Il Garante privacy ha notificato a 18 Regioni e alle Province autonome di Trento e Bolzano l’avvio di altrettanti procedimenti correttivi e sanzionatori per le numerose violazioni riscontrate nell’applicazione della nuova disciplina del Fascicolo sanitario elettronico 2.0 (FSE 2.0), introdotta con il decreto del Ministero della salute del 7 settembre 2023.
Una “situazione grave”, ha sottolineato l’Autorità che aveva già segnalato l’urgenza di interventi correttivi era stata segnalata al Presidente del Consiglio dei ministri e al Ministro della salute.
Indice degli argomenti
FSE 2.0: Regioni nel mirino del Garante privacy
Con questa motivazione, il Garante privacy ha concluso la sua attività istruttoria avviata a fine gennaio 2024 i cui esiti hanno rilevato che 18 Regioni e le due Province autonome del Trentino Alto Adige hanno modificato, anche significativamente, il modello di informativa predisposto dal Ministero, previo parere del Garante, che avrebbe dovuto essere adottato su tutto il territorio nazionale.
I 20 enti coinvolti nell’istruttoria, dunque, non sono risultati in linea con quanto contenuto nel decreto del 7 settembre 2023.
Ricordiamo che il Fascicolo sanitario elettronico raccoglie dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici riguardanti l’assistito, riferiti a prestazioni erogate dal Servizio sanitario nazionale (cd. “SSN”) e da strutture sanitarie private.
Il FSE è messo a disposizione dalle Regioni e dalle Province autonome, nel rispetto della normativa vigente in materia di protezione dei dati personali, con finalità di:
- prevenzione, diagnosi, cura e riabilitazione;
- studio e ricerca scientifica in campo medico, biomedico ed epidemiologico;
- programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria.
A tal proposito, il decreto del Ministro della salute del 7 settembre 2023, pubblicato nella G.U. Serie Generale del 24 ottobre 2023, individua i contenuti del Fascicolo sanitario elettronico 2.0, definendo anche i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti dell’assistito, le modalità e i livelli diversificati di accesso al FSE.
Il contenuto del FSE 2.0 e le violazioni privacy contestate
Il FSE deve contenere dati e documenti relativi a prestazioni erogate all’assistito, nello specifico:
- dati identificativi e amministrativi dell’assistito (esenzioni per reddito e patologia, contatti, delegati);
- referti;
- verbali pronto soccorso;
- lettere di dimissione;
- profilo sanitario sintetico;
- prescrizioni specialistiche e farmaceutiche;
- cartelle cliniche;
- erogazione farmaci a carico SSN e non a carico SSN;
- vaccinazioni;
- erogazione di prestazioni di assistenza specialistica;
- taccuino personale dell’assistito;
- dati delle tessere per i portatori di impianto;
- lettera di invito per screening.
Alla luce dei dati trattati, all’art. 7 del DL su menzionato, “Informativa all’assistito”, si specificava che “in ottemperanza all’adempimento di cui agli articoli 13 e 14 del Regolamento UE 2016/679, quale presupposto di liceità del trattamento, entro tre mesi dalla data di entrata in vigore del presente decreto, deve essere fornita all’assistito, da parte del Ministero della salute, delle Regioni e Province autonome, idonea informativa che espliciti i trattamenti dei dati del FSE”.
Al comma 4 dello stesso articolo, inoltre, si assicurava l’omogeneità nell’applicazione della norma, riportando che “al fine di garantire all’interessato informazioni omogenee e uniformi nel territorio nazionale, il Ministero della salute predispone, in collaborazione con le Regioni e Province autonome, un modello di informativa, che mette a disposizione attraverso la pubblicazione sull’area pubblica del Portale nazionale FSE”.
FSE 2.0: possibili sanzioni privacy
Inoltre, alcuni diritti degli assistiti e misure di sicurezza introdotte dal decreto non sono applicate allo stesso modo nell’intero Paese, con un potenziale e significativo effetto discriminatorio sugli assistiti e una compromissione della funzionalità, dell’interoperabilità e dell’efficienza del sistema FSE 2.0. Pertanto, queste violazioni possono comportare l’applicazione delle sanzioni previste dal GDPR (Reg. UE 679/2016).