Menu

Nuova banca dati EDS (Ecosistema Dati Sanitari): la strada è ancora lunga

19/01/2023

L’Ecosistema Dati Sanitari elabora e raccoglie i dati dei pazienti trasmessi dalle strutture sanitarie e potrebbe migliorare la circolazione delle informazioni per la cura dei pazienti. Il Garante della privacy ha però segnalato come ancora le normative che disciplinano l’utilizzo dell’EDS siano insoddisfacenti sotto il profilo della tutela dei dati personali dei cittadini.

Nuova banca dati EDS (Ecosistema Dati Sanitari): la strada è ancora lunga

Nel piano di riforma introdotto dalla Missione 6 SALUTE in materia di Fascicolo Sanitario Elettronico, si inserisce l’istituzione dell’Ecosistema dei Dati Sanitari (EDS). L’EDS raccoglie ed elabora i dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio Sanitario Nazionale, da quelli resi disponibili tramite il sistema Tessera Sanitaria, per garantire il coordinamento informatico e assicurare servizi sanitari omogenei su tutto il territorio nazionale.

 

L’EDS, in parole semplici, è un’enorme banca dati al cui interno saranno inseriti tutti i dati e i documenti che il sistema sanitario genera per finalità di cura (ad esempio certificati, cartelle). L’EDS andrà ad implementare il sistema della sanità digitale, rappresentando la più grande banca dati sulla salute esistente in Italia. Il titolare del trattamento dei dati personali contenuti all’interno dell’EDS è il Ministero della Salute, cui spetta perciò il diritto di stabilire come e perché trattare i dati personali, nel rispetto del emanando decreto ministeriale.

 

La gestione dell’Ecosistema è invece affidata all’AGENAS, cui spetta anche il compito di responsabile del trattamento dei dati personali (colui che tratta i dati per conto del titolare). Il Garante Privacy ha reso un parere obbligatorio sullo schema di decreto ministeriale che dovrà disciplinare il funzionamento dell’EDS, al fine di verificare il rispetto della normativa sulla tutela e riservatezza dei dati personali dei cittadini. Il parere del Garante Privacy, emesso il 22 agosto 2022, rileva numerose criticità all’interno della bozza di regolamento della banca dati EDS.

 

Le criticità in materia di dati personali

 

Secondo le indicazioni fornite dalla legge, il decreto sottoposto a parere del Garante dovrebbe definire i contenuti dell’EDS, le modalità di alimentazione, i soggetti che vi hanno accesso, le operazioni eseguibili e le misure di sicurezza per assicurare i diritti dei pazienti. Tuttavia, il Garante evidenzia come lo schema di decreto sia una “scatola vuota”, che non disciplina tutti gli elementi richiesti dalla legge ed inoltre rimanda a una serie di decreti successivi, che “saranno adottati” in tempi non definiti.

 


Il tuo studio è in regola con le normative sul trattamento dei dati personali dei pazienti? Affidati ai nostri professionisti per una verifica.


 

Consulcesi Club: tutta l’assistenza legale di cui hai bisogno

Consulenze legali in ambito civile, penale, lavorativo e in tema di responsabilità professionale; tre pareri legali e tre lettere di diffida. Attiva Consulcesi Club e ricevi assistenza legale illimitata.

 

L’EDS, inoltre, sarà letteralmente nutrito dai dati che perverranno dal Fascicolo Sanitario Elettronico (FSE): il Garante evidenzia perciò che le due bozze di decreto devono viaggiare all’unisono, e che non può aversi un regolamento sull’EDS senza che prima sia compiutamente adottato il relativo decreto sul FSE.

 

Attualmente, però, anche il decreto sul FSE (come quello sulla banca dati) è da migliorare in molti punti.

 

I contenuti dell’EDS e i dati del FSE

 

Secondo lo schema di decreto ministeriale analizzato dal Garante i contenuti dell’EDS sono rappresentati da tutti i dati definiti con i decreti attuativi del FSE. I decreti attuativi del FSE, però, non sono stati ancora adottati, quindi, non esiste una definizione certa del contenuto dell’Ecosistema. La definizione fornita dallo schema di decreto, perciò, è troppo generica, quasi evanescente.

 

Non è indicata la tipologia dei dati che saranno trattati e come saranno applicati i principi basilari in materia di privacy, quali la minimizzazione dei dati, l’esattezza, l’integrità e la riservatezza. Inoltre, non viene specificato il contenuto dei dati che devono confluire nella banca dati sanitaria, che a rigore di norma non sono tutti quelli contenuti nel FSE, bensì solo “i dati trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del SSN e quelli resi disponibili tramite il sistema Tessera Sanitaria”. Dovrebbero perciò essere esclusi, ad esempio, i dati contenuti nel taccuino personale dell’assistito (TP).

 

Come verrà alimentato l’Ecosistema dei Dati Sanitari?

 

Lo schema di decreto non indica in maniera precisa e dettagliata le modalità di alimentazione dell’Ecosistema dei Dati Sanitari. L’unica precisazione è relativa al fatto che l’Ecosistema sarà alimentato dagli stessi soggetti che alimentano il Fascicolo Sanitario Elettronico utilizzando le funzionalità del Gateway. Il Gateway è disciplinato dalla bozza di decreto, ed è un componente tecnologico che sarà parte integrante del sistema del Fascicolo Sanitario Elettronico, atto al controllo semantico e formale dei dati, alla conversione delle informazioni e all’invio dei dati stessi.

 

Il Garante, nel rendere il parere negativo, evidenzia che l’Ecosistema non può essere alimentato dagli stessi soggetti che compilano il FSE, poiché all’interno dell’EDS potranno confluire solo i dati trasmessi da alcuni dei protagonisti della sanità digitale, cioè:

  • i dati forniti dalle strutture sanitarie
  • quelli forniti dalle strutture sociosanitarie
  • i dati pervenuti dagli enti del S.S.N.
  • i dati disponibili tramite il sistema Tessera Sanitaria

 

I diritti del paziente nel trattamento dei suoi dati personali

 

Lo schema di regolamento, nel disciplinare i diritti del paziente in materia di trattamento dei suoi dati personali, stabilisce che i diritti esercitabili in materia di EDS sono analoghi a quelli relativi al Fascicolo Sanitario Elettronico. Ciò, a parere del Garante, è inammissibile.

 

I dati trattati attraverso il FSE sono molteplici, e il trattamento avviene sulla base di finalità diverse tra loro (ad esempio finalità di cura), diverse rispetto a quelle che devono essere perseguite tramite l’EDS. All’interno dello schema di decreto, inoltre, si dice che se un dato viene oscurato nel FSE lo sarà anche nell’EDS, che quindi non utilizzerà dati e documenti oscurati. Non si comprende, tuttavia, come materialmente potrà l’Ecosistema tenere conto delle richieste di oscuramento e di revoca dei dati avanzate dal paziente su ogni singolo Fascicolo Sanitario.

 

La bozza di decreto non prevede alcuna misura specifica per garantire al paziente di esercitare i suoi diritti in materia di raccolta ed elaborazione dei dati sanitari effettuata tramite EDS. Nel rendere il proprio parere negativo, il Garante ricorda che il consenso eventualmente richiesto per trattare i dati contenuti nell’Ecosistema potrebbe essere inficiato dalle informazioni così come delineate nella bozza di decreto, così parziali e poco chiare su come verranno trattati i dati del paziente, in violazione del principio di trasparenza, correttezza e liceità del trattamento dei dati.

 

Il consenso dell’interessato sull’informativa privacy

 

In materia di consenso la bozza di decreto si limita a precisare che la consultazione dei dati presenti nell’EDS può avvenire solo dopo che l’assistito o un suo delegato abbia preso visione dell’informativa privacy e abbia espresso il suo consenso alla consultazione dei dati e documenti presenti nel FSE.

 

Lo schema di decreto non indica i servizi che saranno resi disponibili dall’EDS “in emergenza”, e ciò rappresenta una grave falla del sistema: l’emergenza può essere rappresentata da un accesso in pronto soccorso, o da una impossibilità fisica, di agire o di intendere e volere del paziente, o di rischio grave, imminente e irreparabile per la sua salute o la sua incolumità fisica.  In questo caso, secondo il Garante, anche in assenza di consenso da parte dell’interessato, il sanitario dovrebbe avere accesso solo a una porzione del FSE, chiamata Profilo Sanitario Sintetico (PSS), da utilizzare in caso di emergenze sanitarie o di igiene pubblica.

 

I servizi resi dall’EDS e l’accesso ai dati sanitari dei pazienti

 

Lo schema di decreto non contiene al suo interno un elenco certo, chiaro e trasparente dei servizi che, tramite EDS, possono essere erogati – su richiesta – alla pluralità di soggetti che normalmente possono accedere al Fascicolo Sanitario Elettronico.

 

Non vengono neanche precisati i servizi di amministrazione, monitoraggio e controllo attraverso i quali l’EDS rende disponibili i dati. Il Garante evidenzia che, in linea di principio, l’elaborazione dei dati sanitari dei pazienti raccolti nell’EDS dovrebbero essere accessibili solo a seguito di una specifica richiesta del soggetto autorizzato (il medico) ad accedere al relativo servizio, in modo da rispettare il principio di proporzionalità del trattamento rispetto alle finalità da perseguire.

 

Il personale sanitario, perciò, non dovrebbe essere libero di consultare, in qualunque momento e per qualunque finalità, l’EDS, ma – nelle indicazioni del Garante – dovrebbe poterlo fare solo previa richiesta di autorizzazione per un fine ben determinato (ad esempio, per finalità di prevenzione, di profilassi, di governo sanitario).

 

Abbiamo già detto che titolare del trattamento dei dati contenuti nell’EDS è il Ministero della Salute. Il decreto avrebbe dovuto perimetrare la titolarità del trattamento effettuato dal Ministero tramite l’EDS, descrivendo il momento in cui la titolarità del dato sanitario passa dal soggetto che lo ha generato (ad esempio chi ha compilato il FSE) al Ministero che raccoglie il dato nell’EDS.

 

La valutazione di impatto e le misure di sicurezza

 

Il trattamento dei dati sanitari che andranno a confluire nell’EDS – stante la loro natura, il contesto e le finalità del trattamento, nonché l’uso di nuove tecnologie – presenta un elevato rischio per i diritti e le libertà delle persone fisiche. Il GDPR, in casi come questo, prevede che il titolare del trattamento (il Ministero della Salute) effettui, prima di procedere al trattamento stesso, una valutazione dell’impatto che si potrebbe avere sulla protezione dei dati personali.

 

La Valutazione di impatto (VIP) trasmessa unitamente allo schema di decreto, secondo il Garante, è ricca di carenze e imprecisioni, e non tiene conto della particolare natura (sanitaria) dei dati trattati nell’EDS, del contesto, e soprattutto dei rischi. La VIP omette di valutare la necessità e la proporzionalità dei trattamenti dei dati sanitari dei pazienti, in relazione alle finalità perseguite, tenendo conto che l’EDS sarà a disposizione di una vasta platea di soggetti che la consulteranno per finalità differenti.

 

La VIP non considera i rischi per i diritti e le libertà dei pazienti, come ad esempio:

 

  • la perdita dei requisiti di qualità dei dati a causa di un mancato o errato allineamento o aggiornamento
  • la revoca del consenso, qualora sia alla base del trattamento del dato,
  • la re-identificazione del paziente in considerazione della molteplicità di sistemi informativi e banche dati che vengono utilizzati su tutto il territorio nazionale in ambito sanitario
  • i rischi connessi al fatto che i dati vengono generati da EDS tramite tecniche algoritmiche che potrebbero portare alla profilazione dei singoli pazienti finalizzata all’adozione di decisioni che potrebbero incidere sull’aspetto sanitario individuale
  • i rischi di una possibile re-identificazione del paziente da parte del Ministero della Salute rispetto ai dati raccolti tramite NSIS (Nuovo Sistema Informativo Sanitario).

 

Il Garante evidenzia inoltre come la VIP sia piena di refusi, quasi come fosse frutto di un “copia e incolla” su un altro documento, poiché contiene al suo interno riferimenti a dati diversi da quelli che dovrebbero essere trattati in EDS (per esempio dati genetici).

 

Il Garante, alla luce di tutte le criticità emerse nella bozza di decreto sull’EDS, non poteva fare altro che chiedere al Ministero di riscrivere lo schema sulla base dei correttivi forniti (o meglio, delle carenze e deficienze evidenziate), ponendo al centro di tutto il rispetto dei diritti dell’assistito, l’esistenza di un consenso libero e informato all’uso dei dati, i principi fondamentali in materia di trattamento e sicurezza dei dati sanitari.

 

Manuela Calautti, avvocato