FASCICOLO SANITARIO ELETTRONICO E PROTEZIONE DEI DATI PERSONALI: PROFILI DI COMPLIANCE

La progressiva digitalizzazione del settore sanitario ha condotto alla diffusione del Fascicolo Sanitario Elettronico (FSE), quale strumento volto a raccogliere e rendere accessibili, in formato digitale, i dati e i documenti sanitari relativi all’assistito. L’implementazione del FSE rappresenta un passaggio fondamentale per il miglioramento dell’efficienza del sistema sanitario e della continuità delle cure, ma pone al contempo rilevanti questioni in materia di protezione dei dati personali.

A livello Europeo, il trattamento dei dati contenuti nel FSE si colloca nell’ambito applicativo del Regolamento generale sulla protezione dei dati (GDPR), con particolare riferimento all’articolo 9, che disciplina le categorie particolari di dati personali, tra cui rientrano i dati relativi alla salute.

A livello nazionale, la disciplina del Fascicolo Sanitario Elettronico trova il proprio fondamento nell’articolo 12 del D.L. n. 179 del 18 ottobre 2012 nonché nel DPCM n. 178 del 29 settembre 2015, che ne regolano le modalità di istituzione, alimentazione e consultazione, individuandone le finalità riconducibili alle attività di cura, prevenzione e ricerca.

In tale contesto, il processo di evoluzione del Fascicolo sanitario elettronico, avviato anche attraverso interventi normativi più recenti e le misure del PNRR (c.d. “FSE 2.0”), mira a rafforzarne la condivisione dei dati tra i diversi sistemi sanitari, con conseguenti implicazioni in materia di protezione dei dati personali. Detta finalità è destinata a produrre indubbi benefici sotto il profilo organizzativo e assistenziale ma, allo stesso tempo, comporta rilevanti implicazioni in materia di protezione dei dati personali.

Sotto il profilo operativo, il Fascicolo Sanitario Elettronico (FSE) è l’insieme dei dati e dei documenti digitali di tipo sanitario e socio-sanitario, generati da eventi clinici presenti e trascorsi riguardanti l’assistito, riferiti anche alle prestazioni erogate al di fuori del Servizio sanitario nazionale.

Esso non va confuso con il dossier sanitario, che pure consiste in una raccolta di dati e documenti sanitari in formato digitale, ma che è formato con riferimento alle prestazioni erogate da una medesima struttura sanitaria ed è destinato alla condivisione delle informazioni solo tra i professionisti operanti al suo interno.

Rispetto al dossier sanitario, il FSE si caratterizza dunque per una funzione più ampia, non limitata alla dimensione interna della singola struttura.

Proprio tale funzione di raccolta e circolazione delle informazioni rende centrale il tema delle modalità di accesso al fascicolo sanitario elettronico. In primo luogo l’accesso ai dati contenuti nel FSE deve essere limitato ai soli soggetti autorizzati e per finalità strettamente connesse alla cura dell’interessato, in applicazione dei principi di minimizzazione, necessità e proporzionalità del trattamento.

In particolare, il trattamento dei dati è consentito per finalità di diagnosi, cura e riabilitazione, nonché per attività di prevenzione e profilassi, nel rispetto del segreto professionale.

In tale contesto, assume rilievo la corretta definizione dei profili di autorizzazione del personale sanitario, al fine di evitare accessi non giustificati o eccedenti rispetto alle funzioni svolte. L’accesso al fascicolo è consentito ai soggetti appartenenti al Servizio sanitario nazionale e regionale, nonché agli esercenti le professioni sanitarie che prendono in cura l’assistito, anche al di fuori del SSN, secondo livelli di autorizzazione differenziati.

Il sistema prevede, inoltre, specifiche funzionalità volte a consentire un accesso selettivo ai dati, anche in relazione a finalità diverse dalla cura (quali, ad esempio, finalità amministrative in ambito sanitario), nonché meccanismi di identificazione e autenticazione informatica degli utenti.

Particolare rilievo assume il ruolo dell’assistito, il quale presta un consenso all’attivazione del fascicolo una tantum, previa informativa, con possibilità di revoca in ogni momento.

L’assistito ha inoltre diritto di accedere liberamente ai propri dati, previa autenticazione (ad esempio tramite SPID, CNS o CIE), nonché di consultare i servizi sanitari online collegati al fascicolo. È altresì garantita la possibilità di oscurare specifici dati o documenti, che non saranno accessibili agli altri soggetti autorizzati.

Un ulteriore elemento centrale è rappresentato dalla tracciabilità degli accessi. I sistemi informatici devono essere in grado di registrare in modo puntuale le operazioni effettuate sul fascicolo sanitario elettronico, consentendo la verifica ex post delle attività svolte e l’individuazione di eventuali consultazioni non autorizzate.

In particolare, i sistemi devono garantire la registrazione degli accessi, delle operazioni effettuate e dell’identità dell’utente, attraverso adeguati meccanismi di identificazione e autenticazione informatica. Tali informazioni devono essere conservate per un periodo congruo e rese disponibili ai fini di eventuali controlli interni o verifiche da parte delle autorità competenti.

Tale aspetto è stato più volte evidenziato dal Garante per la protezione dei dati personali, che ha sottolineato l’importanza dell’adozione di sistemi di logging idonei a garantire la completa ricostruzione degli accessi ai dati sanitari e a prevenire utilizzi non conformi alle finalità di cura.

La tracciabilità degli accessi costituisce, pertanto, uno strumento essenziale non solo ai fini della sicurezza del trattamento, ma anche per assicurare il rispetto del principio di responsabilizzazione (accountability) del titolare del trattamento.

Alla luce di tali profili, l’implementazione del fascicolo sanitario elettronico richiede un approccio strutturato alla compliance, che impone alle strutture sanitarie di definire in modo puntuale ruoli e responsabilità, garantire la tracciabilità degli accessi, adottare adeguate misure di sicurezza e assicurare il rispetto dei diritti degli interessati.

Un esempio concreto: in un recente caso esaminato dal Garante per la protezione dei dati personali, sono state irrogate tre sanzioni da 10.000 euro ciascuna in relazione a un data breach che ha interessato il Portale del Fascicolo Sanitario Elettronico di un ente regionale.

La violazione, causata da una vulnerabilità del sistema di autenticazione, aveva consentito a un utente autenticato come “assistito”, mediante la manipolazione della URL, di accedere indebitamente a dati anagrafici, di residenza e domicilio, nonché a documenti e referti sanitari riferiti ad altri interessati. Nel corso dell’istruttoria, l’Autorità ha accertato carenze nelle verifiche sul software e nell’adozione di misure tecniche idonee a limitare l’accesso degli utenti alle sole informazioni di propria pertinenza (Newsletter del Garante per la protezione dei dati personali n. 531 del 31 gennaio 2025).

La diffusione del Fascicolo Sanitario Elettronico è una delle principali innovazioni del sistema sanitario. Quest’ultimo rappresenta uno strumento idoneo a garantire la continuità delle cure, l’efficienza dei servizi e la qualità dell’assistenza.

Tuttavia, la centralizzazione e la crescente circolazione di dati sanitari su larga scala comportano rilevanti criticità sotto il profilo della protezione dei dati personali.

In particolare, la diffusione e la condivisione di tali informazioni aumentano il rischio di violazioni dei dati personali (data breach), con potenziali impatti particolarmente significativi in ragione della natura dei dati trattati.

Il corretto bilanciamento tra innovazione tecnologica e tutela dei diritti fondamentali rappresenta, pertanto, la principale sfida per gli operatori del settore, chiamati a coniugare l’efficienza del sistema sanitario con elevati standard di sicurezza e riservatezza.

Avv. Sofia Lazzari

Associate

MFLaw Roma

Il presente documento non costituisce un parere ed è stato redatto ai soli fini informativi dei clienti di MFLaw e dei lettori del Magazine di MFLaw. È proprietà di MFLaw e non può essere divulgato a soggetti differenti dal destinatario, senza una preventiva autorizzazione scritta.