Subscribe to LSNN Daily News

Method
Channel
Author

Enter your email address:
lsnn
lsnn
2023-01-25 19:30:30
Mercoledì 19:58:20
Gennaio 25 2023

Italia: considerazioni sulla privacy e sulla protezione dei dati per la creazione e l'implementazione di banche dati eHealth

View 4.1K

words 2.1K read in 10 minutes, 28 Seconds

Dataguidance - Dal 2022, il governo italiano ("il governo") ha lavorato alla creazione di un nuovo database eHealth denominato "Health Data Ecosystem" (" Ecosistema Dati Sanitari " o "EDS"), nonché al rafforzamento del database esistente denominato 'Fascicolo Sanitario Elettronico' (' Fascicolo Sanitario Elettronico ' o 'FSE'). Cristina Criscuoli, avvocato presso DLA Piper, esplora le considerazioni chiave da tenere a mente dal punto di vista della privacy e della protezione dei dati, in relazione alla creazione e all'implementazione di database centralizzati di eHealth.

Particolarmente problematico è sempre stato il rapporto tra il diritto alla privacy dei pazienti e la necessità per lo stakeholder del settore sanitario di disporre di tutti i dati possibili necessari per erogare attività sanitarie di valore. Questo rapporto è oggetto di un delicato test di equilibrismo, soprattutto negli ultimi anni, caratterizzati da incredibili sviluppi tecnologici. Le nuove tecnologie consentono trattamenti più efficaci, ma espongono gli interessati a rischi maggiori.

Il campo di applicazione e le finalità dell'FSE e dell'EDS

Il FSE è stato istituito nel 2012 con Decreto Legge 18 ottobre 2012 n. 179 1 ('Decreto Legge n. 179'). Tuttavia, questo database ha finora raggiunto un'applicazione limitata. Il legislatore italiano aveva già tentato di rafforzare il FSE nel 2017. Successivamente, la pandemia di COVID-19 ha accelerato gli sforzi di trasformazione digitale esistenti e ha spinto a un aumento complessivo degli investimenti IT nel settore sanitario.

Il Piano Nazionale di Ripresa e Resilienza ha quindi previsto un investimento di 1,38 miliardi di euro finalizzato a convertire il FSE nell'unico punto di accesso per i cittadini italiani ai servizi offerti dal Servizio Sanitario Nazionale, oltre a fornire agli operatori sanitari un prezioso strumento a supporto della diagnosi e cura dei propri pazienti.

Conseguentemente, con la Legge 28 marzo 2022 n. 252 di conversione in legge, con modificazioni, del Decreto Legge 27 gennaio 2022 n . 179. Tale disposizione di legge definisce preliminarmente il FSE come 'l'insieme dei dati e dei documenti informatici sanitari e socio-sanitari generati da eventi clinici presenti e pregressi riguardanti il ​​paziente, riferiti anche all'assistenza sanitaria prestata al di fuori del Servizio sanitario nazionale'.

Il FSE è istituito dalle regioni italiane per perseguire le seguenti finalità:

  • diagnosi, cura e riabilitazione;
  • prevenzione sanitaria;
  • profilassi internazionale;
  • studio e ricerca scientifica in campo medico, biomedico ed epidemiologico; e
  • pianificazione sanitaria, verifica della qualità delle cure e valutazione sanitaria.

L'art. 12 del Decreto Legge n. 179 individua inoltre diversi soggetti che agiscono quali responsabili del trattamento per il perseguimento delle finalità sopra indicate:

  • gli operatori sanitari perseguiranno le finalità elencate al primo punto;
  • gli operatori sanitari perseguiranno ugualmente le finalità elencate al secondo punto che precede; tuttavia, le finalità di prevenzione sanitaria saranno perseguite anche dagli uffici delle regioni italiane e del Ministero della salute preposti alla gestione della prevenzione sanitaria, presumibilmente in qualità di autonomi titolari del trattamento;
  • il Ministero della Salute persegue altresì le finalità elencate al terzo e quarto punto;
  • lo studio e la ricerca scientifica in campo medico, biomedico, epidemiologico e le finalità di programmazione sanitaria, di verifica della qualità delle cure e di valutazione sanitaria sono perseguite dalle regioni italiane, dal Ministero del lavoro e dal Ministero della salute, ciascuno nei limiti della i relativi compiti assegnati dalla legge; tuttavia, il decreto legge n. 179 prevede che detti enti pubblici possano trattare solo dati pseudonimizzati per il perseguimento di tali finalità.

Secondo la versione originaria del Decreto Legge n. 179, era richiesto il consenso dei pazienti per registrare i loro dati sanitari nel FSE. Il decreto legge 19 maggio 2020 n. 34 ha stabilito che tale consenso non è più necessario. Viceversa, l'art. 12 del DL n. 179 impone ora agli operatori sanitari di registrare, nel fascicolo sanitario elettronico dei propri pazienti, le informazioni relative a ciascuna prestazione sanitaria erogata ai pazienti, entro cinque giorni dall'erogazione. A nostro avviso, questa disposizione impone agli operatori sanitari l'obbligo di alimentare il FSE, sebbene il Garante italiano per la protezione dei dati personali ('Garante') ritenga il contrario 4 .

In ogni caso, il FSE conterrà una grande quantità di informazioni riguardanti lo stato di salute dei pazienti, tra cui, ma non solo, le informazioni sui farmaci e farmaci assunti dai pazienti, i registri dei ricoveri e le relative lettere di dimissioni, e le cd 'profilo sintetico di salute' che riassume l'intera storia medica del paziente.

Rischi e sfide

Il FSE può diventare uno strumento incredibilmente utile per perseguire la cura del paziente e la prevenzione delle malattie, nonché per migliorare l'efficienza dell'intero sistema sanitario. Tuttavia, dalla sua attuazione emergono nuovi gravi rischi per la privacy dei pazienti.

Resta comunque necessario il consenso dei pazienti per la consultazione delle informazioni disponibili sul FSE. Se un paziente nega il proprio consenso o lo revoca in un secondo momento, l'unico soggetto autorizzato ad accedere al FSE - ad eccezione del paziente stesso - è l'operatore sanitario che registra i dati.

D'altro canto, l'istituzione dell'EDS comporterà la duplicazione delle informazioni contenute nel FSE al fine di «assicurare il coordinamento informatico e garantire l'omogeneità dei servizi sul territorio» (cfr. 179). L'EDS conterrà i dati forniti dalle istituzioni socio-sanitarie, dagli enti del Servizio Sanitario Nazionale ei dati resi disponibili attraverso il Sistema Tessera Sanitaria . In altre parole, l'EDS sarà il più grande database di eHealth in Italia.

Il Ministero della Salute sarà il titolare del trattamento dei dati personali raccolti tramite l'EDS, che sarà gestito dall'Agenzia Nazionale per i Servizi Sanitari Regionali (' Agenzia Nazionale per i Servizi Sanitari Regionali ' o 'AGENAS') in qualità di responsabile del trattamento per conto del Ministero della Salute.

Ai sensi dell'articolo 12, comma 7, del decreto legge n. 179, il Ministero della salute, di concerto con il Ministero dell'economia e il Ministero per l'innovazione tecnologica e la transizione digitale, adotteranno uno o più decreti per chiarire ulteriormente:

  • le informazioni da registrare nel FSE;
  • i compiti e le responsabilità assegnate a ciascun soggetto coinvolto nell'attuazione del FSE;
  • le misure di sicurezza e le ulteriori garanzie necessarie per assicurare un'adeguata protezione ai dati personali caricati sul FSE;
  • privilegi di accesso assegnati a ciascun stakeholder; e
  • tecniche di pseudonimizzazione applicabili per evitare che i pazienti possano essere identificati direttamente.

Il Garante deve pronunciarsi sulla bozza di detti decreti prima della loro formale approvazione.

Analogamente, l'articolo 12, comma 15-quater, del decreto legge n. 179 prevede che il Ministero della salute, unitamente al Ministero dell'economia e al Ministero per l'innovazione tecnologica e la transizione digitale, adottino un decreto per chiarire ulteriormente:

  • le informazioni da includere nell'EDS;
  • come registrare le informazioni nel database;
  • le persone autorizzate ad accedere all'EDS;
  • i loro privilegi come utenti EDS; e
  • misure di sicurezza necessarie per garantire la tutela dei diritti degli interessati.

Anche in questo caso il Garante deve pronunciarsi sulla bozza di tali decreti prima della loro formale approvazione. È richiesto anche un parere dell'Agenzia nazionale per la sicurezza informatica.

Mentre le principali regole che regolano il FSE 'rinnovato' sono stabilite dal decreto legge n. 179, questa normativa include solo alcune laconiche disposizioni relative all'EDS. Pertanto, l'adozione del decreto di cui all'articolo 12, comma 15-quater, del decreto legge n. 179 da parte del Ministero della Salute sarà fondamentale per comprendere le funzioni e le caratteristiche del nuovo EDS. In ogni caso, l'istituzione di un tale database aumenterà ulteriormente i rischi per la privacy dei pazienti, soprattutto se dovesse raccogliere dati sanitari non codificati. Non è un caso che gli attacchi informatici ai database sanitari gestiti da istituti di ricerca, autorità regolatorie e ospedali siano frequenti e incredibilmente dannosi

La posizione del Garante sull'attuazione del FSE e dell'EDS

Il 18 maggio 2022 il Ministero della Salute ha adottato un decreto che disciplina l'integrazione dei dati essenziali che compongono i documenti del FSE 5 . Due giorni dopo ha anche emanato le linee guida per l'attuazione del FSE 6 . Inoltre, in data 15 luglio 2022, il Ministero della Salute ha trasmesso al Garante una bozza di due decreti, rispettivamente disciplinanti l'utilizzo del FSE e dell'EDS. In risposta, in data 22 agosto 2022, il Garante ha emesso due diversi pareri 7 , entrambi sollevando diverse serie perplessità dal punto di vista della normativa sulla privacy.

Il Garante, infatti, ha espresso parere contrario all'adozione delle due bozze di decreto. Il Garante ha evidenziato 'carenze strutturali e sostanziali' di entrambe le bozze di legge e ha chiesto al Ministero della Salute di riformularle. In poche parole, le due bozze di decreto non affrontano aspetti essenziali dell'utilizzo del FSE e dell'EDS.

Una delle principali criticità individuate dal Garante riguarda la mancanza di chiari obblighi giuridici a carico dei diversi soggetti coinvolti nella gestione e nell'utilizzo delle due banche dati in gioco. Questo aspetto è fondamentale per evitare la possibile perdita di controllo sui dati sanitari dei pazienti, potenzialmente lesiva dei loro diritti e libertà.

Un risultato auspicabile sarebbe che i decreti in questione individuassero in modo univoco i compiti e le responsabilità di ciascun titolare del trattamento dei dati personali attraverso il FSE e l'EDS, delineando il perimetro della loro titolarità e specificando l'insieme delle operazioni di trattamento che sono autorizzati a svolgere. Questo è l'unico modo per garantire la piena attuazione del principio di responsabilità.

Inoltre, il governo dovrebbe prevedere l'applicazione di solide misure di sicurezza tecniche e organizzative per garantire il controllo completo sui dati archiviati nel FSE e nell'EDS. Ad esempio, i file di registro dovrebbero essere tracciati per registrare qualsiasi accesso effettuato all'interno di questi database, incluso il codice identificativo della persona che accede al database, la data e l'ora dell'esecuzione, il codice identificativo della postazione utilizzata, l'identificativo del paziente e l'operazione specifica eseguita su dati dei pazienti. I file di registro dovrebbero essere controllati periodicamente per identificare anomalie e punire l'accesso abusivo ai dati.

Il rischio di accesso abusivo o illegittimo ai dati è solo una delle criticità che l'utilizzo del FSE 'rinfrescato' e del nuovo EDS può innescare. Altri seri rischi possono derivare dall'utilizzo di dati imprecisi, incompleti o obsoleti o dalla possibile perdita di tali dati. Ad esempio, tali eventi possono deviare le decisioni degli operatori sanitari sui trattamenti da fornire ai pazienti, con un impatto diretto e negativo sulla salute dei pazienti.

Ulteriori rischi riguardano l'eventuale utilizzo dei dati per scopi non coerenti con quelli per i quali i dati sono stati raccolti, decisioni basate su trattamenti automatizzati che incidono in modo significativo sull'interessato, la reidentificazione dell'interessato causata da interconnessioni con nuovi sistemi e componenti stabiliti da nuove disposizioni di legge.

Conclusione

Auspichiamo che il Governo affronti adeguatamente le criticità individuate dal Garante nei due pareri in oggetto, attraverso un'approfondita valutazione dei rischi e stabilendo una precisa regolamentazione che disciplini tutti gli aspetti rilevanti in merito all'attuazione del FSE e dell'EDS.

A nostro avviso, il successo di questi database dipenderà strettamente dalla capacità delle parti interessate coinvolte nel rendere questi database sicuri e affidabili. L'implementazione di adeguate misure di sicurezza per proteggere i dati sanitari dei pazienti può rendere questi strumenti incredibilmente preziosi a beneficio della comunità. Al contrario, i pazienti potrebbero essere indotti a negare il proprio consenso all'utilizzo dei propri dati se questi dati non saranno protetti adeguatamente, con un impatto negativo sulla redditività dell'investimento effettuato dallo Stato.

Possiamo citare le stesse parole usate dal Comitato europeo per la protezione dei dati e dai garanti europei della protezione dei dati nel loro parere congiunto EDPB-EDPS 03/2022 sulla proposta di regolamento sullo spazio europeo dei dati sanitari: FSE ed EDS dovrebbero servire da esempio di trasparenza, responsabilità effettiva e corretto equilibrio tra gli interessi degli individui e l'interesse condiviso della società nel suo insieme.

Cristina Criscuoli Avvocato cristina.criscuoli@dlapiper.com - #DLA Piper, Roma / Dataguidance

  1. Disponibile qui: www.normattiva.it/...reto.legge:2012;179
  2. Disponibile qui: www.normattiva.it/...e=lbl.dettaglioAtto
  3. Disponibile qui: www.normattiva.it/...e=lbl.dettaglioAtto
  4. Disponibile qui: www.garanteprivacy...play/docweb/9802729
  5. Disponibile qui: www.gazzettauffici...2/07/11/22A03960/sg
  6. Disponibile qui: www.gazzettauffici...2/07/11/22A03961/sg
  7. Disponibile qui: www.garanteprivacy...play/docweb/9802729 and www.garanteprivacy...play/docweb/9802752

Cristina Criscuoli è un'avvocata esperta di privacy e diritto delle nuove tecnologie, con un focus specifico nei settori life sciences, assicurativo e finanziario. Cristina ha maturato una consolidata esperienza nel fornire assistenza legale ad operatori, leader del mercato globale, su complessi programmi di conformità al GDPR e su altre questioni relative alla protezione dei dati personali, incluse tematiche concernenti valutazioni di impatto del trasferimento dei dati, piattaforme di e-payment, antiriciclaggio, sperimentazioni cliniche e telemedicina. Cristina ha inoltre una significativa esperienza nella negoziazione e redazione di contratti afferenti il settore tecnologico ed altri accordi commerciali. È particolarmente esperta nel coordinamento di progetti multigiurisdizionali che riguardano questioni di compliance con il GDPR nonché legate all’uso di nuove tecnologie. Regolarmente, Cristina scrive e tiene lezioni e seminari su tematiche relative al diritto della protezione dei dati personali e delle nuove tecnologie. È visiting lecturer del Master sul diritto della protezione dei dati personali presso le Università di Milano e Roma Tre, nonché dei Master sul diritto delle nuove tecnologie e digital transformation di IPSOA e 24ORE Business School.

Source by Redazione

Articles Similar / Italia: ...i eHealth
from: ladysilvia
by: Redazione
24 apr 2023
Canada: La Corte decide...vacy riguardo a Facebook
from: ladysilvia
by: Redazione
23 apr 2023
UK government sends eme... Union: Privacy at risk.
from: ladysilvia
by: Redazione
23 apr 2023
Governo inglese invia u...Union: Privacy a rischio
from: ladysilvia
by: Redazione
21 apr 2023
La guida della New York... CybersecurityEncryption
from: ladysilvia
by: Redazione
17 apr 2023
EU: EDPB pubblica il ra...sulle attività del 2022
from: ladysilvia
by: Redazione
13 apr 2023
ChatGPT: Garante privac...erà le misure richieste