ciò stante, lo schema di decreto in esame supera tutte le criticità concernenti l’accesso in emergenza al FSE di cui al paragrafo 3.3 del predetto parere del 22 agosto 2022.

2.4. Diritti degli interessati (artt. 6, 9 e 21 dello schema di decreto e par. 3.4. del parere del 22 agosto 2022)

Nel parere del 22 agosto 2022, il Garante aveva rappresentato che le previsioni contenute nello schema di decreto all’epoca inviato non risultavano adeguate a tutelare i diritti esercitabili da parte dell’interessato in relazione ai molteplici trattamenti effettuati attraverso il FSE, atteso che il novero dei diritti riconosciuti dall’ordinamento risulta diversamente delineato in relazione alla specifica base giuridica su cui si fondano i trattamenti (cfr. comunicato stampa dell’11 gennaio 2021, doc. web n. 9516732 e nota del 5 febbraio 2021, prot. n. 7255).

Specifiche criticità erano state inoltre evidenziate con riferimento alla mancanza di puntuali e uniformi misure sul territorio nazionale per garantire l’effettività del diritto di oscuramento (modalità di esercizio del diritto e di revoca), in relazione al rischio di accedere a dati oscurati attraverso il PSS e il DF e alla mancata individuazione del soggetto responsabile di dar corso all’istanza di oscuramento da parte dell’interessato.

Al riguardo, come richiesto dall’Ufficio, nel rispetto del principio di trasparenza, è stato garantito il diritto di oscuramento nei confronti di tutti i dati e i documenti presenti in ogni partizione del FSE e sono state indicate anche le conseguenze dell’oscuramento sulla consultabilità dei dati e dei documenti per le diverse finalità perseguibili attraverso il FSE, nonché assicurata l’immediatezza dell’efficacia di tale istanza (art. 9, commi 3-7, dello schema di decreto).

L’Autorità, inoltre, aveva richiesto che fossero introdotte specifiche misure di sicurezza per l’oscuramento di default dei dati soggetti a maggior tutela dell’anonimato, visibili automaticamente solo all’interessato, e per assicurare il diritto di quest’ultimo di prendere visione degli accessi effettuati al proprio FSE.

Con specifico riferimento a tali dati, al fine di superare i rilievi formulati dal Garante e ribaditi più volte dall’Ufficio nel corso delle interlocuzioni intercorse, è stato previsto che gli stessi siano resi visibili solo all’assistito, il quale potrà liberamente decidere in qualsiasi momento di renderli visibili a terzi attraverso una specifica manifestazione di volontà da rendere al soggetto che eroga la prestazione (art. 6, comma 1, dello schema di decreto).

Lo schema di decreto, come richiesto dal Garante, ha definito anche le responsabilità in caso di mancato oscuramento del dato o documento da parte del soggetto che eroga la prestazione (art. 6, comma 2, dello schema di decreto).

Si evidenzia poi che, nelle more della disciplina relativa al Portale nazionale FSE, lo schema di decreto in esame individua modalità di esercizio dei predetti diritti immediatamente percorribili, affiancate da puntuali misure tecnico-organizzative descritte nell’allegato A allo schema di decreto.

Con specifico riferimento al diritto dell’interessato di conoscere gli accessi effettuati al proprio FSE, il Ministero ha accolto le osservazioni formulate dall’Ufficio, nell’ambito delle richiamate interlocuzioni, relativamente alla natura di dato personale dell’informazione relativa al professionista che ha effettuato l’accesso al FSE in qualità di lavoratore e ha conseguentemente previsto che fossero comunicate all’interessato che eserciti tale diritto solo le seguenti informazioni: tipologia del dato o documento oggetto dell’operazione; tipologia di operazione effettuata (alimentazione ovvero accesso in consultazione); categoria di soggetto che ha effettuato l’accesso senza indicarne le generalità (assistito, delegato dell’assistito, medici di medicina generale, pediatri di libera scelta, struttura sanitaria, unità organizzativa regionale o provinciale competente in materia di prevenzione sanitaria, unità organizzativa del Ministero della salute); data e ora dell’operazione; e, per le sole operazioni di accesso in consultazione, finalità dell’operazione (art. 21, commi 1, 2 e 3 dello schema di decreto).

Al riguardo, si ribadisce che, in ogni caso, l’informazione raccolta relativa all’autore dell’accesso deve essere trattata in conformità al quadro giuridico di settore in materia di controllo a distanza dei lavoratori (art. 114 del Codice e art. 4, legge n. 400/1970).

Si prende inoltre atto che lo schema di decreto in esame supera anche le ulteriori criticità rilevate dal Garante nel predetto parere individuando in concreto, con disposizioni completamente riformulate, le modalità attraverso le quali l’interessato può accedere ai suoi dati e documenti sanitari, conoscere le operazioni che sono state effettuate sul suo FSE (artt. 9 e 21 dello schema di decreto) ed esercitare il predetto diritto di oscuramento e la sua revoca.

Pertanto, lo schema di decreto in esame supera tutte le criticità concernenti i diritti esercitabili dall’interessato di cui al paragrafo 3.4 del citato parere del 22 agosto 2022.

2.5 Profilo sanitario sintetico (PSS) (art. 4 dello schema di decreto e par. 3.5. del parere del 22 agosto 2022)

Nel parere del 22 agosto 2022, il Garante aveva manifestato talune perplessità in merito alla previsione secondo cui il PSS fosse conservato presso l’Azienda sanitaria locale (ASL) territorialmente competente, in qualità di responsabile del trattamento del medico di medicina generale/pediatra di libera scelta (MMG/PLS), rilevando la necessità che fosse meglio definito il perimetro di responsabilità del MMG/PLS e della ASL, con particolare riferimento alla circostanza che l’ASL avrebbe svolto il ruolo di responsabile del trattamento relativamente ai PSS di tutti i MMG e PLS insistenti sul territorio di competenza, prevedendo, presumibilmente, modalità di conservazione e misure di sicurezza dei dati unitarie che sarebbero sfuggite al previsto ambito di controllo del titolare.

Al riguardo, il Ministero della salute, anche alla luce delle successive interlocuzioni con l’Ufficio in merito alla necessità di interpretare correttamente l’attribuzione dei ruoli del trattamento fra i vari attori coinvolti ai sensi degli artt. 28 e 29 del Regolamento e delle Linee guida 07/2020 sui concetti di titolare del trattamento e di responsabile del trattamento dell’EDPB del 7 luglio 2021, ha completamente rivisto i ruoli del trattamento indicati nella precedente versione dello schema di decreto su cui il Garante si è espresso nel mese di agosto del 2022, prevedendo -a seconda del modello architetturale dell’infrastruttura FSE adottato dalla regione o dalla provincia autonoma- che la Regione o la ASL di assistenza sia titolare del trattamento del PSS, anche con riferimento all’adozione delle relative misure di sicurezza e alla conservazione del PSS corrente. È stato precisato inoltre che al predetto titolare non è consentita la consultazione dei dati ivi contenuti, a eccezione delle ASL per le pertinenti finalità di cura e prevenzione dalla stessa perseguibili (art. 4, comma 5, dello schema di decreto).

Un ulteriore aspetto critico rilevato dall’Autorità aveva riguardato la storicizzazione dei PSS redatti dai diversi MMG/PLS durante la vita dell’interessato con riferimento alla possibilità per quest’ultimo di consultare i precedenti PSS e al soggetto tenuto alla conservazione degli stessi ai fini dell’esercizio di tale diritto.

In merito a tali rilievi, lo schema di decreto in esame ha previsto che, in caso di variazione del MMG/PLS, il nuovo MMG/PLS rediga un nuovo PSS e che i precedenti siano conservati, a seconda del modello architetturale dell’infrastruttura FSE adottato dalla regione o dalla provincia autonoma, dalla Regione o dalla ASL territorialmente competente all’epoca della loro redazione, tenuta ad indicare le modalità di consultazione da parte dell’interessato (artt. 4, commi 6 e 7, e 11 dello schema di decreto).

Ciò stante, lo schema di decreto in esame supera tutte le criticità concernenti il PSS di cui al paragrafo 3.5 del predetto parere del 22 agosto 2022.

2.6 Taccuino personale dell’assistito (TP) (art. 5 dello schema di decreto e par. 3.6. del parere del 22 agosto 2022)

Anche con riferimento al TP, il Garante, nel predetto parere del 22 maggio 2022, aveva sollevato dubbi in merito alla corretta attribuzione dei ruoli del trattamento, all’individuazione dei soggetti cui poter attribuire la responsabilità in caso di alterazione, perdita, accesso illecito o di utilizzo improprio del Taccuino anche in considerazione delle previste operazioni di conservazione, cancellazione e trasferimento dei dati tra Regioni.

Le disposizioni relative al TP presenti nello schema di decreto in esame e negli allegati sono state completamente riformulate superando le non corrette precedenti ricostruzioni che attribuivano la titolarità del trattamento allo stesso interessato, in modo aderente alla disciplina in materia ed esplicitando che il TP è una sezione riservata del FSE all’interno della quale esclusivamente l’interessato, o un suo delegato, può inserire, modificare ed eliminare dati e documenti, garantendone l’esattezza e l’eventuale aggiornamento. La disposizione, inoltre, precisa, come richiesto dal Garante, che, indipendentemente dal modello architetturale di FSE adottato, la Regione di assistenza sia considerata titolare del trattamento dei documenti del TP, ivi compresa l’adozione delle relative misure di sicurezza, fermo restando che al predetto titolare non è consentita la consultazione dei dati ivi contenuti.

Ciò premesso, lo schema di decreto in esame supera tutte le criticità concernenti il TP di cui al paragrafo 3.6 del predetto parere del 22 agosto 2022.

2.7 Dossier farmaceutico (DF) (par. 3.7 del parere del 22 agosto 2022)

Con specifico riferimento al DF, nel citato parere del 22 agosto 2022, l’Autorità aveva rappresentato la necessità che lo schema di decreto in esame indicasse la titolarità dei trattamenti, ove risiedessero i dati e i documenti, i soggetti che potessero accedervi -e per quali finalità- e le modalità di aggiornamento atteso che, secondo quanto previsto dall’art. 12, comma 2 -bis, del d. l. n. 179 del 2012, i dati devono essere aggiornati dalla farmacia che effettua la dispensazione.

A seguito del predetto parere, nel corso delle ripetute interlocuzioni informali con l’Ufficio, è emerso che l’indeterminatezza della regolamentazione di tale partizione del FSE era dovuta alla circostanza che si intendeva dare attuazione a quanto previsto dal citato art. 12, comma 2 -bis, non attraverso un’indicizzazione dei dati e dei documenti sanitari rilevanti ai fini della prestazione farmaceutica, bensì attraverso l’erogazione di un servizio da parte dell’Ecosistema Dati Sanitari (EDS) realizzato mediante l’elaborazione di dati e documenti del FSE.

Il Ministero della salute ha pertanto espunto dallo schema di decreto in esame e dai relativi allegati le disposizioni sul DF ritenendo, come indicato nelle premesse allo schema di decreto, di disciplinare il dossier farmaceutico nel decreto attuativo delle disposizioni di cui al comma 15-quater dell’art. 12 del d. l. n. 179 del 2012, in quanto servizio reso disponibile dall’EDS sui dati estratti dai documenti del FSE.

Al riguardo, con riferimento alla prossima definizione dei profili del trattamento dei dati connessi alla realizzazione del DF, si rinvia integralmente alle osservazioni già formulate nel predetto parere del 22 agosto 2022.

2.8 Informativa (articolo 7 dello schema di decreto e par. 3.8 del parere del 22 agosto 2022)

Rispetto allo schema di decreto sul quale l’Autorità si è espressa nell’agosto 2022, l’attuale schema risulta privo di un modello di informativa da rendere agli interessati in merito al trattamento dei dati effettuato attraverso il FSE.

In considerazione dell’importanza di garantire un’informativa omogenea e uniforme sul territorio nazionale, ribadita anche dall’Ufficio nell’ambito delle predette interlocuzioni informali, lo schema di decreto prevede che il Ministero della salute predisponga, in collaborazione con le regioni e province autonome, un modello di informativa, da mettere a disposizione delle stesse attraverso la pubblicazione sull’area pubblica del Portale nazionale FSE quando sarà realizzato (art. 7, comma 4, dello schema di decreto).

Tale modello di informativa dovrà tener conto delle peculiarità proprie delle due soluzioni architetturali del FSE individuate nell’allegato C o dell’eventuale supporto in sussidiarietà del sistema FSE-INI offerto dal MEF, assicurando che, come indicato dallo schema di decreto, la regione/provincia autonoma dia adeguata pubblicità alla scelta del modello architetturale del FSE adottato (cfr. artt. 4, comma 5 e 5, comma 4. dello schema di decreto), nonché alle modalità di alimentazione e consultazione del FSE (art. 27, comma 1, dello schema di decreto).

Ciò premesso, fermo restando che, secondo quanto disposto dal Regolamento, l’informativa deve essere resa all’interessato prima dell’inizio del trattamento, si ritiene necessario che sia individuato un termine entro il quale procedere alla predisposizione di tale modello che, nel descrivere le caratteristiche del trattamento connesse alla nuova configurazione del FSE, dovrà tener conto delle osservazioni formulate al riguardo, nel tempo, dall’Autorità e, da ultimo, nel predetto parere del 22 agosto 2022 (cfr. anche nota del 15 dicembre 2020, prot. n. 47857).

Il predetto modello dovrà poi essere aggiornato a seguito dell’attuazione alle disposizioni sopra richiamate relative, in particolare, al Portale nazionale del FSE, alla medicina predittiva, all’interconnessione dei sistemi informativi, al ruolo del Sistema TS, ai servi resi da EDS e all’interconnessione del FSE con le infrastrutture nazionali e regionali di telemedicina.

Considerata la necessità di assicurare il pieno rispetto del principio di correttezza e trasparenza, atteso che il trattamento dei dati in esame coinvolge tutta la popolazione assistita sul territorio nazionale, si ritiene necessario che tale modello, anche nelle eventuali modifiche che saranno apportate nel tempo, sia previamente sottoposto al parere di questa Autorità.

2.9 Consenso dell’interessato (art. 8 dello schema di decreto e par. 3.9. del parere del 22 agosto 2022)

In via preliminare, si ricorda che, in virtù della riforma alla disciplina del FSE a opera del d.l. n. 4 del 2022, è previsto che il Fascicolo, oltre alle finalità di cura, persegua anche finalità di prevenzione (distinte da quelle di cura come invece originariamente previsto) e profilassi internazionale (art. 12, comma 2, lett. a- bis) e a-ter), del d.l. n. 179 del 2012).

La predetta disposizione ha stabilito che “la consultazione dei dati e documenti presenti nel FSE” per le finalità di diagnosi, cura e riabilitazione (art. 12, comma 2, lett. a)) prevenzione (art. 12, comma 2, lett. a- bis)) e di profilassi internazionale (art. 12, comma 2, lett. a-ter)) “può essere realizzata soltanto con il consenso dell'assistito e sempre nel rispetto del segreto professionale”.

L’art. 12 del d.l. n. 179 del 2012 individua anche i soggetti che possono perseguire le predette finalità, specificando che quelle di:

diagnosi, cura e riabilitazione di cui art. 12, comma 2, lett. a) siano perseguibili dai soggetti del SSN e dei servizi socio-sanitari regionali e da tutti gli esercenti le professioni sanitarie;

prevenzione (art. 12, comma 2, lett. a-bis)), siano perseguibili dai soggetti del Servizio sanitario nazionale e dei servizi socio-sanitari regionali, dagli esercenti le professioni sanitarie nonché dagli Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria e dal Ministero della salute;

profilassi internazionale (art. 12, comma 2, lett. a-ter)) siano perseguite dal Ministero della Salute.

Nel parere del 22 agosto 2022, il Garante aveva rappresentato che l’attuazione delle predette disposizioni doveva avvenire in modo conforme alle previsioni del Regolamento relative ai requisiti del consenso richiamati anche dal Comitato europeo per la protezione dei dati (cfr. art. 7 del Regolamento e Linee guida n. 5/2020 sul consenso ai sensi del Regolamento). In particolare, aveva richiamato l’attenzione sulla necessità che il consenso manifestato fosse libero, specifico, informato e inequivocabile e, con riferimento alle particolari categorie di dati, esplicito oltre che sempre revocabile.

Alla luce delle predette osservazioni, la disposizione sul consenso è stata completamente riformulata superando la previsione di un’unica manifestazione di volontà per tutte le predette finalità e disponendo, invece, che le manifestazioni di volontà richieste dal citato art. 12 del d.l. n. 179/2012 siano esprimibili disgiuntamente nei confronti dei trattamenti effettuati per finalità di diagnosi, cura e riabilitazione (art. 12, comma 2, lett. a)), di prevenzione (successiva lett. a- bis)) e di profilassi internazionale (successiva, lett. a-ter)).

Come richiesto dall’Autorità, sono state, inoltre, definite -per ciascuna manifestazione di volontà- le conseguenze della revoca del consenso, le modalità di espressione, anche in relazione ai minori e ai soggetti sottoposti a tutela, e di alimentazione dell’anagrafe dei consensi.

Nel predetto parere del 22 agosto 2022 il Garante aveva evidenziato anche che, con specifico riferimento alla manifestazione del consenso per le finalità di prevenzione, il rispetto dei requisiti previsti dal Regolamento impone che tale manifestazione di volontà sia espressa in modo disgiunto nei confronti delle tre diverse tipologie di soggetti che possono perseguirla, attesa l’eterogeneità degli stessi (esercenti le professioni sanitarie, Ministero della salute, uffici regionali e provinciali competenti in materia di prevenzione) e delle funzioni istituzionali a essi attribuite.

In materia, l’Autorità nel predetto parere aveva poi ricordato che l’art. 12 del d.l. n. 179/2012 ha previsto che “la consultazione dei dati e documenti presenti nel FSE” per le finalità di diagnosi, cura e riabilitazione, prevenzione e di profilassi internazionale “può essere realizzata soltanto con il consenso dell'assistito e sempre nel rispetto del segreto professionale”, chiedendo che il trattamento dei dati avvenisse esclusivamente a opera di personale soggetto al “segreto professionale” anche nel perseguimento -da parte dello stesso Ministero e delle regioni e provincie autonome -delle finalità di prevenzione e -del solo Ministero- delle finalità di profilassi internazionale.

Su tali punti il novellato schema di decreto tiene conto delle osservazioni dell’Autorità, prevedendo il rispetto del citato requisito relativo al rispetto delle regole del segreto professionale negli artt. 16, comma 3 e 18 dello schema di decreto.

Ciò premesso, lo schema di decreto in esame supera tutte le criticità espresse sul consenso dell’interessato di cui al paragrafo 3.9 del predetto parere del 22 agosto 2022.

2.10 Accesso al FSE da parte dell’interessato (art. 11 dello schema di decreto e par. 3.10 del parere del 22 agosto 2022)

Con particolare riferimento all’accesso al FSE da parte dell’interessato, il Garante aveva formulato uno specifico rilievo in merito all’istituto della delega, richiamando quanto già rappresentato dall’Ufficio, previa condivisione con il Collegio, nel 2017 -con riferimento al FSE (nota del 12 giugno 2017, prot. n. 20885) - e nel 2021 -con riferimento al sistema delle deleghe connesso alla Piattaforma per la notificazione degli atti della pubblica amministrazione (parere del 14 ottobre 2021 doc. web n. 9716841).

In particolare, era stata rappresentata al Ministero la necessità di configurare i sistemi affinché l’utenza del soggetto delegato sia collegata già ad un profilo di autorizzazione che consenta di accedere al Fascicolo del/dei delegante/i, adottando idonee misure per registrare gli accessi al FSE anche da parte del soggetto delegato.

Con specifico riferimento al contenuto della delega, era stato evidenziato che la stessa avrebbe dovuto indicare con chiarezza l’ambito di operatività, esplicitando, ad esempio, se relativa alla sola consultazione dei dati o anche all’inserimento degli stessi nel TP (procura speciale) e che, al fine di evitare possibili distorsioni o usi impropri, fosse preventivamente individuato il periodo di validità della delega e un numero massimo di deleghe attribuibili a un medesimo soggetto. Analogamente, l’Ufficio aveva ritenuto necessaria l’individuazione del numero massimo di deleghe che ogni interessato può stabilire per l’accesso al proprio FSE.

Nel riformulare interamente la disposizione in esame, il Ministero ha accolto l’invito del Garante di individuare misure uniformi sul territorio nazionale, anche al fine di garantire pari tutela agli interessati, disciplinando l’istituto della delega in modo coerente con quanto indicato nell’art. 12, comma 15 -ter), nn. 3 e 4-bis), d.l. n. 179/2012.

Sono stati, pertanto, descritti i trattamenti di dati connessi all’esercizio dell’istituto della delega individuando le rispettive titolarità del trattamento, le fattispecie legate all’accesso di un FSE di un minore o di soggetto sottoposto alle forme di tutela previste dal codice civile, definendo puntualmente, nelle more della realizzazione del Sistema Gestione Deleghe di cui all’articolo 64-ter del CAD, il numero massimo di deleghe consentite sia al delegante che al delegato, le procedure utilizzabili per effettuare la delega, il suo rinnovo e revoca, la durata di validità e l’ambito di operatività della delega che -in ogni caso- esclude l’accesso ai dati soggetti a maggior tutela.

Ciò stante, lo schema di decreto in esame supera tutte le criticità concernenti il sistema delle deleghe all’accesso dei dati di cui al paragrafo 3.10 del predetto parere del 22 agosto 2022.

2.11 Soggetti che concorrono alla alimentazione del Sistema FSE e le relative modalità (artt. 12 -14 dello schema di decreto e par. 3.11 del parere del 22 agosto 2022)

2.11.1 Le modifiche introdotte agli artt. 12, 13 e 14 dello schema di decreto nella versione trasmessa l’11 aprile 2023

Nel parere del 22 agosto 2022, l’Autorità aveva rilevato come principale criticità nelle disposizioni concernenti l’alimentazione del FSE la non corretta attribuzione della titolarità dei trattamenti, osservando che le singole persone fisiche che alimentano il FSE (professionisti sanitari delle strutture sanitarie del SSN o non) non operano, prevalentemente, in qualità di titolari del trattamento, bensì di soggetti autorizzati dalla struttura sanitaria, pubblica o privata presso cui operano (es. ASL, ospedale, casa di cura).

In tale parere il Garante aveva, infatti, evidenziato che la disposizione allora in esame confondeva la titolarità del trattamento (intesa come fonte di determinazione delle finalità e dei mezzi del trattamento) con la mera operazione di alimentazione del Fascicolo.

Alla luce di tali osservazioni, le pertinenti disposizioni dello schema di decreto in esame, in conformità a quanto richiesto dall’art. 12, comma 7, del d. l. n. 179/2012, sono state profondamente modificate, prevedendo -nella versione in esame- una distinzione del profilo della titolarità del trattamento da quello legato all’alimentazione del FSE.

Su tale ultimo aspetto l’art. 12 dello schema di decreto prevede, come più volte sollecitato dal Garante, un onere in capo alle strutture sanitarie di alimentare il FSE entro cinque giorni dall’erogazione della prestazione sanitaria, affiancato da una connessa responsabilità in caso di mancata, intempestiva o inesatta alimentazione (art. 12, comma 3, dello schema di decreto).

L’introduzione di uno specifico onere e delle connesse responsabilità in capo ai soggetti alimentanti risponde anche alla generale osservazione formulata dall’Autorità nel citato parere dell’agosto 2022 in ordine al rispetto del principio di proporzionalità del trattamento. Il Garante aveva infatti segnalato che non risultava proporzionata la scelta di realizzare uno strumento informativo come il FSE -in cui rendere disponibili tutti i dati e i documenti relativi alla storia sanitaria di un individuo con lo scopo di fornire uno scenario generale della salute dello stesso ai professionisti sanitari che lo prendono in cura- senza che gli stessi fossero tenuti ad alimentarlo.

Si prende inoltre atto che, come auspicato dal Garante, sono state anche compiutamente indicate, senza anticipare aspetti che devono essere definiti in altri decreti (cfr. art. 12, comma 15 quater, d.l. n. 179/2012), le titolarità del trattamento connesse all’attività di verifica formale e semantica dei dati e dei documenti oggetto di alimentazione che deve avvenire attraverso soluzioni tecnologiche che non prevedono meccanismi di persistenza dei dati trattati (art. 13 dello schema di decreto), nonché a quelle di tracciamento degli accessi ai dati e documenti del FSE (art. 14 dello schema di decreto).

2.11.2 Le modifiche introdotte all’art. 13 dello schema di decreto nella versione trasmessa il 24 maggio 2023

Nell’ultima versione dello schema di decreto in esame trasmessa il 24 maggio 2023 è stata apportata una modifica all’art. 13 dello schema già trasmesso l’11 aprile 2023 secondo cui “previo parere del Garante per la protezione dei dati personali le Regioni e le province autonome possono condurre anche gestioni specializzate dei dati personali motivate da interesse pubblico rilevante e valutato l’impatto ai fini della loro protezione, fermo restando quanto previsto dalle disposizioni di cui ai commi 15 septies e 15 novies” dell’art. 12 del d.l. n. 179/2012.

Come già evidenziato nel richiamato parere del 22 agosto 2022, è necessario sottolineare che attraverso il FSE le regioni e le province autonome possono perseguire esclusivamente le finalità indicate nel citato art. 12 del d.l. n. 179/2012, ovvero quelle di prevenzione (attraverso “gli Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria” e previa acquisizione del consenso informato dell’assistito (art. 12, commi 4-bis e 5); studio e ricerca scientifica in campo medico, biomedico ed epidemiologico, nei limiti delle rispettive competenze attribuite dalla legge, senza l'utilizzo dei dati identificativi degli assistiti presenti nel FSE e secondo livelli di accesso, modalità e logiche di organizzazione ed elaborazione dei dati che sono, allo stato, definite nel d.p.c.m. n. 178 del 2015; programmazione sanitaria, verifica delle qualità delle cure e valutazione dell'assistenza sanitaria (cc.dd. finalità di governo sanitario) nei limiti delle rispettive competenze attribuite dalla legge, senza l'utilizzo dei dati identificativi degli assistiti presenti nel FSE, secondo livelli di accesso e modalità e logiche di organizzazione ed elaborazione dei dati, che sono, anche in questo caso, attualmente definite dal d.p.c.m. n. 178 del 2015 (art. 12, commi 2, 4-bis, 5, 6, 6-bis e 7 del d.l. n. 179/2012).

Tali due ultime finalità perseguibili dalle regioni e dalle province autonome (ricerca e governo sanitario) peraltro non sono disciplinate nello schema di decreto in esame che infatti prevede espressamente che il richiamato d.p.c.m. n. 178/2015 cessi di avere efficacia dal giorno dell’entrata in vigore del presente decreto, ad eccezione dei Capi III e IV (relativi alla ricerca e al governo sanitario) che rimangono in vigore fino all’adozione di specifiche disposizioni per i trattamenti dei dati e dei documenti del FSE per le finalità di ricerca e di governo attraverso i successivi decreti che saranno adottati ai sensi del comma 7 dell’art. 12 del d.l. n. 179/ 2012 (art. 27, comma 5, dello schema di decreto).

In tale quadro, pertanto, in conformità a quanto previsto dall’art. 12, commi 2, 4-bis, 5, 6, 6-bis e 7 del d.l. n. 179/2012, eventuali nuove modalità di perseguimento delle finalità di prevenzione, ricerca o di governo sanitario da parte delle regioni e province autonome (non previste nello schema di decreto in esame e nel citato d.p.c.m. n. 178/2015), potranno essere previste con uno o più decreti del Ministro della salute e del Ministro delegato per l'innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sentita la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, acquisito il parere del Garante per la protezione dei dati personali.

Ciò in quanto, l’art. 12 rimanda espressamente ad uno o più decreti ministeriali l’individuazione dei contenuti del FSE, i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, le modalità e i livelli diversificati di accesso al FSE da parte di vari soggetti -tra cui rientrano le regioni e le province autonome-, nonché la definizione e le relative modalità di attribuzione di un codice identificativo univoco dell'interessato che non consenta l'identificazione diretta dello stesso.

Ciò stante, prendendo atto del proposto emendamento all’art. 13 dello schema di decreto in esame, resta inteso che l’attuazione dello stesso debba essere effettuata attraverso iniziative, su cui l’Autorità sarà chiamata ad esprimersi, che assicurino il pieno rispetto della disciplina di settore (art. 12 d.l. n. 179/2012; d.p.c.m. n. 178/2015, Capi III e IV) e di quella in materia di protezione dei dati personali, nonché in armonia con quanto previsto nello stesso schema di decreto in esame (cfr. artt. 16, 17, 21, 22).

Il quadro normativo sopra richiamato, anche al fine di garantire sull’intero territorio nazionale una disciplina uniforme ed omogenea in relazione ai trattamenti dei dati personali effettuati mediante il FSE, individua, infatti, la cornice di tutele entro la quale una determinazione regionale, in attuazione del predetto emendamento contenuto nell’art. 13 dello schema, previa valutazione d’impatto e parere del Garante, può introdurre la conduzione di “gestioni specializzate di dati” in un’ottica di specificazione delle modalità e delle logiche di organizzazione ed elaborazione dei dati (limiti di responsabilità, i compiti dei soggetti che concorrono alla sua implementazione, modalità e i livelli diversificati di accesso al FSE, definizione e modalità di attribuzione di un codice identificativo univoco dell'interessato che non consenta l'identificazione diretta dello stesso) che sono individuate -per espressa previsione di legge- con i decreti adottati ai sensi del comma 7 dell’art. 12, in conformità ai principi di proporzionalità, necessità e indispensabilità nel trattamento dei dati personali (cfr. art. 12, comma 6, d.l. n. 179/2012).

2.12 Trattamenti per finalità di diagnosi, cura e riabilitazione (artt. 12 e 15 dello schema di decreto e par. 3.12 del parere del 22 agosto 2022)

Nel parere del 22 agosto 2022 il Garante aveva riscontrato che lo schema di decreto all’epoca inviato non rispondeva ai requisiti di cui all’art. 12, del d.l. n. 179/2012 in quanto non indicava, “i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione” e “le modalità e i livelli diversificati di accesso al FSE da parte dei soggetti” “del Servizio sanitario nazionale e dei servizi socio-sanitari regionali e da tutti gli esercenti le professioni sanitarie (…) e da parte degli esercenti le professioni sanitarie” nel perseguimento delle finalità di diagnosi, cura e riabilitazione (di seguito “cura”) (commi 2, lett. a), 4 e 7).

A fronte della molteplicità dei soggetti che concorrono all’alimentazione del Fascicolo e alle numerose casistiche di accesso allo stesso nell’ambito del percorso di cura dell’interessato, il Garante aveva rilevato che lo schema di decreto allora in esame non prevedeva, nel testo e negli allegati, alcuna forma di diversificazione in termini di alimentazione, consultazione o di profondità di accesso ai dati e ai documenti del FSE (es. tutti i soggetti che prendono in cura l’assistito indipendentemente dal ruolo rivestito- medico, operatore sanitario- potevano svolgere le medesime funzioni sia di alimentazione che di consultazione dei dati).

Alla luce di quanto richiesto dal Garante, si prende atto delle seguenti integrazioni volte a garantire che:

- il FSE sia accessibile, oltre che dal personale sanitario autore del dato e del documento oggetto d’accesso, solo da quello che effettivamente interviene nel percorso di cura dell’interessato, con esclusione dei soggetti che, pur operando in tale settore, non sono coinvolti concretamente nello specifico percorso di cura dell’interessato (cfr. art. 15 dello schema e allegato A);

- il FSE non possa essere accessibile da soggetti operanti in ambito sanitario che non perseguono finalità di cura (periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, personale medico nell’esercizio di attività medico-legale quale quella per l’accertamento dell’idoneità lavorativa o per il rilascio di certificazioni necessarie al conferimento di permessi o abilitazioni) (cfr. art. 15, comma 4, dello schema);

- sia assicurato l’accesso selettivo ai dati in linea con i principi di minimizzazione, necessità, pertinenza, prevedendo un’organizzazione modulare del FSE, in modo tale da limitare l’accesso dei diversi soggetti abilitati alle sole informazioni indispensabili al raggiungimento dello scopo per il quale è stato consentito l’accesso (cfr. art. 15 dello schema e allegato A);

- l’accesso al FSE sia limitato al tempo in cui si articola il processo di cura, ferma restando la possibilità di accedere nuovamente allo stesso qualora ciò si renda necessario in merito al tipo di trattamento medico da prestare all’interessato (cfr. art. 15 dello schema e allegato A);

- sia prevista, nel rispetto del principio di minimizzazione dei dati, una diversa “profondità” di accesso al FSE con riferimento alle operazioni di alimentazione, di consultazione da parte dei molteplici soggetti indicati dalla norma primaria, e in relazione ai diversi profili di autenticazione al FSE e alle specifiche finalità dagli stessi perseguite (cfr. art. 15 dello schema e allegato A);

- siano previste misure tecniche e organizzative per ridurre i rischi per erroneo inserimento/associazione/attribuzione dei dati per omonimia degli interessati anche derivanti, a esempio, da bug software, errori di transcodifica dei metadati nel colloquio fra sistemi e attribuzioni di identificativi errati (allegato B).

Come indicato nel precedente paragrafo sono stati superati anche i rilievi in ordine all’attribuzione della titolarità del trattamento effettuato per le finalità di cura.

Pertanto, lo schema di decreto in esame supera le criticità rilevate in ordine alle disposizioni relative al trattamento dei dati effettuato attraverso il FSE per finalità di cura di cui al paragrafo 3.12 del predetto parere del 22 agosto 2022.

2.13 Trattamenti per finalità di prevenzione (artt. 16-17 dello schema di decreto e par. 3.13 del parere del 22 agosto 2022)

Anche con riferimento ai trattamenti effettuati per finalità di prevenzione, nel predetto parere del 22 agosto 2022, il Garante aveva evidenziato che lo schema di decreto allora in esame non dava attuazione a quanto previsto dalla norma primaria, non prevedendo specifiche modalità e livelli di accesso diversificati per i molteplici soggetti che trattano i dati e i documenti del FSE per tale finalità, anche in considerazione dell’eterogeneità di tali soggetti e che solo alcuni di questi intervengono nel percorso di cura dell’interessato, con specifico riferimento alle attività di prevenzione (esercenti le professioni sanitarie), mentre gli altri sono deputati in via istituzionale allo svolgimento di finalità amministrative correlate all’attività di prevenzione (“Uffici delle Regioni e delle Province autonome competenti in materia di prevenzione sanitaria e dal Ministero della salute”).

Come auspicato dall’Autorità, le disposizioni in materia sono state completamente riformulate, seguendo le indicazioni rese non solo con riferimento alla definizione dei ruoli del trattamento, ma anche attraverso l’introduzione di misure volte a delimitare l’accesso ai dati da un punto di vista sia soggettivo, che oggettivo.

È stato infatti previsto che, nell’ambito del perseguimento delle predette finalità di prevenzione da parte delle regioni/province autonome e del Ministero, fermo restando il necessario specifico consenso dell’interessato e fatto salvo l’esercizio del diritto di oscuramento, l’accesso al FSE sia limitato, mediante livelli diversificati di accesso, solo al personale sanitario sottoposto alle regole del segreto professionale non coincidente con quello che, per altre finalità, accede a flussi di dati pseudonimizzati, al fine di ridurre il rischio di re-identificazione dell’interessato indicato dall’Autorità nel predetto parere (art. 16 dello schema di decreto e allegato A).

Con riferimento al profilo oggettivo dell’accesso, come richiesto dal Garante, alla luce dei principi di minimizzazione e trasparenza è stato previsto che gli Uffici della Direzione generale del Ministero della salute competente in materia di prevenzione sanitaria e gli Uffici delle Regioni competenti in materia di prevenzione sanitaria possano accedere esclusivamente ai metadati dei documenti del FSE, privati degli elementi identificativi diretti e pseudonimizzati, al fine di pianificare, rispettivamente, le attività di prevenzione in ambito nazionale e quelle di prevenzione nel relativo ambito territoriale che saranno in ogni caso attuate dalle competenti ASL (art. 17 dello schema di decreto e Allegato A)

Specifiche disposizioni sono state poi previste per delimitare le ipotesi di accesso da parte del Ministero della salute ai dati e documenti di assistiti per i quali non risulta associata una regione di assistenza.

Si prende inoltre pertanto favorevolmente atto che, come richiesto dal Garante, l’accesso ai dati del FSE da parte delle regioni/province autonome e del Ministero sia stato limitato al personale sanitario e ai soli metadati dei documenti del FSE privati degli elementi identificativi diretti e pseudonimizzati, considerato che -nell’ambito delle predette interlocuzioni- è emerso che per il perseguimento delle citate finalità di prevenzione è sufficiente per tali enti accedere a dati pseudonimizzati, come del resto già avviene per altri flussi di cui sono destinatari sempre per il perseguimento di finalità connesse alla programmazione.

Si dà conto che, nel rispetto dei predetti principi, è stato previsto che siano comunque sottratti all’accesso, per le finalità di prevenzione, i dati per i quali l’assistito abbia richiesto l’oscuramento, nonché i metadati relativi al PSS e al TP dell’assistito.

Su sollecitazione dell’Ufficio sono state inoltre previste, nell’allegato A allo schema di decreto, specifiche misure in ordine alla predetta pseudonimizzazione dei metadati, con particolare riferimento a quelle a cui sono soggette le informazioni aggiuntive per garantire che i dati personali non siano attribuiti a una persona fisica identificata o identificabile (art. 4, punto 5 e considerando nn. 26, 28 e 29 del Regolamento).

Alla luce di tali elementi, si rileva che lo schema di decreto in esame supera le criticità rilevate in ordine alle disposizioni relative al trattamento dei dati effettuato attraverso il FSE per finalità di prevenzione di cui al paragrafo 3.13 del predetto parere del 22 agosto 2022.

2.14 Trattamenti per finalità di profilassi internazionale (artt. 18-19 dello schema di decreto e par. 3.14 del parere del 22 agosto 2022)

Nel citato parere del 22 agosto 2022 l’Autorità aveva rilevato, in analogia a quanto indicato nei precedenti paragrafi, che, anche per le finalità di profilassi internazionale perseguite dal Ministero della salute, non erano state indicate le modalità e i livelli diversificati di accesso ai dati e ai documenti del FSE.

Il Garante aveva poi espresso preoccupazione circa l’assenza di specifiche misure volte a scongiurare il rischio che l’accesso ai dati in chiaro del FSE per tali finalità potesse vanificare il sistema di codifica dei dati trattati dal Ministero stesso nell’ambito dell’interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale ai sensi del d.m. n. 262/2015.

La disposizione sul perseguimento delle finalità di profilassi internazionale da parte del Ministero della salute è stata pertanto interamente riformulata indicando, come richiesto dal Garante, la tipologia di soggetti tenuti al “segreto professionale” che possono trattare i dati e di documenti del FSE sulla base di uno specifico e valido consenso dell’interessato, nonché le misure idonee a scongiurare il rischio di re-identificazione dell’interessato.

In merito a tali profili è stato in particolare previsto che possa accedere al FSE esclusivamente il personale medico sottoposto alle regole del segreto professionale operante presso la Direzione generale del Ministero competente in materia di profilassi internazionale (designata quale Centro Nazionale Italiano per il Regolamento sanitario internazionale) che non sia coincidente con il personale che accede, per altre finalità, ai flussi di dati pseudonimizzati di cui è destinatario lo stesso Ministero (art. 18 dello schema di decreto e allegato A).

A seguito di specifiche richieste dell’Ufficio sono state inoltre dettagliate le fattispecie al verificarsi delle quali il predetto personale medico può accedere, nell’ambito delle finalità di profilassi internazionale, al FSE di uno o più interessati, nonché le azioni che il Ministero può intraprendere, nell’ambito di quelle consentite allo stesso nel rispetto delle competenze in materia di prevenzione delle ASL.

E’ stato pertanto previsto che, per assicurare la massima sicurezza contro la diffusione internazionale delle malattie infettive e fronteggiare eventi di sanità pubblica inaspettati, il personale sanitario operante presso la predetta Direzione generale del Ministero della salute, previo consenso espresso dell’interessato, possa trattare i soli dati e documenti del FSE rilevanti al fine di individuare: a) la circolazione di nuovi patogeni o l’emergere di sintomatologie sconosciute o di fattori di rischio ambientale e/o alimentare; b) nuovi fattori di rischio legati a patologie correlate come co-infezioni; c) lo sviluppo di nuovi casi di farmacoresistenza verso specifici gruppi di patogeni; d) possibili nuove complicanze non conosciute di alcune malattie infettive che possono portare al decesso (art. 19 dello schema di decreto).

Si precisa inoltre che i predetti medici, ivi compresi quelli operanti presso gli Uffici di Sanità Marittima e Aerea e di Frontiera, possono accedere ai dati e ai documenti del FSE solo se la consultazione risulti necessaria per la valutazione della situazione sanitaria dei soggetti destinatari delle seguenti azioni di competenza del Ministero: a) somministrare vaccinazioni o profilassi obbligatorie o raccomandate per soggetti diretti all’estero, su richiesta degli interessati; b) somministrare vaccinazioni o profilassi obbligatorie o raccomandate per soggetti provenienti dall’estero segnalandoli alle ASL territorialmente competenti; c) sottoporre a misure di quarantena o isolamento segnalandoli alle ASL territorialmente competenti; d) effettuare attività di contact tracing internazionale segnalandoli alle ASL territorialmente competenti; e) disporre misure di profilassi conseguenti a esposizioni ad agenti patogeni relative a soggetti che abbiano utilizzato mezzi di trasporto collettivi o soggiornato in comunità chiuse segnalandoli alle ASL territorialmente competenti (art. 19 dello schema di decreto).

Nei casi di cui alle precedenti lettere b), c), d) ed e), su richiesta dell’Ufficio, è stato previsto che il Ministero della salute definisca preventivamente e documenti i criteri e le modalità per l’identificazione dei soggetti esposti o che espongono terzi a gravi minacce per la salute e che siano comunque sottratti all’accesso i dati per i quali l’interessato abbia richiesto l’oscuramento (art. 19 dello schema di decreto).

Alla luce di tali elementi, si rileva che lo schema di decreto in esame supera le criticità rilevate in ordine alle disposizioni relative al trattamento dei dati effettuato attraverso il FSE per finalità di profilassi internazionale di cui al paragrafo 3.14 del predetto parere del 22 agosto 2022.

2.15 Trattamenti per finalità di governo sanitario (par. 3.15 del parere del 22 agosto 2022)

Nell’ambito delle predette interlocuzioni informali sono state esaminate tutte le osservazioni formulate dall’Autorità nel predetto parere del 22 agosto 2022 in merito ai trattamenti effettuati per finalità di governo sanitario che risultavano prive dell’indicazione delle modalità e dei livelli diversificati di accesso al FSE in relazione alle diverse tipologie di soggetti (regioni/province e Ministero della salute) che, secondo quanto previsto dalla normativa primaria, possono accedere al Fascicolo.

Al riguardo, il Ministero ha ritenuto di espungere dallo schema di decreto in esame la disciplina di tali trattamenti, con riferimento ai quali rimangono in vigore le relative disposizioni di cui al d.P.C.M. n. 178/2015, fino all’adozione di ulteriori e specifici decreti che saranno adottati ai sensi dell’art. 12, comma 7, del d.l. n. 179 del 2012.

Sul punto, si richiama l’attenzione in merito alla necessità che si completi al più presto la revisione della disciplina sul trattamento dei dati personali effettuati attraverso il FSE, innovando anche quella prevista per il perseguimento delle finalità di governo sanitario attribuite alle regioni/province autonome e al Ministero della salute, alla luce delle modifiche intervenute sulla disciplina di settore e delle disposizioni del Regolamento, in conformità alle osservazioni già formulate dal Garante nel predetto parere del 22 agosto 2022 (par. 3.15) e in coerenza con il quadro di tutele introdotto nello schema di decreto in esame.

2.16 La valutazione di impatto (VIP) (par. 3.16 del parere del 22 agosto 2022)

Nel predetto parere del 22 agosto 2022 il Garante ha ritenuto che i trattamenti descritti nello schema di decreto all’epoca in esame rientrassero senza dubbio tra quelli su cui è necessario effettuare una preventiva valutazione di impatto ai sensi dell’art. 35 del Regolamento, strumento fondamentale per l’individuazione delle misure idonee a tutelare i diritti e le libertà fondamentali degli interessati e a garantire il rispetto dei principi generali del Regolamento, nonché per consentire l’analisi della proporzionalità dei trattamenti effettuati.

L’Autorità aveva nel tempo rappresentato che, alla luce della rinnovata disciplina in materia di protezione dei dati personali rispetto a quella vigente all’epoca dell’adozione del d.P.C.M. n. 178 del 2015 e della riforma della disciplina di attuazione del FSE, fosse necessario accompagnare lo schema di decreto in esame con una valutazione di impatto, anche al fine di dettagliare le specifiche misure da adottare in considerazione dei rischi individuati in relazione alle diverse finalità perseguite dai soggetti a vario titolo coinvolti. Ciò, anche alla luce delle recenti riforme della disciplina sulla realizzazione del modello predittivo del fabbisogno di salute della popolazione assistita (art. 7, d.l. n. 34 del 2020) e di quella sull’interconnessione a livello nazionale dei sistemi informativi su base individuale del SSN (art. 2 sexies, comma 1-bis, del Codice) che prevedono delle relazioni con quella sul FSE.

Nell’ambito delle richiamate interlocuzioni, il Garante aveva evidenziato, in particolare, i seguenti principali rischi che lo scenario normativo derivante dalla riforma del FSE e dalla istituzione dell’EDS rendeva necessario analizzare nell’ambito della predetta valutazione di impatto:

- di re-identificazione dell’interessato in considerazione delle interconnessioni con nuovi sistemi informativi e componenti previsti dalla normativa primaria (infrastruttura nazionale, repository centrale, EDS) e anche del possibile ampliamento dei dati a seguito delle modifiche apportate all’art. 2 sexies del Codice e alle disposizioni sulla medicina predittiva (d.l. n. 34 del 2020). La valutazione di tale rischio impone un’analisi della perdurante efficacia delle disposizioni relative al sistema di codificazione dei dati di cui al citato d.m. 7 dicembre 2016, n. 262;

- di accessi abusivi e illeciti;

- di integrità ed esattezza e aggiornamento del dato;

- di perdita e distruzione dei dati;

- di utilizzo dei dati per finalità non compatibili;

- di utilizzi connessi all’uso di nuove tecnologie basate su logiche algoritmiche e strumenti di intelligenza artificiale;

- di trattamenti automatizzati che possono avere ricadute sul singolo interessato.

Nello schema di decreto sottoposto al parere nel mese di luglio 2022, il Ministero della salute aveva demandato alle regioni il compito di effettuare la predetta valutazione. Tale scelta non è stata condivisa dal Garante che aveva rilevato come la riforma del FSE, prevedendo l’accentramento di funzioni e componenti a livello nazionale (indici nazionali, infrastruttura nazionale, anagrafe dei consensi e delle revoche, portale nazionale) e lo svolgimento di specifiche finalità in capo al Ministero della salute, alle Regioni e a tutte le strutture sanitarie, anche al di fuori del SSN, imponesse una visione coordinata e uniforme delle misure “da adottare nel trattamento dei dati personali nel rispetto dei diritti dell’assistito”, come del resto richiesto dall’art. 12, comma 7, a cui lo schema di decreto deve dare attuazione.

Secondo l’Autorità, l’assenza di una valutazione d’impatto preventiva e unitaria e il contestuale rinvio alla predisposizione di singole VIP regionali non consentiva di effettuare un esame complessivo e preventivo sull’adeguatezza e proporzionalità delle misure che si intendevano implementare. Circostanza questa non ammissibile con riguardo ad un sistema informativo che effettuerà trattamenti di dati e di documenti sanitari di tutti i soggetti assistiti nel territorio nazionale per i quali è necessario che vengano predisposte misure tecniche e organizzative omogenee per assicurare una tutela uniforme dei diritti e delle libertà fondamentali degli interessati correlati al trattamento dei loro dati personali (sul punto si richiama anche il recente intervento della Corte Costituzionale, sentenza n. 164 del 2022, punto 10).

Ciò stante si prende atto che lo schema di decreto da ultimo trasmesso risulta corredato di una valutazione d’impatto sulla protezione dei dati che, seppur non soggetta al parere di questa Autorità, lo stesso Ministero ha convenuto essere “elemento integrante per la richiesta formale di parere”.

La valutazione d’impatto trasmessa, relativa ai trattamenti di cui il Ministero della salute è titolare del trattamento, tiene conto “dell’intervento di altri Titolari sul medesimo patrimonio dati”.

Al riguardo, s prende inoltre atto che l’art. 27, comma 8, dello schema di decreto precisa che “le Regioni e le Province autonome predispong(o)(a)no la valutazione d’impatto sul trattamento dei dati personali entro tre mesi dall’adozione del presente decreto” per le parti di loro competenza. Ciò al fine di integrare la VIP nazionale con le valutazioni effettuate dagli altri titolari del trattamento anche in funzione del modello architetturale scelto e delle misure tecniche e organizzative ulteriori e specifiche adottate in funzione delle peculiarità territoriali che determinano rischi differenti, nell’ottica dell’auspicato coordinamento delle misure previste per i trattamenti effettuati dai diversi titolari a vario titolo coinvolti di cui al citato parere del 22 agosto 2022.

Al riguardo, si prende atto favorevolmente che il Ministero abbia convenuto sulla necessità di una valutazione d’impatto nazionale volta ad effettuare un esame complessivo e preventivo sull’adeguatezza e proporzionalità delle misure che si intendono implementare per ridurre i rischi del trattamento già individuati dall’Autorità nel predetto parere del 22 agosto 2022.

Si rappresenta infine che, nel corso delle ripetute interlocuzioni informali, l’Ufficio ha più volte sollecitato che la predetta valutazione evidenziasse il calcolo dei diversi rischi mediante una matrice di rischio coerente a quanto presente in letteratura con particolare riferimento ai casi di bassa probabilità e di alto impatto e viceversa ed individuasse concretamente misure specifiche e puntuali per ridurre gli effetti di tali rischi non limitandosi a riportare i limiti normativi del trattamento e i diritti previsti e riconosciuti dalle disposizioni di settore.

Per quanto riguarda l’approccio utilizzato nella VIP che fa riferimento al cosiddetto “average case” che “corrisponde pertanto ad una valutazione media che tiene conto delle differenze tra il modello centralizzato e quello distribuito”, si rileva che tale approccio non risulta condivisibile poiché rischia di sottostimare vulnerabilità che, in tema di sicurezza, costituiscono il c.d. “anello debole” della catena e che possono quindi rendere pienamente efficaci le misure adottate.

Alla luce di tali elementi, pur non essendo la valutazione trasmessa con l’invio dell’11 aprile 2023 sottoposta al parere del Garante, si prende atto della stessa e della previsione secondo cui le regioni/province autonome dovranno predisporre autonome valutazioni d’impatto entro tre mesi dall’adozione dello schema di decreto in esame, ritenendo quindi superati i rilievi di cui al paragrafo 3.16 del predetto parere del 22 agosto 2022.

Ciò stante, si invita, tuttavia, il Ministero della salute e le regioni/province autonome a non utilizzare il predetto approccio (“average case”) nella redazione e nell’aggiornamento delle VIP per le ragioni sopra evidenziate.

3. Gli elementi di novità dello schema di decreto in esame

3.1 I diversi modelli architetturali del FSE (artt. 4, 5, 14 e allegato C)

Lo schema di decreto integra e modifica in modo sostanziale tutte le disposizioni relative al trattamento dei dati personali effettuato attraverso il FSE, seguendo le richieste effettuate dall’Autorità nel parere del 22 agosto 2022, dando attuazione a quanto indicato dall’art. 12, comma 7, del d.l. n 179/2012 e individuando i modelli architetturali del FSE che le regioni e le province autonome possono adottare.

Tali modelli, assenti nel d.P.C.M. n. 178 del 2015, erano solo sommariamente descritti in una circolare dell’Agid del 2017 e non avevano dunque alcun riconoscimento normativo. Considerati gli effetti sugli aspetti di protezione dei dati derivanti dall’adesione da parte delle regioni/province autonome ai due diversi modelli architetturali previsti, l’Ufficio ha evidenziato la necessità che gli stessi fossero individuati e descritti in modo puntuale nello schema di decreto in esame e nei relativi allegati anche al fine di assicurare un livello di tutela uniforme sul territorio nazionale.

La scelta di uno dei modelli incide infatti sull’individuazione della titolarità del trattamento e sulla connessa attribuzione dei ruoli del trattamento dei soggetti sanitari a vario titolo coinvolti, sulle modalità con cui sono conservati i dati trattati attraverso il FSE e, conseguentemente, anche sulle diverse misure tecniche e organizzative da adottare per minimizzare i rischi propri di ciascun modello (cfr. art. 14 dello schema di decreto e allegato C).

Sulla base di tali sollecitazioni e ferma restando la possibilità delle regioni/province autonome di ricorrere alle funzionalità offerte in sussidiarietà da FSE-INI, nell’allegato C allo schema di decreto sono stati descritti i seguenti modelli architetturali: distribuito (repository distribuiti e registry centralizzato) e centralizzato (repository e registry centralizzato).

Nel corso delle predette interlocuzioni è stata prestata particolare attenzione alla necessità che fossero indicate le misure tecniche e organizzative che devono essere adottate nell’attuazione di ciascun modello, anche in considerazione del fatto che la natura centralizzata o distribuita dell’architettura del FSE determina rischi differenti in ordine alla sicurezza dei dati trattati e al rispetto dei requisiti di esattezza e aggiornamento degli stessi.

La più chiara individuazione dei ruoli del trattamento, connessa all’adozione da parte delle regioni/province autonome di uno dei due modelli architetturali descritti nell’allegato C allo schema di decreto in esame, ha permesso di individuare, con maggiore trasparenza e in coerenza con quanto indicato dalla disciplina sull’Anagrafe nazionale degli assistiti, il periodo di conservazione dei dati e il soggetto a cui attribuire l’onere di cancellazione degli stessi (cfr. artt. 4, 5, 10 e 14 e premesse dello schema di decreto).

Nel rispetto del richiamato principio di trasparenza è stato inoltre previsto che la regione/provincia autonoma assicuri adeguata pubblicità alla scelta del modello architetturale del FSE effettuata (cfr. artt. 4, comma 5 e 5, comma 4 dello schema di decreto).

Ciò stante, si rileva che gli atti amministrativi (circolari e linee guida) sin ora adottati per fornire indicazioni operative sull’attuazione della disciplina sul FSE dovranno essere aggiornati alla luce degli elementi e delle garanzie individuate nello schema di decreto in esame.

3.2 Completamento della disciplina sul FSE e coordinamento normativo

Nell’ambito delle interlocuzioni intercorse con il Ministero della salute -anche prima dell’adozione del citato parere del 22 agosto 2022- il Garante aveva ribadito con forza il necessario coordinamento nella predisposizione dello schema di decreto in esame e di quello sull’EDS con i citati emanandi decreti attuativi in materia di sanità digitale, considerato che, essendo previsto che i sistemi informativi sanitari e il FSE saranno sempre più interconnessi, è necessario che le misure tecniche e organizzative da introdurre nell’attuazione delle richiamate disposizioni a tutela dei diritti fondamentali dell’interessato e dei principi generali del trattamento siano tra di loro coerenti specie con riferimento alla titolarità dei trattamenti, all’individuazione delle responsabilità e dei compiti dei soggetti a vario titolo coinvolti.

Sul punto si prende atto che lo schema di decreto in esame prevede che con distinti decreti saranno disciplinate le funzionalità rese dal Portale nazionale FSE (decreto attuativo di cui al comma 15-ter dell’art. 12 del d.l. n. 179 del 2012) e indicate quali componenti del FSE saranno oggetto delle previste interconnessioni con gli altri sistemi informativi sanitari indicati dall’art. 2 sexies, comma 1-bis, del Codice e quali saranno impiegate ai fini dello sviluppo delle metodologie predittive di cui al d.l. n. 34 del 2020 (art. 27, comma 7 e premesse dello schema di decreto).

Come sopra evidenziato, si prende ulteriormente atto che, conformemente a quanto indicato da Garante nel predetto parere del 22 agosto 2022, lo schema di decreto in esame prevede che, con distinto decreto del Ministro dell'economia e delle finanze, di concerto con il Ministro della salute e con il Ministro per l'innovazione tecnologica e la transizione digitale, previo parere del Garante, saranno stabilite le modalità, nonché le misure tecniche e organizzative necessarie a garantire la sicurezza del trattamento e i diritti e le libertà degli interessati, con cui il Sistema TS renderà disponibile ai FSE, attraverso l'infrastruttura nazionale di cui allo stesso comma 15-ter, i dati risultanti negli archivi del medesimo Sistema TS relativi alle esenzioni dell'assistito, alle prescrizioni e prestazioni erogate di farmaceutica, comprensivi dei relativi piani terapeutici, e specialistica a carico del Servizio sanitario nazionale, nonché le ricette e le prestazioni erogate non a carico del SSN, ai certificati di malattia telematici e alle prestazioni di assistenza protesica, termale e integrativa, nonché i dati di cui all'art. 3 del d.lgs. n. 175 del 2014, n. 175, comprensivi dei dati relativi alla prestazione erogata e al relativo referto (art. 3, comma 4 dello schema di decreto e art. 12, commi 15-ter, numero 3) e 15-septies, del d.l. n. 179 del 2012).

Con specifico riferimento ai trattamenti effettuati nell’ambito del FSE attraverso il Sistema TS, si richiama l’attenzione sulla necessità che i predetti decreti attuativi tengano conto delle specifiche osservazioni formulate nel tempo dal Garante e, in particolare, di quelle relative ai limiti e alle garanzie di cui al parere del 26 luglio 2017 richiamati anche nel parere del 22 agosto 2022.

Nel prendere atto che lo schema di decreto in esame non contiene la disciplina del dossier farmaceutico (DF) e dei trattamenti effettuati attraverso il FSE per finalità di ricerca e di governo sanitario, che resteranno disciplinati dalle pertinenti disposizioni del d.P.C.M. n. 178 del 2015 nelle more di nuovi decreti attuativi, si osserva quanto segue.

Con riferimento al DF si richiama l’attenzione sulla mancata attuazione di tale partizione del FSE prevista dall’art. 12 del d.l. n. 179 del 2012, la cui disciplina, anche se verrà effettuata -come indicato dal predetto Ministero- attraverso l’emanando decreto sull’EDS, dovrà rispettare quanto già indicato al riguardo dal Garante nel richiamato parere del 22 agosto 2002, nonché essere coerente con le misure di garanzia indicate nello schema di decreto in esame.

In merito ai trattamenti effettuati attraverso il FSE per finalità di ricerca e di governo, come indicato nel precedente paragrafo 2.15, nel rinviare integralmente alle osservazioni già formulate nel predetto parere del 22 agosto 2022, si invita il Ministero della salute a completare al più presto la revisione della relativa disciplina, innovando la stessa alla luce delle modifiche intervenute sulla disciplina di settore, delle disposizioni del Regolamento europeo in materia di protezione dei dati personali e del quadro di tutela dei diritti e delle libertà fondamentali individuato nello schema di decreto in esame.

3.2.1. La medicina predittiva e la telemedicina

Con specifico riferimento alla medicina predittiva di cui al citato d.l. n. 34 del 2020, fermo restando che lo schema di decreto in esame prevede che con i decreti attuativi ivi previsti saranno indicati i dati del FSE che saranno trattati per lo sviluppo delle metodologie predittive (cfr. premesse dello schema di decreto), si rileva l’avvenuta adozione da parte del Ministero della salute del d.m. del 23 maggio 2022, n. 77, “Regolamento recante la definizione di modelli e standard per lo sviluppo dell'assistenza territoriale nel Servizio sanitario nazionale”, senza l’acquisizione del previsto parere del Garante. Al riguardo, si evidenzia che nell’allegato 1 al predetto decreto è indicato “il modello per lo sviluppo dell'assistenza territoriale nel Servizio Sanitario nazionale e gli standard qualitativi, strutturali, tecnologici e quantitativi delle strutture dedicate all'assistenza territoriale e al sistema di prevenzione in ambito sanitario, ambientale e climatico”, nell’ambito del quale è prevista:

la “stratificazione della popolazione e delle condizioni demografiche dei territori come strumento di analisi dei bisogni, finalizzata alla programmazione e alla presa in carico” (punto 3 dell’allegato);

l’integrazione della cartella clinico assistenziale integrata con il FSE (punto 11 dell’allegato).

Nell’allegato 2 (“Ricognizione Standard”) al predetto decreto è inoltre prevista l’interoperabilità dei sistemi informativi del Distretto con il “repository centrale del FSE, una volta realizzato”.

Al riguardo, nel ricordare che la disciplina di attuazione delle metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione deve avvenire in conformità a quanto previsto dall’art. 7 del richiamato d.l. n. 34 del 2020, si rileva la necessità che l’attuazione delle disposizioni di cui al citato d.m. n. 77 del 2022, relative all’interconnessione dei modelli informativi ivi previsti con il FSE, sia effettuata in conformità e coerenza con le misure indicate nello schema di decreto in esame a tutela dei diritti e delle libertà fondamentali degli interessati.

Con specifico riferimento alla telemedicina, si rileva la necessità di procedere ad un aggiornamento delle Linee guida per i servizi di telemedicina approvate con decreto del Ministero della salute del 21 settembre 2022 (sul quale non è stato acquisito il previsto parere del Garante), in funzione della nuova disciplina sul FSE dettata nello schema di decreto in esame.

Il decreto del ministero della salute del 21 settembre 2022, infatti, prevede interconnessioni di dati tra il FSE e le infrastrutture di telemedicina nazionale e regionali attraverso funzionalità e sistemi, tra cui l’EDS e il Gateway, che erano descritti negli schemi di decreto su cui il Garante ha reso i citati pareri non positivi del 22 agosto 2022 e che invece sono assenti nello schema di decreto in esame. Per gli aspetti relativi alla protezione dei dati personali, si rende pertanto necessario che quanto previsto nel predetto d.m. sulla telemedicina sia uniformato alle caratteristiche e alle funzionalità del FSE, nonché alle misure a garanzia dei diritti e delle libertà fondamentali degli interessati presenti nello schema di decreto in esame.

Al riguardo, si rileva poi che nelle predette Linee guida sulla telemedicina, approvate con il citato decreto del Ministero della salute, non è presente alcun riferimento alla disciplina sul trattamento dei dati personali e non sono stati individuati, come richiesto dalla Regolamento e dal Codice, gli elementi essenziali del trattamento dei dati sulla salute effettuato attraverso sistemi di telemedicina (artt. 6 e 9 del Regolamento e art. 2 sexies del Codice).

Ciò stante, alla luce del nuovo assetto della disciplina sul FSE dettata dallo schema di decreto in esame e della necessità che le disposizioni sulla telemedicina tengano conto degli aspetti di protezione dei dati personali, considerata la natura dei dati trattati e la larga scala dei soggetti interessati, si ritiene necessario che il Ministero della salute proceda a una revisione delle predette Linee guida in funzione di quanto previsto nello schema di decreto in esame e nel presente parere, nonché della disciplina sul trattamento dei dati personali.

3.3 Alimentazione del FSE con i dati antecedenti al 19 maggio 2020

Nel parere del 22 agosto 2022, il Garante aveva preso favorevolmente atto che era stato accolto l’invito dell’Autorità, formulato sin dal 2020 (cfr. comunicato stampa del 20 gennaio 2020, doc. web n. 9516732) e, da ultimo, nel parere del 7 aprile 2022, di prevedere che, a seguito dell’eliminazione del consenso all’alimentazione del Fascicolo a opera del d.l. n. 34 del 2020, l’alimentazione automatica dello stesso a partire dal 18 maggio 2020 con tutti i dati delle prestazioni sanitarie effettuate in epoca antecedente a tale data fosse possibile solo qualora siano rispettate le seguenti specifiche condizioni: sussistenza di un’idonea campagna nazionale e regionale di informazione sulle novità in materia e diritto agli interessati, dal momento in cui sono stati informati, di opporsi a tale alimentazione entro un termine non inferiore a 30 giorni.

Successivamente al predetto parere del 2022, con nota del 5 dicembre 2022, l’Ufficio, su indicazione del Collegio dell’Autorità, aveva chiesto al Ministero di conoscere le iniziative che, nelle more della definizione del procedimento relativo all’adozione del nuovo decreto di attuazione della disciplina sul FSE, lo stesso aveva assunto o intendeva assumere per assicurare che i dati delle prestazioni sanitarie effettuate in epoca antecedente al 18 maggio 2020 fossero accessibili attraverso il FSE nel rispetto delle predette condizioni (nota prot. n 75780).

Il Ministero, con nota del 5 gennaio 2023, ha rappresentato che le attività connesse della proposta di investimento sul FSE del PNRR, con le numerose interlocuzioni con la Commissione Europea, “hanno comportato l’interruzione della pianificazione della campagna nazionale e regionale richiesta” dall’Autorità. Contestualmente, il Ministero ha rappresentato che “un apposito gruppo di lavoro interistituzionale ha di recente definito le linee strategiche per la comunicazione del Fascicolo Sanitario Elettronico, all’interno delle quali è presente proprio la linea di attività che prevede la campagna informativa per il c.d. recupero del pregresso anteriore al 19 maggio 2020” da realizzare con le risorse economiche già stanziate al riguardo.

Sul punto, si prende nuovamente atto che lo schema di decreto in esame conferma l’onere in capo al Ministero della salute e alle regioni e province autonome di effettuare campagne di informazione in materia di alimentazione e consultazione del FSE, inclusa quella per l’alimentazione automatica del FSE con i dati e documenti digitali sanitari generati da eventi clinici riferiti alle prestazioni erogate dal SSN fino al 18 maggio 2020 comprensiva della relativa facoltà di opposizione da parte dell’interessato, da manifestarsi entro 30 giorni secondo le modalità organizzative previste dalla regione o provincia autonoma (art. 27, comma 1 dello schema di decreto).

Secondo quanto previsto nello schema di decreto in esame, decorso il predetto termine di 30 giorni, il FSE sarà alimentato con i dati e documenti digitali sanitari disponibili, generati da eventi clinici riferiti alle prestazioni erogate dal SSN fino al 18 maggio 2020 e riferiti ai soli interessati che non abbiano espresso la loro opposizione (art. 27 comma 2 dello schema di decreto).

Lo schema di decreto precisa poi che i dati e documenti digitali sanitari generati da eventi clinici riferiti alle prestazioni erogate al di fuori del SSN alimentano il FSE solo se successivi al 19 maggio 2020, ferma restando la possibilità per l’interessato di inserire quelli precedenti nel TP (art. 27, commi 3 e 4 dello schema di decreto).

Nel prendere atto che anche nello schema di decreto in esame sono state previste specifiche disposizioni che accolgono le osservazioni formulate nel tempo dall’Autorità in merito all’alimentazione del FSE con i dati generati dalle prestazioni sanitarie erogate prima del 19 maggio 2020, si ritiene necessario che nello schema di decreto in esame sia individuato un termine entro il quale effettuare la predetta campagna informativa.

3.4 Misure di sicurezza

Con specifico riferimento alla sicurezza del trattamento, nell’ambito delle interlocuzioni intercorse, l’Ufficio ha formulato specifiche osservazioni man mano che i trattamenti e le relative modalità di attuazione venivano specificati nello schema di decreto in esame e nei relativi allegati.

Puntuali osservazioni hanno riguardato l’esigenza di assicurare livelli minimi di sicurezza omogenei a livello nazionale, di individuare criteri per la cifratura e per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali, di indicare il soggetto tenuto a effettuare le attività di autorizzazione, di gestione dei privilegi e di profilazione dei soggetti autorizzati in relazione ai diversi modelli architetturali descritti nell’allegato C, alle misure tecniche adottate con riferimento ai dati soggetti a maggior tutela di anonimato e alla possibilità che il personale sanitario possa accedere di default solo ai FSE degli interessati che abbiano già manifestato il consenso (cfr. allegati A e B).

Particolare attenzione è stata prestata ai meccanismi di pseudonimizzazione anche al fine di garantire che l’efficacia delle predette tecniche sia costantemente verificata tenendo conto dell’evoluzione dello stato dell’arte tecnologico alla luce delle raccomandazioni e delle linee guida via via adottate a livello europeo (es. EDPB, ENISA) e a livello internazionale (es. NIST, ISO).

Al riguardo, si invita il Ministero a prestare particolare attenzione ai metadati dei documenti che verranno in futuro individuati in funzione nei nuovi decreti attuativi della disciplina sul FSE, sull’EDS e di quella sulla medicina predittiva assicurando misure di garanzia analoghe a quelle indicate nello schema di decreto in esame.

Infine, si dà conto del fatto che nelle predette interlocuzioni, l’Ufficio ha inoltre suggerito che nello schema di decreto e negli allegati fossero previste le seguenti misure:

- verifica dell’applicazione dei principi di data protection by default/design da parte dei produttori nelle fasi di progettazione e sviluppo delle soluzioni FSE in conformità al Considerando 78 del Regolamento (cfr. EDPB - Linee Guida 4/2019 Data Protection by Design and by Default);

- verifica circa l’adozione di policy e procedure finalizzate a garantire che lo sviluppo delle soluzioni FSE avvenga nel rispetto di linee guida di secure coding conformi alle best practices (quali, a esempio, OWASP) e vi sia un costante controllo, identificazione e sostituzione delle librerie di terze parti che presentino vulnerabilità tali da determinare criticità nel trattamento dei dati;

- adozione e periodico mantenimento di procedure per testare, verificare e valutare regolarmente l'efficacia delle misure tecniche e organizzative al fine di garantire la sicurezza del trattamento, anche con riferimento ai rischi di omonimia derivanti da bug software, errori di transcodifica o associazione dei metadati ai documenti, nei colloqui tra le varie componenti dei sistemi con particolare attenzione ai test di integrazione delle componenti e dei servizi (es. servizi di marcatura temporale dei documenti, chiamate ai web services, predisposizione di file XML per la trasmissione dei documenti, processi di firma multipla dei documenti sanitari);

-  verifica della corrispondenza tra i metadati anagrafici dell’assistito del documento, non solo nella fase di alimentazione del FSE, ma anche per tutte le attività di elaborazione.

***

Considerata l’importanza di completare la diffusione del Fascicolo Sanitario Elettronico -obiettivo nella Missione 6 del Piano nazionale di ripresa e resilienza- si prende atto della sostanziale revisione dello schema di decreto in esame che muove dai numerosi rilievi effettuati dal Garante nel parere del 22 agosto 2022, n. 294, nonché del complesso delle misure di garanzia ivi individuate, ritenute appropriate per tutelare i diritti fondamentali e gli interessi delle persone fisiche.

Si auspica che anche lo schema di decreto di attuazione sull’EDS, su cui l’Autorità ha reso il proprio parere non positivo il 22 agosto 2022 (n. 295), sia riformulato tenendo conto dei numerosi rilievi espressi dal Garante e delle misure di garanzia per i diritti e le libertà fondamentali individuate nello schema di decreto in esame.

Si richiama inoltre l’attenzione sulla necessità che le disposizioni attuative della medicina predittiva, dell’interconnessione dei sistemi sanitari e delle funzionalità del Sistema TS, nonché la disciplina della telemedicina, nella parte in cui prevedono la condivisione di dati e documenti con il FSE, siano conformi alla disciplina sulla protezione dei dati personali e coerenti con l’assetto e le misure di garanzia individuate nello schema di decreto in esame (cfr. art. 7, d.l. n. 34 del 2020, art, 2 sexies, comma 1 bis, del Codice, art. 12, comma 15-ter, del d.l. n. 179 del 2012 e decreto del Ministero della salute del 21 settembre 2022).

Ciò premesso, nel rappresentare che il Garante si riserva di effettuare attività ispettive in merito all’attuazione delle misure individuate nello schema di decreto in esame sia a livello centrale che locale, sotto il profilo della protezione dei dati personali, si rileva la necessità di modificare lo schema di decreto in esame integrando lo stesso con:

l’indicazione di un termine congruo entro il quale il Ministero della salute, le regioni e le province autonome:

dovranno fornire agli interessati le informazioni relative ai trattamenti di dati personali effettuati attraverso il FSE secondo quanto stabilito nello schema di decreto in esame e in relazione al modello architetturale dalle stesse adottato;

dovranno effettuare le campagne di informazione circa l’alimentazione automatica del FSE con i dati e documenti digitali sanitari generati da eventi clinici riferiti alle prestazioni erogate dal SSN fino al 18 maggio 2020 comprensiva della relativa facoltà di opposizione da parte dell’assistito, da manifestarsi entro 30 giorni.

la previsione di acquisire il preventivo parere del Garante per la protezione dei dati personali sul modello di informativa di cui all’art. 7, comma 4, dello schema di decreto e sugli eventuali aggiornamenti dello stesso.

TUTTO CIÒ PREMESSO, IL GARANTE

- ai sensi dell’art. 58, par. 3, lett. b), del Regolamento e dell’art. 9, comma 7, del d. l. n. 139 del 2021, esprime parere favorevole sullo schema di decreto del Ministero della salute, da adottare assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell'economia e delle finanze, sul Fascicolo Sanitario Elettronico (FSE) a condizione che lo schema di decreto in esame sia:

integrato con l’indicazione di un termine congruo entro il quale il Ministero della salute, le regioni e le province autonome:

dovranno fornire agli interessati le informazioni relative ai trattamenti di dati personali effettuati attraverso il FSE secondo quanto stabilito nello schema di decreto in esame e in relazione al modello architetturale dalle stesse adottato;

effettuino le campagne di informazione circa l’alimentazione automatica del FSE con i dati e documenti digitali sanitari generati da eventi clinici riferiti alle prestazioni erogate dal SSN fino al 18 maggio 2020 comprensiva della relativa facoltà di opposizione da parte dell’assistito, da manifestarsi entro 30 giorni;

integrato con la previsione di acquisire il preventivo parere del Garante per la protezione dei dati personali sul modello di informativa di cui all’art. 7, comma 4, dello schema di decreto e sugli eventuali aggiornamenti dello stesso;

- ai sensi dell’art. 157 del Codice il Ministero della salute comunichi entro 60 gg. dalla comunicazione del presente parere le iniziative assunte o che intende assumere al fine di conformare le Linee guida per i servizi di telemedicina approvate con il decreto del 21 settembre 2022 a quanto previsto nello schema di decreto in esame e nel presente parere, nonché della disciplina sul trattamento dei dati personali.

Roma, 8 giugno 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei