Salute Digitale

Il parere del Garante della Privacy sul decreto che regolerà l’EDS fornisce utili indicazioni per comprenderne la struttura e il suo funzionamento.

L’Ecosistema dei Dati Sanitari – EDS – costituisce la novità più importante del Fascicolo Sanitario Elettronico 2.0 – FSE – e sarà composto da dati strutturati e non trasmessi dalle strutture sanitarie e sociosanitarie, dagli enti del Servizio sanitario nazionale (SSN) e da quelli resi disponibili tramite il Sistema Tessera Sanitaria (TS).

Finalità e responsabilità del EDS

il Ministero della salute sarà il titolare del trattamento dei dati raccolti e generati dall’EDS, la cui gestione operativa sarà affidata ad Agenas, che la effettuerà in qualità di responsabile del trattamento.

L’EDS sarà alimentato con i dati del FSE, ad eccezione di quelli oggetto di oscuramento, e li elaborerà al fine di fornire, su richiesta, appositi servizi (individuati nell’allegato A della bozza di decreto) ai professionisti sanitari, alle regioni e province autonome, al Ministero della salute e allo stesso interessato, nonché specifici servizi di supporto alla compilazione del Profilo Sanitario Sintetico (PSS) e al processo di cura e per la realizzazione del dossier farmaceutico (DF) (art. 3 dello schema di decreto).

Le caratteristiche del EDS

Il decreto definisce in dettaglio il contenuto informativo dell’EDS e, come richiesto dal Garante, precisa che i dati oggetto di oscuramento ai sensi degli articoli 6 e 9 del decreto del 7 settembre 2023 non andranno ad alimentare l’EDS (art. 3, comma 2 dello schema di decreto). Altro aspetto significativo è che i servizi siano realizzati solo su richiesta (on demand), non essendo ammissibile l’elaborazione automatica dei dati e delle informazioni del FSE 2.0 (art. 3, comma 1 dello schema di decreto). Il decreto inoltre non prevede alcun riferimento a sistemi di intelligenza artificiale (IA) per l’elaborazione dei dati del FSE 2.0 per elaborare i servizi dell’EDS. Ciò significa che non sarà possibile adoperare l’IA con i dati sensibili dei pazienti, scelta coerente quanto opinabile con quanto previsto anche per la gara Agenas della Piattaforma di Intelligenza Artificiale per le Cure Primarie. Infine il decreto fissa il periodo di conservazione dei dati dell’EDS in modo analogo a quello del FSE 2.0 (art. 10 dello schema di decreto).

Diritti dell’interessato

Per utilizzare i dati dell’EDS sarà necessario un consenso al trattamento dei dati specifico ed espresso, non potendo essere ritenuto valido il consenso reso (anche in passato) per il FSE anche per i trattamenti effettuati attraverso l’EDS. Dovranno quindi essere previste specifiche, disgiunte, informate ed espresse manifestazioni di volontà per i trattamenti effettuati per le finalità di cura, diagnosi e riabilitazione, di prevenzione e di profilassi internazionale, assicurando le medesime garanzie che sono state introdotte al riguardo nel decreto sul FSE 2.0 (vd. art. 8). L’anagrafe dei consensi e delle revoche del FSE 2.0 dovrà essere integrata anche con i consensi relativi all’EDS. L’informativa dovrà indicare tassativamente i soggetti abilitati, previo consenso dell’interessato, ad accedere all’EDS.

I diritti di accesso, integrazione, rettifica, oscuramento e aggiornamento dei dati potranno essere esercitati dall’interessato direttamente sui documenti e sui dati del FSE, ai sensi dell’articolo 9 del decreto 7 settembre 2023, in quanto la soluzione architetturale dell’EDS garantirà il pieno allineamento delle informazioni in conformità ai principi di esattezza e aggiornamento dei dati personali.

Il dossier farmaceutico

Uno dei servizi dell’EDS sarà il dossier farmaceutico (DF), uno strumento per favorire la qualità, il monitoraggio, l’appropriatezza nella dispensazione dei medicinali e l’aderenza alla terapia ai fini della sicurezza del paziente (art. 5 dello schema di decreto). L’EDS estrarrà i dati relativi alle prescrizioni farmaceutiche, all’erogazione di farmaci dai documenti del FSE e dai dati resi disponibili dal Sistema TS e dall’Anagrafe nazionale degli assistiti (ANA). Il dossier farmaceutico non costituirà una banca dati ma sarà un servizio di estrazione ed elaborazione di determinate categorie di dati presenti nel FSE 2.0 effettuato solo su richiesta (on demand). Il DF fornirà informazioni delle sole prescrizioni e erogazioni di farmaci e non anche della somministrazione degli stessi in quanto nel FSE 2.0 non sono registrate le informazioni relative all’avvenuta somministrazione di un medicinale.

I servizi per finalità di cura

Lo schema di decreto prevede che, previo consenso dell’assistito, l’EDS renderà disponibili alle strutture sanitarie e socio-sanitarie e ai medici convenzionati, nonché agli esercenti le professioni sanitarie che prendono in cura l’interessato, anche al di fuori del servizio sanitario nazionale (SSN), una serie di servizi, descritti nell’allegato A, pertinenti alla finalità di cura, cui gli stessi accederanno su propria iniziativa, nel rispetto dei principi di minimizzazione, necessità e pertinenza dei dati.

Potranno accedere a questi servizi i soggetti che hanno in cura l’interessato secondo i ruoli e i profili di autorizzazione dell’allegato A del decreto, previa dichiarazione che tale processo di cura è in atto al momento dell’accesso e assunzione della relativa responsabilità ai sensi dell’articolo 47 del d.P.R. n. 445 del 2000. Potranno accedere a questi servizi anche i medici di medicina generale e pediatri di libera scelta solo per la durata dell’assistenza o il medico sostituto solo per la durata della sostituzione.

L’accesso a questi servizi sarà sempre escluso ai soggetti operanti in ambito sanitario che non perseguono finalità di cura quali periti, compagnie di assicurazione, datori di lavoro, associazioni o organizzazioni scientifiche, organismi amministrativi anche operanti in ambito sanitario, personale medico nell’esercizio di attività medico legale quale quella per l’accertamento dell’idoneità lavorativa o per il rilascio di certificazioni necessarie al conferimento di permessi o abilitazioni.

I servizi per la prevenzione

Lo schema di decreto stabilisce che per la finalità di prevenzione, previo consenso dell’assistito, l’EDS renderà disponibili ai soggetti del SSN e dei servizi sociosanitari regionali della Regione di Assistenza (RdA), agli esercenti le professioni sanitarie che hanno in cura l’interessato, o comunque gli prestano assistenza, un insieme di servizi, descritti nell’allegato A, pertinenti alla finalità di prevenzione, cui gli stessi accedono su propria iniziativa, nel rispetto dei principi di minimizzazione, necessità e pertinenza, secondo i livelli diversificati di accesso di cui all’allegato A.

Il decreto prevede che le regioni/province autonome e il Ministero della salute potranno accedere solo ai dati privati degli elementi identificativi diretti e pseudonimizzati, secondo i livelli diversificati di accesso descritti nell’allegato A. L’accesso sarà possibile esclusivamente per il personale sanitario autorizzato, soggetto alle regole del segreto professionale, e che non acceda anche ad altri flussi di dati pseudonimizzati per altre finalità.

Questo principio farà sì che non sarà possibile avere servizi di prevenzione per l’invito degli assistiti agli screening, operazione che richiede ovviamente i dati identificativi della persona. Non risolve quindi l’ambiguità che oggi esiste su questa operazione, essenziale per la buona riuscita delle campagne di prevenzione.

I servizi per la profilassi internazionale

Per la finalità di profilassi internazionale lo schema di decreto stabilisce che, previo consenso dell’interessato, l’EDS renderà disponibili alla Direzione generale competente in materia di profilassi internazionale del Ministero della salute, designata quale Centro Nazionale Italiano per il Regolamento Sanitario Internazionale, ivi compresi gli Uffici di Sanità Marittima e Aerea e di Frontiera, un insieme di servizi omogenei sul territorio nazionale, descritti nell’allegato A e pertinenti alla finalità di profilassi internazionale.

Potranno accedere a questi servizi i soggetti operanti presso la Direzione generale del Ministero della salute, secondo i livelli diversificati di accesso determinati sulla base delle relative attività di competenza individuate nell’allegato A, debitamente autorizzati e da individuare esclusivamente in personale medico soggetto alle regole del segreto professionale che non accederà, per altre finalità, a flussi di dati pseudonimizzati.

I servizi per finalità di governo

Lo schema di decreto prevede che la finalità di governo sia perseguita -a regime- esclusivamente attraverso i servizi che l’EDS che renderà disponibili al personale dei competenti Uffici del Ministero della salute, di Agenas e delle regioni e delle province autonome competenti in materia di governo, a cui gli stessi accederanno nel rispetto dei principi di minimizzazione, necessità e pertinenza, secondo i livelli diversificati di accesso indicati nell’allegato A (art. 16).

Potranno accedere a questi servizi i soggetti abilitati descritti nell’allegato A che forniranno dati privati degli elementi identificativi diretti, pseudonimizzati, nonché dati aggregati. Il decreto prevede inoltre che il personale del Ministero della salute e delle regioni e delle province autonome che, per altre finalità, ha accesso a flussi di dati pseudonimizzati, non accederà ai dati messi a disposizione dai servizi dell’EDS per finalità di governo.

I servizi per finalità di studio e ricerca scientifica

L’art. 17 dello schema di decreto disciplina l’accesso ai servizi dell’EDS per finalità di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico. Il servizio previsto consiste esclusivamente nel rendere disponibile l’estrazione dall’EDS di dati anonimizzati secondo le tecniche indicate nell’allegato B, al personale dei competenti Uffici del Ministero della salute, di Agenas e delle regioni e province autonome (comma 1).

Questo servizio potrà essere erogato ai soggetti pubblici e privati che istituzionalmente perseguono finalità di studio e di ricerca scientifica in campo medico, biomedico ed epidemiologico per il tramite di Agenas, previa valutazione da parte della predetta Agenzia di una richiesta di estrazione di dati anonimizzati, corredata da un progetto di ricerca conforme alle regole metodologiche ed etiche, e, se del caso, alle regole deontologiche per trattamenti a fini statistici e di ricerca scientifica, di cui all’allegato A5 del Codice, nonché al Provvedimento recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. n. 101/2018 (comma 2).

I dati anonimizzati resi disponibili attraverso il servizio di estrazione in esame non saranno conservati nell’EDS (comma 3). L’articolo stabilisce inoltre che i servizi dell’EDS, che consentiranno trattamenti di dati di natura personale per le finalità di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico, nel rispetto delle garanzie di cui all’art. 89 del Regolamento, saranno disciplinati nell’ambito di successivi decreti (comma 4).

I servizi per finalità di emergenza

L’art. 18 dello schema di decreto prevede che, in caso di impossibilità fisica, incapacità di agire o incapacità di intendere o di volere e di rischio grave, imminente e irreparabile per la salute o l’incolumità fisica dell’interessato, che non abbia espresso il consenso al FSE e all’EDS, gli operatori del SSN e dei servizi socio-sanitari regionali, nonché gli esercenti le professioni sanitarie, secondo quanto previsto nell’articolo 20 del decreto FSE 2.0, potranno accedere, prioritariamente al PSS ed eventualmente al resto del FSE e, ove ritenuto necessario, ai servizi resi disponibili dall’EDS per finalità di cura.

L’accesso ai servizi dell’EDS potrà avvenire solo nel caso in cui il professionista sanitario, verificata l’incapacità fisica o giuridica dell’interessato di esprimere il consenso, non riterrà sufficiente l’accesso al PSS e comunque solo per il tempo strettamente necessario ad assicurare all’interessato le cure indispensabili e fino a quando lo stesso non sia nuovamente in grado di esprimere la propria volontà al riguardo.

L’architettura del EDS

La soluzione architetturale dell’EDS e le misure tecniche e organizzative sono stabilite e descritte da diversi articoli dello schema di decreto (artt. 4, 20, 22, 23 e 24) e, in particolare, dagli allegati B e C.

L’EDS, la cui soluzione architetturale è disciplinata dall’articolo 4 dello schema, sarà alimentato da flussi di dati provenienti dai diversi sistemi produttori tramite le “soluzioni tecnologiche”, definite all’articolo 1, comma 1, lettera r) e rese disponibili da parte di Agenas alle regioni, alle strutture sanitarie e sociosanitarie a livello nazionale o regionale, ai sensi dell’articolo 69 del CAD. Ciò al fine di assicurare, coordinare e semplificare la corretta e omogenea formazione dei documenti e dei dati che alimentano il FSE 2.0, il controllo formale e semantico dei documenti e dei corrispondenti dati correlati prodotti dalle strutture sanitarie e sociosanitarie per alimentare il FSE, la conversione delle informazioni, secondo i formati standard di cui all’art. 12, comma 15-octies, del d.l. n. 179/2012 e per l’invio dei dati da parte della struttura sanitaria e sociosanitaria verso l’EDS.

I diversi sistemi delle strutture sanitarie e sociosanitarie, degli enti del SSN, nonché il Sistema TS invieranno alla predetta “soluzione tecnologica” il documento sanitario prodotto a seguito di una prestazione sanitaria per alimentare l’EDS. La soluzione architetturale dell’EDS prevede 3 tipologie di unità di archiviazione distinte e indipendenti, volte a garantire, in particolare:

• la separazione dei dati in chiaro, pseudonimizzati e anonimizzati;
• il pieno allineamento tra i documenti sanitari pubblicati nei FSE regionali e i dati resi disponibili nell’EDS;
• la non duplicazione dei dati estratti dai documenti sanitari;
• la piena interoperabilità delle diverse unità di archiviazione contenenti i dati in chiaro;
• la facoltà per le regioni e le province autonome di gestire in proprio l’unità di archiviazione dei dati in chiaro.

Nell’allegato C sono individuate le caratteristiche architetturali dell’EDS funzionali ad assicurare il rispetto dei requisiti previsti dall’articolo 4, comma 1, del decreto, la possibilità per le regioni/province autonome di attivare unità di archiviazione regionali (UA-R) come previsto dall’articolo 23 dello schema, nonché le misure di protezione dei dati e i meccanismi di gestione degli accessi, le misure di sicurezza, gli algoritmi e le procedure di anonimizzazione e di pseudonimizzazione.

L’EDS sarà costituito da tre elementi principali, dettagliati nell’allegato C:

1. il “Modulo dati” per la gestione dei dati sanitari degli interessati che prevede 3 componenti, ciascuna distinta, indipendente e separata dalle altre, rispettivamente per i dati in chiaro, i dati pseudonimizzati e quelli anonimizzati;
2. il “Broker EDS” per la cooperazione delle unità di archiviazione (regionali e SASN) e il recupero dei dati per le finalità di cura, prevenzione e profilassi internazionale;
3. il “Modulo dei servizi” che comprenderà tutte le funzionalità e i servizi resi disponibili dall’EDS, quali, fra gli altri, quelli di consultazione, di gestione delle terminologie, codifiche, dizionari e mappature con cui allineare le soluzioni tecnologiche e permetterne il corretto funzionamento, di verifica della qualità dei dati, di interrogazione delle anagrafiche -ANA (articolo 62-ter del CAD), Anagrafe Nazionale consensi e revoche (articolo 12, comma 15-ter, punto 4-bis, del d.l. n. 179/2012), sistema di gestione deleghe (articolo 64-ter del CAD)-, di pseudonimizzazione e anonimizzazione dei dati e di interoperabilità.

In particolare, la componente per i “dati in chiaro” si comporrà di 22 distinte “Unità di archiviazione”, di cui 21 contenenti i dati alimentati dalle regioni e dalle province autonome (UA-R) e una dedicata ai SASN. Le regioni e province autonome potranno avvalersi della facoltà di cui all’articolo 23 dello schema di decreto per realizzare e gestire in proprio una soluzione di UA-R in grado di garantire almeno le medesime funzionalità della UA-R resa disponibile dal “modulo dati”. Le UA-R dovranno assicurare il pieno rispetto dei requisiti tecnologici, di protezione dei dati e di sicurezza dettagliati negli allegati B, C, che saranno pubblicati sul sito di progetto http://www.fascicolosanitario.gov.it e nella VIP. A tal fine, l’articolo 23, comma 3 dello schema, prevede la sottoscrizione di un accordo di collaborazione – ai sensi dell’art. 15 della legge n. 241/1990- con il Ministero della Salute, Agenas, Dipartimento per la trasformazione digitale e il MEF – per disciplinare le modalità di progettazione, realizzazione e gestione della suddetta UA-R. Nel caso di UA-R attivate dalle regioni/province autonome verrà disattivata la corrispondente Unità di archiviazione a livello centrale. Le regioni e le province autonome, al fine di rispondere alle proprie esigenze territoriali, potranno altresì prevedere servizi aggiuntivi e adottare la soluzione architetturale di UA-R più idonea (modello regionale centralizzato, federato o federazione di data repository aziendali). Inoltre, al fine di realizzare la propria soluzione di UA-R, i predetti enti potranno avvalersi in riuso della soluzione UA-R resa disponibile dal “modulo dati” dell’EDS, ai sensi dell’art. 69 del CAD.

La componente per i “dati pseudonimizzati” sarà costituita da una singola unità (Unità Dati Pseudonimizzati – UD-P), con partizioni logiche per regioni, province autonome e SASN e conterrà i dati pseudonimizzati mediante gli specifici “servizi di pseudonimizzazione” del “modulo servizi” a partire dai dati in formato standard Fast Healthcare Interoperability Resources (FHIR) ricevuti dalla “Soluzione tecnologica”, secondo i principi e le tecniche descritti nell’allegato B.

La componente per i “dati anonimizzati” sarà costituita da una singola unità (Unità Dati Anonimizzati – UD-A) e conterrà “viste” di dati anonimizzati mediante gli specifici “servizi di anonimizzazione” del “Modulo servizi“. I predetti servizi provvederanno all’estrazione – per specifiche necessità di accesso espresse dai soggetti autorizzati – dei dati pseudonimizzati che saranno contenuti nella unità dedicata (UD-P) per estrapolare esclusivamente i dati clinici da trasferire all’unità dedicata (UD-A), assicurandone la non riconducibilità all’interessato, secondo i principi e le tecniche descritti nell’allegato B. Tali dati non saranno riconducibili a dati in chiaro o pseudonimizzati e la persistenza dei dati nella UD-A sarà consentita solo per il tempo strettamente necessario a soddisfare la finalità alla base dell’estrazione effettuata.

Per quanto riguarda le misure tecniche e organizzative l’articolo 20 prevede la registrazione delle operazioni relative a ogni servizio dell’EDS, in particolare di quelle relative alla consultazione, in file di log di cui l’interessato potrà prendere visione.

1 – Continua