Il Garante Privacy ha dato parere negativo al Ministero della salute e al Ministero per l’innovazione tecnologica e la transizione digitale sullo schema di decreto che prevede la realizzazione della nuova banca dati denominata Ecosistema Dati Sanitari (EDS), prevista dalla riforma del Fascicolo Sanitario Elettronico.
L’EDS
L’Ecosistema Dati sanitari (EDS), previsto dalla riforma del Fascicolo sanitario elettronico con l’obiettivo di “garantire il coordinamento informatico e assicurare servizi omogenei sul territorio nazionale”, comporta di fatto la duplicazione di dati e documenti sanitari già presenti nel FSE e determina la costituzione della più grande banca dati sulla salute del nostro Paese. Un tale database raccoglierebbe a livello centralizzato, senza garanzie di anonimato per gli assistiti, dati e documenti sanitari relativi a tutte le prestazioni sanitarie erogate sul territorio nazionale. Nello specifico, l’EDS, di cui è titolare il Ministero della salute, raccoglie ed elabora dati e documenti sanitari “trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera Sanitaria”.
Il contenuto del parere del Garante sullo schema di decreto sull’Ecosistema dati sanitari
Il Garante ha reso il parere n. 294 del 22 agosto 2022 al Ministero della salute e al Ministero per l’innovazione tecnologica e la transizione digitale sullo schema di decreto che prevede la realizzazione della nuova banca dati denominata Ecosistema Dati Sanitari (EDS), prevista dalla riforma del Fascicolo sanitario elettronico.
Lo schema di decreto pertanto deve individuare il perimetro di titolarità del trattamento effettuato dal predetto Ministero attraverso l’EDS, descrivendo il momento in cui cessa la titolarità del soggetto che ha generato il dato e inizia quella del Ministero che raccoglie tale dato nell’EDS. Il perimetro di titolarità deve essere evidenziato anche con riferimento alle operazioni di correzione e aggiornamento dei dati, nonché all’offerta dei servizi da parte dell’EDS.
Inoltre, per come è attualmente previsto dallo schema di decreto, l’EDS si presenta come “una scatola vuota”, rinviando a successivi decreti la definizione di aspetti essenziali per la sua regolazione.
L’Autorità condivide la necessità di introdurre strumenti volti ad agevolare lo sviluppo di servizi sanitari digitali offerti ai cittadini, ma evidenzia come sia doveroso che, nella loro realizzazione, vengano rispettati i diritti fondamentali delle persone.
Una tale tutela non è stata pienamente ravvisata nei due schemi di decreto i quali non sono risultati coerenti con la normativa di settore, e presentano numerosi profili di violazione della disciplina in materia di protezione dei dati personali.
Considerata la delicatezza di una tale struttura, che realizza un trattamento sistematico su larga scala anche attraverso l’uso di algoritmi, il Garante ha quindi chiesto al Ministero di riformulare lo schema di decreto, indicando i contenuti e le modalità di alimentazione della banca dati; i diritti riconosciuti alle persone, a partire dalla manifestazione di un consenso libero e informato all’uso dei dati; i servizi resi dall’Ecosistema; quali tra le diverse strutture interessate avranno la titolarità del trattamento.
L’EDS, costituendo un “data repository centrale”, ovvero una banca dati che “acquisisce, memorizza e gestisce i dati” trasmessi dalle strutture sanitarie e socio-sanitarie, dagli enti del SSN e quelli resi disponibili tramite il sistema TS, relativi quindi alle prestazioni sanitarie erogate a tutti gli assistiti sul territorio nazionale, determinando un trattamento sistematico, su larga scala, di particolari categorie di dati personali di cui all’art. 9 del Regolamento e presentando un rischio elevato per i diritti e le libertà degli interessati, deve essere regolamentato sulla base di una preventiva valutazione di impatto ai sensi dell’art. 35 del Regolamento.
Quando un trattamento può comportare un rischio elevato per i diritti e le libertà delle persone interessate (a causa del monitoraggio sistematico dei loro comportamenti, o per il gran numero dei soggetti interessati di cui sono magari trattati dati sensibili, o anche per una combinazione di questi e altri fattori), il Regolamento 2016/679 obbliga i titolari a svolgere una valutazione di impatto prima di darvi inizio, consultando l´autorità di controllo in caso le misure tecniche e organizzative da loro stessi individuate per mitigare l´impatto del trattamento non siano ritenute sufficienti – cioè, quando il rischio residuale per i diritti e le libertà degli interessati resti elevato.
Questo articolo ti è stato utile?
Consulta le nostre sezioni dedicate al Regolamento 679/2016 (GDPR) e privacy e al supporto alle stazioni appaltanti. Puoi anche iscriverti alla nostra newsletter e non perdere le notizie più importanti in tema di Appalti, anticorruzione, digitalizzazione della PA e D.Lgs. 231 responsabilità delle persone giuridiche. Non preoccuparti, saremo moderati. Anche noi odiamo lo SPAM.