Il giorno 8 settembre 2022 l’Autorità garante per la protezione dei dati personali ha comunicato al Ministero della Salute e al Ministero per l’innovazione tecnologica e la transizione digitale il suo parere negativo sullo schema di decreto che prevede la realizzazione della nuova banca dati denominata Ecosistema Dati Sanitari (EDS), prevista dalla riforma del Fascicolo sanitario elettronico.
Inoltre, il Garante ha chiesto anche di correggere un secondo schema di decreto, per favorire e migliorare l’implementazione a livello nazionale del Fascicolo sanitario elettronico (FSE).
L’Autorità condivide la necessità di introdurre strumenti volti ad agevolare lo sviluppo di servizi sanitari digitali offerti ai cittadini, ma evidenzia come sia doveroso che, nella loro realizzazione, vengano rispettati i diritti fondamentali delle persone. Una tale tutela non è stata pienamente ravvisata nei due schemi di decreto i quali non sono risultati coerenti con la normativa di settore, e presentano numerosi profili di violazione della disciplina in materia di protezione dei dati personali. Con i pareri attuali, il Garante ha quindi indicato al Ministero le misure da adottare per rendere i due testi conformi alla normativa nazionale e europea.
Cos’è l’Ecosistema Dati sanitari?
Previsto dalla riforma del Fascicolo sanitario elettronico con l’obiettivo di “garantire il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale”, L’EDS verrà alimentato dai dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria. Il Ministero della salute sarà titolare del trattamento dei dati raccolti e generati dall’EDS, la cui gestione operativa sarà affidata all’Agenas, che la effettuerà in qualità di responsabile del trattamento per conto del Ministero stesso.
Secondo il Garante della Privacy, l’EDS comporta di fatto la duplicazione di dati e documenti sanitari già presenti nel FSE e determina la costituzione della più grande banca dati sulla salute del nostro Paese. Un database con queste caratteristiche, raccoglierebbe a livello centralizzato, e senza garanzie di anonimato per gli assistiti, dati e documenti sanitari relativi a tutte le prestazioni sanitarie erogate sul territorio nazionale. Inoltre, per come è attualmente previsto dallo schema di decreto, l’EDS si presenta come “una scatola vuota”, rinviando a successivi decreti la definizione di aspetti essenziali per la sua regolazione.
Proprio in considerazione della delicatezza di tale struttura, che realizza un trattamento sistematico su larga scala anche attraverso l’uso di algoritmi, il Garante ha chiesto al Ministero di riformulare lo schema di decreto, tenendo conto delle seguenti indicazioni:
- specificare i contenuti e le modalità di alimentazione della banca dati;
- rendere espliciti i diritti riconosciuti alle persone, a partire dalla manifestazione di un consenso libero e informato all’uso dei dati;
- informare sui servizi resi dall’Ecosistema;
- precisare quali tra le diverse strutture interessate avranno la titolarità del trattamento.
Infine, per quanto riguarda il secondo decreto per il quale sono state espresse delle riserve, quello relativo allo schema sul FSE, il Garante ha sottolineato come esso presenti ancora criticità e carenze nonostante l’Autorità abbia, fin dal 2020, indicato le specifiche misure necessarie per superarle. Il Ministero dovrà dunque specificare, in particolare:
- quali informazioni personali devono entrare nel Fascicolo sanitario elettronico;
- chi vi può avere accesso in caso di emergenza;
- i diritti riconosciuti agli assistiti;
- le modalità per esprimere un consenso consapevole rispetto alle diverse finalità per le quali i dati vengono trattati.