Il trattamento dei dati personali in ambito sanitario \u00e8 un argomento di grande rilevanza, poich\u00e9 coinvolge la tutela della privacy e la necessit\u00e0 di garantire la corretta gestione delle informazioni relative alla salute dei pazienti. <\/p>\n\n\n\n
La normativa europea e italiana prevede specifiche disposizioni per assicurare che tali dati siano trattati nel rispetto dei diritti fondamentali degli individui.<\/p>\n\n\n\n
Il Regolamento Generale sulla Protezione dei Dati (GDPR) \u00e8 il principale riferimento normativo a livello europeo. <\/p>\n\n\n\n
Esso esclude che il trattamento dei dati personali relativi alla salute deve avvenire nel rispetto di condizioni particolarmente stringenti, data la natura sensibile di tali informazioni. <\/p>\n\n\n\n
L’articolo 9 del GDPR prevede che il trattamento di dati particolari, come quelli relativi alla salute, \u00e8 generalmente proibito, salvo specifiche eccezioni, <\/p>\n\n\n\n
Articolo 9 Trattamento di categorie particolari di dati personali<\/strong><\/p>\n\n\n\n 1. \u00c8 vietato trattare dati personali che rivelino l’origine razziale o etnica, le opinioni politiche, le convinzioni religiose o filosofiche, o l’appartenenza sindacale, nonch\u00e9 trattare dati genetici, dati biometrici intesi a identificare in modo univoco una persona fisica, dati relativi alla salute o alla vita sessuale o all’orientamento sessuale della persona.<\/p>\n\n\n\n 2. Il paragrafo 1 non si applica se si verifica uno dei seguenti casi:<\/p>\n\n\n\n a) l’interessato ha prestato il proprio consenso esplicito al trattamento di tali dati personali per una o pi\u00f9 finalit\u00e0 specifiche, salvo nei casi in cui il diritto dell’Unione o degli Stati membri dispone che l’interessato non possa revocare il divieto di cui al paragrafo 1;<\/em><\/p>\n\n\n\n c) il trattamento \u00e8 necessario per tutelare un interesse vitale dell’interessato o di un’altra persona fisica qualora l’interessato si trovi nell’incapacit\u00e0 fisica o giuridica di prestare il proprio consenso;<\/em><\/p>\n\n\n\n e) il trattamento riguarda dati personali resi manifestamente pubblici dall’interessato;<\/p>\n\n\n\n f) il trattamento \u00e8 necessario per accertare, esercitare o difendere un diritto in sede giudiziaria o ogniqualvolta le autorit\u00e0 giurisdizionali esercitino le loro funzioni giurisdizionali;<\/p>\n\n\n\n g) il trattamento \u00e8 necessario per motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri, che deve essere proporzionato alla finalit\u00e0 perseguita, rispettare l’essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato;<\/em><\/p>\n\n\n\n h) il trattamento \u00e8 necessario per finalit\u00e0 di medicina preventiva o di medicina del lavoro, valutazione della capacit\u00e0 lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanit\u00e0, fatte salve le condizioni e le garanzie di cui al paragrafo 3;<\/em><\/p>\n\n\n\n i) il trattamento \u00e8 necessario per motivi di interesse pubblico nel settore della sanit\u00e0 pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualit\u00e0 e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libert\u00e0 dell’interessato, in particolare il segreto professionale;<\/em><\/p>\n\n\n\n 3. I dati personali di cui al paragrafo 1 possono essere trattati per le finalit\u00e0 di cui al paragrafo 2, lettera h), se tali dati sono trattati da o sotto la responsabilit\u00e0 di un professionista soggetto al segreto professionale <\/strong>conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti o da altra persona anch’essa soggetta all’obbligo di segretezza conformemente al diritto dell’Unione o degli Stati membri o alle norme stabilite dagli organismi nazionali competenti.<\/p>\n\n\n\n 4. Gli Stati membri possono mantenere o introdurre ulteriori condizioni, comprese limitazioni, con riguardo al trattamento di dati genetici, dati biometrici o dati relativi alla salute.<\/p>\n\n\n\n In Italia, il trattamento dei dati sanitari \u00e8 regolato dal Codice della Privacy (D.Lgs. 196\/2003), come modificato dal D.Lgs. 101\/2018 per allinearsi al GDPR.<\/p>\n\n\n\n Con la decisione numero 55, datata 7 marzo 2019<\/strong>, l’Autorit\u00e0 Garante per la protezione dei dati personali ha offerto delle precisazioni importanti su come gestire i dati che riguardano la salute nel settore sanitario, considerando le nuove regole introdotte dal decreto n. 101\/2018. Per maggiori dettagli, consulta il documento ufficiale.<\/p>\n\n\n\n L’elaborazione dei dati relativi alla salute \u00e8 permessa solo se soddisfa determinati criteri specificati all’articolo 9 del Regolamento (vedi sopra) <\/p>\n\n\n\n Questo articolo consente agli stati membri dell’Unione Europea di applicare o introdurre condizioni aggiuntive, inclusi eventuali limiti, per questo tipo di trattamento dei dati (vedi articolo 9, paragrafo 4). <\/p>\n\n\n\n In risposta, il decreto legislativo numero 101\/2018, attuato a partire dal 19 settembre 2018, richiede che l’Autorit\u00e0 Garante definisca le basi legali per tali trattamenti, stabilendo misure di protezione specifiche e incoraggiando l’adozione di codici di condotta etici (articoli 2-septies e 2-quater del Codice).<\/p>\n\n\n\n Le eccezioni alla regola che proibisce generalmente l’elaborazione delle cosiddette “categorie speciali di dati”, inclusi quelli sulla salute, possono ora essere trovate nell’articolo 9 del Regolamento. <\/p>\n\n\n\n Questo articolo specifica diverse situazioni in cui \u00e8 permesso trattare tali dati. Nel contesto sanitario, queste eccezioni si applicano generalmente ai trattamenti necessari per:<\/p>\n\n\n\n L’articolo 2-sexies del Codice della Privacy, come aggiornato dal Decreto Legislativo 10 agosto 2018, n. 101, disciplina il trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante. <\/p>\n\n\n\n Questo articolo si inserisce nel contesto del Codice in materia di protezione dei dati personali (d.lgs. n. 196 del 2003), che \u00e8 stato adeguato al Regolamento (UE) 2016\/679 (GDPR) per garantire una maggiore protezione dei dati personali.<\/p>\n\n\n\n L’articolo 2-sexies stabilisce che i trattamenti delle categorie particolari di dati personali, come definiti dall’articolo 9, paragrafo 1, del GDPR, sono ammessi quando necessari per motivi di interesse pubblico rilevante, ai sensi del paragrafo 2, lettera g), dello stesso articolo del GDPR.<\/p>\n\n\n\n Questi trattamenti sono permessi a condizione che siano previsti dal diritto dell’Unione europea o, nell’ordinamento interno, da disposizioni di legge o di regolamento o da atti amministrativi generali. <\/p>\n\n\n\n Queste disposizioni devono specificare i tipi di dati che possono essere trattati, le operazioni eseguibili, il motivo di interesse pubblico rilevante, nonch\u00e9 le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell’interessato.<\/p>\n\n\n\n Inoltre, l’articolo 2-sexies prevede che i dati personali relativi alla salute, privi di elementi identificativi diretti, possono essere trattati, nel rispetto delle finalit\u00e0 istituzionali di ciascuno, dal Ministero della salute, dall’Istituto superiore di sanit\u00e0, e da altri soggetti specificati, sempre nel rispetto delle norme di protezione dei dati personali<\/p>\n\n\n\n Questa normativa rappresenta un importante punto di equilibrio tra la necessit\u00e0 di trattare dati personali sensibili per motivi di interesse pubblico e la tutela della privacy e dei diritti fondamentali delle persone.<\/p>\n\n\n\n vedi articol<\/a>o<\/strong><\/p>\n\n\n\n come la protezione contro gravi pericoli per la salute che superano i confini nazionali o l’assicurazione di standard elevati di qualit\u00e0 e sicurezza nell’assistenza sanitaria, nei farmaci e nei dispositivi medici. Questo si basa sulle leggi dell’Unione Europea o degli stati membri che stabiliscono misure specifiche e adeguate per proteggere i diritti e le libert\u00e0 degli individui, inclusa la riservatezza professionale (articolo 9, paragrafo 2, lettera i) del Regolamento e considerando numero 54) (ad esempio, in caso di emergenze sanitarie dovute a terremoti e sicurezza alimentare).<\/p>\n\n\n\n Specificamente, per quanto riguarda il trattamento dei dati per interesse pubblico, l’articolo 6 del GDPR stabilisce che tale trattamento \u00e8 considerato lecito quando necessario per l’esecuzione di un compito di interesse pubblico o per l’esercizio di poteri pubblici attribuiti al titolare del trattamento.<\/p>\n\n\n\n L’articolo 6, paragrafo 3, aggiunge che la base giuridica per questi casi deve essere definita dalla legislazione dell’Unione Europea o dal diritto dello stato membro a cui il titolare del trattamento \u00e8 soggetto. <\/p>\n\n\n\n La legge pu\u00f2 includere disposizioni specifiche per adattare l’applicazione delle norme del GDPR, quali le condizioni generali di liceit\u00e0 del trattamento, le categorie di dati trattati, i soggetti coinvolti, a chi possono essere divulgati i dati personali e per quali scopi, oltre a limitazioni di finalit\u00e0, tempi di conservazione e procedure di trattamento. Questo include misure per assicurare un trattamento corretto e legale, come specificato nel capitolo IX del regolamento.<\/p>\n\n\n\n Il trattamento dei dati personali per ragioni di significativo interesse pubblico \u00e8 giustificato quando si basa sulla legislazione dell’Unione Europea o degli Stati membri. <\/p>\n\n\n\n Tale legislazione deve essere adeguata all’obiettivo che si intende raggiungere, garantire il rispetto del diritto fondamentale alla protezione dei dati e includere disposizioni precise e adeguate per la salvaguardia dei diritti fondamentali e degli interessi della persona interessata. Pertanto, il trattamento dei dati sanitari per motivi di interesse pubblico \u00e8 considerato legittimo solo se la normativa che lo autorizza \u00e8 specifica e soddisfa i seguenti criteri: deve essere proporzionata all’obiettivo desiderato; deve tutelare il nucleo essenziale del diritto alla protezione dei dati; e deve contemplare misure idonee e particolari per proteggere i diritti fondamentali e gli interessi della persona coinvolta.<\/p>\n\n\n\n Appare dunque chiaro che la base giuridica che stabilisce l\u2019interesse pubblico deve essere contenuta in una delle seguenti fonti normative:<\/p>\n\n\n\n Ma soprattutto \u2013 e questo \u00e8 l\u2019elemento pi\u00f9 impattante \u2013 tali fonti devono altres\u00ec contenere una disciplina di dettaglio in relazione ai seguenti aspetti:<\/p>\n\n\n\n in conformit\u00e0 con le leggi dell’Unione Europea o degli stati membri, o in base a un accordo con un professionista del settore sanitario, (articolo 9, paragrafo 2, lettera h) e paragrafo 3 del Regolamento e considerando numero 53<\/a>; articolo 75 del Codice), realizzati da (o sotto la supervisione di) un professionista del settore sanitario tenuto al segreto professionale, o da un’altra persona anch’essa obbligata alla riservatezza.<\/p>\n\n\n\n 1. Il trattamento dei dati personali effettuato per finalit\u00e0 di tutela della salute e incolumit\u00e0 fisica dell’interessato o di terzi o della collettivit\u00e0 deve essere effettuato ai sensi dell’articolo 9, paragrafi 2, lettere h) ed i), e 3 del regolamento, dell’articolo 2 septies<\/a> del presente codice, nonch\u00e9 nel rispetto delle specifiche disposizioni di settore.<\/em><\/p>\n\n\n\n Riguardo a questo, si nota che l’opzione c) menzionata nella lista precedente ha delle caratteristiche specifiche che ne definiscono l’uso.<\/p>\n\n\n\n In particolare, si sottolinea che i trattamenti per “scopi terapeutici<\/strong>“, come descritto nell’articolo 9, paragrafo 2, lettera h) e paragrafo 3 del Regolamento, sono quelli condotti da (o sotto la supervisione di) un professionista del settore sanitario tenuto al segreto professionale, o da un’altra persona anch’essa obbligata alla riservatezza. <\/strong><\/p>\n\n\n\n A differenza di quanto avveniva in passato, il professionista sanitario, vincolato al segreto professionale, non \u00e8 pi\u00f9 tenuto a ottenere il consenso del paziente per i trattamenti necessari all’erogazione del servizio sanitario richiesto dalla persona, a prescindere dal fatto che operi come libero professionista (in uno studio privato) o all’interno di un’istituzione sanitaria pubblica o privata.<\/p>\n\n\n\n Un altro punto importante si riferisce all’ambito di applicazione: i trattamenti menzionati nell’articolo 9, paragrafo 2, lettera h), sono specificatamente quelli “necessari<\/strong>” per raggiungere le particolari “finalit\u00e0 terapeutiche<\/strong>” stabilite dalla legge, ovvero indispensabili per conseguire uno o pi\u00f9 obiettivi specifici strettamente legati alla cura e al benessere della persona.<\/p>\n\n\n\n Pertanto, qualsiasi trattamento che sia collegato alla cura in un senso ampio, ma che non sia assolutamente essenziale, richiede una specifica base legale per essere giustificato, anche se realizzato da operatori sanitari. Questa base legale pu\u00f2 essere trovata, per esempio, nel consenso della persona coinvolta o in un’altra valida ragione legale (articoli 6 e 9, paragrafo 2, del Regolamento).<\/p>\n\n\n\n In relazione ai trattamenti nel settore sanitario che non si inseriscono nelle situazioni gi\u00e0 descritte e che pertanto richiedono l’autorizzazione diretta dell’individuo interessato (articolo 9, paragrafo 2, lettera a) del Regolamento), si elencano, a scopo illustrativo, i seguenti tipi:<\/p>\n\n\n\n a. Trattamenti legati all’uso di App mediche<\/strong>, attraverso le quali i gestori indipendenti raccolgono informazioni, compresi dati sanitari della persona interessata, per scopi che non riguardano la telemedicina o quando, a prescindere dall’obiettivo dell’app, i dati dell’individuo possono essere accessibili a entit\u00e0 diverse dai professionisti della salute o da altri soggetti obbligati alla riservatezza professionale (vedi le FAQ del CNIL del 17 agosto 2018 riguardanti le app mobili nel settore sanitario).<\/p>\n\n\n\n b. Trattamenti finalizzati a creare lealt\u00e0 nei client<\/strong>i, realizzati dalle farmacie mediante programmi di raccolta punti, con l’obiettivo di ottenere accesso a servizi o benefici aggiuntivi legati al settore farmaceutico e sanitario, che vanno oltre le normali attivit\u00e0 di assistenza farmaceutica offerte dalle farmacie locali, sia pubbliche che private, nell’ambito del Sistema Sanitario Nazionale (SSN).<\/p>\n\n\n\n c. Trattamenti realizzati nel settore sanitario da enti privati con scopi di marketing o vendita<\/strong> (ad esempio, offerte su programmi di screening, contratti per la fornitura di servizi amministrativi, come quelli relativi al soggiorno in strutture alberghiere).<\/p>\n\n\n\n d. Interventi condotti da professionisti della salute con intenti commerciali o per attivit\u00e0 politiche (come indicato nella disposizione del 6 marzo 2014, documento web n. 3013267<\/a>).<\/p>\n\n\n\n e. Trattamenti realizzati mediante il Fascicolo Sanitario Elettronico<\/strong> (decreto-legge 18 ottobre 2012, n. 179, articolo 12, comma 5). In questi contesti, il consenso viene richiesto come prerequisito legale per il trattamento dei dati, secondo le normative specifiche esistenti prima dell’introduzione del Regolamento, la cui aderenza \u00e8 ora chiaramente richiesta dall’articolo 75 del Codice.<\/p>\n\n\n\n Con riferimento ai trattamenti effettuati attraverso il Dossier sanitario,<\/strong> il consenso \u00e8 attualmente richiesto dalle Linee guida emanate dall\u2019Autorit\u00e0 prima dell\u2019applicazione del Regolamento (Linee guida in materia di Dossier sanitario del 4 giugno 2015, doc web. n.4084632<\/a>).<\/p>\n\n\n\n Diverso \u00e8 il caso della refertazione on line<\/strong> per il quale il consenso dell\u2019interessato \u00e8 richiesto dalle disposizioni di settore in relazione alle modalit\u00e0 di consegna del referto (Decreto del Presidente del Consiglio dei Ministri 8 agosto 2013, art. 5).<\/p>\n\n\n\n Il principio di chiarezza<\/strong>, stabilito dall’articolo 5, paragrafo 1, lettera a) del Regolamento, richiede che i responsabili del trattamento dati forniscano alla persona interessata informazioni chiave riguardanti il trattamento, per assicurare che essa sia ben informata sulle sue principali peculiarit\u00e0.<\/p>\n\n\n\n In questo contesto, \u00e8 importante sottolineare che, pur dovendo rispettare l’obbligo di divulgare le informazioni specificate negli articoli 13 e 14 del Regolamento, le informazioni fornite alla persona interessata devono essere presentate in modo sintetico, trasparente, comprensibile e facilmente accessibile, usando un linguaggio semplice e diretto<\/strong> (come indicato nell’articolo 12, paragrafo 1, del Regolamento e nell’articolo 78 del Codice). <\/p>\n\n\n\n Per quanto riguarda il modo in cui viene fornita questa informativa, in linea con il principio di accountability introdotto dall’articolo 5 del Regolamento, spetta al responsabile del trattamento decidere il metodo pi\u00f9 adatto al caso specifico<\/strong>, considerando tutte le circostanze legate al trattamento dei dati e al contesto in cui avviene (per esempio, il tipo di dispositivo utilizzato, la natura dell’interazione con il responsabile e le possibili restrizioni legate a questi fattori; vedi i considerando numeri 58 e 60).<\/p>\n\n\n\n Nel caso specifico dei responsabili del trattamento dati nel settore sanitario che gestiscono molteplici operazioni di notevole complessit\u00e0 (ad esempio, enti sanitari), si consiglia di divulgare le informazioni richieste dal Regolamento in maniera graduale. <\/p>\n\n\n\n Questo implica che per la maggior parte dei pazienti di una struttura sanitaria, potrebbero essere condivise inizialmente solo le informazioni legate ai trattamenti standard nell’ambito dell’erogazione dei servizi sanitari (vedi articolo 79 del Codice). <\/p>\n\n\n\n Le informazioni specifiche su attivit\u00e0 di trattamento pi\u00f9 particolari (come la distribuzione di dispositivi medici, le modalit\u00e0 di ritiro dei referti medici online, scopi di ricerca) potrebbero essere fornite successivamente<\/strong>, e solo a quei pazienti che usufruiscono effettivamente di tali servizi e trattamenti aggiuntivi. Questo approccio permette di concentrarsi maggiormente sulle informazioni effettivamente importanti, assicurando una piena consapevolezza sui punti chiave del trattamento.<\/p>\n\n\n\n Tra le nuove informazioni rilevanti da fornire, si sottolinea l’importanza di comunicare il periodo di conservazione dei dati, che, come indicato dal Regolamento, pu\u00f2 essere specificato dal titolare anche descrivendo i criteri usati per stabilirlo (articoli 13 e 14, paragrafo 2, lettera a), del Regolamento). <\/p>\n\n\n\n A questo proposito, \u00e8 utile ricordare che per quanto riguarda la documentazione sanitaria, le norme giuridiche stabiliscono diversi periodi di conservazione, i quali non sono stati alterati dalla normativa sulla protezione dei dati personali e restano quindi pienamente applicabili. <\/p>\n\n\n\n Per esempio, si menzionano: la documentazione relativa agli esami effettuati durante le visite per il certificato di idoneit\u00e0 all’attivit\u00e0 sportiva agonistica,<\/strong> che il medico deve conservare per almeno cinque anni (articolo 5, Decreto Ministeriale 18\/02\/1982); la necessit\u00e0 di conservare le cartelle cliniche e i relativi referti senza limiti di tempo (Circolare del Ministero della Sanit\u00e0 del 19 dicembre 1986 n.900 2\/AG454\/260); e la documentazione iconografica radiologica<\/strong>, che deve essere tenuta per un termine non inferiore a dieci anni (articolo 4, decreto ministeriale 14 febbraio 1997).<\/p>\n\n\n\n Quando non esistano norme specifiche che definiscano i periodi di conservazione per determinati documenti sanitari, spetta al responsabile del trattamento, seguendo il principio di responsabilit\u00e0, stabilire la durata di conservazione dei dati in modo che questi siano mantenuti in una forma che permetta di identificare le persone interessate solo per il tempo necessario a raggiungere gli scopi per i quali sono stati raccolti (principio di limitazione della conservazione, articolo 5, paragrafo 1, lettera e) del Regolamento). <\/p>\n\n\n\n Inoltre, \u00e8 necessario che questo periodo di tempo (o i criteri usati per determinarlo) sia incluso tra le informazioni da fornire alla persona interessata.<\/p>\n\n\n\n La nomina del Responsabile della Protezione dei Dati (RPD) all’interno del quadro normativo \u00e8 una disposizione pensata per agevolare il rispetto delle norme sulla privacy. <\/p>\n\n\n\n Tale nomina \u00e8 obbligatoria per enti e autorit\u00e0 pubbliche, mentre per gli altri soggetti diventa necessaria solo sotto determinate condizioni specificate all’articolo 37. In particolare, si considera che il trattamento di dati personali relativi a pazienti da parte di enti sanitari del Servizio Sanitario Nazionale (SSN) rientri tra i casi che richiedono obbligatoriamente un RPD. <\/p>\n\n\n\n Questo perch\u00e9 tali enti sono considerati “organismi pubblici” e perch\u00e9 le loro attivit\u00e0 principali implicano il trattamento di dati sulla salute su larga scala, come indicato dall’articolo 37, paragrafo 1, lettera c). <\/p>\n\n\n\n Si ritiene inoltre che il trattamento di dati di pazienti effettuato da strutture private, come ospedali, case di cura o residenze sanitarie assistenziali (RSA), possa generalmente essere classificato come trattamento su larga scala. <\/p>\n\n\n\n Anche per gli aspetti organizzativi dell\u2019ufficio del RPD, la possibilit\u00e0 e la fattibilit\u00e0 (art. 39 del Regolamento) di nominare un unico RPD per pi\u00f9 strutture sanitarie, \u00e8 rimessa alla responsabilit\u00e0 del titolare del trattamento.<\/p>\n\n\n\n Quanto, poi, al singolo professionista sanitario che operi in regime di libera professione a titolo individuale, si fa presente che lo stesso non \u00e8 tenuto alla designazione di tale figura con riferimento allo svolgimento della propria attivit\u00e0.<\/p>\n\n\n\n I registri delle attivit\u00e0 di trattamento sono fondamentali per stabilire l’adempimento al principio di accountability delineato dal GDPR. Per evidenziare la loro aderenza a questa normativa, sia i titolari che i responsabili del trattamento sono tenuti a mantenere un registro delle attivit\u00e0 svolte sotto la loro gestione, come sottolineato nel Considerando numero 82. Questi registri sono cruciali per la gestione dei trattamenti dati e per identificare quelli che comportano un rischio maggiore.<\/p>\n\n\n\n Riguardo a questo obbligo, \u00e8 particolarmente rilevante nel settore sanitario. Questa affermazione considera che le condizioni di esenzione dall’obbligo di tenuta del registro, delineate all’articolo 30, paragrafo 5 del Regolamento, sono alternative tra loro (come evidenziato dal Gruppo di lavoro Art. 29 per la protezione dei dati in un Position paper relativo all’articolo 30(5), e successivamente approvato dal Comitato europeo per la protezione dei dati con l’Endorsement n. 1\/2018). Pertanto, l’esenzione non si applica se anche solo uno degli elementi elencati nel paragrafo 5 \u00e8 presente (come il trattamento che rappresenta un rischio per i diritti e le libert\u00e0 degli individui, trattamento non occasionale, o il trattamento di categorie particolari di dati ai sensi dell’articolo 9 o di dati relativi a condanne penali e reati). Questo perch\u00e9 il registro delle attivit\u00e0 di trattamento \u00e8 visto come uno strumento per l’accountability e la gestione del rischio.<\/p>\n\n\n\n Di conseguenza, non sono esonerati dall’obbligo di mantenere il registro i professionisti sanitari autonomi, i medici di medicina generale e i pediatri di libera scelta, gli ospedali privati, le case di cura, le RSA, le aziende sanitarie del SSN, cos\u00ec come le farmacie, le parafarmacie e le aziende ortopediche.<\/p>\n\n\n\n Infine, si precisa che il registro delle attivit\u00e0 di trattamento non deve essere inviato al Garante per la protezione dei dati personali, ma deve essere reso disponibile all’autorit\u00e0 in caso di ispezioni.<\/p>\n\n\n\n I confini emergenti nel campo della salute includono la medicina personalizzata, proattiva, di popolazione e predittiva. <\/p>\n\n\n\n Questi ambiti, caratterizzati da un forte impulso innovativo, plasmeranno indubbiamente il futuro del nostro sistema sanitario. <\/p>\n\n\n\n Questo avverr\u00e0 anche considerando l’evoluzione dell’assistenza a livello territoriale (D.M. 77\/2022), che si basa in larga misura sulla telemedicina<\/strong>, come evidenziato dal Decreto del Ministero della Salute del 29 aprile 2022, il quale approva le linee guida per il modello digitale destinato all’assistenza domiciliare.<\/p>\n\n\n\n Questi processi innovativi, tuttavia, sembrano incontrare ostacoli legati alle normative sulla privacy, spesso percepite come barriere all’innovazione. Di seguito vengono esplorate le fondamenta legali per il trattamento dei dati nel settore sanitario, come \u00e8 stato illustrato durante un webinar sugli Osservatori dell’Innovazione Digitale dedicato alla sanit\u00e0 digitale.<\/p>\n\n\n\n Il 24 ottobre 2023 ha segnato l’entrata in vigore di un importante decreto, datato 7 settembre 2023, che riguarda il nuovo Fascicolo Sanitario Elettronico (FSE)<\/p>\n\n\n\n 2.0. Questo decreto ministeriale traccia le direttive per la realizzazione di un sistema avanzato che, seguendo il programma delineato dal Piano Nazionale di Ripresa e Resilienza (PNRR), sar\u00e0 completamente funzionante entro il 2026. <\/p>\n\n\n\n Si prevede che, una volta a regime, questo sistema avr\u00e0 un impatto notevole su cittadini, operatori sanitari e responsabili della gestione della sanit\u00e0 pubblica.<\/p>\n\n\n\n Il FSE 2.0 mira a centralizzare le informazioni cliniche dei pazienti, rendendo pi\u00f9 semplice per i professionisti sanitari accedere ai dati necessari e migliorare cos\u00ec l’efficacia delle cure. <\/p>\n\n\n\n Parallelamente, l’evoluzione verso un ecosistema di telemedicina segna un progresso significativo verso l’innovazione nel settore sanitario, offrendo la possibilit\u00e0 di erogare servizi sanitari a distanza. Questo aspetto \u00e8 cruciale per aumentare l’accessibilit\u00e0 e la qualit\u00e0 dell’assistenza, in particolare per quelle aree meno servite e per i pazienti che hanno difficolt\u00e0 a recarsi fisicamente presso le strutture sanitarie.<\/p>\n\n\n\n L’integrazione tra il FSE 2.0 e la telemedicina dimostra efficacemente come l’adozione di tecnologie avanzate possa incrementare l’efficienza del sistema sanitario, personalizzando e rendendo pi\u00f9 accessibili le cure mediche attraverso l’utilizzo di dati clinici organizzati e prontamente disponibili.<\/p>\n\n\n\n Quest’iniziativa, finanziata con i fondi del PNRR, si colloca all’interno di un pi\u00f9 ampio progetto di modernizzazione e digitalizzazione dei servizi pubblici in Italia. L’obiettivo \u00e8 quello di costruire un sistema sanitario nazionale pi\u00f9 robusto e capace di affrontare con successo le sfide del futuro.<\/p>\n\n\n\n Il Fascicolo Sanitario Elettronico (FSE) rappresenta un’innovazione significativa nel campo della sanit\u00e0 digitale.<\/p>\n\n\n\n Il Fascicolo Sanitario Elettronico (FSE) costituisce una collezione completa di documentazione e dati sanitari e sociosanitari, che racchiude le informazioni relative sia agli eventi clinici correnti che a quelli passati di un individuo che riceve servizi sanitari, denominato “assistito”. <\/p>\n\n\n\n Questo insieme di informazioni proviene da entit\u00e0 sanitarie sia pubbliche che private. <\/p>\n\n\n\n Il FSE \u00e8 stato ideato per essere un sistema esauriente, in continuo aggiornamento e costantemente accessibile agli assistiti, ai professionisti del settore sanitario e alle autorit\u00e0 responsabili della gestione della salute pubblica. <\/p>\n\n\n\n Attraverso il FSE, l’assistito ha la possibilit\u00e0 di visionare l’intero storico delle cure ricevute, inclusi report diagnostici e risultati di analisi, e di condividere tali informazioni con i propri operatori sanitari di riferimento, come il medico di famiglia, specialisti e medici ospedalieri. <\/p>\n\n\n\n L’accesso al FSE permette ai professionisti della salute di fornire una migliore assistenza ai loro assistiti, grazie a una visione pi\u00f9 completa del loro percorso clinico.<\/p>\n\n\n\n Il FSE \u00e8 stato istituito con l’obiettivo di migliorare la qualit\u00e0 delle cure offerte ai cittadini, facilitando l’accesso alle informazioni cliniche e promuovendo una maggiore efficienza del sistema sanitario. <\/p>\n\n\n\n Le finalit\u00e0 principali del FSE includono la cura (prevenzione, diagnosi, cura e riabilitazione), la ricerca (studio e ricerca scientifica in campo medico, biomedico ed epidemiologico) e il governo (programmazione sanitaria, verifica della qualit\u00e0 delle cure e valutazione dell’assistenza sanitario)1<\/a>2<\/a>7<\/a>.Il FSE contiene una vasta gamma di informazioni, tra cui:<\/p>\n\n\n\n L’accesso al FSE \u00e8 garantito all’assistito, che pu\u00f2 consultare i propri dati e documenti online e decidere di condividerli con il personale sanitario, previo consenso alla consultazione. <\/p>\n\n\n\n La protezione dei dati personali \u00e8 assicurata dalla normativa vigente in materia di privacy, e sono previste specifiche misure per la tutela dei dati soggetti a maggiore protezione<\/p>\n\n\n\n Nonostante il FSE sia un’opportunit\u00e0 significativa per migliorare l’efficienza del sistema sanitario e la qualit\u00e0 delle cure, la sua diffusione e utilizzo variano in modo significativo tra le diverse regioni italiane<\/p>\n\n\n\n Alcune regioni hanno registrato un elevato tasso di adozione e utilizzo del FSE, mentre in altre l’utilizzo \u00e8 ancora limitato15<\/a>. <\/p>\n\n\n\n Nonostante il Fascicolo Sanitario Elettronico (FSE) sia stato introdotto con il Decreto-legge 179\/2012, fino a ora la sua implementazione, promozione e utilizzo erano limitati a poche Regioni italiane, tra cui l’Emilia-Romagna, che aveva iniziato a testare un prototipo di questo sistema prima che fosse formalmente adottato a livello nazionale, la Lombardia e la Puglia. Un limite significativo del FSE originario era la sua funzione di semplice archivio documentale. <\/p>\n\n\n\n Tuttavia, il FSE 2.0 segna un importante avanzamento tecnologico grazie a due innovazioni principali: a) la conversione dei documenti in dati “strutturati”, ovvero in un formato uniforme e standardizzato; b) lo sviluppo di un’infrastruttura nazionale per l’interoperabilit\u00e0 (INI), che facilita lo scambio di informazioni tra diverse Regioni, consentendo agli operatori sanitari di accedere e utilizzare il FSE di un assistito anche se proveniente da una Regione diversa da quella in cui viene erogata la prestazione. Quest’ultimo miglioramento \u00e8 stato possibile grazie a un investimento del Piano Nazionale di Ripresa e Resilienza (PNRR), che ha mirato a potenziare e uniformare i sistemi FSE regionali per renderli interoperabili e interconnessi.<\/p>\n\n\n\n Il FSE 2.0 si prefigge di diventare il principale punto di accesso ai servizi offerti dal Sistema Sanitario Nazionale (SSN) per tutti i cittadini. Questa centralizzazione porter\u00e0 con s\u00e9 una serie di vantaggi significativi: offrir\u00e0 agli assistiti la libert\u00e0 di accedere ai propri dati sanitari da qualsiasi Regione e di condividerli con i propri operatori sanitari; dar\u00e0 la possibilit\u00e0 agli operatori sanitari di effettuare consultazioni incrociate tra i vari ambiti assistenziali; e garantir\u00e0 la tracciabilit\u00e0 della storia sociosanitaria degli assistiti nel tempo. In aggiunta, il FSE 2.0 faciliter\u00e0 l’uso di servizi sanitari digitali, come la prenotazione e il pagamento online delle prestazioni sanitarie, l’interfaccia con le farmacie per la gestione dei farmaci, e la possibilit\u00e0 per gli utenti di valutare la qualit\u00e0 dei servizi ricevuti, rendendo l’esperienza sanitaria complessivamente pi\u00f9 semplice e integrata.<\/p>\n\n\n\n Il governo Meloni ha deciso di rivedere l’architettura del Fascicolo Sanitario Elettronico (FSE) 2.0, orientandosi verso una soluzione favorevole alle Regioni e optando per un Fascicolo Sanitario Elettronico (FSE) non centralizzato.<\/p>\n\n\n\n Questa scelta riflette l’intenzione del governo di promuovere la digitalizzazione del sistema sanitario nazionale come mezzo per renderlo pi\u00f9 sostenibile.<\/p>\n\n\n\n Inoltre, il governo ha manifestato l’intenzione di riportare la sanit\u00e0 verso i territori, coinvolgendo anche il sistema delle farmacie, e di ridurre le disuguaglianze nell’accesso ai Livelli Essenziali di Assistenza (LEA) <\/p>\n\n\n\n Questo approccio \u00e8 coerente con la visione di una sanit\u00e0 pi\u00f9 vicina al cittadino, che valorizza l’assistenza territoriale e la medicina di base, e che sfrutta le opportunit\u00e0 offerte dalla digitalizzazione e dalla telemedicina12<\/a>.Il governo ha inoltre espresso l’obiettivo di garantire il diritto alla salute di tutti i cittadini, con un’attenzione particolare alla sostenibilit\u00e0 del sistema sanitario in un contesto complesso, caratterizzato da sfide come l’invecchiamento della popolazione e l’aumento delle malattie croniche<\/p>\n\n\n\n Per raggiungere questi obiettivi, il governo ha previsto interventi mirati al personale sanitario e all’abbattimento delle liste d’attesa<\/p>\n\n\n\n Nel contesto della trasformazione digitale, il governo Meloni ha anche istituito il portafoglio digitale italiano (IT-Wallet), che rappresenta un passo avanti per un accesso sicuro e immediato a documenti digitali, tra cui la tessera sanitaria<\/p>\n\n\n\n Questo si inserisce in una strategia digitale pi\u00f9 ampia che include il FSE, il cloud della pubblica amministrazione e la digitalizzazione dei servizi pubblici<\/p>\n\n\n\n Tra i cinque obiettivi principali del Fascicolo Sanitario Elettronico 2.0, la ricerca scientifica e la gestione del sistema sanitario potrebbero rappresentare le due aree con il maggiore potenziale di trasformazione per il settore sanitario italiano. <\/p>\n\n\n\n L’impiego di dati clinici strutturati potrebbe rivoluzionare i processi sanitari e aprire la strada a una medicina predittiva. <\/p>\n\n\n\n L’obiettivo finale \u00e8 quello di integrare la gestione del sistema sanitario con le potenzialit\u00e0 offerte dall’intelligenza artificiale.<\/p>\n\n\n\n Per fare in modo che il nuovo sistema del Fascicolo Sanitario Elettronico 2.0 (FSE 2.0) venisse approvato pi\u00f9 velocemente e senza incontrare problemi legati alla privacy dei dati (come l’uso dei dati per l’intelligenza artificiale), il Governo ha deciso di concentrarsi solo su alcune parti di questo sistema. Queste parti riguardano l’uso del FSE per la cura dei pazienti, la prevenzione delle malattie e le azioni preventive a livello internazionale. Le questioni pi\u00f9 complesse e innovative, come l’uso dei dati per la ricerca scientifica e la gestione del sistema sanitario, sono state messe da parte per il momento. Per queste aree, il Governo ha scelto di continuare a usare le regole gi\u00e0 esistenti, stabilite in precedenza nel 2015.<\/p>\n\n\n\n Il Decreto Ministeriale del 7 settembre 2023 ha introdotto importanti aggiornamenti per il Fascicolo Sanitario Elettronico (FSE) 2.0, delineando i contenuti, le responsabilit\u00e0, le misure di sicurezza e le modalit\u00e0 di accesso al FSE.<\/p>\n\n\n\n Ecco i punti salienti del decreto:<\/p>\n\n\n\n La corretta alimentazione e aggiornamento del FSE sono responsabilit\u00e0 di:<\/p>\n\n\n\n Il FSE \u00e8 uno strumento a disposizione dell’assistito, che pu\u00f2 consentire l’accesso in consultazione ai soggetti del Servizio Sanitario Nazionale e dei servizi socio-sanitari regionali e agli esercenti le professioni sanitarie che lo prendono in cura. I dati ei documenti presenti nel FSE sono sempre consultabili dall’assistito e dai soggetti che li hanno prodotti.<\/p>\n\n\n\n Il decreto attua le disposizioni relative al FSE, stabilendo i contenuti, i limiti di responsabilit\u00e0, i compiti dei soggetti coinvolti, le garanzie e le misure di sicurezza per il trattamento dei dati personali, e le modalit\u00e0 ei livelli diversificati di accesso al FSE5<\/a>.In sintesi, il Decreto Ministeriale del 7 settembre 2023 rappresenta un passo avanti significativo per il FSE 2.0, con l’obiettivo di migliorare la gestione dei dati sanitari elettronici in Italia, garantendo al contempo la sicurezza e la privacy degli assistiti.<\/p>\n\n\n\n Questo decreto \u00e8 stato creato grazie alla stretta collaborazione tra il Ministero della Salute e l’Ufficio del Garante per la protezione dei dati personali, ed \u00e8 composto da 29 articoli e tre allegati.<\/p>\n\n\n\n Mette molto accento sulla sicurezza dei dati personali dei cittadini, spiegando bene chi \u00e8 responsabile di cosa quando si tratta di gestire questi dati all’interno del FSE, quali sono i diritti delle persone e quali doveri hanno coloro che gestiscono questi dati.<\/p>\n\n\n\n Inoltre, il decreto d\u00e0 molta importanza ai documenti medici, stabilendo con precisione quali informazioni devono contenere e come devono essere gestiti i dati aggiuntivi (metadati) legati a questi documenti, indicando chi deve occuparsi di questa gestione.<\/p>\n\n\n\n Secondo questo decreto, le strutture sanitarie locali, le strutture pubbliche del Sistema Sanitario Nazionale (SSN), i servizi sociosanitari regionali e del SSN, le strutture sanitarie private accreditate con l’SSN e i professionisti della salute devono caricare i dati sanitari dei pazienti sul FSE entro 5 giorni dall’offerta del servizio sanitario. <\/p>\n\n\n\n Se non lo fanno, o se caricano i dati in ritardo o in modo errato, sono ritenuti responsabili.<\/p>\n\n\n\n Prima di esaminare questi pilastri, \u00e8 bene qualificare ciascuna Regione (o Provincia autonoma): la Regione di Assistenza \u00e8 quella, appunto, di assistenza verso l\u2019assistito, che ha l\u2019onere di memorizzare, e di rendere disponibili agli attori autorizzati, tutti i riferimenti (metadati) ai documenti e dati generati per i propri assistiti, anche se prodotti in altri domini regionali; la Regione di erogazione \u00e8 quella che eroga una prestazione sanitaria ad un paziente assistito da un\u2019altra Regione.<\/p>\n\n\n\n L’Allegato A al Decreto Ministeriale del 7 settembre 2023 specifica i contenuti del Fascicolo Sanitario Elettronico (FSE) 2.0. Questo allegato elenca i dati ei documenti che devono essere inclusi nella FSE, che sono i seguenti2<\/a>:<\/p>\n\n\n\n Questi contenuti sono riferiti sia alle prestazioni erogate all’interno del Servizio Sanitario Nazionale (SSN) sia a quelle erogate al di fuori di esso. L’Allegato A \u00e8 parte integrante del decreto e fornisce una guida dettagliata sui tipi di informazioni che devono essere raccolte e conservate nel FSE, garantendo cos\u00ec un quadro completo della storia sanitaria dell’assistito.<\/p>\n\n\n\n La cartella clinica e il Fascicolo Sanitario Elettronico (FSE) sono due strumenti fondamentali nel sistema sanitario, ma servono scopi diversi e lavorano in modi distinti, pur essendo complementari nella gestione delle informazioni sanitarie di un paziente.<\/p>\n\n\n\n La cartella clinica \u00e8 un documento medico-legale che raccoglie tutte le informazioni relative all’assistenza sanitaria prestata a un paziente durante un episodio di cura in una specifica struttura sanitaria, sia essa ospedaliera o ambulatoriale. Include dettagli sulle condizioni di salute del paziente all’ingresso, le diagnosi, i trattamenti effettuati, l’evoluzione del quadro clinico e le condizioni al momento della dimissione. La cartella clinica \u00e8 mantenuta dalla struttura che eroga le cure e ha lo scopo di documentare in modo dettagliato il percorso di cura del paziente per garantire la continuit\u00e0 assistenziale, supportare decisioni cliniche future e fornire una base per eventuali valutazioni legali.<\/p>\n\n\n\n Il FSE, d’altra parte, \u00e8 un insieme di dati e documenti digitali generati da eventi clinici che riguardano l’assistito, raccolti e resi disponibili in modo sicuro attraverso sistemi informativi. <\/p>\n\n\n\n Il FSE \u00e8 accessibile sia dai professionisti sanitari autorizzati, previo consenso dell’assistito, sia dall’assistito stesso. Include una variet\u00e0 di informazioni sanitarie come referti di esami, prescrizioni, verbali di pronto soccorso, lettere di missione, e pu\u00f2 includere anche dati della cartella clinica.<\/p>\n\n\n\n L’obiettivo del FSE \u00e8 fornire una visione olistica della storia sanitaria del paziente, indipendentemente dalla struttura sanitaria in cui \u00e8 stato trattato, per migliorare la qualit\u00e0 delle cure, facilitare la continuit\u00e0 assistenziale e promuovere l’efficienza del sistema sanitario.<\/p>\n\n\n\n La relazione tra la cartella clinica e il FSE \u00e8 complementare. <\/p>\n\n\n\n Mentre la cartella clinica fornisce un resoconto dettagliato dell’assistenza sanitaria prestata durante specifici episodi di cura, il FSE aggrega e rende accessibili le informazioni sanitarie provenienti da diverse fonti ed episodi di cura, offrendo una panoramica pi\u00f9 ampia della storia sanitaria del paziente. <\/p>\n\n\n\n Documenti e dati estratti dalle cartelle cliniche possono essere inseriti nel FSE, contribuendo cos\u00ec a costruire un archivio elettronico che supporta una migliore gestione del percorso di cura del paziente su scala pi\u00f9 ampia.In sintesi, mentre la cartella clinica si concentra su episodi di cura specifici e dettagliati all’interno di una singola struttura, il FSE offre una visione complessiva e trasversale della storia sanitaria del paziente, facilitando l’accesso alle informazioni sanitarie critiche e migliorando la continuit\u00e0 delle cure attraverso le diverse strutture del sistema sanitario.<\/p>\n\n\n\n Il Profilo Sanitario Sintetico (PSS) \u00e8 un componente fondamentale del Fascicolo Sanitario Elettronico (FSE) che fornisce una panoramica essenziale e aggiornata delle informazioni sanitarie pi\u00f9 rilevanti di un paziente. Il PSS \u00e8 progettato per facilitare la condivisione di informazioni critiche tra i professionisti sanitari, in particolare in situazioni di emergenza o quando il paziente si rivolge a strutture sanitarie diverse da quelle abituali.<\/p>\n\n\n\n Il PSS include informazioni chiave come:<\/p>\n\n\n\n La finalit\u00e0 principale del PSS \u00e8 quella di garantire che le informazioni critiche sulla salute del paziente siano facilmente accessibili ai professionisti sanitari, in modo da supportare decisioni cliniche rapide ed efficaci, soprattutto in situazioni di emergenza. Il PSS aiuta a migliorare la sicurezza del paziente, riducendo il rischio di errori medici dovuti alla mancanza di informazioni rilevanti.<\/p>\n\n\n\n Il PSS \u00e8 accessibile attraverso il FSE, e il suo accesso \u00e8 regolato dal consenso del paziente. I pazienti hanno il controllo sulle informazioni che desiderano condividere e possono gestire i livelli di accesso dei vari professionisti sanitari al loro PSS. Questo aspetto \u00e8 fondamentale per garantire la privacy e la protezione dei dati personali del paziente.<\/p>\n\n\n\n L’introduzione del PSS nel contesto del FSE rappresenta un passo avanti significativo nella gestione delle informazioni sanitarie, promuovendo una maggiore continuit\u00e0 assistenziale e migliorando la qualit\u00e0 delle cure. Facilitando la condivisione di informazioni essenziali tra i professionisti sanitari, il PSS contribuisce a rendere il sistema sanitario pi\u00f9 efficiente e sicuro per i pazienti.<\/p>\n\n\n\n Il Taccuino personale dell’assistito \u00e8 una funzionalit\u00e0 del Fascicolo Sanitario Elettronico (FSE) che permette all’utente di inserire e gestire autonomamente una serie di informazioni e documenti relativi alla propria salute. Questa sezione del FSE \u00e8 progettata per offrire agli assistiti uno spazio privato e personalizzabile, dove possono annotare dati sanitari che ritengono importanti, ma che non necessariamente derivano da interazioni con il sistema sanitario ufficiale.<\/p>\n\n\n\n Il Taccuino personale consente all’assistito di:<\/p>\n\n\n\n Una caratteristica fondamentale del Taccuino personale \u00e8 che le informazioni inserite sono accessibili esclusivamente dall’assistito. Questo significa che:<\/p>\n\n\n\n Il Taccuino personale arricchisce il valore del FSE offrendo agli assistiti uno strumento per un maggiore coinvolgimento nella gestione della propria salute. Questa funzionalit\u00e0 promuove l’autogestione e la consapevolezza sanitaria, consentendo agli utenti di compilare un quadro pi\u00f9 completo della propria anamnesi medica che pu\u00f2 essere condiviso, se desiderato, con i professionisti sanitari per supportare una diagnosi accurata o la pianificazione del trattamento.In conclusione, il Taccuino personale dell’assistito nel FSE rappresenta un importante passo avanti verso un sistema sanitario pi\u00f9 centrato sul paziente, dove gli assistiti non sono solo destinatari delle cure ma collaborano attivamente alla gestione della propria salute.<\/p>\n\n\n\n Per proteggere la privacy delle persone, ci sono alcuni dati nel Fascicolo Sanitario Elettronico 2.0 (FSE 2.0) che solo il paziente pu\u00f2 vedere. <\/p>\n\n\n\n Questi includono informazioni come le esenzioni dal pagamento per motivi di reddito, lo stato di salute riguardante l’HIV, le interruzioni volontarie di gravidanza, le esperienze di violenza sessuale o pedofilia, l’uso di droghe, alcool, il parto in anonimato, e le informazioni fornite dai consultori familiari. <\/p>\n\n\n\n Comunque, il paziente ha sempre la possibilit\u00e0 di permettere ad altri di vedere questi dati, se lo desidera, dando un permesso chiaro e dettagliato a chi fornisce la cura.<\/p>\n\n\n\n \u00c8 anche importante sapere che ci sono alcune persone o entit\u00e0 che non possono mai accedere al FSE 2.0 di una persona, a prescindere dalle circostanze. <\/p>\n\n\n\n Questo gruppo include esperti assicurativi, compagnie di assicurazione, datori di lavoro, associazioni scientifiche, enti amministrativi anche se operano nel settore sanitario, e medici legali che valutano l’idoneit\u00e0 per il lavoro o rilasciano certificati per permessi speciali.<\/p>\n\n\n\n L’informativa sulla privacy \u00e8 un elemento cruciale del Fascicolo Sanitario Elettronico (FSE), in quanto fornisce agli assistiti informazioni dettagliate sul trattamento dei loro dati personali e sanitari. Questa informativa deve essere formulata in conformit\u00e0 con il Regolamento Generale sulla Protezione dei Dati (GDPR) e la normativa nazionale in materia di privacy.<\/p>\n\n\n\n L’informativa sulla privacy deve includere<\/p>\n\n\n\n Il consenso dell’assistito \u00e8 un aspetto fondamentale del trattamento dei dati nel FSE. L’assistito ha il diritto di decidere se e quali dati relativi alla propria salute possono essere inseriti nel FSE e chi pu\u00f2 consultarli. Il consenso \u00e8 necessario per permettere la consultazione dei dati e documenti presenti nel FSE da parte dei professionisti sanitari che prendono in cura l’assistito[5][8].<\/p>\n\n\n\n L’informativa deve anche affrontare il trattamento di dati sensibili, come quelli relativi a condizioni di salute, trattamenti ricevuti e altre informazioni delicate. Questi dati richiedono un livello di protezione maggiore e possono essere trattati solo con misure di sicurezza adeguate e nel rispetto del consenso informato dell’assistito<\/p>\n\n\n\n Le informazioni sulla privacy devono essere tenute aggiornate e rese facilmente accessibili agli assistiti, che devono essere informati di eventuali cambiamenti nella politica di trattamento dei dati. <\/p>\n\n\n\n Gli assistiti devono essere in grado di esercitare i loro diritti in modo semplice e trasparente<\/p>\n\n\n\n La base giuridica del trattamento dei dati personali nel Fascicolo Sanitario Elettronico (FSE) \u00e8 individuata nell’esecuzione dei compiti di interesse pubblico.<\/p>\n\n\n\n Secondo l’articolo 6, comma 1, lettera e) del GDPR, i Titolari del trattamento, che includono AGID (Agenzia per l’Italia Digitale) e CNR (Consiglio Nazionale delle Ricerche), sono investiti di compiti di interesse pubblico, in particolare per garantire l’interoperabilit\u00e0 dei Fascicoli Sanitari Elettronici, come previsto dall’articolo 12, comma 15-ter del D.L. 179\/2012 e successive modifiche e integrazioni.<\/p>\n\n\n\n Inoltre, il trattamento dei dati sanitari pu\u00f2 avvenire senza il consenso dell’interessato quando \u00e8 necessario per la salvaguardia degli interessi vitali dell’interessato o di un’altra persona fisica, come indicato nell’articolo 6, lettera c) del GDPR, e per finalit\u00e0 di medicina preventiva, valutazione della capacit\u00e0 lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale, o gestione dei sistemi e servizi sanitari o sociali, in base al diritto dell’Unione o degli Stati membri, come specificato nell’articolo 9, paragrafo 2, lettere h) e i) del GDPR<\/p>\n\n\n\n Una volta che l’assistito abbia espresso il proprio consenso alla consultazione del fascicolo, che deve essere reso una tantum e pu\u00f2 essere sempre revocato, il personale sanitario che lo ha in cura pu\u00f2 accedere al suo FSE. La prestazione sanitaria \u00e8 comunque garantita anche in caso di mancato consenso.<\/p>\n\n\n\n Con i recenti interventi di semplificazione, il FSE viene automaticamente alimentato in modo che lo stesso assistito possa facilmente consultare i propri documenti socio-sanitari, anche se generati da strutture sanitarie situate al di fuori della Regione di appartenenza, grazie all’interoperabilit\u00e0 assicurata dal Sistema Tessera Sanitaria.<\/p>\n\n\n\n A prescindere dal consenso dell’assistito, gli organi di governo sanitario possono accedere a dati pseudonimizzati presenti nel FSE per svolgere le relative funzioni istituzionali (es. programmazione delle cure, gestione delle emergenze sanitarie<\/p>\n\n\n\n Il FSE viene automaticamente alimentato e l’assistito pu\u00f2 sempre decidere chi pu\u00f2 accedere ai suoi dati sanitari attraverso il meccanismo del consenso esplicito<\/p>\n\n\n\n L’interessato ha il diritto di richiedere l’oscuramento dei dati e dei documenti sanitari e sociosanitari sia prima dell’alimentazione del FSE sia successivamente. In questi casi, i dati e i documenti oscurati potranno essere consultati esclusivamente dall’interessato e dai titolari che hanno generato i predetti documenti. <\/p>\n\n\n\n L’oscuramento deve avvenire con modalit\u00e0 tali da garantire che gli altri soggetti abilitati all’accesso al FSE per le finalit\u00e0 di cura non possano venire automaticamente a conoscenza del fatto che l’assistito ha effettuato tale scelta e che esistano dati “oscurati”<\/p>\n\n\n\n . L’assistito pu\u00f2 decidere di revocare in ogni momento l’oscuramento.<\/p>\n\n\n\n L’individuo ha la possibilit\u00e0 di fare scelte differenziate, ad esempio, consentendo il trattamento dei propri dati per la cura ma non per la profilassi internazionale. <\/p>\n\n\n\n Questo approccio rispetta il principio di minimizzazione dei dati e garantisce che solo le informazioni strettamente necessarie per la specifica finalit\u00e0 vengano trattate.<\/p>\n\n\n\n Inoltre, il consenso pu\u00f2 essere revocato in qualsiasi momento dall’interessato, con effetti immediati sulla cessazione del trattamento dei dati per le finalit\u00e0 per cui era stato concesso. La revoca del consenso non deve pregiudicare il diritto dell’individuo a ricevere le cure sanitarie necessarie.<\/p>\n\n\n\n In situazioni di emergenza<\/strong>, quando l’individuo non \u00e8 in grado di esprimere il proprio consenso a causa di incapacit\u00e0 fisica o giuridica, il personale sanitario pu\u00f2 accedere ai dati sanitari essenziali per fornire le cure indispensabili. Tuttavia, questo accesso \u00e8 limitato al tempo strettamente necessario e deve sempre avvenire nel rispetto dei diritti dell’interessato.<\/p>\n\n\n\n l personale amministrativo pu\u00f2, in qualit\u00e0 di soggetto autorizzato, consultare solo le informazioni necessarie per assolvere alle funzioni amministrative cui \u00e8 preposto e strettamente correlate all’erogazione della prestazione sanitaria (ad esempio, il personale addetto alla prenotazione di esami diagnostici o visite specialistiche pu\u00f2 consultare unicamente i dati indispensabili per la prenotazione stessa).<\/p>\n\n\n\n L’interessato pu\u00f2 accedere al proprio FSE in forma protetta e riservata e pu\u00f2 anche consultare l’elenco degli accessi che sono stati eseguiti sul proprio fascicolo.<\/p>\n\n\n\n Il Fascicolo Sanitario Elettronico (FSE) 2.0 si avvale di un’architettura che include repository, ovvero depositi di dati, per la gestione e la conservazione delle informazioni sanitarie. <\/p>\n\n\n\n Questi repository sono fondamentali per la raccolta e l’organizzazione dei dati clinici dei pazienti e per garantire l’interoperabilit\u00e0 tra i vari sistemi informativi sanitari.<\/p>\n\n\n\n Il Clinical Data Repository (CDR) \u00e8 un modello di gestione dati che permette l’integrazione e l’evoluzione del patrimonio informativo aziendale.<\/p>\n\n\n\n Il CDR \u00e8 collegato al FSE, garantendo il popolamento di quest’ultimo con tutti i dati sanitari pertinenti. Il modello del CDR definito nello standard ISO \u00e8 stato implementato in una logica open-source per operare nell’ambiente tecnologico dei principali DBMS (Database Management Systems)[<\/p>\n\n\n\n L’Ecosistema Dati Sanitari (EDS) \u00e8 un elemento chiave del FSE 2.0 che raccoglie, gestisce e rende fruibili i dati sanitari attraverso servizi REST. L’EDS pu\u00f2 alimentare repository regionali con i dati di pertinenza delle regioni e realizza funzionalit\u00e0 di monitoraggio di alimentazione e di utilizzo del sistema FSE da parte del cittadino<\/p>\n\n\n\n Nell’ambito del FSE 2.0, i dati clinici acquisiti dai sistemi aziendali produttori, come le ASL, vengono mappati e trasmessi all’interno dell’EDS e, in alcuni casi, all’interno di database regionali. <\/p>\n\n\n\n Questo permette di avere un sistema di repository aziendali e regionali che possono essere facoltativi e un Data Repository Centrale a livello nazionale<\/p>\n\n\n\n Per garantire l’interoperabilit\u00e0 e l’interpretazione univoca dei dati, \u00e8 necessario adottare regole standard, determinate a livello nazionale, per la corretta definizione e identificazione dei dati. Questo assicura che i dati possano essere scambiati e utilizzati efficacemente tra i vari sistemi regionali del FSE<\/p>\n\n\n\n Il FSE 2.0 prevede che i dati in formato HL7 FHIR, direttamente acquisiti dai sistemi produttori delle strutture, siano archiviati nel Data Repository Centrale. Inoltre, i documenti in formato HL7 CDA2 possono essere iniettati in PDF firmati e archiviati nei repository documentali delle strutture sanitarie<\/p>\n\n\n\n Il settore sanitario si caratterizza per la presenza di molteplici soggetti che possono rivestire il ruolo di Titolari del trattamento, a seconda delle finalit\u00e0 perseguite:<\/p>\n\n\n\n Il GDPR impone a questi Titolari del trattamento di adottare adeguate misure di sicurezza per proteggere i dati personali da rischi di violazione e di assicurare che il trattamento avvenga nel rispetto dei principi fondamentali previsti dal regolamento, come la liceit\u00e0, correttezza e trasparenza.<\/p>\n\n\n\n In caso di inadempimento delle prescrizioni del GDPR, i Titolari del trattamento si espongono a sanzioni che possono essere particolarmente severe, a dimostrazione dell’importanza che il regolamento attribuisce alla protezione dei dati personali, specialmente quando si tratta di informazioni sensibili come quelle relative alla salute.<\/p>\n\n\n\n Nel contesto del Regolamento Generale sulla Protezione dei Dati (GDPR), le Regioni di Assistenza svolgono ruoli specifici e hanno precise responsabilit\u00e0 nel trattamento dei dati personali, particolarmente in ambito sanitario. Queste responsabilit\u00e0 sono delineate per garantire la protezione dei dati personali degli assistiti e assicurare la conformit\u00e0 al GDPR.<\/p>\n\n\n\n Le Regioni di Assistenza sono considerate Titolari del trattamento per diverse categorie di dati e attivit\u00e0:<\/p>\n\n\n\n Queste responsabilit\u00e0 evidenziano l’importanza del ruolo delle Regioni di Assistenza nel garantire la protezione dei dati personali nel contesto sanitario, conformemente alle disposizioni del GDPR. <\/p>\n\n\n\n \u00c8 fondamentale che queste entit\u00e0 seguano rigorosamente le normative in materia di privacy e protezione dei dati per evitare sanzioni e garantire la fiducia degli assistiti nel sistema sanitario.<\/p>\n\n\n\n Il Ministero della Salute gioca un ruolo cruciale nel trattamento dei dati personali in ambito sanitario, in conformit\u00e0 con il Regolamento Generale sulla Protezione dei Dati (GDPR).<\/p>\n\n\n\n Le sue responsabilit\u00e0 sono delineate per garantire una gestione sicura e conforme dei dati personali, riflettendo l’importanza della tutela della privacy e della sicurezza delle informazioni sanitarie degli individui.<\/p>\n\n\n\n Le principali aree di responsabilit\u00e0 del Ministero della Salute includono:<\/p>\n\n\n\n Il Titolare del Portale nazionale FSE svolge un ruolo fondamentale nel contesto del Regolamento Generale sulla Protezione dei Dati (GDPR) per quanto riguarda la gestione e la protezione dei dati sanitari degli individui. <\/p>\n\n\n\n La sua responsabilit\u00e0 principale, come indicato nel testo selezionato, \u00e8 quella di garantire i trattamenti necessari per permettere l’identificazione e l’autenticazione informatica del personale del Ministero della Salute che accede, tramite il Portale stesso, ai dati e documenti del Fascicolo Sanitario Elettronico (FSE) per finalit\u00e0 di profilassi internazionale.<\/p>\n\n\n\n Questo ruolo implica una serie di obblighi specifici:<\/p>\n\n\n\n e misure di sicurezza relative al Fascicolo Sanitario Elettronico (FSE) sono cruciali per proteggere i dati sensibili e garantire la privacy degli assistiti. Queste misure sono dettate da normative specifiche e devono essere implementate dalle strutture sanitarie e dai medici che gestiscono e accedono al FSE.<\/p>\n\n\n\n Le linee guida e le normative che regolamentano le misure di sicurezza del FSE includono:<\/p>\n\n\n\n Nel contesto del Regolamento Generale sulla Protezione dei Dati (GDPR) e del trattamento dei dati relativi al Fascicolo Sanitario Elettronico 2.0 (FSE 2.0), \u00e8 fondamentale che i Titolari adottino misure tecniche e organizzative adeguate per garantire un livello di sicurezza proporzionato al rischio. Questo include una serie di accorgimenti specifici per proteggere i dati da rischi come accesso non autorizzato, furto, o smarrimento dei dati.<\/p>\n\n\n\n Le strutture sanitarie e i medici che alimentano il FSE sono considerati titolari del trattamento per finalit\u00e0 di cura e sono responsabili dell’implementazione delle misure di sicurezza necessarie per proteggere i dati personali<\/p>\n\n\n\n Devono assicurare che i dati siano trattati in modo sicuro e conforme alle normative vigenti<\/p>\n\n\n\n Ecco un riepilogo delle misure di sicurezza chiave che i Titolari devono implementare per il trattamento dei dati del FSE 2.0, secondo le disposizioni del GDPR e le linee guida nazionali:<\/p>\n\n\n\n In particolare, la strutturazione dei dati del FSE deve assicurare:<\/p>\n\n\n\n Articolazione dei Profili<\/strong>: Una corretta e differenziata articolazione dei profili in relazione alla classificazione delle tipologie di informazioni sanitarie, indispensabili per le varie finalit\u00e0 di trattamento. Questo significa identificare quali dati sono necessari e per quali scopi, per garantire che solo le informazioni pertinenti siano accessibili ai soggetti autorizzati.<\/p>\n\n\n\n Diversi Livelli Autorizzativi<\/strong>: La definizione di diversi livelli autorizzativi per i soggetti abilitati all’accesso, in modo da regolare chi pu\u00f2 accedere a quali dati e sotto quali condizioni. Questo sistema di livelli autorizzativi \u00e8 essenziale per proteggere la privacy degli assistiti e garantire che l’accesso ai dati sanitari sia limitato a chi ha effettivamente bisogno di consultare tali informazioni per motivi professionali o di cura.<\/p>\n\n\n\n Il Fascicolo Sanitario Elettronico (FSE) \u00e8 progettato per garantire che l’accesso ai dati sanitari sia strettamente controllato e limitato a soggetti autorizzati, in base a diversi livelli di autorizzazione. Questi livelli autorizzativi sono definiti per assicurare che solo gli operatori sanitari coinvolti nella cura del paziente e il paziente stesso possano accedere alle informazioni pertinenti.<\/p>\n\n\n\n Il consenso \u00e8 un elemento chiave nella gestione dei livelli autorizzativi nel FSE. Il paziente ha la possibilit\u00e0 di esprimere il proprio consenso o negarlo per la condivisione dei dati con i professionisti sanitari. Il consenso pu\u00f2 essere generale, per tutti i dati e tutti i professionisti, o selettivo, per specifici dati o specifici professionisti. Il consenso \u00e8 anche revocabile in qualsiasi momento.<\/p>\n\n\n\n Per garantire la sicurezza e la tracciabilit\u00e0 degli accessi al FSE, vengono implementati sistemi di autenticazione forte e meccanismi di audit trail. Questi sistemi registrano ogni accesso e operazione effettuata sul FSE, permettendo di monitorare eventuali accessi non autorizzati o inappropriati.In conclusione, i diversi livelli autorizzativi nel FSE sono fondamentali per proteggere la privacy dei pazienti e garantire che i dati sanitari siano accessibili solo a chi ne ha legittimamente bisogno per la cura e il trattamento del paziente. La gestione del consenso e i sistemi di sicurezza e tracciabilit\u00e0 sono strumenti essenziali per il mantenimento di questi livelli di autorizzazione.<\/p>\n\n\n\n L’importanza della formazione <\/strong>sull’uso corretto del Fascicolo Sanitario Elettronico 2.0 (FSE 2.0) e sulla protezione dei dati personali \u00e8 evidenziata da diverse fonti. Queste sessioni di formazione sono essenziali per garantire che gli utilizzatori del FSE 2.0 siano pienamente consapevoli dei rischi associati ai dati sanitari e delle misure di sicurezza adottate per mitigarli. In particolare, la formazione dovrebbe coprire temi come:<\/p>\n\n\n\nNormativa Italiana: Codice Privacy e Provvedimenti del Garante n. 55 del 07.03.2019<\/h3>\n\n\n\n
Le eccezioni di cui all’art. 9<\/h3>\n\n\n\n
a.\u00a0motivi di interesse pubblico rilevante sulla base del diritto dell’Unione o degli Stati membri\u00a0<\/strong>(art. 9, par. 2, lett. g) del Regolamento), individuati dall\u2019art. 2-sexies del Codice;<\/h4>\n\n\n\n
Art. 2-sexies
Trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante
<\/h4>\n\n\n\nb. Motivi legati all’interesse pubblico nel campo della sanit\u00e0<\/strong><\/h4>\n\n\n\n
\n
\n
c. Scopi legati alla medicina preventiva, diagnosi, cura o assistenza sanitaria o sociale, nonch\u00e9 alla gestione di sistemi e servizi in ambito sanitario o sociale (qui indicati come “scopi terapeutici”<\/strong>), <\/h4>\n\n\n\n
Dispositivo dell’art. 75 Codice della privacy<\/h3>\n\n\n\n
1 Le finalit\u00e0 di cura<\/h3>\n\n\n\n
2 Informazioni da comunicare alla persona interessata<\/h3>\n\n\n\n
3.\u00a0Responsabile della protezione dei dati (RPD)<\/h3>\n\n\n\n
4. Registro delle attivit\u00e0 di trattamento<\/h3>\n\n\n\n
Verso il Futuro della Sanit\u00e0: Medicina Personalizzata e Innovazione Digitale<\/h3>\n\n\n\n
FSE<\/h3>\n\n\n\n
Ma cosa \u00e8 il FSE<\/h3>\n\n\n\n
Finalit\u00e0 e contenuti del FSE<\/h3>\n\n\n\n
\n
Accesso e protezione dei dati<\/h3>\n\n\n\n
Diffusione e Utilizzo<\/h3>\n\n\n\n
i benefici <\/h3>\n\n\n\n
L’attuale fase normativa<\/h3>\n\n\n\n
I nodi legati a ricerca scientifica e governo sanitario<\/h3>\n\n\n\n
Protezione dei dati personali: il rilevante contributo dell\u2019Ufficio del Garante<\/h3>\n\n\n\n
Alimentazione del FSE<\/h3>\n\n\n\n
\n
Consultazione dei dati<\/h3>\n\n\n\n
FSE e Privacy <\/h3>\n\n\n\n
I 5 pilastri del DM del 7\/9\/2023<\/h3>\n\n\n\n
Il contenuto del FSE<\/h3>\n\n\n\n
\n
La cartella clinica, il profilo sanitario sintetico e il taccuino personale dell\u2019assistito<\/h3>\n\n\n\n
Cartella Clinica<\/h3>\n\n\n\n
Fascicolo Sanitario Elettronico (FSE)<\/h3>\n\n\n\n
Relazione tra Cartella Clinica e FSE<\/h3>\n\n\n\n
Caratteristiche del Profilo Sanitario Sintetico<\/h3>\n\n\n\n
\n
Finalit\u00e0 del PSS<\/h3>\n\n\n\n
Accedere al PSS<\/h3>\n\n\n\n
Importanza del PSS nel Contesto Sanitario<\/h3>\n\n\n\n
Caratteristiche del Taccuino Personale<\/h3>\n\n\n\n
\n
Privacy e Controllo dell’Utente<\/h3>\n\n\n\n
\n
Importanza del Taccuino Personale<\/h3>\n\n\n\n
I c.d. dati supersensibili<\/h3>\n\n\n\n
L\u2019informativa all\u2019assistito<\/h3>\n\n\n\n
Elementi dell’Informativa sulla Privacy nel FSE<\/h3>\n\n\n\n
\n
Consenso dell’Assistito<\/h3>\n\n\n\n
Protezione dei Dati Sensibili<\/h3>\n\n\n\n
Aggiornamenti e Trasparenza<\/h3>\n\n\n\n
La base giuridica del trattamento dei dati personali<\/h3>\n\n\n\n
l’importanza del consenso <\/h4>\n\n\n\n
Il potere di controllo dell\u2019interessato sui propri dati personali<\/h3>\n\n\n\n
\n
L’architettura<\/strong><\/h3>\n\n\n\n
Clinical Data Repository (CDR)<\/h3>\n\n\n\n
Ecosistema Dati Sanitari (EDS)<\/h3>\n\n\n\n
Repository Aziendali e Regionali<\/h3>\n\n\n\n
Interoperabilit\u00e0 e Standardizzazione<\/h3>\n\n\n\n
Accesso e Utilizzo dei Dati<\/h3>\n\n\n\n
La corretta attribuzione dei ruoli<\/h3>\n\n\n\n
\n
La Regione di Assistenza<\/h3>\n\n\n\n
\n
Il Ministero della Salute<\/h3>\n\n\n\n
\n
Il Titolare del Portale nazionale FSE<\/h3>\n\n\n\n
\n
Prevenzione e sicurezza<\/h3>\n\n\n\n
Misure di Sicurezza Specifiche<\/h3>\n\n\n\n
\n
Normative e Linee Guida<\/h3>\n\n\n\n
\n
Responsabilit\u00e0 delle Strutture Sanitarie<\/h3>\n\n\n\n
\n
I diversi livelli autorizzativi<\/h3>\n\n\n\n
\n
Gestione del Consenso<\/h4>\n\n\n\n
Sicurezza e Tracciabilit\u00e0<\/h4>\n\n\n\n
\n