Sophos Intercept X per le piattaforme Qualcomm Snapdragon: cybersicurezza all’avanguardia per i PC 5G sempre connessi di nuova generazione
25 Febbraio 2021
QUIC: un nuovo protocollo Internet e la sicurezza IT
3 Marzo 2021

Intervento del Garante Privacy e chiarimenti sulle modalità di inserimento dati nel Fascicolo sanitario elettronico

Come noto, il Fascicolo Sanitario Elettronico (FSE)[1] “ha come obiettivo il fornire ai medici, e più in generale ai clinici, una visione globale e unificata dello stato di salute dei singoli cittadini e rappresenta il punto di aggregazione e di condivisione delle informazioni e dei documenti clinici afferenti al cittadino, generati dai vari attori del Sistema Sanitario. Esso contiene eventi sanitari e documenti di sintesi, organizzati secondo una struttura gerarchica paziente-centrica, che permette la navigazione fra i documenti clinici in modalità differenti a seconda del tipo di indagine”[2]. In pratica, è lo strumento attraverso il quale “il cittadino può tracciare e consultare tutta la storia della propria vita sanitaria, condividendola con i professionisti sanitari per garantire un servizio più efficace ed efficiente. Le informazioni presenti nel Fascicolo del cittadino vengono fornite e gestite dalle singole regioni”[3].

Fonte: Salute.gov.it

Si tratta con tutta evidenza di temi di grande portata e complessità, sicché talvolta le comunicazioni da parte delle stesse istituzioni regionali possono addirittura essere tali da ingenerare perplessità, dubbi e incertezze nei cittadini interessati, come andiamo ad esaminare.

L’art. 11 del decreto-legge n.34/2020 recante “Misure urgenti in materia di salute e di sostegno al lavoro e all’economia” (cd. decreto “Rilancio”)[4] ha abrogato il comma 3-bis dell’art 12 DL 179/12, che prevedeva che “Il FSE potesse essere alimentato esclusivamente sulla base del consenso libero e informato da parte dell’assistito, il quale può decidere se e quali dati relativi alla propria salute non devono essere inseriti nel fascicolo medesimo”.  “L’abrogazione dell’art 3-bis ha scatenato le polemiche: il rischio paventato è quello di non avere più la possibilità di controllare l’accesso a un documento digitale, il FSE, che racchiude tutta la nostra storia clinica (esami effettuati, cure, ricoveri..)”[5].

Anche secondo altri commentatori “il Decreto Rilancio prevede l’estensione delle tipologie di dati sanitari che possono essere inseriti all’interno del FSE, tra cui quelli relativi alle prestazioni fuori dal Servizio Sanitario Nazionale, permettendo, quindi, ai cittadini e ai medici curanti di poter accedere con maggior facilità alle informazioni tramite piattaforma. Inoltre, l’abrogazione del comma 3-bis dell’articolo 11 del DL 179/12 permette il caricamento dei dati anche da parte delle strutture private e delle strutture fuori della propria regione in assenza del consenso dell’assistito, grazie all’interoperabilità tanto ambita nelle P.A.”[6].

Allora “i dubbi su tale abrogazione sono sorti in virtù della possibilità di alimentare il fascicolo personale anche in assenza del consenso. Ne consegue infatti che il Fascicolo Sanitario Elettronico dall’entrata in vigore della normativa viene alimentato in modo automatico, con la possibilità che i dati sanitari siano visibili o meno dal personale sanitario. Questo perché la consultazione rimane sotto il controllo volontario dell’interessato, anche dopo questa recente modifica normativa”[7].

Per qualcuno “sarebbe diventato possibile per tutti gli esercenti le prestazioni sanitarie avere accesso al Fascicolo Sanitario senza più bisogno del nostro consenso, con una enorme violazione della privacy, e di conseguenza è scattata una corsa contro il tempo per opporsi a questo provvedimento. Si è arrivati addirittura a individuare queste modifiche come il primo passo verso l’instaurazione di una “dittatura sanitaria”, che permetterebbe al Governo di schedarci e di tenerci sotto controllo anche dal punto di vista vaccinale, tema particolarmente sensibile in questo periodo data la riluttanza di una discreta percentuale della nostra popolazione a sottoporsi alla vaccinazione contro il coronavirus”[8].

In realtà lo stesso attento commentatore poi ha chiarito che il “decreto Rilancio” è intervenuto sul Fascicolo Sanitario Elettronico modificandone le modalità di alimentazione, ma senza incidere sui soggetti che possono avere accesso ai dati in esso contenuti. In particolare, “la semplificazione apportata dal decreto mira a facilitare l’alimentazione dell’FSE, che in precedenza era ‘limitata’ dalla necessità del consenso, permettendo che in esso confluiscano direttamente i documenti sanitari appartenenti all’interessato, anche se generati da strutture sanitarie private o situate al di fuori della regione di appartenenza, sfruttando il sistema tessera sanitaria. Quanto appena riportato mira a garantire una maggiore completezza del FSE ma non incide in alcun modo sulla nostra privacy (l’accesso all’FSE deve essere sempre autorizzato dall’interessato)[9].

Pochi giorni fa, però, la confusione è stata re-innescata da alcune comunicazioni di autorità regionali, come sopra accennato.

Un primo episodio aveva riguardato il sito della Regione Lombardia, sul quale “è stato pubblicato l’avviso: “in caso di revoca del consenso alla consultazione, il FSE continuerà ad essere alimentato e consultato solo per fini di governo e ricerca”. Quali fini governativi e di ricerca non è dato sapere”[10].

Nello stesso periodo anche il sito della Regione Liguria, indicava “che come previsto dalla Legge 17 luglio 2020, n. 77 di conversione del D.L. n. 34 del 19.05.2020, cosiddetto Decreto Rilancio e a seguito dei chiarimenti forniti dall’Autorità Garante per la protezione dei dati personali, per istituire il Fascicolo Sanitario Elettronico non è più necessario un apposito consenso alla Regione. È stata indicata, altresì, una data (11 gennaio 2021) non definita da alcuna norma. Tutto questo ha contribuito ad alimentare una incredibile confusione in materia”[11].

Pertanto si è reso necessario l’intervento diretto del Garante per fare chiarezza, come avvenuto con l’apposito comunicato stampa[12], in cui si sancisce che “è priva di qualsiasi fondamento normativo la presunta scadenza per manifestare l’opposizione all’inserimento dei propri dati personali nel Fascicolo sanitario elettronico”[13].

In particolare, “in relazione alle notizie diffuse nei giorni scorsi, riguardo ad una presunta scadenza dell’11 gennaio 2021 per manifestare l’eventuale opposizione all’inserimento dei propri dati personali nel Fascicolo sanitario elettronico (FSE), il Garante per la protezione dei dati personali precisa che tale scadenza non esiste ed è priva di qualsiasi fondamento normativo”.

Anzi, “considerati i dati sensibilissimi coinvolti”, l’ Autorità ha avvertito la necessità di precisare innanzitutto come il citato art. 11 decreto legge  ‘Rilancio’ “prevede che, a decorrere dal maggio 2020, a prescindere da qualsivoglia manifestazione di consenso dei cittadini, i dati di tutte le prestazioni sanitarie fruite vadano a confluire automaticamente nel Fascicolo sanitario elettronico” nelle Regioni che abbiano già attivato il FSE. Al riguardo, il Garante specifica che “comunque, anche a seguito di tale alimentazione automatica del FSE, i dati sanitari dei cittadini non saranno accessibili al personale sanitario in assenza di uno specifico consenso del singolo cittadino”[14].

Nello stesso comunicato, si ricorda poi che “con riguardo all’alimentazione del Fascicolo con tutti i dati delle prestazioni sanitarie effettuate in epoca antecedente al maggio 2020, il Garante, con nota del 15 dicembre 2020, ha precisato al Ministero della Salute che l’ingresso nel Fascicolo sanitario elettronico sarebbe stato possibile solo a tre condizioni:

  1. a) avere proceduto a un’idonea campagna nazionale di informazione;
  2. b) avere puntualmente informato i cittadini delle Regioni interessate sulle novità relative all’alimentazione del Fascicolo;
  3. c) avere riconosciuto a questi ultimi, dal momento in cui sono stati informati, un termine non inferiore a 30 giorni per manifestare la propria eventuale opposizione”.

Allo stato, “non essendosi verificata nessuna di queste condizioni, l’invio di comunicazioni alle singole amministrazioni regionali o al Garante, con le quali si rappresenta l’opposizione al citato popolamento, non risulta necessaria”[15].

In tema di alimentazione del FSE, non posso concludere senza richiamare quanto sia cruciale anche il tema, strettamente connesso, della tracciabilità degli accessi e delle operazioni effettuate, mediante la registrazione automatica in appositi file di log degli accessi e delle operazioni compiute. In particolare, “i file di log devono registrare ogni operazione di accesso al fascicolo effettuata da un incaricato, fornendo le seguenti informazioni:

  • il codice identificativo del soggetto che ha posto in essere l’operazione di accesso;
  • la data e l’ora di esecuzione;
  • il codice della postazione di lavoro utilizzata;
  • l’identificativo del paziente il cui FSE si riferisce, e la tipologia dell’operazione compiuta sui dati.

Il periodo di conservazione dei log di tracciamento delle operazioni è individuato dal titolare, che ne risponde dianzi a colui cui quei dati si riferiscono, sia dell’avvenuto accesso ai propri dati personali, sia delle motivazioni che lo hanno determinato”[16].

Con tutta evidenza, è solo mantenendo tutte queste informazioni disponibili, complete e aggiornate che i sistemi di trattamento dati possano risultare condotti con modalità pienamente rispondenti alle regole di compliance sia legali che tecniche.

Note

[1] L’art. 1 comma 382 della Legge di Bilancio 2017, con un emendamento all’art. 12 DL 179/2012, aveva “previsto un’accelerazione nella realizzazione del Fascicolo sanitario elettronico (FSE), attraverso la realizzazione dell’Infrastruttura nazionale per l’interoperabilità dei Fascicoli Sanitari Elettronici da parte del Ministero dell’economia e delle finanze, utilizzando l’infrastruttura del Sistema Tessera Sanitaria” in https://sistemats1.sanita.finanze.it/portale/fse-fascicolo-sanitario-elettronico1.

[2] Come si legge sul portale del Ministero della Salute, in http://www.salute.gov.it/portale/temi/p2_6.jsp?lingua= italiano&id=2512&area=eHealth&menu=vuoto.

[3] Giusta quanto riportato nel sito web https://www.fascicolosanitario.gov.it/, alla pagina Cos’è il Fascicolo Sanitario Elettronico?

[4] Pubblicato in G.U. n. 128 del 19 maggio 2020, ha introdotto misure urgenti in materia sanitaria, tra cui anche l’adozione del Fascicolo Sanitario Elettronico, consultabile da “tutti gli esercenti delle professioni sanitarie”. Il decreto-legge è stato convertito con la Legge n. 77 del 17 luglio 2020, Conversione in legge, con modificazioni, del decreto-legge 19 maggio 2020, n. 34, recante misure urgenti in materia di salute, sostegno al lavoro e all’economia, nonché di politiche sociali connesse all’emergenza epidemiologica da COVID-19. (20G00095) (GU Serie Generale n.180 del 18-07-2020 – Suppl. Ordinario n. 25). Entrata in vigore del provvedimento: 19/07/2020 in https://www. Gazzetta ufficiale.it/eli/id/2020/07/18/20G00095/sg.

[5] Cfr. Salvatore Bella, Fascicolo sanitario elettronico e polemiche privacy, perché non bisogna preoccuparsi, 12/01/2021 in https://www.agendadigitale.eu/sanita/fascicolo-sanitario-elettronico-e-polemiche-privacy-perche-non-bisogna-preoccuparsi/.

[6] Cfr. Anna Rahinò, Fascicolo sanitario elettronico: il difficile equilibrio tra trasparenza e diritto alla salute, 05/02/2021 in https://www.agendadigitale.eu/sanita/fascicolo-sanitario-elettronico-il-difficile-equilibrio-tra-trasparenza-e-diritto-alla-salute/.

[7] Ibidem.

[8] Cfr. Salvatore Bella, Fascicolo sanitario elettronico e polemiche privacy, perché non bisogna preoccuparsi, 12/01/2021 in https://www.agendadigitale.eu/sanita/fascicolo-sanitario-elettronico-e-polemiche-privacy-perche-non-bisogna-preoccuparsi/, cit..

[9] Ibidem.

[10] Cfr. Anna Rahinò, Fascicolo sanitario elettronico: il difficile equilibrio tra trasparenza e diritto alla salute, 05/02/2021 in https://www.agendadigitale.eu/sanita/fascicolo-sanitario-elettronico-il-difficile-equilibrio-tra-trasparenza-e-diritto-alla-salute/, cit..

[11] Ibidem.

[12] Garante per la protezione dei dati personali, Comunicato stampa – Fascicolo sanitario elettronico: nessuna scadenza per l’inserimento dei dati, Doc-Web 9516732 20/01/21 in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9516732.

[13] Cfr. anche QS, Fascicolo sanitario elettronico. La smentita del Garante della privacy: “Nessuna scadenza per l’inserimento dei dati”, 21/01/21 in https://www.quotidianosanita.it/governo-e-parlamento/articolo.php? articolo_id=91774.

[14] Garante per la protezione dei dati personali, Comunicato stampa – Fascicolo sanitario elettronico: nessuna scadenza per l’inserimento dei dati, Doc-Web 9516732 20/01/21 in https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9516732, cit..

[15] Ibidem.

[16] Cfr. Serena Nanni, Fascicolo sanitario elettronico, tutti i profili privacy: ecco come tutelare i dati, 03 Dic 2020 in https://www.agendadigitale.eu/sanita/fascicolo-sanitario-elettronico-tutti-i-profili-privacy-ecco-come-tutelare-i-dati/.

 

Articolo a cura di Sergio Guida

Da economista aziendale, ha maturato esperienze direzionali in gruppi industriali diversi per settori, dimensioni e caratteristiche. Specializzato in pianificazione strategica e controllo di gestione, finanza, risk e project management, sistemi di gestione e rendicontazione integrativi (sociale, ambientale e intangible assets), è stato relatore in convegni e seminari e pubblica articoli di economia, finanza, digital transformation, data governance, public health, compliance & regulatory affairs.

Ha seguito percorsi multidisciplinari su Design Thinking, Human-Computer Interaction, Data protection & Privacy, Digital Health & Therapeutics. Business angel, segue con attenzione il mondo delle Startup.

Condividi sui Social Network:

ISCRIVITI ALLA NEWSLETTER DI ICT SECURITY MAGAZINE

Una volta al mese riceverai gratuitamente la rassegna dei migliori articoli di ICT Security Magazine

Rispettiamo totalmente la tua privacy, non cederemo i tuoi dati a nessuno e, soprattutto, non ti invieremo spam o continue offerte, ma solo email di aggiornamento.
Privacy Policy