Key4biz

FSE, come riformarlo e i rischi privacy e cyber con il più grande database sanitario

Nel PNRR per potenziare il fascicolo sanitario elettronico (FSE) sono a disposizione 1,3 miliardi di euro. Ma a che punto è questa riforma? Tutto è fermo a livello normativo e così non si migliora la sua implementazione a livello nazionale, nonostante la pandemia abbia messo in evidenza come la Sanità sia un’altra area che richiede un significativo aggiornamento digitale e per rendere, quindi, i dati sanitari dei cittadini disponibili in qualsiasi momento senza confini regionali. Per esempio, se sono residente in Campania e dovessi essere ricoverato in Lombardia, i medici lombardi devono poter accedere in modo digitale, con facilità e con il mio consenso, alla mia storia clinica. Ma tutto è fermo dal 22 agosto 2022, da quando il Garante Privacy ha chiesto di correggere il relativo schema di decreto per riformare il FSE, scritto dai precedenti ministri della Salute e dell’Innovazione Tecnologica, Roberto Speranza e Vittorio Colao

Su Key4biz il confronto su FSE 2.0 e Ecosistema Dati Sanitari (EDS)

Da oggi Key4biz apre un confronto sia sulla riforma del fascicolo sanitario elettronico sia sulla possibilità dell’interoperabilità dei suoi dati, che può essere la valida alternativa alla pericolosa nascita dell’Ecosistema Dati Sanitari (EDS), ossia la costituzione del più grande database con i dati sanitari di tutti gli italiani. Conl’EDS si creerebbe un database che sostanzialmente duplicherebbe – in chiaro – i dati già presenti a livello territoriale e raccoglierebbe a livello centralizzato, senza garanzie di anonimato per gli assistiti, dati e documenti sanitari relativi a tutte le prestazioni sanitarie erogate a tutti i cittadini italiani sul territorio nazionale.

L’intervista

Alessandro Del Ninno

Il nostro primo confronto è con Alessandro Del Ninno, avvocato esperto di Data Protection e Cybersecurity e docente di Informatica Giuridica alla “LUISS Guido Carli” di Roma.

Key4biz. A che punto siamo con la riforma del Fascicolo Sanitario Elettronico?

Alessandro Del Ninno. Intanto, anche se a livello normativo è effettivamente bloccato il precedente percorso (targato Draghi/Colao/Speranza) di approvazione della riforma del FSE, va detto che qualcosa si muove. Difatti, lo scorso 5 aprile si è tenuta la prima riunione del Comitato interministeriale per la transizione digitale (CiTD) presieduto dal Sottosegretario alla Presidenza del Consiglio con delega all’Innovazione tecnologica, Alessio Butti. Il CiTD è l’entità istituita dal Governo Meloni, che coordina e supporta l’azione del Governo nell’attuazione dell’agenda digitale italiana ed europea. All’ordine del giorno della riunione del CiTD vi era anche il tema del Fascicolo Sanitario Elettronico del quale è stato presentato lo stato di avanzamento: si legge nel comunicato che: 

“Risulta completato il percorso di messa a punto dei piani regionali per l’incremento delle competenze dei professionisti del Sistema Sanitario, e dei piani di adeguamento tecnologico finalizzati a garantire la crescita omogenea dei servizi su tutto il territorio nazionale. È stata condivisa la necessità di accelerare il percorso di adozione dei decreti attuativi necessari al completamento dell’iniziativa. Il nuovo Fascicolo Sanitario Elettronico garantirà ai professionisti sanitari la possibilità di avvalersi di una stessa fonte, completa e aggiornata, di informazioni cliniche, offrirà ai cittadini un punto di accesso ai servizi erogati dal Sistema Sanitario nazionale, valorizzerà i dati per effettuare analisi cliniche, consentirà una programmazione sanitaria in linea con i bisogni e supporterà la ricerca”.

Certo, “condividere la necessità di accelerare il percorso di adozione dei decreti attuativi necessari al completamento dell’iniziativa” non significa sbloccare politicamente e di fatto la situazione del FSE e dell’EDS e della Piattaforma per la Telemedicina a fronte di una situazione che – come è noto – negli ultimi mesi del 2022 aveva visto concludersi positivamente la fase pilota del FSE in sei Regioni (con ottimi risultati, ad es: quanto riguarda l’alimentazione del FSE, in appena sette mesi, la Regione Basilicata è passata dal 27% dei documenti disponibili sull’FSE al 95%; la Regione Campania dal 1,5% al 53%; e la Regione Piemonte dal 50% al 80%, per quanto riguarda la portabilità interregionale, la percentuale di successo nella migrazione dei documenti tra le Regioni pilota è passata dal 14% al 93%). E La seconda fase del progetto – con il FSE esteso a tutte le Regioni – era pronta a partire, finanziata dal Piano Nazionale di Ripresa e Resilienza (Missione 6 SALUTE – Componente 2 INNOVAZIONE, RICERCA E DIGITALIZZAZIONE DEL SERVIZIO SANITARIO NAZIONALE – Investimento 1.3.1 Fascicolo Sanitario Elettronico) e da un Decreto Interministeriale (pubblicato nella GU del 4 ottobre 2022) con il quale il Governo Draghi aveva stanziato 610 milioni di euro per il potenziamento dell’infrastruttura digitale dei sistemi e all’incremento delle competenze dei professionisti del sistema sanitario.

Key4biz. Quali sono stati i rilievi del Garante per la privacy nel parere sullo schema di decreto sul FSE?

Alessandro Del Ninno. In linea generale, il Garante esprime un severo giudizio sugli schemi di decreto del precedente Governo su FSE e sull’EDS, evidenziando carenze data protection definite “considerevoli”.

Per quanto riguarda lo schema di decreto sul FSE, l’Autorità lo ritiene non conforme non solo a tutti gli aspetti che avrebbe dovuto disciplinare (stante il rinvio dell’art. 12 dell’originario decreto legge 179/2012), ma anche ai requisiti e alle prescrizioni normative di cui agli articoli 6, comma 3 (sulla base giuridica e la finalità del trattamento che la fonte legale deve stabilire) e 9, comma 2 (sulle condizioni di deroga al divieto di trattamento dei dati di particolare natura) del GDPR e di cui all’articolo 2-sexies del Codice della privacy (sui trattamenti delle categorie particolari di dati personali necessari per motivi di interesse pubblico rilevante ai sensi del paragrafo 2, lettera g) del GDPR).

Inoltre, per il Garante “non sono state interamente colte nello schema di decreto in esame taccia le intenzioni del legislatore di operare un profondo cambiamento circa la natura e le caratteristiche del FSE e lo schema di decreto risulta infatti ancora legato, per molti aspetti, a un quadro normativo non aggiornato”.

Una prima “stoccata” l’Autorità sembra infliggerla quando evidenzia la mancanza di visione politico-legislativa coordinata: difatti, i decreti su FSE e EDS sembrano essere stati redatti dal precedente Governo senza tenere conto della necessità di coordinare la disciplina normativa con gli altri decreti del Ministero della Salute pure attesi ai sensi del d.l. 34/2020 (che prevede che il Ministero della Salute emani un d.m. sui dati personali che il dicastero può trattare e le operazioni eseguibili per compiti istituzionali) e ai sensi dell’articolo 2-sexies, comma 1-bis del Codice della privacy (in cui saranno disciplinati i dati personali relativi alla salute, privati degli elementi identificativi diretti, che potranno essere trattati, nel rispetto delle finalità istituzionali, da vari enti pubblici).

E questo è un necessario punto di partenza (o di ripartenza) anche per il Governo attuale: il Garante privacy giustamente ricorda che il coordinamento di tutti i previsti interventi normativi è un tema centrale anche nella regolamentazione del nuovo Sistema FSE.

La seconda “stoccata” dell’Autorità è anche di metodo, e in una duplice prospettiva. Sotto il primo profilo il Garante evidenzia che il Governo ha emanato le “Linee guida per l’attuazione del FSE” (pubblicate nella GU dell’11 luglio 2022) prima ancora dello schema di decreto sul FSE di cui tali linee guida (che vanno anche oltre gli aspetti tecnici che avrebbero dovuto regolare) avrebbero dovuto essere attuazione. Sotto il secondo profilo, gli schemi di decreto vanno a disciplinare una materia su cui l’UE ha già legiferato e sta legiferando con i due importanti Regolamenti (uno, il Regolamento UE 868/2022 – applicabile dal prossimo 23 settembre 2023 – sulla governance europea dei dati personali e non personali – detto Data Governance Act, che istituisce Spazi Europei dei Dati; l’altro – ancora a livello di proposta, e che è lex specialis rispetto al DGA – che istituisce uno Spazio europeo dei Dati Sanitari).

La terza stoccata il Garante la riserva alla grande confusione che nello schema di decreto sul FSE il Governo compie sulla corretta individuazione della titolarità dei vari trattamenti connessi al FSE. Anzi, il Garante richiama il fatto che non è per nulla definita la soggettività data protection di quella “molteplicità di soggetti che sulla base di diversi presupposti di liceità accede al FSE”. 

Altra omissione evidenziata dal Garante è che manca del tutto – in virtù del principio di trasparenza – l’indicazione (che pure l’Autorità aveva richiesto in un precedente parere dell’aprile 2022) dei soggetti responsabili del rispetto dei principi fondamentali applicabili al trattamento di tali dati personali ai sensi dell’articolo 5 e 24 GDPR (soprattutto per i casi di rettifica e garanzia dell’esattezza dei dati contenuti nel FSE).

Manca inoltre la DPIA (da allegarsi al decreto) sui rischi che il Garante stesso aveva individuato ai fini dell’assessment in sede di Valutazione di Impatto (dal rischio di re-identificazione dell’interessato a quello di accesso abusivo e illecito ai dati; dal rischio per la

 Integrità, esattezza e aggiornamento dei dati del FSE a quello di perdita e distruzione dei dati, utilizzo dei dati per finalità non compatibili; fino ai rischi connessi all’utilizzo delle tecnologie basate su logiche algoritmiche e sull’Intelligenza Artificiale, con i trattamenti automatizzati che possono avere ricadute sul singolo interessato).

Infine, il Garante impone di riformulare totalmente alcune parti del decreto più specificatamente data protection, in cui le carenze rilevate davvero sorprendono per la poca consapevolezza del Legislatore in un settore così delicato: mi riferisco alle procedure per la gestione dei diritti degli interessati (che avrebbero dovuto essere puntualmente indicati, con riferimento specifico a quelli esercitabili da parte dell’interessato in relazione alle diverse finalità perseguibili attraverso il FSE, insieme alle misure adottate per garantire l’esercizio del diritto di oscuramento previsto dalla normativa di settore, su richiesta o  di default per i dati soggetti a maggior tutela) e alle questioni sulla titolarità di alcuni trattamenti in ambito FSE (su Profilo Sanitario Sintetico, PSS, Taccuino Personale; Dossier Farmaceutico), alle informative sul trattamento prive degli elementi di trasparenza fondamentali, alla necessità di diversificazione del consenso dell’interessato in relazione alle diverse finalità del trattamento, onde correttamente alimentare la cosiddetta Anagrafe dei consensi, fino alla impostazione non conforme dei trattamenti per profilassi internazionale, governo sanitario, diagnosi, cura e riabilitazione e prevenzione.

Key4biz. La stessa riforma del Fascicolo Sanitario Elettronico prevede, tra l’altro, la nascita dell’Ecosistema Dati Sanitari (EDS), ossia la costituzione del più grande database con i dati sanitari di tutti gli italiani, con l’obiettivo, si legge nel PNRR, di “garantire il coordinamento informatico, lo sviluppo di strumenti di analisi avanzata per studiare fenomeni complessi e scenari predittivi per migliorare la capacità di programmare i servizi sanitari e rilevare malattie emergenti e assicurare servizi omogenei sul territorio nazionale”. 
Ma l’Ecosistema Dati Sanitari, per come era stato concepito dal governo Draghi, è stato bocciato dal Garante Privacy con 
un altro provvedimento dello stesso 22 agosto 2022. Per quali motivi l’Autorità ha espresso il parere negativo?

Alessandro Del Ninno. Per quanto riguarda lo schema di decreto sull’EDS, l’Autorità lo ritiene non conforme sotto vari profili: contenutistici (non essendovi chiarezza circa i dati trasmessi all’EDS dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria); procedurali (dovendosi chiarire i soggetti e le modalità di alimentazione dell’EDS) e specifici data protection (dalla poca chiarezza sulla soggettività e titolarità data protection nell’EDS, alle caratteristiche ed operatività del consenso e della sua revoca nell’ambito della raccolta, elaborazione dei dati ed erogazione dei servizi da parte dell’EDS, fino ad insufficienze rilevate dal Garante nella DPIA).

Key4biz. Tra le criticità dell’EDS vi è quella per cui si creerebbe un database che sostanzialmente duplicherebbe – in chiaro – i dati già presenti a livello territoriale e raccoglierebbe a livello centralizzato, senza garanzie di anonimato per gli assistiti, dati e documenti sanitari relativi a tutte le prestazioni sanitarie erogate sul territorio nazionale. Secondo lei, quali i rischi a livello di privacy e cybersecurity?

Alessandro Del Ninno. La nuova architettura del FSE/EDS prevede effettivamente la duplicazione di dati e dei documenti sanitari sulle cure di tutta la popolazione assistita sul territorio nazionale in un “data repository centrale” (l’EDS, appunto) che acquisisce, memorizza e gestisce i dati, poi elaborati per offrire servizi agli esercenti le professioni sanitarie, al Ministero della salute, alle regioni/province autonome e allo stesso interessato.

È ovvio che una tale scelta (dati presenti a livello territoriale duplicati in un ecosistema nazionale) aumenta – e di molto – il rischio di violazione dei diritti e delle libertà fondamentali degli interessati, non solo della loro privacy.  Non va infatti dimenticato che si svolge un trattamento sistematico, su larga scala, di dati delicatissimi, come quelli sanitari, e anche attraverso logiche algoritmiche. E se il Garante per la privacy, nel suo parere, afferma che si determina la costituzione della più grande banca di dati sulla salute del nostro Paese in cui vengono raccolti “senza applicare alcuna tecnica di pseudonimizzazione”, i dati e i documenti sanitari relativi alle prestazioni socio-sanitarie erogate sul territorio nazionale di tutti gli assistiti, capisce da sé quali possono essere i rischi per i cittadini in assenza di rigorose misure che il precedente Governo sembra non avere affatto tenuto nella debita considerazione.

Quali misure? Ovviamente misure non solo tecniche e tecnologiche volte a garantire che i dati siano esatti, integri e aggiornati, ma anche misure organizzative: penso ad esempio alla mancanza nello schema di decreto sull’EDS della corretta individuazione dei soggetti responsabili del rispetto dei principi applicabili al trattamento di tali dati che il Garante aveva esplicitamente richiesto in un parere precedente a quello di agosto, reso il 7 aprile 2022.

Key4biz. Per come era stata concepita la banca dei dati sanitari nazionali si sarebbero messe a rischio informazioni sensibili del nostro Paese. Dal suo punto di vista, come si potrebbero comunque mettere a fattor comune i dati sanitari dei cittadini italiani, ma senza duplicare database?

Alessandro Del Ninno. Per evitare i rischi di duplicazione si potrebbe comunque proseguire con la gestione territoriale dei dati, senza creare un database ad hoc duplicato a livello nazionale, consentendo una mera consultazione, una sorta di “vista nazionale” globale dei dati territoriali.

Key4biz. Secondo lei i rilievi del Garante e le carenze riscontrate sono correggibili dall’attuale governo?

Alessandro Del Ninno. Per come la vedo io, il problema è duplice: tecnico e politico. Da un punto di vista tecnico, ho il dubbio che gli uffici legislativi dei ministeri interessati abbiano al loro interno le specifiche competenze data protection necessarie per scrivere norme attuative in quello che è uno dei settori più complicati: quelle delle politiche del trattamento dei dati di particolare natura, con particolare riferimento ai dati sanitari, genetici, etc. Ma questo è un problema che può essere ovviato semplicemente attendendosi – nella “correzione” – alle linee guida preziose che il Garante per la privacy ha fornito con i due pareri di agosto e settembre 2022 su FSE e EDS. Il problema politico attiene alla vision di questo o quel governo su tematiche tecnologiche: l’attuale Governo (che ha già scelto – rispetto al precedente – di non dotarsi di un apposito Ministro per l’Innovazione) ha già dimostrato di voler seguire strade diverse dal precedente per quanto riguarda anche altri temi rilevanti, dall’identità digitale (con la querelle SPID versus CIE) alla banda larga.

Key4biz. Infine, per non incorrere in ulteriori bocciature da parte del Garante Privacy e per non perdere i fondi del PNRR, pari a 1,67 miliardi, previsti proprio per potenziare il fascicolo sanitario elettronico (1,3 miliardi di euro) e rafforzare il Nuovo Sistema Informativo Sanitario (NSIS), l’infrastruttura e gli strumenti con cui il Ministero monitora i LEA (Livelli Essenziali di Assistenza) e programma i servizi sanitari, c’è un modello europeo da seguire?

Alessandro Del Ninno. Certamente il modello da seguire, anche per evitare futuri conflitti tra disposizioni unionali e nazionali (come il Garante ha correttamente paventato nei suoi pareri), è quello già tracciato nel Regolamento (UE) 2022/868 (Regolamento sulla governance dei dati – DGA) che si applicherà dal prossimo 23 settembre. Il DGA creare la cornice regolatoria per promuovere la disponibilità e la condivisione dei dati personali e non personali (data sharing), creando uno Spazio europeo dei dati affidabile, con solidi meccanismi per facilitare il riutilizzo di alcune categorie di dati protetti del settore pubblico e promuovere in tutta la UE il c.d. altruismo dei dati (cioè facilita per i privati e i soggetti pubblici la possibilità di rendere volontariamente disponibili i dati per il bene comune, come i progetti di ricerca medica dei dati in tutta l’UE).

Accanto a questa normativa generale lo scorso 3 Maggio 2022 la Commissione UE ha presentato una sorta di lex specialis: la proposta di Regolamento sullo spazio europeo dei dati sanitari, che deve rappresentare senz’altro il modello specifico anche per i temi che abbiamo discusso in questa intervista poiché tale proposta contiene le risposte alle sfide specifiche relative all’accesso e alla circolazione dei dati sanitari elettronici e alla loro condivisione e sarà parte integrante della costruzione di una Unione europea della Salute. 

Exit mobile version