Scienza e Professione - (Daniele Zamperini Medico) - Fascicolo Sanitario Elettronico e cloud

Con il Decreto Legge 18 ottobre 2012, n. 179 recante “Ulteriori misure urgenti per la crescita del Paese” (c.d. Decreto Crescita 2.0)[1], convertito con emendamenti dalla legge 17 dicembre 2012, n. 221, viene introdotto nel nostro ordinamento con pieno valore di norma ordinaria l’istituto del Fascicolo Sanitario Elettronico.
Un contributo dell' Avv. Chiara Rabbito

E’ l’art. 12, inserito nella Sezione IV, rubricata, con slancio innovativo, “Sanità digitale”, che prevede e disciplina il FSE, definendolo quale “l'insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l'assistito”.

Non si tratta di una definizione di particolare originalità in quanto essa riecheggia interamente quella presente nei precedenti disegni di legge che se ne occupavano, i quali tuttavia non erano riusciti a conseguire dignità legislativa.
Il percorso formativo del FSE include infatti altre due tappe di rilievo: la presentazione alla Camera, il 7 aprile del 2011 di un disegno di legge da parte del Ministro della Salute Fazio riguardante “Sperimentazione clinica e riforma degli ordini delle professioni sanitarie” – durante il governo Berlusconi - e la presentazione di un decreto legge recante “Disposizioni urgenti per promuovere lo sviluppo del paese mediante un più alto livello di salute” – durante il governo Monti – da parte del Ministro della Salute Balduzzi[2].

Per quanto concerne il disegno di legge Fazio, il titolo III era rubricato: “Sanità elettronica” e, in caso di approvazione della norma, sarebbe stata la prima volta dell’utilizzo dell’espressione “Sanità elettronica” in un testo di legge che disciplina il nostro Servizio Sanitario Nazionale.
L’articolo 12 del citato titolo si occupava specificamente del Fascicolo elettronico e lo definiva appunto come “l’insieme dei dati e documenti digitali di tipo sanitario e sociosanitario generati da eventi clinici presenti e trascorsi, riguardanti l’assistito”.
Definizione questa peraltro molto vicina a quelle contenute nei primi due pronunciamenti, non aventi valore di norma, ma ugualmente di grande rilevanza istituzionale, che si sono occupati - molto prima del legislatore ordinario - del FSE: le Linee guida del Garante della privacy[3] e le Linee guida del Ministero della Salute[4].

Molto opportunamente, l’Autorità Garante, rilevata “l’esigenza di individuare misure e accorgimenti necessari e opportuni da porre a garanzia dei cittadini interessati”, ha avviato nel marzo 2009 una consultazione pubblica relativa al Fascicolo sanitario elettronico, consultazione rivolta a tutti i soggetti e le categorie interessate, in particolare sottoposta all’attenzione “degli organismi e professionisti sanitari pubblici e privati, dei medici di medicina generale e dei pediatri di libera scelta, degli organismi rappresentativi di operatori sanitari e delle associazioni di pazienti interessati”.
Il provvedimento contenente le Linee guida, originariamente adottato dall'Autorità il 22 gennaio 2009 e poi sottoposto a pubblica consultazione al fine di acquisire riscontri e osservazioni da far pervenire all’Autorità entro il 31 maggio, ha portato alla deliberazione in via definitiva delle “Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario” in data 16 luglio 2009.
Del FSE, il Garante dà una prima descrizione secondo la quale si tratta di un “fascicolo formato con riferimento a dati sanitari originati da diversi titolari del trattamento operanti più frequentemente, ma non esclusivamente, in un medesimo ambito territoriale”.
In base alle Linee guida, scopo del “Fascicolo sanitario elettronico” sarà “la condivisione informatica, da parte di distinti organismi o professionisti, di dati e documenti sanitari che vengono formati, integrati e aggiornati nel tempo da più soggetti, al fine di documentare in modo unitario e in termini il più possibile completi un’intera gamma di diversi eventi sanitari riguardanti un medesimo individuo e, in prospettiva, l’intera sua storia clinica”.

Alla luce della funzione attribuita a tali strumenti, il Garante arriva quindi alla conclusione che “il FSE” conterrà “diverse informazioni inerenti allo stato di salute di un individuo relative ad eventi clinici presenti e trascorsi (es.: referti, documentazione relativa a ricoveri, accessi al pronto soccorso), volte a documentarne la storia clinica” e che i suoi dati personali saranno “collegati tra loro con modalità informatiche di vario tipo che ne rendono, comunque, possibile un’agevole consultazione unitaria da parte dei diversi professionisti o organismi sanitari che prendono nel tempo in cura l'interessato”.
Tale previsione è confermata dal comma 3 dell’art. 2 del Decreto Crescita 2.0, il quale stabilisce: “Il FSE è alimentato in maniera continuativa, senza ulteriori oneri per la finanza pubblica, dai soggetti che prendono in cura l'assistito nell'ambito del Servizio sanitario nazionale e dei servizi socio-sanitari regionali, nonché, su richiesta del cittadino, con i dati medici in possesso dello stesso”.
La concreta attuazione sotto il profilo tecnico del FSE è tuttavia affidata ad un regolamento di cui si attende l’emanazione e che fisserà: “i contenuti del FSE, i limiti di responsabilità e i compiti dei soggetti che concorrono alla sua implementazione, i sistemi di codifica dei dati, le garanzie e le misure di sicurezza da adottare nel trattamento dei dati personali nel rispetto dei diritti dell'assistito, le modalità e i livelli diversificati di accesso al FSE (…), la definizione e le relative modalità di attribuzione di un codice identificativo univoco dell'assistito che non consenta l'identificazione diretta dell'interessato, i criteri per l'interoperabilità del FSE a livello regionale, nazionale ed europeo, nel rispetto delle regole tecniche del sistema pubblico di connettività”.

Nella attesa della effettiva attuazione sotto il profilo funzionale del FSE, occorre tuttavia soffermarsi su alcuni aspetti di carattere prudenziale che riguardano il trattamento dei dati, specie in considerazione della loro particolare necessità di tutela in quanto dati sanitari.
Come è ormai arcinoto siamo in piena era “cloud”.
Per cloud (computing), come si sa, si intende un insieme di tecnologie che permettono, grazie al servizio offerto da un provider, di memorizzare e archiviare o di elaborare dati grazie all'utilizzo di risorse hardware e software distribuite, presenti in rete e disponibili in modalità virtuale: utilizzando la tecnologia del cloud computing gli utenti collegati ad un cloud provider possono svolgere tutte una serie di funzioni tramite un semplice internet browser.
Si possono utilizzare software remoti non direttamente installati sul proprio computer e salvare dati su memorie di massa on-line predisposte dal provider stesso.
Si tratta di soluzioni tecnologiche indubbiamente entusiasmanti ma a cui ricorrere, in considerazione delle caratteristiche intrinseche a tale sistema, con misura e prudenza quando si trattano dati di particolare delicatezza, come i dati sensibili e i dati sanitari.
Il Garante della privacy si è già pronunciato opportunamente in merito, mettendo in guardia gli utenti dai rischi “della nuvola”.

Nel documento “Cloud computing: proteggere i dati per non cadere dalle nuvole” - maggio 2012, il Garante privacy raccoglie una serie di raccomandazioni a tutela dell’utente medio, spesso non pienamente informato dal provider con cui ha stipulato il contratto di tutti i passaggi intermedi che i suoi dati finiscono per compiere “nella nuvola” (o da nuvola a nuvola…).
In particolare, il Garante si raccomanda di fare attenzione ai gestori di servizi intermedi: “il servizio prescelto potrebbe essere il risultato finale di una catena di trasformazione di servizi acquisiti presso altri service provider, diversi dal fornitore con cui l’utente stipula il contratto di servizio; l’utente a fronte di filiere di responsabilità complesse potrebbe non sempre essere messo in grado di sapere chi, dei vari gestori dei servizi intermedi, può accedere a determinati dati”.
Come facilmente intuibile, l’utilizzo del cloud può comportare il trasferimento dei nostri dati in altri Stati, anche non appartenenti all’Unione europea.
A questo proposito va ricordato che il Codice della privacy, all’art. 45, vede con particolare sfavore il trasferimento dei dati in Paesi che non garantiscano un livello di protezione dei dati equiparabile a quello italiano[5].
Date queste premesse, per dati di particolare delicatezza, quali i dati sensibili e i dati sanitari, è sicuramente opportuno strutturare alcuni trattamenti secondo logiche in house, anziché affidarsi alla tecnologia cloud[6].

IL FSE attende per ora una compiuta regolamentazione. Ma di esso conosciamo la natura di “insieme logico di informazioni e documenti sanitari”, alimentato da più attori (aziende sanitarie, aziende ospedaliere, esercenti le professioni sanitarie) e tecnicamente finalizzato alla “condivisione informatica, da parte di distinti organismi o professionisti, di dati e documenti sanitari che vengono formati, integrati e aggiornati nel tempo da più soggetti, al fine di documentare in modo unitario e in termini il più possibile completi un’intera gamma di diversi eventi sanitari riguardanti un medesimo individuo e, in prospettiva, l’intera sua storia clinica”.
L’auspicio è che questo strumento, di indubbia utilità per tutti noi pazienti nel prossimo futuro, sia quanto più possibile affidabile, che si appoggi alle nuove “nuvole” tecnologiche se e nella misura in cui sicurezza e affidabilità consentono.

Note

[1] Gazzetta Ufficiale 18 dicembre 2012, n. 294.

[2] Decreto legge recante disposizioni urgenti per promuovere lo sviluppo del paese mediante un più alto livello di tutela della salute del 10 agosto 2012, presentato alle Regioni il 24 agosto, all'approvazione del Consiglio dei Ministri il 31 agosto 2012. Il decreto legge è stato approvato dal Consiglio dei Ministri, ma le norme relative al Fascicolo Sanitario Elettronico ne sono state stralciate.

[3] Luglio 2009.

[4] Novembre 2010.

[5] Art. 45. Trasferimenti vietati: 1. Fuori dei casi di cui agli articoli 43 e 44, il trasferimento anche temporaneo fuori del territorio dello Stato, con qualsiasi forma o mezzo, di dati personali oggetto di trattamento, diretto verso un Paese non appartenente all'Unione europea, è vietato quando l'ordinamento del Paese di destinazione o di transito dei dati non assicura un livello di tutela delle persone adeguato. Sono valutate anche le modalità del trasferimento e dei trattamenti previsti, le relative finalità, la natura dei dati e le misure di sicurezza.

[6] Si legga in merito l’interessante articolo: M. Selam, S. Ungaro, “Il Cloud nelle strategie dell’Agenda digitale italiana”, Il Documento digitale, anno I, numero I, 2012.