L’Autorità ha richiesto a tutte le regioni chiarimenti sulle tempistiche e le funzionalità presenti nei Fascicoli Sanitari Elettronici, sostituendosi al Dipartimento della Trasformazione Digitale e al Ministero della Salute.
Perplessità, disorientamento, sconcerto. Sono alcuni dei sentimenti che ha suscitato la lettera che l’Autorità Garante della Privacy ha inviato a tutte le regioni e le province autonome ponendo una lunga serie di interrogativi sulle tempistiche e le funzionalità presenti nel Fascicolo Sanitario Elettronico a cui queste devono rispondere entro trenta giorni.
La base giuridica dell’intervento del Garante è il decreto del 7 settembre 2023 che istituisce il Fascicolo Sanitario Elettronico 2.0 e che ne definisce i contenuti, le responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, nonché le misure di sicurezza e le modalità di accesso.
Il decreto non prevede un periodo transitorio né definisce i tempi entro i quali le regioni devono implementare quanto previsto anche se esiste una tempistica definita nel Piano Nazionale di Ripresa e Resilienza che finanzia il FSE 2.0.
Il Garante ha quindi scritto a tutte le regioni ponendo una lunga serie di domande che possiamo suddividere nelle seguenti categorie:
- Consenso dell’interessato. Il Garante ha chiesto spiegazioni sulla mancata possibilità di esprimere i consensi sulla prevenzione e la profilassi internazionale
- Diritti e prerogatove degli interessati. Su questo punto la lista è molto lunga e spazia dal diritto all’oscuramento, alle deleghe a terzi o all’uso del FSE da parte dei genitori, sino alla mancanza delle lettere di invito alle vaccinazioni e agli screening
- Mancata realizzazione di alcune componenti e servizi del FSE 2.0. Tra questi il Taccuino Sanitario Personale, il Profilo Sanitario Sintetico, l’accesso dai dati in emergenza e molti altri
- Accessibilità al FSE da parte dei professionisti sanitari, ossia i livelli diversificati di accesso e l’inclusione di tutte le categorie di operatori sanitari
- Accesso in emergenza in assenza del consenso alla consultazione e mancanza delle modalità di accesso graduale
- Misure di sicurezza e integrità dei dati, ossia la mancata registrazione di tutte le operazioni di trattamento effettuate sul FSE 2.0
- Modifica delle modalità di conservazione dei dati previste nel decreto in caso di adesione al modello architetturale distribuito con conseguente personalizzazione delle titolarità e delle responsabilità previste dal decreto
- Mancata realizzazione dei servizi on line, tra i quali la scelta e revoca del medico di famiglia, le esenzioni, la prenotazione CUP e il pagamento dei ticket
- Identificazione assistito
- Modifica soggetto titolare
Si tratta di rilevi che non hanno a che vedere né con la tutela della privacy, né sulla sicurezza dei dati (ad eccezione di uno) ma che chiedono conto alle regioni e alle province autonome sulle ragioni della mancata implementazione di alcuni contenuti e funzionalità previste nel decreto.
È la prima volta, a mia memoria, che il Garante si auto-investe di un ruolo di controllo sulle tempistiche e le modalità di implementazione di una legge dello stato su una materia oltretutto di competenza regionale che spetterebbero alla Corte dei Conti, al Ministero della Salute e al Dipartimento della Trasformazione Digitale.
La motivazione sembra essere quella di tutelare i diritti dei cittadini e degli operatori sanitari, oggi non del tutto assicurati ma per una serie di ragioni tecniche e organizzative, tra cui anche il rispetto dell’attuale normativa privacy in alcuni ambiti (ad esempio screening e profilassi), vero e proprio paradosso di questo intervento.
Al momento le regioni stanno confrontandosi tra loro su come rispondere ai rilievi e nel frattempo sono previsti degli incontri tra Ministero della Salute, Dipartimento della Trasformazione Digitale e il Garante per discutere del tema.
Vi terrò aggiornati sui prossimi passi di questa vicenda. Rimanete connessi!