Il Garante privacy boccia lo schema di decreto per l’Ecosistema dei Dati Sanitari del nuovo FSE

Il Garante ha chiesto anche di correggere un secondo schema di decreto, per favorire e migliorare l’implementazione a livello nazionale del Fascicolo sanitario elettronico (FSE).

Il parere negativo del Garante privacy è stato rilasciato al Ministero della salute e al Ministero per l’innovazione tecnologica e la transizione digitale sullo schema di decreto che prevede la realizzazione della nuova banca dati denominata Ecosistema Dati Sanitari (EDS), prevista dalla riforma del Fascicolo sanitario elettronico. Il Garante ha chiesto anche di correggere un secondo schema di decreto, per favorire e migliorare l’implementazione a livello nazionale del Fascicolo sanitario elettronico (FSE).

L’Autorità, pur condividendo la necessità di introdurre strumenti volti ad agevolare lo sviluppo di servizi sanitari digitali offerti ai cittadini, ha ravvisato che non siano stati pienamente rispettati i diritti fondamentali di tutela della privacy delle persone nei due schemi di decreto esaminati.

Per il Garante questi non sono risultati coerenti con la normativa di settore, e presentano numerosi profili di violazione della disciplina in materia di protezione dei dati personali. Con i pareri attuali, il Garante ha quindi indicato al Ministero le misure da adottare per rendere i due testi conformi alla normativa nazionale e europea.

Il Garante sottolinea nel parere che “L’Ecosistema Dati sanitari (EDS), previsto dalla riforma del Fascicolo sanitario elettronico con l’obiettivo di garantire il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale, comporta di fatto la duplicazione di dati e documenti sanitari già presenti nel FSE e determina la costituzione della più grande banca dati sulla salute del nostro Paese. Un tale database, raccoglierebbe a livello centralizzato, senza garanzie di anonimato per gli assistiti, dati e documenti sanitari relativi a tutte le prestazioni sanitarie erogate sul territorio nazionale. Inoltre, per come è attualmente previsto dallo schema di decreto, l’EDS si presenta come “una scatola vuota”, rinviando a successivi decreti la definizione di aspetti essenziali per la sua regolazione.

Il Garante ha quindi chiesto al Ministero di riformulare lo schema di decreto, indicando i contenuti e le modalità di alimentazione della banca dati, i diritti riconosciuti alle persone a partire dalla manifestazione di un consenso libero e informato all’uso dei dati, i servizi resi dall’Ecosistema, quali tra le diverse strutture interessate avranno la titolarità del trattamento.

I rilievi del Garante non si limitano solo all’EDS ma includono anche lo schema sul FSE che presenta ancora criticità e carenze nonostante l’Autorità abbia, fin dal 2020, indicato le specifiche misure necessarie per superarle. Il Ministero dovrà dunque indicare, in particolare, quali informazioni personali devono entrare nel Fascicolo sanitario elettronico; chi vi può avere accesso in caso di emergenza; i diritti riconosciuti agli assistititi e le modalità per esprimere un consenso consapevole rispetto alle diverse finalità per le quali i dati vengono trattati.

Si tratta di un parere importante che può rallentare la tabella di marcia dell’EDS e del nuovo FSE e che impone una completa progettazione di queste infrastrutture prima dell’approvazione del decreto per la loro realizzazione.

Viene spontaneo domandarsi, visto l’impatto della privacy, perché il Garante non sia stato coinvolto sin dalle prime fasi della loro concezione. La risposta a questa domanda trova risposta nell’abitudine di progettare e decidere infrastrutture strategiche per la sanità digitale nell’ambito di gruppi di lavoro ristretti in cui mancano tutte le competenze necessarie per affrontare i temi che tali progetti affrontano, primi tra tutti gli utenti – medici e infermieri (come ho più volte fatto notare). Atteggiamento che è frutto di arroganza e di ignoranza e/o poca percezione della complessità degli aspetti che sono interessati dalla sanità digitale. Per ciò che riguarda la privacy il Garante ha il diritto di esprimere un parere che è vincolante; per gli aspetti professionali della medicina purtroppo non esiste un analogo principio di responsabilità.

Rispondi