In questi giorni stanno emergendo alcuni dubbi e diverse polemiche sulla questione della “schedatura sanitaria” e di presunte violazioni della legge sulla Privacy. Soprattutto, per alcuni – qui un esempio – la questione sarebbe una ulteriore prova del tentativo di instaurare una dittatura sanitaria.

Ho verificato meglio la questione e cercherò di spiegarla con questo articolo, cercando di essere più semplice possibile nonostante la complessità della materia.

FSE: Cos’è la schedatura sanitaria

Iniziamo col capire di cosa si sta parlando. La schedatura sanitaria consiste in un documento chiamato “Fascicolo Sanitario Elettronico“, il quale altro non è che:

l’insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito, riferiti anche alle prestazioni erogate al di fuori del Servizio sanitario nazionale. È come un cassetto dove è riposta e ordinata tutta la tua documentazione sanitaria.

In particolare, il FSE è gestito a livello nazionale o regionale e, pertanto, può contenere i dati relativi ad eventi clinici che hanno avuto luogo in qualunque struttura sanitaria del territorio (nazionale o regionale) e può essere alimentato da ciascun medico operante in ognuna di queste strutture.

Il suddetto fascicolo è disciplinato nell’articolo 12 del decreto-legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221 e nel DCPM 29 settembre 2015, n. 178 recante il “Regolamento in materia di fascicolo sanitario elettronico”.

Le problematiche sono però sorte solo di recente, ossia quando il Governo, nell’articolo 11 del decreto legge «Rilancio» (n. 34/2020, pubblicato sulla Gazzetta Ufficiale del 19/5/2020), ha apportato delle modifiche all’FSE, in particolare abrogando l’art. 3 bis; in base a questo comma, il FSE poteva essere alimentato esclusivamente sulla base del consenso libero e informato da parte dell’assistito, il quale poteva decidere se e quali dati relativi alla propria salute dovevano essere inseriti nel fascicolo medesimo. C’era un diritto alla non raccolta di dati, all’oscuramento (totale o parziale) dei dati e anche un diritto all’oscuramento dell’oscuramento (non far sapere di avere chiesto la cancellazione di alcune informazioni).

L’abrogazione dell’obbligo di consenso informato per la raccolta dei dati comporta che, in assenza di esplicito dissenso, i dati potranno essere pubblicati sull’FSE. La conseguenza è dunque che l’abrogazione del comma 3-bis comporta la possibilità di alimentazione del fascicolo anche in assenza del consenso.

Diverse associazioni hanno sollevato polemiche su questa modifica, in quanto la nuova disciplina sarebbe in violazione della legge sulla privacy. E’ davvero così? Per capirlo è necessario ripercorrere in generale cosa dice la legge sulla privacy in tema di dati sanitari.

L’evoluzione della disciplina sulla privacy

La questione dei dati sensibili e della privacy è stata oggetto di una serie di interventi normativi in questi anni. Senza ripercorrere tutto nel dettaglio ma limitandoci a quello che ci serve per capire le criticità della nuova formulazione della schedatura sanitaria, ci basti sapere che il Codice della Privacy prevedeva in origine che tutti i dati sanitari, per poter essere trattati, dovevano essere sottoposti a un previo ed espresso consenso dell’interessato.

Questa disciplina è stata però in parte mitigata dal nuovo Regolamento sulla privacy, cosiddetto GDPR del 2018. In base all’art. 6 del GDPR, infatti, il consenso dell’interessato, che costituiva elemento centrale e necessario nella disciplina previgente, è stato affiancato ad altri 5 criteri alternativi. In particolare, per quel che interessa in questa sede – per una più ampia rassegna consiglio questo articolo – il GDPR prevede all’art. 9 due ipotesi specifiche – lettera h) e lettera i) – nelle quali il consenso al trattamento dei dati sanitari può essere omesso. Esse si verificano quando:

  • il trattamento è necessario per finalità di medicina preventiva o di medicina del lavoro, valutazione della capacità lavorativa del dipendente, diagnosi, assistenza o terapia sanitaria o sociale ovvero gestione dei sistemi e servizi sanitari o sociali sulla base del diritto dell’Unione o degli Stati membri o conformemente al contratto con un professionista della sanità, fatte salve le condizioni e le garanzie di cui al paragrafo 3 ;
  • il trattamento è necessario per motivi di interesse pubblico nel settore della sanità pubblica, quali la protezione da gravi minacce per la salute a carattere transfrontaliero o la garanzia di parametri elevati di qualità e sicurezza dell’assistenza sanitaria e dei medicinali e dei dispositivi medici, sulla base del diritto dell’Unione o degli Stati membri che prevede misure appropriate e specifiche per tutelare i diritti e le libertà dell’interessato, in particolare il segreto professionale

In presenza di tali casi, dunque, il consenso non è più necessario. Si precisa peraltro che si tratta di un Regolamento UE, il quale è direttamente applicabile negli Stati membri senza necessità di una legge statale di “ratifica”.

Schedatura sanitaria e privacy

Compresi i termini generali del problema, cerchiamo allora di capire se la schedatura sanitaria, per come modificata quest’anno, possa violare i principi del GDPR.

Bisogna infatti considerare che il trattamento dei dati personali finalizzato all’alimentazione del FSE costituisce un trattamento diverso e ulteriore rispetto a quello necessario per la cura del paziente; in quest’ottica, non sarà applicabile la condizione di cui all’art. 9, paragrafo 2, lett. h) del GDPR per il trattamento delle categorie particolari di dati personali e, in mancanza di altre condizioni applicabili, si dovrà ricorrere a quella di cui alla lett. a) dello stesso articolo consistente, per l’appunto, nell’acquisizione di un consenso esplicito dell’interessato.

Pertanto, la disposizione per cui l’esplicito consenso sarebbe stato cancellato dalla normativa pare violare i criteri stabiliti dal GDPR, e quindi potrebbe in effetti essere considerata illegittima.

D’altro canto, c’è anche chi considera che “è innegabile che, in alcune circostanze, la conoscenza di tali informazioni potrebbe risultare rilevante, o addirittura determinate, per un tempestivo intervento e, in alcuni casi, per la vita stessa del paziente o, comunque, per la qualità della vita“; in tale situazione, la necessità di quei dati potrebbe costituire una ragione per evitare il consenso esplicito dell’interessato.

In questa prospettiva sarebbe quindi lecito domandarsi se effettivamente l’utilizzo di un tale strumento possa ancora essere considerato non “necessario” e se tale utilizzo possa essere subordinato ad una esplicita manifestazione di volontà del paziente con la conseguenza che un paziente che non abbia la possibilità di manifestare una tale volontà risulterebbe essere privato di uno strumento che potrebbe concorrere alla tutela della sua integrità fisica .

Cibersecurity360.

Insomma: la questione appare controversa in punto di diritto e potrebbe rivelarsi opportuno un intervento del Garante della Privacy in merito. Quel che è certo è che la situazione non ha certo nulla a che fare con un possibile nuovo strumento del potere per instaurare una dittatura sanitaria: da un lato, come detto, la questione non è così chiara come molti la fanno e , dall’altro, è comunque prevista la possibilità per ogni soggetto di rifiutare il trattamento dei dati, circostanza che in ogni caso rende impossibile ragionare in termini di “imposizione dittatoriale”.

P.T.