Con intento divulgativo e non strettamente tecnico-giuridico, né tantomeno esaustivo, cercherò brevemente di spiegare che cos’è e come funziona il FSE, rappresentando questo il primo passo verso la comprensione della grandissima utilità di tale strumento per la tutela della salute individuale e collettiva.
Prova di ciò è il particolare momento storico che tutti noi stiamo vivendo, dove l’emergenza Covid-19 ha messo in luce le grandi potenzialità di un sistema sanitario digitalizzato in termini non solo di tempestività terapeutica, ma anche di prevenzione (il pensiero in tal senso è rivolto alle fasce più deboli, per età e/o per patologie pregresse o in atto, anche croniche).
Non senza evidenziare che la delicatezza dei dati contenuti nel FSE impongono il pieno rispetto da parte degli operartori sanitari e delle strutture sanitarie, private e pubbliche, del Reg. Eu. 679/2016 (G.D.P.R.), la cui compliance non può, a mio modesto avviso, prescindere dal coinvolgimento di professionisti, giuristi ed informatici, esperti in materia.
- Che cos’è il FSE
Il FSE è l’insieme dei dati e documenti digitali di matrice sanitaria e sociosanitaria generati da eventi clinici presenti e trascorsi del paziente (art. 12 co.1 L. 17972012), quali ricoveri ospedalieri, accessi al pronto soccorso, diagnostica ambulatoriale, prestazioni farmaceutiche, assistenza domiciliare.
In altri termini, esso contiene l’intera “vita sanitaria” del paziente in formato elettronico e viene alimentato in modo continuativo da tutti i sanitari che prendono in cura il paziente nell’ambito del SSN e, a seguito del D.L. 34/2020 – adottato in piena pandemia -, anche nell’ambito di strutture sanitarie private; i dati ivi presenti sono tra loro collegati per mezzo di modalità informatiche che ne rendono possibile la consultazione unitaria, anche se generati da strutture ubicate al di fuori della Regione di appartenenza, grazie all’interoperabilità garantita dal Sistema Tessera Sanitaria.
- Da chi è istituito e con quali finalità?
Il FSE è istituito dalle Regioni e dalle Province Autonome, nel rispetto della normativa privacy, con le seguenti finalità:
– prevenzione, diagnosi, cura e riabilitazione;
– studio e ricerca scientifica in campo medico, biomedico ed epidemiologico;
– programmazione sanitaria, verifica della qualità delle cure e valutazione dell’assistenza sanitaria.
- La sua costituzione è obbligatoria?
No, è demandata alla libera scelta dell’interessato. L’eventuale scelta negativa non determina nessuna conseguenza in ordine all’erogazione delle prestazioni sanitarie.
- Come è strutturato il FSE?
Il FSE, che, come detto, è costituito dall’insieme dei dati e documenti digitali concernenti la vita sanitaria e sociosanitaria del paziente, contiene altresì al suo interno:
– il Dossier Farmaceutico (art. 12, co. 2bis, D.L. 179/2012) che viene alimentato dalla farmacia che dispensa il farmaco prescritto al paziente; con esso si persegue la finalità di migliorare la qualità, la costante osservazione e l’adeguatezza della distribuzione dei farmaci e la corrispondenza alla cura nell’ottica garantistica di una sempre maggiore sicurezza del paziente.
– il Profilo Sanitario Sintetico (art. 3 D.P.C.M. 178/2015) c.d. “patient summary”, ovvero un documento informatico sociosanitario che sintetizza la storia clinica del paziente aggiornato dal medico di medicina generale e dal pediatra di libera scelta; in esso figura, oltre ai dati dell’assistito e del suo medico curante, una sorta di “fotofrafia” dello stato del paziente (diagnosi, allergie, patologie e relative terapie, eventuali problematiche di salute rilevanti) con la precipua finatilità di garantire la c.d. “continuità di cura” in modo da permettere un rapido e completo inquadramento del paziente che entra in contatto con il Servizio Sanitario Nazionale, specialmente in caso di emergenza.
– il Taccuino personale dell’assistito, ossia una sezione riservata che l’assistito in totale autonomia può implementare con dati e documenti sanitari personali afferenti i propri percorsi di cura, optando se e a chi renderli visibili.
- FSE: Reg. Eu. 2016/679 (G.D.P.R.), D.P.C.M. n. 178/2015 – Consenso
Affinchè tutti gli esercenti le professoni sanitarie, pubblici o privati, che intervengono nel percorso di cura del paziente abbiano accesso al FSE occorre il consenso, reso una tantum, avante carattere generale per la costituzione del FSE (e non più, a seguito dell’art. 11 D.L. “Rilancio” n. 34/2020, per la sua alimentazione da parte di stutture sia pubbliche che private, anche se situate al di fuori della Regione di appartenenza) e carattere specifico, relativamente alla accessibilità al FSE medesimo ed alla visibilità del suo contenuto nonché al recupero dei dati pregressi a partire dal 1° gennaio 2008 (in mancanza di tale consenso, infatti, nel FSE figureranno soltanto i dati e documenti prodotti dalla costituzioe del FSE).
Il consenso deve essere specifico, libero e informato, condizione soddisfatta dalla prestazione di una informativa c.d. diretta (ex art. 13 G.D.P.R.) contenente, ad es. ed a titolo non esaustivo, la definizione di FSE, le sue finalità, i dati identificativi del Titolare del trattamento e del Responsabile del trattamento eventualmente designato, le modalità di trattamento, il periodo di conservazione, i diritti dell’interessato e le modalità del loro esercizio.
Tra questi ultimi, degno di nota è il c.d diritto all’oscuramento di taluni dati sanitari a soggetti differenti da coloro che li hanno generati, al quale si aggiunge il c.d. diritto all’oscuramento dell’oscuramento e cioè il diritto di celare l’esercizio di tale diritto ai soggetti abilitati all’accesso al FSE.
L’interessato ha il diritto di revocare, anche in via telematica, in qualsiasi momento il consenso in precedenza prestato, determinando l’interruzione dell’alimentazione del proprio FSE e la disabilitazione alla sua consultazione da parte dei soggetti prima a ciò autorizzati.
È necessario sottolineare che la mancata prestazione del consenso e/o la sua successiva revoca non determinano nessuna conseguenza in ordine all’erogazione delle prestazioni sanitarie richieste.
- FSE e Reg. Eu. 2016/679 (G.D.P.R.) – L’accesso al FSE : soggetti e modalità
Possono accedere al FSE solo i soggetti a ciò abilitati che sono chiamati in causa dal processo di cura; la consultazione è legittima solo per il tempo necessario per il processo di cura in corso ed unicamente per il paziente destinatario delle cure.
Infatti, gli accessi sono registrati in un’apposita sezione del FSE cui l’interessato può accedere in ogni momento per effettuare ogni verifica che ritenga opportuna, così da poter denunciare, in ipotesi, il rinvenimento di accesso ritenuti illegittimi.
Con riguardo a quest’ultimo punto, si richiama un recente provvedimento con cui il Garante ha inflitto una sanzione di € 30.000,00 ad un’azienda ospedaliera i cui dipendenti avevano “sbirciato” dati dei colleghi contenuti nei FSE elettronici dei pazienti mediante le credenziali di un medico che aveva lasciato incustodita la propria postazione; detti accessi sono stati sanzionati dall’Autorità garante poiché effettuati non per erogare prestazioni sanitarie bensì per “mera curiosità” (https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9266789).
In mancaza di consenso dell’interessato possono accedere al FSE soltanto gli organi di governo sanitario(Ministero della Salute e Regione) per il conseguimento delle finalità indicate al paragrafo 2 e, più in generale, per svolgere le proprie funzioni istituzionali, quali, ad es., la gestione delle emergenze sanitarie (Covid-19). E’ bene precisare che in tali ipotesi l’accesso è consentito solo in relazione a dati pseudonimizzati, ossia a dati che non possono più essere attribuiti a un soggetto specifico senza l’utilizzo di informazioni aggiuntive che sono conservate separatamente e soggette a misure tecniche e organizzative intese a garantire che tali dati personali non siano attribuiti e/o attribuibili a una persona fisica identificata o identificabile.
- Misure di sicurezza e sistema di conservazione
Le misure di sicurezza e il sitema di conservazione sono individuati all’art. 23 D.P.C.M. 178/2015, c.d. disciplinare tecnico) il quale prevede che “le operazioni sui dati personali sono effettuate mediante strumenti elettronici con modalità e soluzioni necessarie per assicurare confidenzialità, integrità e disponibilità dei dati”.
In particolare, per la consultazione in sicurezza dei dati contenuti nel FSE sono assicurati:
– idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento;
– procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati;
– protocolli di comunicazione sicuri basati sull’utilizzo di standard crittografici per la comunicazione elettronica dei dati tra i diversi titolari coinvolti;
– adozione di criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali;
– tracciabilità degli accessi e delle operazioni effettuate;
– sistemi di audit log per il controllo degli accessi e per il rilevamento di eventuali anomalie;
– procedure di anonimizzazione degli elementi identificativi diretti.
- Dossier sanitario elettronico (DSE)
Merita un accenno anche il DSE, che è lo strumento contenente la storia clinica di un paziente in una stessa struttura sanitaria finalizzato a fornire un miglior servizio di cura e a ottimizzare i percorsi di diagnosi e cura.
La sua costituzione da parte della struttura sanitaria richiede lo specifico consenso dell’interessato al quale se ne somma uno ulteriore qualora vi si vogliano inserire dati e documenti sanitari pregressi. Un consenso aggiuntivo e specifico è altresì richiesto (e specificato nella informativa) per taluni dati, quali HIV, dipendenza da sostanze stupefacenti e/o alcool, atti di violenza sessuale o pedofilia.
Per il resto, la regolamentazione del DSE non è dissimile da quella del FSE, ivi compresi: la non obbligatorietà della prestazione del consenso senza che ciò comporti alcuna conseguenza in ordine alla erogazione delle prestazioni sanitarie; in relazione ai diritti dell’interessato, anche qui è riconosciuto il diritto all’oscuramento, alla revocabilità in qualsiasi momento del consenso, alla visione dei file di log per la visione degli accessi, etc.
Personalmente, ritengo che il potenziale di tale strumento si sia tuttavia ridimensionato alla luce della facoltà, introdotta con citata normativa emergenziale, D.L. “Rilancio” n. 34/2020, in capo alle strutture private di alimentare direttamente il FSE del paziente.