FSE 2.0 e privacy: nuova roadmap per tutelare i diritti dei cittadini

Il Fascicolo sanitario elettronico o FSE è uno strumento, come ormai noto ai più, che raccoglie dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici del singolo assistito, riferiti a prestazioni che gli sono state erogate dal Servizio sanitario nazionale (“SSN”) e da strutture sanitarie private.

La genesi del Fascicolo Sanitario Elettronico

Il Fascicolo è un contenitore di dati di estrema utilità sia per tutti coloro che prendono in cura il cittadino, ma anche per il cittadino stesso, perché gli consente di poter avere sempre a disposizione tutti i dati che riguardano il suo attuale e pregresso stato di salute.

Il Progetto del FSE parte da lontano, perchè prende avvio ormai più di dodici anni orsono, con l’articolo 12 del decreto-legge 18 ottobre 2012, n. 179, recante ”Fascicolo sanitario elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale” e da tutta una serie di ulteriori provvedimenti del legislatore che ne hanno costituito le basi e l’architettura.

Il provvedimento legislativo più recente

Il più recente è il Decreto del Ministero della salute del 7 settembre 2023, che ha per oggetto il “Fascicolo sanitario elettronico 2.0..

Con specifico riferimento agli aspetti di protezione dei dati personali, questo :

• definisce, ai sensi dell’art. 12, comma 7, del d.l. n. 179/2012 e dell’art. 2 sexies del Decreto Legislativo 196 del 2003, i dati personali contenuti nel Fascicolo Sanitario Elettronico, i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, anche attraverso una puntuale definizione dei ruoli del trattamento, le modalità e i livelli diversificati di accesso e le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti dell’assistito;
• individua un quadro di tutele e garanzie omogeneo sul territorio nazionale per i trattamenti di dati personali e sulla salute effettuati attraverso il FSE 2.0 per finalità di cura, prevenzione e profilassi internazionale, attraverso la previsione di un trattamento che è stato dall’Autorità ritenuto proporzionato alle finalità perseguite, rispettoso dell’essenza del diritto alla protezione dei dati personali in funzione dell’avvenuta previsione di misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.

Chi partecipa alla costruzione del FSE

Alla costruzione del FSE partecipano tutta una serie di attori, a partire dal Ministero della Salute a tutti i soggetti che erogano prestazioni sanitarie agli assistiti, anche in regime privato e financo dai farmacisti, che sono tenuti a popolarne la componente del Dossier Farmaceutico, ma anche le Regioni e Province autonome, che svolgono un ruolo fondamentale per la messa a disposizione a livello centrale dei dati prodotti sul proprio territorio.

Al Fascicolo è possibile accedere con la consultazione dei dati ivi custoditi per finalità di prevenzione, diagnosi, cura e riabilitazione, programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria i dati personali e di salute dell’assistito.

FSE, gli interventi del Garante privacy a tutela dei dati personali

Vista la necessità che tale attività sia svolta nel più rigoroso rispetto della normativa vigente in materia di protezione dei dati personali, l’Autorità Garante è ovviamente tenuta per legge ad esprimersi relativamente ad ogni fase di sviluppo e avanzamento dell’ambizioso progetto.

E negli ultimi mesi il FSE è tornato ad essere un tema di attualità , a partire dallo scorso giugno, mese in cui il Ministro della Salute ha reso noto che erano in corso i lavori per l’aggiornamento e l’avanzamento del Progetto Fascicolo Sanitario Elettronico.

Nello stesso mese inoltre veniva reso pubblico da parte dell’Autorità Garante Privacy che erano stati avviati dei procedimenti istruttori nei confronti di 18 Regioni e 2 Province autonome per non avere dato tempestivamente seguito alle disposizioni adottate con il Decreto Legislativo in materia di “FSE2.0.” del 7 settembre 2023.

Le violazioni riscontrate dal Garante privacy

Con la sua newsletter del 27 giugno l’Autorità aveva a tal proposito fatto presente che “È urgente intervenire per tutelare i diritti di tutti gli assistiti italiani coinvolti nel trattamento dei dati sulla salute effettuato attraverso il Fascicolo Sanitario Elettronico 2.0. “ e che sulla base di tale motivazione aveva notificato a Regioni e alle Province autonome di Bolzano e Trento l’avvio di procedimenti correttivi e sanzionatori per le numerose violazioni riscontrate nell’attuazione della nuova disciplina sul FSE 2.0.

Il Presidente dell’Autorità nei giorni precedenti alla divulgazione della notizia aveva allertato il Presidente del Consiglio dei Ministri e il Ministro della salute sulla grave situazione e sull’urgenza di interventi correttivi, informandoli che dopo aver condotto dal gennaio apposita attività istruttoria sul FSE, aveva accertato che gli Enti suindicati non erano riusciti a garantire in maniera uniforme in tutto il Paese l’esercizio da parte dei cittadini di alcuni diritti e misure di garanzia e sicurezza.

Il 13 giugno 2024 era stata infatti inviata dal Presidente una segnalazione al Parlamento e al Governo sullo stato di attuazione della disciplina del decreto del 7 settembre 2023 sul FSE 2.0., nella quale era rappresentato che molte disposizioni rilevanti sotto il profilo della protezione dei dati ivi contenute, alcune delle quali erano già presenti nel Dpcm n. 178/2015, risultavano essere disattese.

Le modifiche necessarie per garantire uniformità

La constatata mancata omogeneità di applicazione delle misure del Decreto del settembre 2023 aveva comportato di conseguenza anche a talune modifiche anche significative del modello di informativa sul FSE predisposto dal Ministero, modello che, previo parere del Garante, avrebbe dovuto invece essere adottato su tutto il territorio nazionale, al fine di evitare un potenziale e significativo effetto discriminatorio sugli assistiti.

Tali difformità riguardavano anche misure e tutele sostanziali quali l’esercizio del diritto di oscuramento dei dati e dei documenti presenti nel FSE, del diritto di poter consultare gli accessi effettuati sul proprio FSE, la possibilità di esprimere consensi specifici per le diverse finalità perseguibili attraverso il FSE 2.0 (cura, prevenzione e profilassi internazionale) e l’attribuzione della titolarità di alcuni trattamenti.

Le segnalazioni del Garante al Ministero

La circostanza che alcuni diritti connessi alla gestione dei dati personali (es. oscuramento) fossero esercitabili solo dagli assistiti di alcune regioni/province autonome determinava inoltre un potenziale e significativo effetto discriminatorio sugli interessati.

Il Garante ha quindi segnalato al Ministero che:

• la disomogeneità di applicazione delle misure del Decreto “..contraddice inoltre lo spirito della riforma del FSE 2.0 volta a introdurre misure, garanzie e responsabilità omogenee sul tutto il territorio nazionale, rischiando così di compromettere anche la funzionalità, l’interoperabilità e l’efficienza del sistema FSE 2.0.” e di minare una realizzazione uniforme dell’interesse della collettività alla tutela della salute di matrice costituzionale prevista, come tutti sanno, dall’articolo 32 della Costituzione italiana;
• “Le violazioni nelle quali sono incorse Regioni e Province autonome, con diversi livelli di gravità e responsabilità, possono comportare l’applicazione delle sanzioni previste dal Regolamento europeo.”

Le interlocuzioni Ministero-Garante

Alla luce di tale allarme il Ministero della salute ha avviato delle interlocuzioni informali con l’Autorità, nell’ambito delle quali è emersa la necessità di prevedere una disposizione transitoria “per l’attivazione di tutti i servizi e le funzionalità del FSE, con suddivisione in tre fasi, coerenti con le scadenze del PNRR, al fine di tutelare i diritti e le libertà di tutti gli interessati coinvolti nel trattamento dei dati sulla salute effettuate attraverso il FSE 2.0” (ultimo ritenuto del preambolo dello schema di decreto).

Il nuovo decreto

In considerazione dell’urgenza rappresentata al Ministero per “…tutelare i diritti degli assistiti coinvolti nel trattamento dei dati sulla salute”, il 7 agosto 2024 questo ha quindi trasmesso al Garante, per il prescritto parere, uno schema di decreto, redatto d’intesa con il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega all’innovazione tecnologica e con il Ministro dell’Economia e delle Finanze.

Il nuovo Decreto, che modifica ed integra quello del 7 settembre 2023 sul FSE 2.0, e del quale si attende l’imminente pubblicazione in Gazzetta Ufficiale, si compone di quattro articoli, dei quali i primi due assumono specifica rilevanza.

Con il primo articolo viene introdotto nel testo del Decreto del 2023 l’articolo 27-bis, che stabilisce una disciplina transitoria dell’efficacia delle relative disposizioni, mentre con il secondo articolo agli allegati tecnici viene aggiunto anche l’allegato D.

FSE 2.0: una attuazione graduale delle misure

Quindi con il nuovo Decreto, il cui testo ha ottenuto il parere positivo dell’Autorità Garante Privacy, che si è espressa con il Provvedimento n.580 del 26 settembre scorso, si stabilisce che le misure di quello del settembre 2023 in tema di FSE 2.0. saranno applicate gradualmente, e divise in tre diverse fasi di attuazione, gradualità che consentirà alle Regioni e Province Autonome di assicurare il rispetto uniforme dei diritti degli assistiti sull’intero territorio nazionale.

Per quanto riguarda la disciplina transitoria “per l’attivazione di tutti i servizi e le funzionalità del FSE, con suddivisione in tre fasi, coerenti con le scadenze del PNRR, al fine di tutelare i diritti e le libertà di tutti gli interessati coinvolti nel trattamento dei dati sulla salute effettuate attraverso il FSE 2.0”, così come indicato nell’ultima parte del preambolo dello schema di decreto”, queste sono indicate nella tabella dell’allegato D.

Le tre fasi di attuazione

Ciascuna di tali fasi deve avere termini certi e coerenti con le scadenze del PNRR, ma al contempo rispettosi dei diritti e delle libertà fondamentali degli interessati, vista la delicatezza del trattamento dei dati sulla salute effettuato attraverso il FSE 2.0 e l’evidenza che lo stesso coinvolge una larga scala di soggetti potenzialmente vulnerabili (pazienti), e prevede tempi di attivazione diversi come di seguito riportato.

Fase 1, che dovrà concludersi entro il 1° trimestre del 2025 ( 31 marzo), ed al cui termine dovrà essere assicurato:

• l’esercizio del diritto di oscuramento automatico delle prescrizioni e dei relativi documenti collegati all’interessato;
• la registrazione delle operazioni su FSE;
• il diritto dell’interessato di prendere visione degli accessi effettuati sul FSE.

Fase 2, che dovrà chiudersi entro il terzo trimestre del 2025 ( 30 settembre), e al termine della quale:

• dovrà essere correttamente identificato l’assistito;
• assicurato l’accesso al FSE dei minori e dei soggetti incapaci di intendere e volere attraverso il sistema delle deleghe;
• completato da parte dei Medici di medicina generale il Profilo Sanitario Sintetico;
• pienamente operativo il Taccuino personale dell’assistito;
• assicurata l’alimentazione dei dati soggetti a maggiore tutela dell’anonimato direttamente oscurati;
• e consentito l’accesso in consultazione ai dati e ai documenti del FSE per finalità di cura, l’accesso al FSE da parte di infermieri/ostetrici, farmacisti e personale amministrativo secondo i livelli diversificati di accesso previsti nell’allegato A del decreto del 7 settembre 2023

Fase 3, che dovrà terminare entro il primo trimestre del 2026 (31 marzo), al cui termine:

• dovranno essere completati i contenuti del FSE e assicurata la sua tempestiva alimentazione con i dati e documenti, entro 5 giorni dall’erogazione della prestazione sanitaria, anche se erogate fuori dal Servizio Sanitario Nazionale;
• realizzati i servizi telematici accessibili attraverso un’interfaccia utente unica a livello regionale, compreso l’accesso on-line al FSE da parte delle strutture sanitarie private.

Più tempo per garantire i diritti di tutti

I tempi di gestione del Progetto FSE quindi rallentano, così che in tutto il territorio nazionale si riescano a rendere effettivi, al fine di consentire appieno i benefici attesi dal più che decennale disegno.

In sintesi con la pubblicazione e l’entrata in vigore del Decreto di aggiornamento del Decreto sul “FSE 2.0.” le suindicate autonomie locali, che costituiscono un elemento fondante dell’architettura su cui si basa il Progetto del Fascicolo Sanitario, e sulle quali non è ancora terminata l’attività istruttoria avviata dall’Autorità, avranno più tempo per assicurare, attraverso una roadmap specifica, a tutti i cittadini il rispetto dei diritti fondamentali che gli devono essere assicurati e l’adeguata protezione dei loro dati di salute.