Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

FASCICOLO SANITARIO ELETTRONICO: PREVISIONE NORMATIVA E DECRETO ATTUATIVO. CRITICITÀ IN TEMA DI PRIVACY

di Chiara Rabbito e Giancarmine Russo

pdf-icon[dropcaps style=”fancy”]L[/dropcaps]a previsione e la disciplina del Fascicolo Sanitario Elettronico sono state e sono tuttora oggetto di una lunga gestazione legislativa e regolamentare. Esso è stato inizialmente menzionato nel 2011 nel disegno di legge “Fazio” sulla riforma delle professioni sanitarie, senza però divenire norma di legge. Senza grandi modifiche rispetto alla disciplina contenuta nel disegno di legge “Fazio”, il FSE è stato previsto nel decreto legge di riforma della Sanità durante il Governo Monti, presentato al Consiglio dei Ministri alla fine dell’estate del 2012 dal Ministro della Salute Balduzzi(1).
Il Fascicolo Sanitario Elettronico è infine divenuto legge con il Decreto Crescita 2.0(2), il cui articolo 12, inserito nella Sezione IV rubricata “Sanità digitale”, definisce il FSE quale “l’insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito”.
Da ultimo è intervenuto il cosiddetto “Decreto del Fare”(3), D.L. n. 69 del 21 giugno 2013, recante “Disposizioni urgenti per il rilancio dell’economia”, convertito nella Legge 9 Agosto 2013 n. 98(4) che ha previsto, all’articolo 17, ulteriori misure finalizzate a favorire la realizzazione del FSE.

Come noto, prima del disegno di legge “Fazio”, si erano già espressi in materia di FSE sia il Ministero della Salute che l’Autorità Garante per la privacy. Molto opportunamente, l’Autorità Garante per la protezione dei dati personali, rilevata “l’esigenza di individuare misure e accorgimenti necessari e opportuni da porre a garanzia dei cittadini interessati”, ha avviato nel marzo 2009 una consultazione pubblica relativa al Fascicolo sanitario elettronico e al dossier sanitario, consultazione rivolta a tutti i soggetti e alle categorie interessate, in particolare sottoposta all’attenzione “degli organismi e professionisti sanitari pubblici e privati, dei medici di medicina generale e dei pediatri di libera scelta, degli organismi rappresentativi di operatori sanitari e delle associazioni di pazienti interessati”.
Il provvedimento contenente le Linee guida, originariamente adottato dall’Autorità il 22 gennaio 2009 e poi sottoposto a pubblica consultazione, ha portato all’adozione in via definitiva delle Linee guida in tema di Fascicolo sanitario elettronico e di dossier sanitario in data 16 luglio 2009.

Come sopra accennato, il percorso legislativo del FSE include due tappe di rilievo successive alle Linee guida ministeriali e a quelle del Garante privacy: la presentazione alla Camera, il 7 aprile del 2011, nell’ambito del disegno di legge Fazio riguardante “Sperimentazione clinica e riforma degli ordini delle professioni sanitarie” – durante il governo Berlusconi – e la presentazione di un decreto legge recante “Disposizioni urgenti per promuovere lo sviluppo del paese mediante un più alto livello di salute” – durante il governo Monti – da parte del Ministro della Salute Balduzzi.
Il titolo III del disegno di legge “Fazio”, rubricato “Sanità elettronica”, includeva l’articolo 12, intitolato “Disposizioni in materia di fascicolo sanitario elettronico”. La definizione che ne veniva data non si discostava da quella delle citate linee guida del Garante e del Ministero. In ossequio alla competenza in materia di sanità costituzionalmente riconosciuta alle regioni, la sua istituzione veniva affidata a queste (e alle province autonome), ovviamente nel rispetto della normativa nazionale sul trattamento dei dati personali.

Le finalità del FSE per le quali veniva consentito il trattamento dei dati a contenuto sanitario dei pazienti erano molteplici e andavano ben al di là dello scopo di cura in senso stretto. Si trattava di:

  1. prevenzione, diagnosi, cura e riabilitazione;
  2. studio e ricerca scientifica in campo medico, biomedico ed epidemiologico;
  3. programmazione, gestione, controllo e valutazione dell’assistenza sanitaria.

Il testo del decreto legge “Balduzzi” è stato sottoposto all’approvazione del Consiglio dei Ministri a fine agosto del 2012. Il decreto legge è stato approvato, tuttavia gli articoli relativi al FSE ne sono stati stralciati.
Come anticipato, la previsione del Fascicolo Sanitario Elettronico è divenuta norma ordinaria grazie al d.l. 179/2012, convertito con emendamenti nella legge 221/2012, il cui articolo 12, inserito nella Sezione IV rubricata “Sanità digitale”, attribuisce al FSE, le finalità prima elencate.

Il FSE dovrà essere alimentato in maniera continuativa dai soggetti che prendono in cura l’assistito nell’ambito del Servizio sanitario nazionale e dei servizi socio–sanitari regionali, nonché, su richiesta del cittadino, con i dati medici in possesso dello stesso, tuttavia, ai sensi del comma 3–bis, il FSE potrà essere alimentato esclusivamente sulla base del consenso libero e informato da parte dell’assistito, il quale potrà decidere se e quali dati relativi alla propria salute non vi devono essere inseriti.
Con particolare riguardo alle finalità di cui alle lettere b e c (ricerca scientifica e programmazione sanitaria), il Decreto Crescita specifica che esse devono essere perseguite, a tutela della privacy del paziente, senza l’utilizzo dei dati identificativi degli assistiti e dei documenti clinici presenti nel FSE, secondo livelli di accesso, modalità e logiche di organizzazione ed elaborazione dei dati definiti, con apposito decreto e in conformità ai principi di proporzionalità, necessità e indispensabilità nel trattamento dei dati personali.Si prevede, infatti, che entro novanta giorni dalla data di entrata in vigore della legge di conversione, con decreto del Ministro della salute e del Ministro delegato per l’innovazione tecnologica, di concerto con il Ministro per la pubblica amministrazione e la semplificazione e il Ministro dell’economia e delle finanze, sentita la Conferenza Stato-Regioni, acquisito il parere del Garante, siano stabiliti: i contenuti del FSE e i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, i sistemi di codifica dei dati, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti dell’assistito, le modalità e i livelli diversificati di accesso al FSE, la definizione e le relative modalità di attribuzione di un codice identificativo univoco dell’assistito che non consenta l’identificazione diretta dell’interessato.

Da ultimo, come sopra accennato, il cosiddetto “Decreto del Fare”, d.l. n. 69 del 21 giugno 2013, recante “Disposizioni urgenti per il rilancio dell’economia”, convertito nella legge 9 agosto 2013 n. 98, prevede all’articolo 17 ulteriori misure finalizzate a favorire la realizzazione del FSE. In particolare, esso apporta alcune modifiche alle norme in vigore e prevede che entro il 30 giugno 2014 le regioni e le province Autonome presentino all’Agenzia per l’Italia Digitale e al Ministero della Salute il proprio progetto per la realizzazione del FSE sulla base delle linee guida messe a disposizione dalla stessa Agenzia e dal Ministero.
L’Agenzia per l’Italia digitale, sulla base delle esigenze avanzate dalle regioni e dalle province autonome, nell’ambito dei rispettivi piani, curerà, in accordo con il Ministero della salute, con le regioni e le province autonome, la progettazione e la realizzazione dell’infrastruttura nazionale necessaria a garantire l’interoperabilità dei FSE, che dovrà essere realizzata entro il 31 dicembre 2015.
Per la realizzazione del FSE si autorizza una spesa non superiore ai 10 milioni di euro per l’anno 2014 e a 5 milioni di euro a decorrere dall’anno 2015, da definire su base annua con decreto del Ministero dell’economia e delle finanze su proposta dell’Agenzia per l’Italia digitale.

Tra le modifiche più rilevanti introdotte dal citato decreto quella relativa alle fonti da cui trarre le informazioni per la ricerca scientifica e per la programmazione sanitaria, finalità che, secondo il Decreto Crescita, dovrebbero essere perseguite “senza l’utilizzo dei dati identificativi degli assistiti e dei documenti clinici presenti nel FSE”.
Il Decreto del Fare (e relativa legge di conversione) prevede con riferimento a tali fonti l’eliminazione della frase “e dei documenti clinici presenti nel FSE”. Dal combinato disposto della precedente e della successiva versione del testo normativo, pare doversi dedurre la possibilità di consultazione dei documenti clinici degli assistiti a fini di ricerca scientifica, ma soprattutto – per quanto qui di interesse – di programmazione sanitaria.

Gli interpreti sensibili alle problematiche della tutela della privacy del paziente sono portati a chiedersi se la nuova dizione della norma avalli la consultazione a fini di programmazione sanitaria dei documenti clinici degli assistiti, già redatti e confluenti nel FSE, in modalità “in chiaro”, dunque comprese le generalità degli stessi pazienti, ovvero se – a tutela della loro privacy – possa essere prevista e tecnicamente possibile, una consultazione di tali documenti senza la visione dei dati identificativi degli assistiti.
In caso contrario, la dichiarazione del non utilizzo dei dati identificativi degli assistiti rimarrebbe una affermazione puramente teorica e di principio, trovandosi tali dati identificativi nei documenti (cartelle cliniche, referti, certificati, schede sanitarie, etc) confluiti nel FSE e consultabili a fini di programmazione sanitaria.
L’astrattezza della affermazione relativa alla anonimizzazione dei dati dei pazienti pare trovare conferma nel regolamento attuativo di cui si è detto, il cui schema di decreto, approvato in Consiglio dei Ministri il 17 febbraio scorso, è attualmente all’esame della Conferenza Stato–Regioni.

Come detto, il citato decreto deve stabilire “le modalità di attribuzione di un codice identificativo univoco dell’assistito che non consenta l’identificazione diretta dell’interessato”. Pur senza mettere in discussione l’utilità di tale codice identificativo, è bene che si rammenti che l’abbinamento dell’informazione sanitaria al dato identificativo del paziente non ne fa un dato anonimo, ma semplicemente un dato in cui l’interessato/paziente non è immediatamente identificato, ma è identificabile.
L’utilizzo di un codice identificativo non rende il dato anonimo, poiché, per quanto l’identificazione non sia “diretta” essa è pur sempre possibile: rende semplicemente il paziente non identificato, ma identificabile. Poiché il Codice privacy definisce “dato personale” qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale, la non diretta identificabilità prevista dalla legge sul FSE e attualmente regolamentata dallo schema di decreto non è affatto “anonimizzazione” del dato.
In questo caso si tratta ancora di dati personali sanitari che rientrano in pieno nell’applicazione del Codice della privacy: attendiamo quindi di conoscere i casi di effettiva anonimizzazione dei dati che l’applicazione corretta dei principi di proporzionalità, necessità e indispensabilità richiederebbero, specie nei casi di ricerca scientifica e di programmazione sanitaria.©

NOTE

  1. Decreto legge recante disposizioni urgenti per promuovere lo sviluppo del paese mediante un più alto livello di tutela della salute del 10 agosto 2012, presentato alle Regioni il 24 agosto, all’approvazione del Consiglio dei Ministri il 31 agosto 2012.
  2. Decreto legge 18 ottobre 2012, n. 179 recante “Ulteriori misure urgenti per la crescita del Paese”, convertito con emendamenti nella legge 17 dicembre 2012, n. 221.
  3. GU n. 144 del 21–6–2013 – S.O. n. 50.
  4. G.U. n. 194 del 20–8–2013 – S.O. n. 63.◊

[fancy_heading style=”style2″ size=”small”]Altri articoli di Chiara Rabbito[/fancy_heading]

[fancy_heading style=”style2″ size=”small”]Altri articoli di Giancarmine Russo[/fancy_heading]

Translate »