La storia clinica in formato digitale degli italiani, ovvero il Fascicolo Sanitario Elettronico, diventa una meta sempre più vicina. Il sì del Garante, infatti, allo schema di decreto del Presidente del Consiglio, rappresenta il primo grande passo in avanti verso la realizzazione concreta del Fse.
Previsto dall'art. 12 del d.l. n. 179/2012 (modificato ed integrato dal d.l. n. 69/2013, c.d. “decreto del fare”), il fascicolo dovrà essere istituito da parte delle regioni e delle province autonome, corrispondendo a finalità di: prevenzione, diagnosi, cura e riabilitazione; studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; programmazione sanitaria, verifica delle qualità delle cure e valutazione dell'assistenza sanitaria. Quanto ai contenuti del Fse, ivi comprese le responsabilità e i compiti dei soggetti che concorreranno ad implementarlo, la gestione dei dati e le garanzie del trattamento degli stessi nel rispetto dei diritti dell'assistito, nonché le modalità di accesso dei cittadini ai servizi sanitari online, sono demandati, dallo stesso art. 12 (comma 7) ai diversi decreti attuativi.
Il parere favorevole del Garante, espresso con provvedimento n. 161 del 22 maggio scorso (doc. web n. 3230826), su richiesta della Presidenza del Consiglio, al primo dei suddetti decreti attuativi previsti dalla legge, consentirà quindi a regioni e province autonome di dare il via al Fse.
Lo schema approvato dall'Authority per la Privacy, frutto dell'elaborazione del tavolo di lavoro istituito presso il Ministero della Salute, cui ha partecipato lo stesso ufficio del Garante, individua, infatti, i contenuti di base per consentire il concreto avvio della procedura a livello nazionale. Il testo che ha ricevuto l'ok provvede a definire, come si legge, nel parere del Garante, “i contenuti del fascicolo, le responsabilità e i compiti dei soggetti coinvolti, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali, le modalità e i livelli diversificati di accesso al fascicolo in relazione alle specifiche finalità, i criteri di interoperabilità, nonché i contenuti informativi e le codifiche del profilo sanitario sintetico e del referto di laboratorio, individuati quali primi contenuti da attivare a livello nazionale”.
In particolare, vengono dettati i criteri per il “patient summary” che riassume la storia clinica del paziente, il taccuino personale dell'assistito e gli obblighi di informativa, in modo che il cittadino, portato a conoscenza dei dati richiesti e delle diverse forme di consenso, abbia la facoltà di prestarlo o meno, ovvero di fornire elementi e notizie solamente parziali, ferma restando in ogni caso la fruizione delle dovute garanzie di anonimato e la piena possibilità di aderire, in ogni caso, alle prestazioni del Servizio sanitario Nazionale.
Vengono individuate, inoltre, le regole tecniche e di sicurezza e gli accorgimenti idonei ad evitare il rischio di accessi abusivi, con l'adozione di sistemi di autenticazione e protocolli di comunicazione sicuri, sistemi di audit log e procedure di anonimizzazione degli elementi identificativi diretti.
Il decreto stabilisce altresì precise modalità di accesso dei soggetti competenti del Ssn, con la tracciabilità delle singole operazioni e la limitazione della consultazione del Fse al personale sanitario che abbia in cura il determinato paziente e solo per il tempo necessario.
Quanto al “responsabile della protezione dei dati”, la cui istituzione, pur non prevista espressamente nel regolamento, è demandata, ad ogni titolare coinvolto dall'applicazione delle disposizioni del Fse, dovrà essere individuato in una figura che interloquisca con il Garante nelle ipotesi di violazioni dei dati trattati (sia a causa di c.d. “data breach”, ovvero di attacchi informatici, che di incendi, calamità, ecc.).