Il primo intervento del Garante nel 2009 - HEALTH 2.0 NUOVE RETI DI INTERAZIONE E COMUNICAZIONE

E- HEALTH 2.0 NUOVE RETI DI INTERAZIONE E COMUNICAZIONE: EVOLUZIONE

6.1 Il primo intervento del Garante nel 2009

misure di sicurezza - 6.2.1 Panoramica generale - 6.2.2 I titolari del trattamento dei dati personali - 6.2.3 Obblighi di privacy degli operatori sanitari - 6.2.4 La formazione specifica per gli operatori - 6.2.5 Misure di sicurezza - 6.3 Il taccuino personale

6.1 Il primo intervento del Garante nel 2009

La tutela e la sicurezza dei dati personali dell’assistito sono elementi fondamentali nello sviluppo dei servizi e dei sistemi di sanità digitale, in modo essenziale nel FSE94.

L’Autorità Garante per la protezione dei dati personali, con l’emanazione nel 2009, delle "Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario" ha affrontato per la prima volta e nel dettaglio le molteplici questioni giuridiche in materia di privacy.

A supplire la carenza normativa è intervenuto il Decreto Legge del 18 ottobre 2012, n. 179, convertito dalla Legge del 17 dicembre 2012, n. 221, infatti il comma 7 dell’art. 12 prevede che con uno o più decreti attuativi, acquisito il parere del Garante per la protezione dei dati personali, siano stabiliti: “i contenuti del FSE e del dossier farmaceutico nonché i limiti di responsabilità e i compiti dei soggetti che ne concorrono all'implementazione, i sistemi di codifica dei dati, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti dell'assistito, le modalità e i livelli diversificati di accesso al FSE e le modalità di attribuzione di un codice identificativo univoco dell'assistito che non consenta l'identificazione diretta dell'interessato, i criteri per l'interoperabilità del FSE a livello regionale, nazionale ed europeo, nel rispetto delle regole tecniche del sistema pubblico di connettività” .

Dal momento che nel FSE confluiscono dati sensibili e ipersensibili, riferiti alle condizioni di salute di un individuo, sussiste il rischio che un trattamento disaccorto si configuri come una lesione dei diritti fondamentali (motivo per il quale la Presidenza del

94_{Per approfondimenti si veda Virone M. G., Il fascicolo sanitario elettronico. Sfide e bilanciamenti fra}

Consiglio dei Ministri ha richiesto al Garante per il trattamento dei dati personali il parere sul D.P.C.M. n. 178 del 29 settembre 2015).

A tal fine, l'Ufficio del Garante ha preso parte al tavolo di lavoro avviato presso il Ministero della Salute e da questa collaborazione, conclusasi con un parere favorevole dell'Autorità Garante, sono emersi diversi punti focali su FSE e privacy che si mettono qui di seguito in risalto.

Innanzitutto, in merito alla disciplina della privacy, vengono affrontate le tematiche del consenso all'alimentazione e alla consultazione del FSE.

Queste due tipologie di consenso differiscono, infatti, dal consenso ordinario che viene prestato dal soggetto nel momento in cui decide di essere sottoposto a eventuali prestazioni sanitarie, poiché si basano su un'attività di trattamento dei dati personali di tipo diverso.

Nello specifico, il consenso all'alimentazione del FSE consente l'accesso al fascicolo per finalità di cura, di ricerca e di governo; il consenso alla consultazione, invece, si esprime dopo aver prestato il consenso all'alimentazione e, in caso di mancanza, autorizzerà l'uso esclusivamente per fini di governo e ricerca ai sensi dell'art. 12, commi 3- bis e 5, del Decreto Legge n.179 del 2012 e artt. 7 e 8 del D.P.C.M. in oggetto.

È essenziale, quindi, che il cittadino/paziente sia posto nelle condizioni di decidere liberamente e consapevolmente, mediante l'informativa ex art. 13 del Codice in materia di protezione dei dati personali, in merito alle modalità di accesso, di alimentazione e di consultazione del FSE sopra descritte.

In fase di attivazione del FSE, si potrà esprimere il consenso:

– telematicamente, dopo essersi autenticato (secondo le modalità previste dalle relative Regioni e Provincie Autonome);

– per iscritto, rilasciando una dichiarazione presso gli uffici preposti.

Qualora il soggetto non abbia compiuto la maggiore età o sia sottoposto a tutela, sia il consenso all’alimentazione sia il consenso alla consultazione devono essere espressi dal soggetto che esercita la potestà o da colui che lo rappresenta legalmente - in qualità di genitore, tutore, amministratore di sostegno o altra legittimazione - mediante l’esibizione di un proprio documento di identità (art. 8, comma 3 del D.P.C.M.).

Per ciò che riguarda i diritti in capo al titolare del FSE, gli è consentito come prima cosa procedere con l'oscuramento dei dati e documenti sanitari e socio-sanitari che lo riguardano, formati sia precedentemente all'alimentazione del FSE sia dopo, impedendo la

visione di tali documenti a terzi oltre all'assistito stesso e ai titolari che hanno prodotto i dati.

L'oscuramento può essere revocato e viene compiuto in modo che chiunque acceda per le finalità di cura non si accorga né dell'esistenza dei dati né che l'assistito ha inteso procedere con l'oscuramento di questi.

Ad ogni modo l'assistito deve usufruire di facili modalità per la consultazione del proprio fascicolo sanitario elettronico, al quale deve accedere in forma protetta e riservata e tramite gli strumenti elencati nell'art. 64 del CAD (Carta d'identità elettronica, Carta nazionale dei servizi e SPID, Sistema Pubblico per la gestione dell'Identità Digitale di cittadini ed imprese). [Scarica il testo d'analisi del CAD realizzato dallo Studio Legale Lisi con il patrocinio di FORUM PA e ANORC]95.

Per poter accedere alla propria area riservata l'assistito dovrà rilasciare delle dichiarazioni che ne provino l'identità. Per i cittadini è inoltre previsto, oltre al diritto di accesso al fascicolo, anche la possibilità di estrarne copia, cartacea o digitale.

All'assistito è inoltre data la possibilità di inserire, aggiornare, ricercare, recuperare o eliminare dati e documenti di interesse situati nella sezione relativa al proprio taccuino personale, i quali possono essere resi visibili agli operatori sanitari e socio-sanitari.

L'art. 24 del D.P.C.M. è incentrato sulla conservazione a norma dei documenti e dei dati socio-sanitari inclusi nel fascicolo sanitario elettronico. A causa della particolarità dei dati e dei rischi che gravano su di essi in caso di scorretta applicazione delle misure di sicurezza, viene sottolineata la necessità di istituire un'organizzazione di apposite sessioni di formazione “anche con riferimento agli aspetti di protezione dei dati personali, con particolare riferimento, all'accessibilità delle informazioni, alle operazioni di trattamento eseguibili e alla sicurezza dei dati”.

Sempre l'art. 24, al comma 5, stabilisce che al FSE e ai documenti di cui all'art. 3, comma 2, in merito alla riproduzione e conservazione dei documenti e ai requisiti sottesi, si applica quanto previsto dagli artt. 43 e 44 del CAD.

Infine, il Garante ha ribadito la delicata natura delle informazioni trattate e ha ritenuto opportuna la nomina, per ogni titolare, di un responsabile della protezione dei dati che svolga l’importante funzione di collegamento con il Garante.

95_{Intervento di Lisi A., Studio D&L - Presidente di ANORC, Documenti, Dati e Informazioni: il futuro è}

ancora documentale? Intervento al convegno L’amministrazione digitale italiana a dieci anni dal CAD (2005- 2015): e poi? Varese -marzo 2015.

6.2 Le soluzioni del Garante nelle Linee Guida: i titolari del trattamento dei dati

Nel documento L'E-Government nelle aziende sanitarie. Il fascicolo sanitario elettronico e la realizzazione di reti, modelli tecnologici e di conoscenza dei sistemi di E-Health locali e nazionali (pagine 81-84)