Garante privacy e nuova banca dati sanitaria. Da rivedere i contenuti

Pubblicato il



Garante privacy e nuova banca dati sanitaria. Da rivedere i contenuti

Il Garante per la protezione dei dati personali ha espresso parere negativo sullo schema di decreto tramesso dal Ministero della salute e dal Ministero per l’innovazione tecnologica e la transizione digitale, riguardante la realizzazione della nuova banca dati denominata Ecosistema Dati Sanitari (EDS), prevista dalla riforma del Fascicolo sanitario elettronico (FSE).

Non ha convinto il Garante - si legge nel comunicato dell'8 settembre 2022 - nemmeno un secondo schema di decreto diretto a favorire e migliorare l’implementazione a livello nazionale del Fascicolo sanitario elettronico (FSE).

Necessità di modelli sanitari completi

Il Garante prende atto che negli ultimi 3 anni vi è stato uno sviluppo, a livello normativo, di strumenti di sanità digitale nel nostro Paese definendo modelli sanitari sempre più caratterizzati dalla raccolta di informazioni sulle prestazioni sanitarie rese all’assistito al fine di delineare un preciso profilo sanitario dello stesso, inteso come risorsa per la progressione e la sostenibilità del sistema sanitario, che al contempo deve essere considerato anche come bene fondamentale per la tutela dell’identità personale e delle libertà fondamentali dell’individuo.

L’introduzione di tali strumenti – precisa il Garante della privacy nel parere prot. 9802752 del 22 agosto 2022 – è benvista dall’Autorità; tuttavia sono state rilevate delle carenze nei decreti proposti all’attenzione della stessa.

Decreto su Ecosistema Dati Sanitari (EDS): come va riformulato

Il Ministro della Salute è chiamato a realizzare l’Ecosistema Dati Sanitari (EDS) con lo scopo di garantire “il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale per il perseguimento delle finalità” del FSE.

L’EDS viene alimentato con i dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema TS e attribuisce al Ministero della salute la titolarità del trattamento dei dati raccolti e generati dall’EDS, la cui gestione operativa è affidata all'AGENAS.

In sostanza, l’EDS si presenta come la più grande banca di dati sulla salute del nostro Paese, raccogliendo, senza applicare alcuna tecnica di pseudonimizzazione, i dati e i documenti sanitari relativi alle prestazioni socio sanitarie erogate sul territorio nazionale di tutti gli assistiti.

L'importanza dell'impianto implica che debbano essere applicati rigorosamente i principi generali dettati dalla normativa sulla privacy.

Lo schema di decreto deve definire i contenuti dell’Ecosistema, le modalità di alimentazione, nonché i soggetti che vi hanno accesso, le operazioni eseguibili e le misure di sicurezza per assicurare i diritti degli interessati.

In realtà, l’articolato non contiene la disciplina degli elementi richiesti dalla normativa. Inoltre lo schema di decreto sull’EDS appare una “scatola vuota”, in quanto rinvia a successivi decreti la definizione di molti aspetti essenziali per la sua regolamentazione.

Pertanto, il Garante ritiene che, in ordine allo schema di decreto sull’EDS, si debbano rivedere:

  • il contenuto dell’EDS, dove dovranno essere indicati quali siano i “dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria”;
  • l’alimentazione dell’EDS, con riferimento ai soggetti e alle modalità;
  • i diritti ed il consenso dell’interessato;
  • i servizi resi dall’EDS;
  • la titolarità dei trattamenti.

Schema di decreto su implementazione FSE

Con riferimento al secondo schema inerente all’implementazione del FSE, il Garante ha reso parere negativo avendo rilevato criticità e carenze nonostante siano state già sottolineate in passato le misure da adottare per renderlo in linea con la legislazione sulla privacy.

Pertanto, il Ministero della Salute dovrà specificare quali informazioni personali devono entrare nel Fascicolo sanitario elettronico, chi vi può accedere in caso di emergenza, i diritti riconosciuti agli assistititi e le modalità per esprimere un consenso consapevole rispetto alle diverse finalità per le quali i dati vengono trattati.

Allegati