Ennesima bocciatura del Garante in ambito sanitario
12 Settembre 2022
Il 15 agosto il Ministero della salute ha chiamato il Garante per la protezione dei dati personali a pronunciarsi sullo schema di decreto da adottare assieme al Ministro delegato per l’innovazione tecnologica e la transizione digitale, di concerto con il Ministro dell’economia e delle finanze, sull’Ecosistema Dati Sanitari (EDS). Il 22 agosto 2022 il Garante ha espresso parere negativo sia sullo schema di decreto appena richiamato, sia quello relativo al fascicolo sanitario elettronico; volti entrambi ad attualizzare e riformare il Fascicolo sanitario elettronico, in coerenza con quanto approvato all’interno del Piano Nazionale di Ripresa e Resilienza PNRR.
Il Garante, seppur favorevole all’innovazione tecnologica ed alla digitalizzazione del settore sanità, al fine di rendere più efficace ed agevole lo scambio di informazioni, solleva la doverosità del rispetto della normativa privacy e quindi dei diritti degli interessati, che nei due schemi di decreto non sembrerebbero ravvisabili.
Inoltre, non di minore importanza, è un altro tassello sollevato dal Garante, riguardante la necessità di delineare i ruoli e le responsabilità di tutti i soggetti coinvolti nei trattamenti di dati effettuati attraverso il fascicolo sanitario elettronico e l’ecosistema dei dati sanitari, in linea con le Linee guida dei Garanti europei (“Guidelines 07/2020 on the concepts of controller and processor in the GDPR”).
Un grande Ecosistema di dati sanitari
Il Garante rammenta come l’Ecosistema Dati Sanitari, la nuova banca dati prevista dalla riforma del FSE, raccoglie ed elabora i dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria, al fine di garantire il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale per il perseguimento delle finalità del Fascicolo sanitario elettronico.
In tal modo viene a costituirsi la più grande banca di dati sulla salute del nostro Paese, che raccoglie, in assenza di tecniche di pseudonimizzazione, i dati e i documenti sanitari relativi alle prestazioni socio- sanitarie erogate sul territorio nazionale di tutti gli assistiti.
Un sistema siffatto, con trattamenti di dati particolari ex art 9 GDPR, su larga scala e logiche algoritmiche, presenta un rischio elevato per i diritti e libertà degli interessati.
La risposta del Garante
Al fine di superare l’empasse, il Garante ha ritenuto che la soluzione più idonea sia adottare particolari misure di sicurezza: “riformulare lo schema di decreto, indicando i contenuti e le modalità di alimentazione della banca dati; i diritti riconosciuti alle persone, a partire dalla manifestazione di un consenso libero e informato all’uso dei dati; i servizi resi dall’Ecosistema; quali tra le diverse strutture interessate avranno la titolarità del trattamento”.
Per quanto attiene invece lo schema di decreto sul fascicolo sanitario elettronico il Garante ha sottolineato come esso presenti ancora criticità e carenze. Il Garante richiede quindi che “ll Ministero dovrà dunque specificare, in particolare, quali informazioni personali devono entrare nel Fascicolo sanitario elettronico; chi vi può avere accesso in caso di emergenza; i diritti riconosciuti agli assistititi e le modalità per esprimere un consenso consapevole rispetto alle diverse finalità per le quali i dati vengono trattati.”