Il nuovo Fascicolo Sanitario Elettronico ed i rischi per la privacy degli assistiti

Il Fascicolo sanitario elettronico (FSE) cambia con le disposizioni di attuazione del PNRR per diventare il repository nazionale della storia clinica della popolazione e alimenterà anche il nuovo EDS, generando significativi rischi per la tutela della privacy.
La legge 28 marzo 2022 n. 25, che ha convertito il D.L. 27 gennaio 2022 n. 4, ha introdotto importanti novità in relazione al Fascicolo Sanitario Elettronico (FSE), prevedendo anche l’istituzione dell’Ecosistema dei Dati Sanitari (EDS).

Uno dei principali obiettivi previsti dal Piano Nazionale di Ripresa e Resilienza (PNRR) consiste nel promuovere la digitalizzazione dell’assistenza sanitaria, al fine di consentire un’effettiva equità di accesso della popolazione alle cure sanitarie e sociosanitarie, stabilendo standard qualitativi e quantitativi uniformi su tutto il territorio nazionale.

Nelle intenzioni del legislatore, tale obiettivo verrà raggiunto anche attraverso il rafforzamento del FSE, al quale le recenti novità normative intendono dare un nuovo volto.  Il Fascicolo Sanitario Elettronico (FSE) diventerà infatti l’infrastruttura digitale contenente l’intera storia clinica degli assistiti, su tutto il territorio nazionale, grazie al costante aggiornamento da parte degli operatori sanitari. Inoltre, il FSE avrà la funzione di alimentare il nuovo EDS di cui di seguito diamo alcuni dettagli.

La legge 25/2022 prevede un obbligo in capo agli operatori sanitari pubblici e privati – siano questi accreditati o autorizzati – di caricare sul FSE le informazioni sanitarie dei pazienti, entro cinque giorni dall’erogazione delle prestazioni. Una delle novità introdotte dalla legge in commento è dunque rappresentata dall’ampliamento dei soggetti obbligati ad alimentare il FSE, peraltro coinvolti in tutte le fasi di diagnosi, cura e riabilitazione.

L’obiettivo del nuovo Fascicolo Sanitario Elettronico è senz’altro ambizioso e comporterà una crescita esponenziale dei rischi per la privacy degli assistiti, derivanti dai trattamenti svolti per le suddette finalità di diagnosi, cura e riabilitazione.  Ne è la prova il significativo aumento di cyberattacchi che ha interessato il settore della sanità, a seguito dell’emergenza pandemica.  Basti pensare che, soltanto nel 2020, si è registrata una crescita del 47%, rispetto al 2019, di cyberattacchi rivolti ai sistemi sanitari all’interno dell’Unione europea.

Tuttavia, è ancora presto per esprimere giudizi accurati sui rischi che le innovazioni di cui si discute comporteranno per la tutela dei dati personali degli assistiti.  Infatti, i contenuti del FSE e del dossier farmaceutico, nonché le responsabilità ed i compiti degli operatori tenuti ad alimentare il repository, verranno stabiliti nel dettaglio dal Ministero della Salute, con appositi decreti.  Tali decreti dovranno anche disciplinare le misure di sicurezza e le garanzie da adottare per assicurare la tutela dei dati personali degli interessati, la modalità di attribuzione agli assistiti di un codice identificativo univoco (tale da non consentirne l’identificazione diretta) ed i livelli diversificati di accesso al FSE.

La legge 25/2022 rafforza anche il ruolo dell’Agenzia Nazionale per i Servizi Sanitari Regionali (Agenas), che viene investita del compito di adottare linee guida volte a definire, tra l’altro, le regole tecniche per garantire la raccolta, la conservazione, la consultazione e l’interscambio di dati sanitari da parte degli enti del Servizio Sanitario Nazionale e dei soggetti pubblici e privati che erogano prestazioni sanitarie e socio-sanitarie agli assistiti.  Le banche dati esistenti saranno allineate con l’Anagrafe Nazionale degli Assistiti (ANA). Secondo il Ministero della Salute, l’ANA fungerà da “elemento abilitante per l’attuazione dell’investimento “potenziamento del Fascicolo sanitario elettronico””.

D’altra parte, con la L. 25/2022 il FSE ha acquisito un’ulteriore funzione, di primaria importanza: quella di permettere l’implementazione dell’Ecosistema di Dati Sanitari, attraverso i dati resi disponibili tramite il “sistema tessera sanitaria”, nonché quelli trasmessi dalle strutture sanitarie e socio-sanitarie e dagli enti del Servizio Sanitario Nazionale.  In tale contesto, il Ministero della Salute agirà in veste di titolare del trattamento dei dati raccolti e generati dall’EDS, mentre Agenas avrà il ruolo di responsabile ex art. 28 del GDPR, essendo incaricata della gestione operativa dell’EDS.

Non sono ancora disponibili informazioni di dettaglio circa i contenuti dell’EDS, le modalità di alimentazione dello stesso, i soggetti che vi avranno accesso, le operazioni eseguibili e le misure di sicurezza per assicurare i diritti degli interessati. Anche a tal proposito, occorrerà attendere l’adozione di un apposito decreto del Ministro della Salute, di concerto con il Ministero per la transizione digitale.

Nonostante i molti dettagli che le istituzioni dovranno definire nei mesi a venire, le novità in commento rappresentano indubbiamente una sfida notevole per la tutela dei dati personali, considerata la natura ed il volume delle informazioni che saranno disponibili all’interno del FSE.  Proprio in considerazione di tali rischi, il Legislatore ha previsto il coinvolgimento del Garante per la protezione dei dati personali, che verrà chiamato ad esprimere il proprio parere sul testo dei menzionati decreti attuativi, prima della loro approvazione.

Stay tuned!

Su di un simile argomento, è possibile leggere l’articolo “Il Garante sanziona una azienda sanitaria per informative privacy non conformi al GDPR”.