IP, IT e Data protection

Il Fascicolo Sanitario Elettronico 2.0

Contenuti, limiti di responsabilità, garanzie e misure di sicurezza da adottare nel trattamento dei dati personali dell’assistito
Di Miriam Foti
Chief Legal Officer

Miriam Foti affianca agli studi giuridici quelli di natura linguistica, grazie anche alla partecipazione a numerosi corsi, convegni, conferenze e viaggi studio, sia in Italia che all'estero.

Ha conseguito il Diploma di Alta specializzazione in studi internazionali, rilasciato dall'Università di Palermo, dall'IMESI e NATO Defence College Foundation.

È assistente editoriale… continua a leggere

Pubblicato il
Vedi tutti i contenuti su
Privacy e data protection

Nella G. U. (n. 249/2023) è stato pubblicato il Decreto del 7 settembre 2023 (testo in calce) relativo al Fascicolo Sanitario Elettronico 2.0 emanato in attuazione delle disposizioni di cui al comma 7 dell'Art. 12 del D.L. n. 179 del 18 ottobre 2012, convertito, con modificazioni, dalla Legge 17 dicembre 2012, n. 221 e successive modificazioni.

Sommario:

  1. Il Fascicolo Sanitario Elettronico 2.0
  2. Contenuto del decreto: analisi dei profili e degli aspetti rilevanti
  3. Considerazioni finali
Master online GDPR in ambito sanitario

Per approfondimenti:

Master online GDPR in ambito sanitario 22 ore - 4 incontri in aula virtuale, Altalex Formazione. formare i professionisti legali permettendo loro di offrire servizi di consulenza o di Data Protection Officer alle strutture e sviluppare capacità tecnico giuridiche specifiche in tema di protezione dei dati e della normativa di settore.
Iscriviti subito

1. Il Fascicolo Sanitario Elettronico 2.0

Sulla Gazzetta Ufficiale n. 249 del 24 ottobre 2023 è stato pubblicato il decreto con il quale il Ministro della Salute e il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri, con delega all'innovazione tecnologica di concerto con il Ministro dell'Economia e delle Finanze, individuano i contenuti del c.d. Fascicolo sanitario elettronico (FSE), nonché i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti dell'assistito, le modalità e i livelli diversificati di accesso al FSE.

Analizzando nel dettaglio il decreto, l’Art. 3, titolato “Contenuti del FSE”, indica che il FSE contiene dati e documenti, riferiti anche alle prestazioni erogate al di fuori del Servizio sanitario nazionale, e riguarda:

  1. i dati identificativi e amministrativi dell'assistito (esenzioni per reddito e patologia, contatti, delegati), consultabili solo dall’assistito, tra cui, l’Art. 6, che seleziona i soggetti a maggiore tutela dell’anonimato, tutelando persone sieropositive, donne che si sottopongono a interruzione volontaria di gravidanza, vittime di atti di violenza sessuale o di pedofilia, persone che fanno uso di sostanze stupefacenti, di sostanze psicotrope e di alcool, donne che decidono di partorire in anonimato, nonché i dati e i documenti riferiti ai servizi offerti dai consultori familiari.
    In particolare, secondo l’Art. 23 tali dati sono rilevati dal FSE mediante interrogazione dell’Anagrafe Nazionale degli assistiti (ANA);

  2. i referti, ivi includendo “quelli consegnati ai sensi del decreto del Presidente del Consiglio dei ministri 8 agosto 2013, pubblicato nella Gazzetta Ufficiale della Repubblica italiana n. 243 del 16 ottobre 2013”;

  3. i verbali pronto soccorso;

  4. le lettere di dimissione;

  5. il “patient summary”, ossia il profilo sanitario sintetico, ai sensi dell’Art. 4 del presente decreto.
    Si tratta di un documento, sociosanitario informatico, redatto e aggiornato mediante i rapporti dei MMG (Medici di Medicina Generale) e dei PLS (Pediatri Libera Professione), per riassume la storia clinica dell'assistito e la situazione corrente e nota dell'assistito.
    La finalità del documento è la continuità di cura del paziente, “permettendo un suo rapido inquadramento al momento del contatto con i servizi sanitari”.

  6. le prescrizioni specialistiche e farmaceutiche;

  7. le cartelle cliniche;

  8. l’erogazione dei farmaci a carico e non del Servizio Sanitario Nazionale;

  9. le vaccinazioni;

  10. l’erogazione di prestazioni di assistenza specialistica;

  11. il taccuino personale dell'assistito (Art. 5 del suddetto decreto), ossia “una sezione riservata del FSE all'interno della quale esclusivamente l'assistito, o un suo delegato, può inserire, modificare ed eliminare dati, anche generati dai dispositivi medici e/o wearable, e documenti personali relativi ai propri percorsi di cura”. Il decreto, inoltre, specifica, che si tratta di informazioni non certificate, di cui l’assistito è responsabile in termini di esattezza ed eventuale aggiornamento;

  12. i dati delle tessere per i portatori di impianto;

  13. la lettera di invito per screening.

Seguendo la struttura del decreto, vi è una serie di Articoli dedicati al trattamento, alla gestione, all’accesso e alla conservazione dei dati dei documenti del FSE di ogni assistito.

In particolare, ai sensi dell’Art. 15 del Decreto, il FSE 2.0 è “uno strumento a disposizione dell’assistito, che può consentirne, attraverso l’espressione del consenso, l’accesso in consultazione ai soggetti del SSN e dei servizi sociosanitari regionali nonché agli esercenti le professioni sanitarie che lo prendono in cura, anche al di fuori del SSN”.

Per le finalità di cura, tali dati e documenti del FSE, saranno trattati “secondo livelli diversificati di accesso”, che assicureranno il rispetto dei principi, di cui all'Art. 5 del regolamento UE 2016/679.

Relativamente alla consultazione di tali dati e documenti, per la finalità di cura, fermo restando il rispetto dei diritti dell'assistito di cui all'Art. 9, potrà accedere il personale sanitario autorizzato.

Sul punto, l’Art. 15 ne riporta un cospicuo elenco, consultabile nel suddetto decreto.

2. Contenuto del decreto: analisi dei profili e degli aspetti rilevanti

Dunque, in materia di protezione dei dati personali, bisogna specificare che il Garante Privacy, era già intervenuto diverse volte rispetto allo schema di Decreto del FSE 2.0, inizialmente, rendendo parere non positivo mediante il provvedimento n. 295 del 22 agosto 2022 (testo in calce), approvandolo, invece, dopo l’adozione dei correttivi suggeriti, mediante il provv. n. 256 dell'8 giugno 2023 (testo in calce).

Il decreto, dunque, contiene i sopradetti dati e documenti, non solo sulle prestazioni erogate dal servizio sanitario nazionale, ma anche da quello privato.

Specificatamente, in relazione a quanto menzionato sopra, si tratta di: dati identificativi e amministrativi dell’assistito (i.e. esenzioni per reddito e patologia) e di informazioni consultabili dall’assistito, relative ad esenzioni per reddito e ai relativi codici esenzione, di cui al comma 1, lettera a).

Nel caso di dati soggetti a maggior tutela, essi saranno resi visibili solo previo esplicito, informato e specifico consenso dell'assistito, resi al soggetto che eroga la prestazione e saranno resi visibili solo all'assistito, il quale potrà decidere, liberamente e in qualsiasi momento, di renderli visibili a terzi, esercitando i diritti di cui all'Art. 9.

In assenza del consenso, l’erogatore della prestazione sarà responsabile dell’eventuale mancato oscuramento del dato o del documento, mediante l’apposita funzionalità, e nel caso l’assistito scelga di ricorrere alle prestazioni in anonimato non sarà ammessa “l’alimentazione del FSE da parte dei soggetti che erogano le prestazioni”.

Ai sensi dell’Art. 7, “Informativa all'assistito”, il decreto prevede che, in ottemperanza all’adempimento di cui agli articoli 13 e 14 del regolamento UE 2016/679, “quale presupposto di liceità del trattamento”, entro tre mesi dalla data di entrata in vigore del Decreto, deve essere fornita all’assistito, da parte del Ministero della Salute, delle regioni e province autonome, idonea informativa che espliciti i trattamenti dei dati del FSE.

L'informativa, di cui al comma 1, deve indicare tutti gli elementi richiesti dagli Articoli 13 (Dati personali raccolti presso l'interessato: informazioni da fornire) e 14 (Dati personali non ottenuti presso l'interessato: informazioni da fornire) del regolamento UE 2016/679.

Inoltre, al fine di assicurare una piena comprensione degli elementi indicati nell'informativa, “il titolare deve formare adeguatamente il personale coinvolto nel trattamento dei dati sugli aspetti”.

Segue, poi, l’Art. 8, relativo ai “Consensi dell'assistito alla consultazione”, secondo cui per le finalità di diagnosi, di cura, di riabilitazione, di prevenzione e di profilassi internazionale, “la consultazione dei dati e dei documenti contenuti nell’FSE da parte di terzi” potrà avvenire solo dopo che l’assistito (i) avrà preso visione dell’informativa privacy e (ii) dopo che avrà espresso libero, specifico, informato ed inequivocabile consenso esplicito.

L’attivazione e l’alimentazione del FSE diviene automatica ed i consensi di cui ai commi 1, 2 e 3 potranno essere espressi anche per via telematica.

Il cittadino, dunque, non dovrà più richiedere l’apertura del proprio fascicolo o dare il proprio consenso alla sua alimentazione, ma potrà “sempre decidere chi potrà accedere ai suoi dati sanitari, attraverso il meccanismo del consenso esplicito”.

Per i minori di età (comma 2), i consensi sono espressi da coloro che esercitano la responsabilità genitoriale, mentre al compimento dei diciotto anni, i consensi dovranno essere confermati da un'espressa manifestazione di volontà del neomaggiorenne, dopo aver preso visione dell'informativa.

Il comma 3 prevede, inoltre, che per i soggetti sottoposti alle forme di tutela previste dal Codice civile, ossia nei casi di incapacità totale o parziale a provvedere ai propri interessi, i consensi saranno espressi dal tutore, dal curatore o dall'amministratore di sostegno ‒ ove ciò rientri tra i poteri loro conferiti, in base ai provvedimenti emessi dall’Autorità giudiziaria.

Nel caso dei diritti dell'assistito, l’Art. 9 sancisce che lo stesso potrà accedere sempre ai propri dati e documenti contenuti nell’FSE 2.0, nonché richiederne l’oscuramento. Quest’ultimo diritto potrà essere esercitato al momento dell’erogazione della prestazione, prima dell’alimentazione dell’FSE 2.0, ma anche online, direttamente tramite apposita funzione, in modo gratuito.

Il comma 3, precisa, che “nei casi in cui l'oscuramento di dati e documenti avviene successivamente all'alimentazione del FSE, l'assistito è informato del fatto che le informazioni del dato o documento oscurato possono essere state utilizzate prima dell'oscuramento per la realizzazione di altri documenti, quali il Profilo sanitario sintetico di cui all'Art. 4, rispetto ai quali può autonomamente esercitare il medesimo diritto”.

Inoltre, (comma 5) nel caso in cui sia stato esercitato il diritto all'oscuramento, l'assistito potrà revocare, in ogni momento, l'oscuramento di un dato o di un documento “con le medesime modalità previste per l'esercizio del diritto di oscuramento”.

Riguardo, invece, il periodo di conservazione dei dati (Art. 10), fatta eccezione per la cartella clinica, e i documenti afferenti alla stessa, i dati verranno cancellati decorsi trent’anni dalla data del decesso dell’assistito stesso, con periodicità annuale.

L’assistito, inoltre, potrà accedere al proprio FSE in forma protetta e riservata (Art. 11, relativo all’accesso al FSE da parte dell'assistito). L’ FSE consente anche all'assistito l'accesso ai servizi sanitari on-line, resi disponibili dalle regioni e dalle province autonome in modalità telematica.

Ovviamente tale accesso, tramite quest’ultima modalità, ovvero tramite il Portale nazionale FSE, non comporterà modifiche rispetto alla titolarità dei trattamenti effettuati mediante i già menzionati servizi.

Il Ministero della Salute, limitatamente agli assistiti SASN, la regione di assistenza o il titolare del Portale nazionale FSE, saranno i titolari dei trattamenti necessari a consentire l'identificazione e l'autenticazione informatica dell'assistito o di un suo delegato, l'accesso ai dati e documenti del FSE da parte dello stesso, nonché il relativo tracciamento mentre, nel caso di servizi di accesso al FSE, erogati avvalendosi di FSE-INI, “il MEF sarà responsabile del trattamento, limitatamente ai compiti connessi all'organizzazione, alla gestione tecnico-informatica e agli altri adempimenti necessari a garantirne il corretto funzionamento”.

Nel caso dell’accesso mediante delega, essa avrà una validità temporale di massimo tre anni dal rilascio, alla scadenza dei quali potrà essere rinnovata. L'assistito potrà revocare o modificare, in ogni momento, l’operatività della delega stessa. Tuttavia, l'ambito di operatività della delega riguarderà:

  1. l’accesso completo, in base al quale il delegato opera sul FSE dell'assistito delegante con i medesimi privilegi (consultazione dei dati e dei documenti relativi all'assistito, inserimento di dati e documenti nel taccuino personale dell'assistito, nonché' accesso ai servizi, incluse le prestazioni dei consensi e le relative revoche, nonché' oscuramenti e relative revoche);

oppure, singolarmente o in combinazione tra loro:

  1. la consultazione dei dati e dei documenti relativi all'assistito;

  2. l’accesso ai servizi, incluse le prestazioni dei consensi e le relative revoche, nonché' oscuramenti e relative revoche;

  3. l’inserimento di dati e documenti nel taccuino personale dell'assistito.

La struttura del decreto prevede, poi, all’Art. 12 l’elencazione dei soggetti che concorrono alla corretta alimentazione e all'aggiornamento del FSE, nei limiti delle rispettive responsabilità e competenze assegnate. Si fa riferimento a:

  1. aziende sanitarie locali, strutture sanitarie pubbliche del SSN e servizi sociosanitari regionali e i SASN, attraverso le diverse articolazioni organizzative;

  2. strutture sanitarie accreditate con il SSN e i servizi sociosanitari regionali;

  3. strutture sanitarie autorizzate;

  4. esercenti le professioni sanitarie, anche convenzionati con il SSN, se operanti in autonomia.

Tali soggetti, titolari del trattamento per finalità di cura, alimenteranno il FSE con i contenuti di cui all'art. 3, “entro cinque giorni dall'erogazione della prestazione sanitaria e sono responsabili della mancata, intempestiva o inesatta alimentazione”. Anche l'assistito potrà alimentare il FSE, relativamente solo al già menzionato taccuino, di cui all'Art. 5.

Alle regioni e alle province autonome spetterà la titolarità dei trattamenti di verifica formale e semantica, “senza pregiudizio alcuno del diritto dell’assistito all’erogazione della prestazione sanitaria” (Art. 13).

Gli Artt. 16 e seguenti, relativi ai soggetti e ai dati interessati dal trattamento per finalità di prevenzione, nonché – dopo l’esperienza pandemica del Covid-19 – per finalità di profilassi internazionale, specificano che (Art. 16) saranno titolari del trattamento, per finalità di prevenzione, i soggetti del SSN e dei servizi sociosanitari regionali della RdA, gli esercenti le professioni sanitarie che avranno in cura o in assistenza l'assistito, ma anche le regioni attraverso gli uffici competenti in materia di prevenzione sanitaria ed il Ministero della Salute, attraverso la Direzione generale competente in materia di prevenzione sanitaria.

La regione di appartenenza dell’assistito, il Ministero della Salute per i soggetti appartenenti ai SASN o il titolare del Portale nazionale FSE, per i soggetti che accedono tramite il predetto portale, invece, saranno titolari dei trattamenti necessari a consentire l'identificazione e l'autenticazione informatica del soggetto che accederà ai dati e ai documenti del FSE, per finalità di prevenzione.

Dei trattamenti dei dati per finalità di profilassi internazionale, titolare del trattamento sarà il Ministero della Salute, attraverso la Direzione generale competente in materia di profilassi internazionale.

Secondo il Ministero, inoltre, autorizzato al trattamento, ai sensi dell'Art. 29 del regolamento UE 2016/679, sarà esclusivamente il personale medico sottoposto alle regole del segreto professionale.

Interessante è l’Art. 19, relativo ai “dati oggetto del trattamento per finalità di profilassi internazionale”, per assicurare “la massima sicurezza contro la diffusione internazionale delle malattie infettive e fronteggiare eventi di sanità pubblica inaspettati”.

In merito, previo consenso dell’interessato, sarà possibile, per l’Autorità Amministrativa, trattare i soli dati e documenti del FSE, rilevanti a individuare sintomatologie o circolazioni collegate: “a nuovi patogeni o all'emergere di sintomatologie sconosciute o fattori di rischio ambientale e/o alimentare, nuovi fattori di rischio legati a patologie correlate, come co-infezioni, lo sviluppo di nuovi casi di farmacoresistenza verso specifici gruppi di patogeni e, infine, possibili nuove complicanze non conosciute di alcune malattie infettive che possono portare al decesso del caso”.

Sono, comunque, sottratti al trattamento per le finalità di profilassi internazionale i dati per i quali l'assistito ne ha richiesto l'oscuramento, ai sensi dell'Art. 9.

Da menzionare anche la disciplina posta dall’Art. 20, relativa “all’accesso in emergenza”, ossia nei casi in cui il paziente che non abbia espresso il consenso alla consultazione dei dati del proprio FSE e di cui sia verificata l’incapacità fisica o giuridica ad esprimere tale consenso attuale, al momento della sua presa in carico da parte degli operatori sanitari, vi sarà l’accesso del personale coinvolto, prioritariamente al profilo sanitario sintetico del medesimo interessato e, ove necessario, (l’accesso) agli ulteriori dati e documenti del FSE, a eccezione dei dati e dei documenti per i quali l'assistito abbia richiesto l'oscuramento.

Ciò, solo per il tempo strettamente necessario ad assicurargli le indispensabili cure e, in ogni caso, sino a quando “l'interessato non sarà nuovamente in grado di esprimere la propria volontà al riguardo”.

Gli ultimi articoli del decreto riguardano disposizioni transitorie, prevedendo campagne di informazione, tempi e metodi di alimentazione riguardanti l’FSE.

3. Considerazioni finali

Il nuovo FSE, ovvero Fascicolo Sanitario Elettronico, sarà un sistema che risponderà alle esigenze dei cittadini fornendo loro una serie di servizi legati alla salute e all'assistenza medica.

Tra i principali servizi offerti vi è la possibilità di consultare dati clinici, come ad esempio referti di visite specialistiche o esami di laboratorio.

Uno degli strumenti più utili ed innovativi, potrà essere quello del “taccuino personale”, inteso come una sezione riservata del FSE in cui si potranno inserire, modificare ed eliminare i dati e i documenti personali riguardanti i propri percorsi di cura.

In questo modo, i cittadini avranno maggior controllo e partecipazione attiva nella gestione della propria salute e delle proprie informazioni sanitarie.

La condivisione dei dati tra diversi fornitori di servizi sanitari dovrebbe essere gestita in modo sicuro, garantendo la condivisione delle sole informazioni necessarie con le persone autorizzate, mediante l’adozione di misure per proteggere la privacy e la riservatezza dei dati durante la trasmissione.

È importante anche educare gli operatori sanitari e gli utenti dell'FSE 2.0 sulle migliori pratiche in termini di protezione dei dati e sulla consapevolezza dei rischi legati alla loro sicurezza.

La protezione dei dati personali nell'FSE 2.0 dovrebbe richiedere un impegno sia dal punto di vista normativo che tecnico.

IN COLLABORAZIONE CON

Assodata e Isdifog

>> Scopri il Corso online specialista privacy di Altalex!
>> Scopri il Corso avanzato online per DPO (Responsabile Protezione Dati) di Altalex!

Più Letti

  1. Quote Tfr non versate dal datore al fondo complementare? Il lavoratore può insinuarsi al passivo
  2. Dichiarazione sostitutiva di atto notorio
  3. Legge 104: la guida completa
  4. Decreto flussi 2023-2025: ok dal Consiglio dei Ministri
  5. Codice Civile
  6. Eccesso di velocità e auto sbalzata oltre il guard rail: il Comune è responsabile?
  7. Eredità: tutto quello che devi sapere sulle successioni ereditarie
  8. Pignoramento presso terzi: la guida completa
  9. Codice di procedura civile
  10. Le quote ereditarie

Novità editoriali

Vedi Tutti
GDPR e Normativa Privacy Commentario

GDPR e Normativa Privacy Commentario

Belisario Ernesto , Riccio Giovanni M., Scorza Guido
Risparmi 30% € 140,00
€ 98,00
Acquista
eBook - GDPR: il nuovo regolamento europeo sulla Privacy

eBook - GDPR: il nuovo regolamento europeo sulla Privacy

Marini Paolo
€ 14,90
Acquista
Guida al Codice Privacy

Guida al Codice Privacy

Ciccia Antonio
Risparmi 30% € 30,00
€ 21,00
Acquista
Potere di controllo e privacy

Potere di controllo e privacy

Barraco Enrico
Risparmi 30% € 40,00
€ 28,00
Acquista
eBook - Privacy e nuove tecnologie

eBook - Privacy e nuove tecnologie

Michele Iaselli
€ 9,90
Acquista
eBook - Controlli a distanza

eBook - Controlli a distanza

Soffientini Marco, Rossi Laura
€ 14,90
Acquista

Codici e Ebook Altalex Gratuiti

Vedi tutti
Codice Penale in PDF

Codice Penale in PDF

Scarica subito
Testo Unico degli Enti Locali in PDF

Testo Unico degli Enti Locali in PDF

Scarica subito
Codice Civile in PDF

Codice Civile in PDF

Scarica subito
TUIR in PDF

TUIR in PDF

Scarica subito
Legge fallimentare in PDF

Legge fallimentare in PDF

Scarica subito