Il Fascicolo Sanitario Elettronico (FSE) e il diritto all'oscuramento

Nel 2019, l'USL della Romagna ha notificato al Garante Privacy una violazione di dati personali ai sensi dell’art. 33 del GDPR in relazione alla trasmissione al medico di base di un referto con riferimento al quale l’interessata aveva esercitato il diritto di oscuramento (ovvero la volontà che quel dato, presente nel proprio Fascicolo Sanitario Elettronico, non fosse visibile a terzi).

In particolare, al momento del ricovero per interruzione volontaria di gravidanza, l’interessata, attraverso la compilazione (flag) di un apposito modulo, aveva esplicitamente richiesto che non venisse inviata la notifica relativa al ricovero al proprio medico di medicina generale. Ma nonostante l’operatore sanitario avesse trasmesso il modulo all’Ufficio ricoveri indicando la scelta della paziente, a causa di un errore (bug) del sistema informatico, la notifica di ricovero dell’interessata è stata trasmessa al suo medico di medicina generale, in contrasto con l'esplicita richiesta di oscuramento della paziente.

L'istruttoria del Garante ha poi accertato che la stessa problematica nel software aveva determinato che, tra l'aprile 2018 e l’agosto 2019, in 48 casi erano stati inviati, ai medici di medicina generale degli interessati, notifiche di documenti sanitari con riferimento ai quali gli interessati avevano richiesto l’oscuramento. La condivisione di dati, contraria alla manifestazione di volontà degli interessati ha determinato l'irrogazione da parte del Garante per la protezione dei dati personali, a carico della USL, di una sanzione amministrativa pecuniaria pari a 120 mila euro.

Ma che cos'è il Fascicolo Sanitario Elettronico (FSE) e in cosa consiste il diritto all'oscuramento? Vediamolo.

Che cos'è il Fascicolo Sanitario Elettronico o FSE?

Il FSE si definisce come l’insieme dei dati e dei documenti digitali di tipo sanitario e socio-sanitario che sono generati da eventi clinici presenti e trascorsi che riguardano l'assistito e che sono riferiti anche a prestazioni erogate al di fuori del servizio sanitario nazionale: prima della L. 77/2020 le prestazioni che venivano raccolte nel FSE erano esclusivamente quelle del servizio sanitario nazionale ma a partire dal maggio del 2020 possono essere inserite anche le prestazioni erogate da strutture private.

Il FSE raccoglie dati che sono riferiti a un individuo e che sono trattati da una pluralità di soggetti che agiscono tutti in qualità di titolari autonomi del trattamento. Quindi, una particolarità del Fascicolo Sanitario Elettronico consiste nel fatto che i dati siano sia raccolti che trattati da una pluralità di soggetti. Questa pluralità di titolari varia a seconda delle finalità per cui vengono trattati i dati all’interno del fascicolo del paziente:

• la finalità di cura: prevenzione, diagnosi, cura, riabilitazione;
• le finalità di ricerca: studio, ricerca scientifica in campo medico, biomedico ed epidemiologico;
• le finalità di governo: tutte le finalità che attengono alla programmazione sanitaria, alla verifica della qualità delle cure e alla verifica e alla valutazione dell'assistenza sanitaria.

In relazione a queste tre finalità, il decreto rilancio, poi convertito nella L. 77/2020 individua tre categorie di soggetti diversi che possono accedere:

• per quanto riguarda la finalità di cura, si fa riferimento a tutti i soggetti del servizio sanitario nazionale e dei servizi regionali che prendono in cura il paziente e, in seguito alla già citata modifica introdotta nel 2020, sono stati ricompresi anche i soggetti che appartengono ad enti privati;
• per quanto riguarda le finalità di ricerca, vi accedono in qualità di titolari le regioni, le province autonome e il ministero della salute, secondo le rispettive competenze attribuite dalla legge;
• per quanto riguarda, invece, le finalità di governo, il riferimento è alle regioni, alle province autonome, al Ministero della salute e del lavoro, sempre secondo le rispettive competenze. 

Cosa comprende il Fascicolo sanitario elettronico?

Nel Fascicolo Sanitario Elettronico ci sono una tutta una serie di dati che riguardano il paziente e le cure alle quali questo è o è stato sottoposto. Questi dati, ai quali possono accedere i pazienti e i medici, sono organizzati in un nucleo obbligatorio che è comune per tutti i FSE, e in contenuti integrativi che invece possono essere previsti dalle norme locali (ad esempio i dati relativi a ricoveri/dimissioni, accessi al pronto soccorso, visite specialistiche, ecc...) Nel nucleo obbligatorio del FSE sono inseriti tutti i dati identificativi del paziente: data di nascita, residenza, tutti i referti che sono prodotti in episodi di cura, i verbali di pronto soccorso, lettere di dimissioni, il profilo sanitario sintetico, il dossier farmaceutico e l'eventuale annotazione del consenso/negazione alla donazione degli organi o di tessuti.

Il profilo sanitario sintetico riassume la storia clinica del paziente e quindi ci sono tutti i documenti sanitari e socio sanitari che lo riguardano e viene redatto e aggiornato dal medico di medicina generale o dal pediatra di libera scelta. Riassumere tutto in un unico documento serve a facilitare la continuità di cura: chiunque acceda al FSE avrà così un quadro generale della situazione di salute dell'assistito. In caso di variazione del medico di medicina generale o del pediatra di libera scelta è possibile continuare a operare sul documento redatto dal medico precedente oppure redigerne uno nuovo. In questo caso si creerà una nuova versione del documento che andrà ad aggiungersi a quella precedente.

Il dossier farmaceutico, invece, è una parte specifica del FSE che serve favorire la qualità, il monitoraggio, l'appropriatezza nella dispensazione dei medicinali e l'aderenza alla terapia ai fini della sicurezza del paziente.

Fra i contenuti integrativi sono inserite le prescrizioni e le prenotazioni specialistiche, le cartelle cliniche, le vaccinazioni e il taccuino personale dell’assistito che è una sezione riservata del FSE alla quale può accedere solo il paziente per inserire dati e documenti personali relativi ai propri percorsi di cura, in uno spirito di collaborazione attiva con i curanti: per questo a differenza di tutti gli altri elementi del fascicolo, contiene informazioni non certificate dal ssn o da enti privati.

Chi può accedere al FSE?

In primis, il paziente che ha il diritto di consultare liberamente il suo Fascicolo Sanitario Elettronico, di accedere a tutti i documenti clinici e amministrativi che sono ivi contenuti e ha la possibilità di compilare anche la parte relativa al taccuino personale.

Anche i medici che hanno in cura il paziente, sia nell'ambito del servizio sanitario nazionale sia fuori da questo possono accedere al fascicolo; le aziende sanitarie devono, però, fare in modo che esistano delle procedure tali per cui questi soggetti accedano alle sole informazioni che sono rilevanti per le finalità di cura che stanno perseguendo. Anche il personale amministrativo, in qualità di soggetto autorizzato, può accedere al fascicolo sanitario di un paziente per assolvere alle funzioni amministrative cui è preposto e che siano strettamente correlate all'erogazione della prestazione (ad es. la fatturazione). Infine, anche gli organi di governo sanitario possono accedere, per lo svolgimento di funzioni istituzionali, a dati psudonimizzati presenti nel FSE ma non ai dati identificativi del paziente: per questo  i dati relativi alle prestazioni sanitarie devono essere conservati separatamente da quelli identificativi delle persone. Per alcune categorie di soggetti, come periti, compagnie di assicurazione, datori di lavoro, associazioni scientifiche e organismi amministrativi pur se operanti in ambito sanitario, e comunque terzi non autorizzati invece, sussiste un vero e proprio divieto di accesso al Fascicolo Sanitario Elettronico.

Che operazioni si possono compiere sul FSE?

Le operazioni che possono essere svolte sul FSE sono la consultazione e l’alimentazione:

• La consultazione del FSE da parte dei medici è possibile soltanto con il consenso informato del paziente che viene dato una tantum ed è sempre revocabile. La negazione del consenso del paziente alla consultazione del fascicolo, però, non deve compromettere la prestazione sanitaria che deve essere sempre garantita. Ogni accesso al Fascicolo Sanitario Elettronico da parte dei medici abilitati a farlo, deve essere sempre registrato in una apposita sezione in modo tale che il paziente sappia sempre di chi ha effettuato l'accesso ai propri dati sanitari. Ci possono però essere delle circostanze emergenziali (quelle previste dall'art. 82 del Codice della Privacy) dovute a impossibilità fisica oppure all'incapacità di agire o di intendere e volere dell'interessato oppure in relazione ad un rischio grave per l'incolumità fisica del paziente, nelle quali gli operatori del ssn possono accedere al fascicolo sanitario elettronico, in base a una propria dichiarazione e sotto la propria responsabilità. Anche questi accessi vengono memorizzati per consentire al paziente di verificarli in un secondo momento. Il consenso può essere sempre revocato quindi, la persona può prestare il consenso alla consultazione ma può anche revocarlo e ri-prestarlo successivamente. 

• Dal 19 maggio 2020 l'alimentazione del Fascicolo Sanitario Elettronico è automatica. Con il decreto rilancio poi modificato nella L. 77/2020, infatti, i dati relativi alle prestazioni sanitarie, sia delle strutture del ssn, sia quelle delle strutture private, entrano nel Fascicolo Sanitario Elettronico automaticamente, senza bisogno di un consenso specifico all'alimentazione. Per le prestazioni sanitarie antecedenti il 19 maggio 2020, il decreto rilancio ha previsto sì l’alimentazione automatica ma solo dopo aver informato i pazienti circa l’introduzione di questi dati all'interno del proprio fascicolo sanitario e dopo aver concesso loro almeno 30 giorni per poter esprimere una scelta. Il Ministero dell'economia e delle finanze e il Ministero della salute hanno predisposto un modello di informativa che deve essere fornita ai pazienti a questo scopo, nella quale è previsto che l’interessato possa comunicare l'opposizione o accedendo direttamente al proprio FSE oppure con i canali resi disponibili in ambito regionale. Questa opposizione può essere comunque successivamente revocata. 

L'informativa da fornire al paziente o interessato

L'informativa che occorre fornire agli assistiti al momento della costituzione e dell’attivazione del Fascicolo Sanitario Elettronico deve contenere tutti gli elementi previsti dall'articolo 13 del GDPR: deve indicare quali sono le finalità, contenere una descrizione del fascicolo, chiarire le modalità di trattamento, includere l’indicazione secondo cui è necessario esprimere il consenso per la consultazione e che in caso di mancato consenso o di revoca dello stesso, i medici non potranno consultare il FSE ma non si avranno conseguenze sull’erogazione della prestazione sanitaria che deve essere comunque garantita.

Inoltre, deve contenere anche l’indicazione delle categorie di soggetti che in qualità di responsabili possono accedere al fascicolo, le modalità con cui si può accedere all’elenco aggiornato di responsabili del trattamento, le modalità con cui rivolgersi al titolare per esercitare i propri diritti.

Oltre a tutti diritti previsti dal GDPR, per il Fascicolo Sanitario Elettronico esiste, per l'interessato, uno specifico diritto di oscuramento, consistente nel poter nascondere alcuni o tutti i dati contenuti nel fascicolo stesso. L'interessato ha sempre il diritto di ottenere, richiedendolo o prima o dopo l’inserimento, che alcuni o tutti i suoi dati sanitari risultino consultabili soltanto da sé stesso e dai titolari che li hanno generati, decidendo, quindi, in maniera autonoma cosa rendere visibile, a chi. Occorre garantire al paziente-interessato anche l'oscuramento dell'oscuramento ovvero che il personale che accede al fascicolo e per il quale i dati risultano oscurati, non deve sapere che ci sono dei dati che sono stati nascosti. Anche la scelta di oscuramento è sempre revocabile.

Oltre ai precedenti, l'informativa deve avere anche altri elementi che sono previsti da un insieme di fonti (linee guida, DPCM, FAQ del Garante...), ad esempio deve descrivere i vantaggi ma anche gli aspetti problematici per il paziente derivanti dalla creazione del FSE come la possibilità per i medici di avere sì una visione complessiva del suo stato di salute, ma allo stesso tempo, informarlo anche del fatto che i dati contenuti nel fascicolo potranno essere visionati da un più o meno ampio uditorio.

L’informativa e la prestazione del consenso relativo alla stessa possono essere formulati o cumulativamente, per titolari diversi, o distintamente da ciascuno dei titolari, indicando l’ambito entro il quale i singoli soggetti trattano i dati all’interno del Fascicolo Sanitario Elettronico.

Esiste poi una disciplina specifica per i soggetti a maggior tutela di cui abbiamo accennato in apertura e che ha portato all'irrogazione della sanzione. Questi soggetti comprendono persone sieropositive, donne che si sono sottoposte ad una IVG o che hanno scelto di partorire in anonimato, vittime di violenza sessuale o pedofilia, persone che fanno uso di sostanze stupefacenti o alcol, persone che usufruiscono di servizi come i consultori familiari. I dati di questi soggetti sono visibili soltanto in seguito alla prestazione di un consenso esplicito da parte del paziente stesso, quindi la consultazione non può avvenire sulla base di quel consenso che viene erogato una tantum, ma sulla base di un consenso specifico, acquisito in concomitanza dell’erogazione della prestazione (come è accaduto alla donna che in sede di IVG ha flaggato il modulo per non notificare l'intervento al suo MMG). L’alimentazione del FSE, in questi casi, è ammessa ma non automaticamente!

Le misure di sicurezza del FSE

La normativa in materia di Fascicolo Sanitario Elettronico prevede anche le misure di sicurezza che devono essere adottate e che devono garantire i tre principi della sicurezza delle informazioni: integrità, riservatezza e disponibilità dei dati. 

Per la consultazione, devono essere adottati sistemi di autenticazione e di autorizzazione che minimizzino i rischi di accesso abusivo, furto e/o smarrimento dei dati. Inoltre, deve essere previsto l'utilizzo di protocolli di comunicazione sicuri basati su standard crittografici / criteri di cifratura ideati per le comunicazioni dei dati su reti telematiche. Tutti i dati idonei a rivelare categorie particolari di dati, quindi, devono essere tenuti separati rispetto ad altri dati personali identificativi.

Come già precedentemente sottolineato, gli accessi e le operazioni sul FSE devono essere tracciati perché, il paziente-interessato ha il diritto di sapere chi ha avuto accesso al proprio fascicolo sanitario e quale operazione ha effettuato. Devono essere previste poi anche delle procedure di anonimizzazione per i dati identificativi diretti, questo perché potendovi accedere una molteplicità di soggetti (come nel caso già accennato delle finalità di Governo) può essere rischioso per l'interessato che chiunque possa accedervi ed è fondamentale adottare ulteriori accorgimenti, come la formulazione di una classificazione delle varie tipologie di informazioni sanitarie che sono indispensabili rispetto alla finalità.

– Marina Mirabella, Avvocato e collaboratrice di CyberAcademy