DOMANDA: Dati sanitari e Fascicolo Elettronico: privacy nella sanità digitale

Risponde Alessandro Papini

Il Fascicolo Sanitario Elettronico (FSE) rappresenta una delle maggiori sfide nella sanità digitale, ponendo in delicato equilibrio l'efficienza delle cure e la tutela dei dati particolari, come definiti dall'art. 9 del GDPR. La centralizzazione della storia clinica di un individuo in un unico punto di accesso digitale offre enormi vantaggi per la continuità assistenziale, ma amplifica esponenzialmente i rischi in caso di violazione. La base giuridica del trattamento non risiede nel consenso, ma in un obbligo legale per finalità di diagnosi e cura e di sanità pubblica. Pertanto, è imperativo che l'architettura del sistema sia progettata secondo i principi di privacy by design e by default, applicando rigorose misure di sicurezza tecniche e organizzative per proteggere l'accesso e l'integrità delle informazioni.

L'approfondimento: Come viene garantito il controllo dell'interessato sull'accesso ai propri dati nel FSE?

Il controllo da parte dell'interessato è un pilastro del sistema. Sebbene il caricamento dei dati sia ormai automatizzato, la loro *consultazione* da parte del personale sanitario richiede uno specifico consenso dell'assistito, revocabile in qualsiasi momento. Inoltre, la normativa prevede il diritto all'"oscuramento", ovvero la possibilità per il paziente di rendere invisibili interi documenti o dati che non desidera condividere. Ogni accesso al FSE è tracciato e registrato in file di log, consentendo una verifica a posteriori di chi ha consultato i dati, quando e perché. Questi meccanismi, uniti a solidi sistemi di autenticazione informatica, forniscono all'interessato strumenti concreti per governare la circolazione dei propri dati sanitari.

Il dettaglio normativo: Quali sono le basi giuridiche e le garanzie previste dal GDPR e dalla normativa nazionale?

La liceità del trattamento dei dati sanitari nel FSE si fonda sull'art. 9, par. 2, lett. h) del GDPR (finalità di medicina preventiva, diagnosi, assistenza o terapia sanitaria) e sull'art. 9, par. 2, lett. i) del GDPR (motivi di interesse pubblico nel settore della sanità pubblica), in combinato disposto con la normativa nazionale, in particolare il D.L. 34/2020 (Decreto Rilancio). Fondamentali sono le Linee guida in materia di Fascicolo sanitario elettronico del Garante per la protezione dei dati personali, che definiscono le garanzie appropriate richieste. Tra queste figurano la separazione dei dati, l'uso della pseudonimizzazione dove possibile, policy di accesso granulari basate sui ruoli e la cifratura dei dati sia in transito che a riposo.

Se sei un consulente privacy, DPO o semplicemente un appassionato della materia iscriviti ad AIP ed avrai molti vantaggi e la possibilità di confrontarti con un network di professionisti italiani.