Fascicolo sanitario elettronico, ecco le incongruenze del trattamento dei dati

Il recente DPCM del 29 settembre 2015, n. 178 (“Regolamento in materia di Fascicolo Sanitario Elettronico), entrato in vigore dal 26 novembre u.s., ha riproposto un tema di fondamentale importanza nella gestione e nel trattamento elettronico dei dati personali ovvero l’applicazione di adeguate misure di sicurezza in relazione al contesto organizzativo di riferimento e alla natura dei dati.

Il trattamento di dati sensibili (e, nel caso di specie, “ultra-sensibili” in quanto riferiti allo stato di salute di interessati/pazienti), infatti, necessita dell’applicazione di alcuni accorgimenti tecnico/organizzativi e misure di sicurezza specifiche a protezione delle banche dati e della riservatezza degli individui cui i dati stessi si riferiscono.

Tale DPCM, formato da 30 articoli e da un disciplinare tecnico allegato (nel quale sono indicati i dati necessari per la corretta identificazione dell’assistito in fase di alimentazione del FSE e quelli per la corretta individuazione della sua posizione amministrativa nei confronti del SSN), prima della sua attuale genesi è stato approvato in conferenza Stato-Regioni e ha ricevuto un parere favorevole del Garante per la protezione dei dati personali.

Negli articoli dal 22 al 26 si descrive una serie di regole tecniche e misure di sicurezza e si ribadisce la necessità di implementare un sistema di conservazione e di codifica dei dati, nonché la necessità di rendere interoperabile il FSE.

Nel disciplinare tecnico, in particolare, vengono specificate le modalità attraverso cui i soggetti abilitati potranno accedere al FSE e i criteri per stabilire i relativi profili di accesso ai dati e i ai documenti in esso contenuti.

La gestione degli accessi alle informazioni presenti nel FSE, infatti, deve avvenire solo in presenza di una corretta individuazione di adeguati livelli di visibilità per ciascuna categoria di professionisti e operatori sanitari espressamente autorizzati in base al profilo loro assegnato (profilazione che deve essere preventiva all’accesso alle funzionalità del FSE, in modo da rendere disponibili tali funzionalità solo a chi ne ha il diritto in base al ruolo ricoperto). Tale misura di sicurezza, a ben vedere, può essere fatta rientrare tra quelle minime già previste nell’attuale Codice Privacy (d.lgs. 296/2003).

Nel disciplinare si legge, infatti, che “ L’attività di profilazione deve essere effettuata da un sistema di gestione dei privilegi di natura modulare che, basandosi su una preventiva classificazione delle informazioni presenti nel FSE, attribuisca al soggetto autorizzazioni e diritti di accesso adatti ”.

I soggetti che accedono al FSE, poi, sono tenuti a utilizzare idonee modalità di accesso per essere autenticati dal sistema, secondo le seguenti fasi sequenziali:

1. preliminare registrazione del soggetto, che comprende l’identificazione personale e i contesti operativi;
2. attribuzione delle credenziali e profilazione;
3. autenticazione del soggetto nel FSE, attraverso le modalità di accesso definite.

Nell’ambito delle “Misure di sicurezza e sistema di conservazione” da implementare, invece, occorre rispettare i tre principali requisiti generici in tema di sicurezza, ovvero confidenzialità (riservatezza), integrità e disponibilità dei dati , adeguando tutto alle misure di sicurezza espressamente previste nel decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni, e nel relativo disciplinare tecnico di cui all’Allegato B (si tratta, quindi, di adottare tutte le misure minime, idonee e necessarie richieste dalla norma o da specifici provvedimenti emanati dall’Autorità Garante nel contesto di riferimento) [1] .

All’articolo 23, comma 3, del DPCM in commento, viene poi richiamato il principio fondamentale della c.d. “privacy by design”, in quanto si specifica che la riservatezza dei dati trattati nell’ambito del FSE – ai sensi del Codice Privacy e dell’articolo 34, comma 1, lettera h) che prevede l’adozione di “ tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari ” – deve essere garantita sin dall’architettura del sistema da specifiche procedure di sicurezza relative al software e ai servizi telematici utilizzati.

Tra le altre misure di sicurezza indicate c’è anche il richiamo a quelle contenute nell’articolo 31 d.lgs. 196/2003, che concernono l’adozione di idonei accorgimenti per la protezione dei dati registrati rispetto ai rischi di accesso abusivo, furto o smarrimento parziali o integrali dei supporti di memorizzazione o dei sistemi di elaborazione portatili o fissi.

Per quanto riguarda la consultazione dei dati contenuti nel FSE, poi, viene specificato che la stessa debba avvenire in sicurezza (in base alle specificazioni contenute nel disciplinare tecnico) mediante l’adozione di:

1. idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento;
2. procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati;
3. protocolli di comunicazione sicuri basati sull’utilizzo di standard crittografici per la comunicazione elettronica dei dati tra i diversi titolari coinvolti;
4. criteri per la cifratura o per la separazione dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali;
5. strumenti per la tracciabilità degli accessi e delle operazioni effettuate;
6. sistemi di audit log per il controllo degli accessi e per il rilevamento di eventuali anomalie;
7. procedure di anonimizzazione degli elementi identificativi diretti.

Tra i nuovi obblighi introdotti dal DPCM in commento, al fine di rendere edotti gli operatori dei rischi che incombono sui dati e sulle misure di sicurezza adottate, è stata data una notevole importanza agli obblighi formativi : infatti, all’interno delle varie strutture sanitarie dovranno essere organizzate apposite sessioni di formazione sugli aspetti di protezione dei dati personali e sull’accessibilità delle informazioni, sulle operazioni di trattamento eseguibili e sulla sicurezza dei dati contenuti nel FSE.

Inoltre, per garantire la continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività in caso di un evento infausto, occorre verificare anche che sia stato adottato il piano di continuità operativa e il piano di disaster recovery, così come prescritto dall’articolo 50-bis del CAD.

Infine, anticipando anche uno dei nuovi adempimenti che saranno introdotti con la nuova regolamentazione europea in materia di privacy , all’articolo 23, comma 9 del DPCM viene introdotta l’obbligatorietà degli adempimenti conseguenti a una violazione dei dati personali (“data breaches” che comportino la perdita, la distruzione o la diffusione indebita di dati personali) trattati nel Fascicolo Sanitario Elettronico. In particolare, il titolare del trattamento deve effettuare entro una settimana dal verificarsi dell’evento una segnalazione al Garante per la protezione dei dati personali, contenente:

• una descrizione della natura della violazione dei dati personali occorsa, compresi le categorie e il numero di interessati coinvolti;
• l’indicazione dell’identità e delle coordinate di contatto del responsabile della protezione dei dati o di altro punto di contatto presso cui ottenere più informazioni;
• la descrizione delle conseguenze della violazione dei dati personali subita;
• le misure proposte o adottate dal responsabile del trattamento per porre rimedio alla violazione dei dati personali.

Come si può evincere da una semplice lettura di questo comma, vengono citate nello spazio di poche righe due diverse figure soggettive (il responsabile della protezione dei dati e il responsabile del trattamento) preposte ad assolvere specifici compiti, che potrebbero addirittura sovrapporsi nell’espletamento degli adempimenti previsti. Occorre considerare, inoltre, che ad oggi il responsabile della protezione dei dati non fa parte nemmeno delle figure soggettive previste in ambito privacy nel nostro ordinamento giuridico.

Alla luce di quanto sopra riportato, tra le tante incongruenze di questo DPCM, resta anche da capire ancora quale sarà la figura che dovrà farsi carico dell’attività di controllo e supervisione interna circa la corretta applicazione delle misure di sicurezza necessarie e, nello specifico, se sarà un onere del responsabile del trattamento designato (interno o esterno) oppure del responsabile della protezione dei dati (DPO), come invece l’Autorità Garante auspica in diversi provvedimenti riguardanti il mondo della sanità.