Il Garante privacy è contrario all’ecosistema dati sanitari del Ministero della Salute

Con un recente provvedimento, il Garante per la protezione dei dati personali ha espresso un parere negativo sullo schema di decreto proposto dal Ministero della salute e dal Ministero per l’innovazione tecnologica e la transizione digitale che prevede la realizzazione di nuova banca dati, il c.d. Ecosistema Dati Sanitari, prevista dalla riforma del Fascicolo sanitario elettronico.

Pur condividendo la necessità di introdurre strumenti finalizzati ad agevolare lo sviluppo di servizi sanitari digitali per i cittadini, il Garante si è soffermato sulla centralità del pieno rispetto dei diritti fondamentali degli interessati che potrebbero essere intaccati a causa di carenze strutturali e sostanziali dello stesso Ecosistema Dati Sanitari.

Nell’ambito della riforma del Fascicolo Sanitario Elettronico (FSE), l’Ecosistema Dati Sanitari si pone l’obiettivo di assicurare il coordinamento informatico nonché servizi omogenei sul territorio nazionale. Ciò implicherebbe, tuttavia, l’effettiva duplicazione di dati e documenti sanitari già presenti nel FSE e determinando la realizzazione del più grande database sulla salute del nostro Paese, raccogliendo a livello centralizzato, senza garanzie di anonimato per gli assistiti, dati e documenti sanitari relativi a tutte le prestazioni sanitarie erogate sul territorio nazionale.

Dato l’elevato numero di dati personali che andrebbe ad accogliere e la natura estremamente delicata degli stessi, il Garante si è soffermato con particolare attenzione sui presidi prospettati e ha identificato importanti lacune, in particolare su:

  1. indicazioni sui dati che alimentano l’Ecosistema Dati Sanitari, ovverosia sui dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale, per poter valutare il rispetto dei principi di minimizzazione, esattezza e integrità e riservatezza;
  2. l’alimentazione dell’Ecosistema Dati Sanitari, in merito alla quale devono essere indicati i soggetti e le modalità di realizzazione di tale alimentazione;
  3. i diritti dell’interessato, con riferimento ai quali devono essere indicati gli specifici diritti esercitabili da parte dell’interessato sui dati “raccolti e generati dall’Ecosistema Dati Sanitari”;
  4. il consenso dell’interessato, in merito al quale deve essere indicato l’ambito di operatività del consenso e le conseguenze di un’eventuale revoca dello stesso con specifico riferimento alla raccolta, all’elaborazione dei dati e all’erogazione dei servizi da parte dell’Ecosistema Dati Sanitari;
  5. i servizi resi dall’Ecosistema Dati Sanitari, con riferimento ai quali devono essere indicati, in relazione alle diverse finalità del trattamento, gli specifici servizi che – su richiesta- l’Ecosistema Dati Sanitari può erogare, nonché descritti, con riferimento a ciascun servizio, la tipologia di dati che si intende raccogliere, le modalità di raccolta e di elaborazione degli stessi e le fattispecie nell’ambito delle quali i soggetti deputati al perseguimento delle finalità del FSE possono richiedere specifici servizi all’Ecosistema Dati Sanitari;
  6. la titolarità dei trattamenti, essendo necessario che siano descritti i ruoli del trattamento nelle fasi di raccolta ed elaborazione dei dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale.

Per le ragioni che precedono, il Garante Privacy ha invitato Ministero della Salute e Ministero per l’Innovazione Tecnologica e la Transizione Digitale a riformulare lo schema di decreto sull’Ecosistema Dati Sanitari, contemplando contenuti e modalità di alimentazione della banca dati, diritti riconosciuti agli interessati e servizi resi, oltre a indicare quale entità ricoprirà il ruolo di titolare del trattamento dei dati.

Sul tema delle categorie particolari di dati personali, potrebbe interessarvi “La Commissione europea presenta la proposta di Regolamento sullo spazio europeo dei dati sanitari” e “La CGUE chiarisce il concetto di categorie particolari di dati personali ai sensi del GDPR”.