Il Ministero della salute ha approvato il nuovo ecosistema dei dati sanitari definendo ruoli, regole, standard in materia di protezione dati personali e cybersecurity.
Il Ministro della Salute, di concerto con il Ministro dell’Economia e delle finanze e il Dipartimento della Trasformazione digitale definisce il perimetro del nuovo ecosistema dei dati sanitari nell’ottica di valorizzare il patrimonio informativo, guidare la trasformazione digitale dei servizi e garantire maggiore uniformità delle prestazioni nel territorio nazionale. Il decreto è frutto della preziosa collaborazione con il Garante per la protezione dei dati personali, che si era espresso con uno specifico parere critico e dall’Agenzia per la cybersicurezza nazionale. Il decreto di istituzione dell’Ecosistema dei dati sanitari ha il pregio di definire i contenuti dell’EDS, le modalità di alimentazione, i soggetti che ne hanno accesso, le operazioni eseguibili e le misure di sicurezza per assicurare i diritti degli interessati. L’Ecosistema dei dati sanitari digitali è alimentato dai dati del fascicolo sanitario e dai dati trasmessi dalle strutture sanitarie e sociosanitarie, dagli enti del Servizio sanitario nazionale e da quelli resi disponibili tramite il sistema Tessera sanitaria. Il decreto recepisce le osservazioni del Garante privacy espresse nel parere reso il 26 settembre 2024 e specifica che i dati oggetto di oscuramento ai sensi degli articoli 6 e 9 del decreto del 7 settembre 2023 non alimentano l’EDS. I dati sono elaborati dall’EDS al fine assicurare, su richiesta, appositi servizi mediante la ricerca, consultazione, estrazione e analisi dei dati, nonché specifici servizi di supporto alla compilazione del Profilo sanitario sintetico, al processo di cura e per la realizzazione del dossier farmaceutico specificatamente individuati nell’allegato A. I servizi sono realizzati su richiesta e non tramite sistemi automatizzati o attraverso il ricorso all’intelligenza artificiale. I dati e le informazioni contenute nell’ecosistema, compresi i dati sulle prescrizioni e somministrazioni dei farmaci, potranno essere utilizzati per finalità di prevenzione , per la finalità di profilassi internazionale, per finalità di governo, per finalità di studio e di ricerca, per erogare servizi per finalità di emergenze. Per la finalità di cura, previo consenso dell’assistito, l’EDS rende disponibili alle strutture sanitarie e socio-sanitarie e ai medici convenzionati, nonché agli esercenti le professioni sanitarie che prendono in cura l’assistito, anche al di fuori del SSN, l’insieme di servizi descritti nell’allegato A pertinenti alla finalità di cura , cui gli stessi accedono su propria iniziativa, nel rispetto dei principi di minimizzazione, necessità e pertinenza. I sopra citati soggetti che hanno in cura l’assistito possono accedere ai servizi dell’EDS per la finalità di cura, secondo i ruoli e i profili di autorizzazione di cui all’allegato A, previa dichiarazione che tale processo di cura è in atto al momento dell’accesso e assunzione della relativa responsabilità ai sensi dell’articolo 47 del decreto del Presidente della Repubblica 28 dicembre 2000, numero 445. Possono altresì accedere ai servizi dell’EDS per la finalità di cura, secondo i ruoli e i profili di autorizzazione di cui all’allegato A, i medici di medicina generale e pediatri di libera scelta, per la durata dell’assistenza, o il medico sostituto, per la durata della sostituzione. Al fine di favorire la qualità, il monitoraggio, l’appropriatezza nella dispensazione dei medicinali e l’aderenza alla terapia ai fini della sicurezza del paziente l’EDS rende disponibile, tra i servizi offerti, anche il dossier farmaceutico . L’EDS estrae i dati relativi a prescrizioni farmaceutiche, erogazioni di farmaci, come indicati nell’allegato A, dai documenti del FSE e dai dati resi disponili dal Sistema TS . Viene evidenziato che in nessun caso l’accesso al dossier farmaceutico potrà consentire , da parte di soggetti diversi dall’assistito, la consultazione di documenti oscurati ai sensi dell’articolo 9 del decreto FSE 2.0. 4. Il Ministero della salute è titolare del trattamento di elaborazione dei dati del dossier farmaceutico al fine di fornire servizi ai soggetti individuati negli articoli 13, 14, 15, 16 e 17 del decreto, secondo le pertinenti finalità perseguite e nel rispetto delle modalità di accesso ivi previste e in conformità all’allegato A del decreto. Previo consenso dell’assistito, l’EDS rende disponibili ai soggetti del SSN, agli esercenti le professioni sanitarie che hanno in cura l’assistito, o comunque gli prestano assistenza, un insieme di servizi descritti nell’allegato A pertinenti alla finalità di prevenzione, cui gli stessi accedono su propria iniziativa, nel rispetto dei principi di minimizzazione, necessità e pertinenza, secondo livelli diversificati di accesso. I soggetti del SSN e dei servizi sociosanitari , gli esercenti le professioni sanitarie che hanno in cura l’assistito o comunque gli prestano assistenza sanitaria, sono titolari del trattamento per finalità di prevenzione . Sono altresì titolari del trattamento per finalità di prevenzione le regioni attraverso gli uffici competenti in materia di prevenzione sanitaria nonché il Ministero della salute attraverso la Direzione generale competente in materia di prevenzione sanitaria. I soggetti sopracitati assicurano che sia autorizzato al trattamento, ai sensi dell’articolo 29 del regolamento UE numero 2016/679, esclusivamente il personale sanitario soggetto alle regole del segreto professionale. Il personale del Ministero della salute e delle regioni e province autonome che, per altre finalità, accede a flussi di dati pseudonimizzati non accede ai dati dell’EDS per finalità di prevenzione. La finalità del trattamento è perseguita esclusivamente attraverso l’EDS , che rende disponibili alle regioni e province autonome, attraverso gli uffici competenti in materia di prevenzione sanitaria e limitatamente ai propri assistiti, nonché alla direzione generale competente in materia di prevenzione sanitaria del Ministero della salute un insieme di servizi, descritti nell’allegato A, al fine di pianificare le attività di prevenzione in ambito regionale, attuate dalle competenti ASL, e in ambito nazionale. Il decreto individua il sistema privacy con precisione il Ministero della salute è titolare del trattamento dei dati raccolti e generati dall’EDS, mentre Agenas che ne cura la gestione organizzativa agisce in qualità di responsabile del trattamento per conto del predetto Ministero e che all’uopo si avvale, mediante la stipula di apposita convenzione, della società di cui all’articolo 83, comma 15, del decreto-legge 25 giugno 2008, numero 112, convertito, con modificazioni, dalla legge 6 agosto 2008, numero 133. Il decreto appro fondisce il profilo dei diritti degli interessati e delle informazioni sul trattamento rese in attuazione degli articoli 13 e 14 del regolamento UE numero 2016/679. Le informazioni, quale presupposto di liceità del trattamento , devono essere fornite all’assistito, da parte del Ministero della salute, delle regioni e province autonome, devono descrivere i trattamenti dei dati effettuati attraverso l’EDS. Al fine di assicurare una pie na comprensione degli elementi indicati nell’informativa , il titolare deve formare adeguatamente il personale coinvolto nel trattamento dei dati sugli aspetti rilevanti della disciplina relativa alla protezione dei dati, anche al fine di un più efficace rapporto con gli assistiti. Al fine di garantire all’interessato informazioni omogenee e uniformi nel territorio nazionale, il Ministero della salute, in collaborazione con le regioni e province autonome, integra il modello di informativa relativa al FSE, di cui all’articolo 7, comma 4 del decreto ministeriale 7 settembre 2023, con i trattamenti dei dati effettuati attraverso l’EDS, acquisendo il relativo parere dell’Autorità garante per la protezione dei dati personali. Per utilizzare i dati dell’EDS è necessario acquisire il consenso degli interessati , dopo che l’assistito ha preso visione dell’informativa e ha espresso, libero, specifico, informato e inequivocabile consenso anche disgiuntamente per le finalità di cura, diagnosi e riabilitazione, di prevenzione e di profilazione internazionale. Per i minori di età , i consensi di cui al comma 1 sono espressi da coloro che esercitano la responsabilità genitoriale. Al raggiungimento della maggiore età, i consensi devono essere confermati da un’espressa manifestazione di volontà del neo-maggiorenne, dopo aver preso visione dell’informativa. Viene prevista la possibilità di raccogliere i consensi attraverso diverse modalità online, presso strutture sanitarie, o tramite operatori autorizzati in un’ottica di flessibilità e concretezza occorrerà definire nei prossimi mesi questi aspetti gestionali amministrativi. Il decreto esamina per tipologia le conseguenze della revoca dei consensi all’elaborazione dei dati attraverso l’EDS. La verifica del consenso viene effettuata dall’EDS ad ogni richiesta di consultazione per le finalità di cui al comma 1, avvalendosi delle informazioni presenti in detta anagrafe, assicurando il pieno allineamento. L’assistito accede al proprio FSE ai sensi dell’articolo 11 del decreto ministeriale 7 settembre 2023, il quale espone i servizi dell’EDS dedicati all’assistito e individuati nell’allegato A. Su richiesta dell’assistito stesso l’EDS rende disponibili i servizi di elaborazione dei propri dati , descritti nell’allegato A. 3. L’EDS, su richiesta dell’assistito, produce un documento informatico, contenente le informazioni restituite da un servizio, firmato dal Ministero della salute. L’assistito è informato dell’accesso ai servizi dell’EDS che rilasciano dati in chiaro per tramite del servizio disciplinato all’articolo 22 del decreto ministeriale 7 settembre 2023. 2. Il Ministero della salute comunica le informazioni necessarie per la notifica di cui al comma 1 ai soggetti di cui all’articolo 22 del decreto ministeriale 7 settembre 2023. L’Ecosistema dei Dati che diventerà pienamente operativo entro il 31 marzo 2026 rappresenta una novità di importanza strategica che pone il nostro paese all’avanguardia in Europa nel percorso di condivisione di dati e valorizzazione dei dati provenienti da diversi fonti con la previsione di una complessa e articolata infrastruttura tecnologica e nel rispetto di adeguate misure di sicurezza a protezione delle persone. Il decreto nazionale si innesta in uno scenario più ampio disciplinato dal regolamento europeo dei dati sanitari nell’ottica di condivisione dei dati, esigenza condivisa da tutti i paesi e che nasce dall’esigenza di favorire la ricerca e di rispettare le scadenze previste dal PNRR.
Decreto 31 dicembre 2024 in G.U. del 5 marzo 2025, numero 53