Pubblicato il

Coronavirus: Garante privacy, su social e media troppi dettagli sui malati

Il Garante per la protezione dei dati personali sta ricevendo segnalazioni e reclami con i quali viene lamentata, da parte dei famigliari, la diffusione sui social e sugli organi di stampa, anche on line, di dati personali eccessivi (nome, cognome, indirizzo di casa, dettagli clinici) riguardanti persone risultate positive al Covid 19.

Anche in una situazione di emergenza quale quella attuale, in cui l’informazione mostra tutte le sue caratteristiche di servizio indispensabile per la collettività, non possono essere disattese alcune garanzie a tutela della riservatezza e della dignità delle persone colpite dalla malattia contenute nella normativa vigente e nelle Regole deontologiche relative all’attività giornalistica.

Si ritiene pertanto doveroso richiamare l’attenzione di tutti gli operatori dell’informazione al rispetto del requisito dell’”essenzialità” delle notizie che vengono fornite, astenendosi dal riportare i dati personali dei malati che non rivestono ruoli pubblici, per questi ultimi nella misura in cui la conoscenza della positività assuma rilievo in ragione del ruolo svolto.

In ogni caso devono essere evitati riferimenti particolareggiati alla situazione clinica delle persone affette dalla malattia come prescrive l’art. 10 delle Regole deontologiche citate.

Tali cautele − che non pregiudicano comunque un’informazione efficace sullo stato dell’epidemia o eventuali comunicazioni che le autorità sanitarie e la protezione civile ritengano necessario fare sulla base della normativa emergenziale vigente − operano a prescindere dalla circostanza che i dati siano resi disponibili da enti o altri soggetti detentori dei dati medesimi ed inoltre salvaguardano le tante persone risultate positive al virus, e poi guarite, da una “stigmatizzazione” permanente, resa possibile dalla diffusione delle notizie sulla rete.

L’obbligo di rispettare la dignità e la riservatezza dei malati vige anche per gli utenti dei social, a cominciare da alcuni amministratori locali, che spesso diffondono dati personali di persone decedute o contagiate senza valutarne interamente le conseguenze per gli interessati e per i loro famigliari.

Roma, 31 marzo 2020

Fonte: Garante Privacy

Pubblicato il

“Tracciamento contagi coronavirus, ecco i criteri da seguire” – Intervento di Antonello Soro – AgendaDigitale

29 Marzo 2020

“Tracciamento contagi coronavirus, ecco i criteri da seguire”
Non è vero che la privacy è il lusso che non possiamo permetterci in questo tempo difficile, perché essa consente tutto ciò che è ragionevole, opportuno e consigliabile fare per sconfiggere il coronavirus. La chiave è nella proporzionalità, lungimiranza e ragionevolezza dell’intervento. Oltre che nella sua temporaneità
Intervento di Antonello Soro, Presidente del Garante per la protezione dei dati personali
(“Agenda Digitale”, 29 marzo 2020)

L’Italia, l’Europa, il mondo, stanno affrontando un’emergenza sanitaria senza precedenti per dimensioni, gravità, persino imprevedibilità degli esiti.

Un virus ignoto, che con il “salto di specie” si è trovato a percorrere il globo, portato dall’uomo da un lato all’altro del pianeta, ci ha messi di fronte alla nostra vulnerabilità, costringendoci in maniera tanto radicale quanto improvvisa a una vera e propria rivoluzione in abitudini, comportamenti, convinzioni e persino auto-percezioni.

Le doverose misure di distanziamento sociale hanno finito per ridisegnare tempi e spazi di vita che pensavamo graniticamente definiti e scanditi da abitudini e usi consolidati.

Con le sue straordinarie potenzialità, la tecnologia ci è venuta in soccorso annullando le distanze fisiche e ricreando, nello spazio digitale, luoghi di incontro, di confronto, di dialogo, persino di formazione, come per le classi virtuali.

L’esigenza di contenimento del contagio ha imposto, in ciascuno di noi, una tolleranza che forse mai avremmo immaginato di poter avere, rispetto a doverose ma significative rinunce e restrizioni di vari diritti e libertà. Sicuramente più evidenti sono apparse le misure limitative di diritti quali quelli alla libera circolazione, al lavoro, all’iniziativa economica e la stessa libertà personale, perché dall’impatto più tangibile sulle nostre abitudini e sui nostri stili di vita. Quella particolarissima componente della nostra società che è la popolazione detenuta, poi ha dovuto rinunciare alla maggior parte delle attività di risocializzazione in un contesto di grande preoccupazione per la stessa incolumità individuale.

L’impatto del coronavirus sulla privacy

Meno evidenti, ma non per questo irrilevanti, sono invece apparse le limitazioni della privacy che ciascuno di noi, in questo contesto, deve tollerare: dalla dichiarazione dei propri spostamenti ogniqualvolta se ne venga richiesti alle videoriprese di sé (e di quanti capitino nel raggio dell’occhio elettronico) nell’ambito delle riunioni o lezioni on-line, imposteci dall’esigenza di garantire il lavoro o la formazione a distanza.

Si tratta di limitazioni tra loro eterogenee e preordinate a fini diversi: nell’esempio, l’una volta a contenere gli spostamenti per evitare i contagi e l’altra tesa a consentire lo svolgimento, con modalità innovative, delle nostre attività quotidiane (il lavoro, la scuola, ecc.). Ma, in entrambi i casi, ad essere limitato è lo stesso diritto alla protezione dei dati personali, sancito come fondamentale diritto di libertà dalla Carta di Nizza, proprio perché presupposto di ogni altro diritto nella società digitale.

Nonostante la centralità della protezione dati nella vita individuale e collettiva, le sue limitazioni ci appaiono spesso meno percepibili di quelle relative ad altri diritti. Il dovere di giustificazione dei propri spostamenti ben può apparirci, in fondo, meno incisivo dell’obbligo di permanenza domiciliare. E assai meno tangibili possono sembrarci le implicazioni della geolocalizzazione dei nostri dispositivi mobili (una “protesi” della persona, come efficacemente li descrisse la Corte suprema americana) per realizzare quel contact tracing di cui tanto si parla in questi giorni.

Eppure, la mappatura costante dei nostri movimenti, delle persone con le quali, per le più varie ragioni, veniamo in contatto, non è una misura esattamente irrilevante per la nostra vita privata e per la nostra stessa percezione di libertà. Non lo è, a maggior ragione, un drone che sorveglia costantemente il cielo, benché- sarebbe bene precisarlo – dovrebbe limitarsi a segnalare ‘impersonali’ assembramenti e non riprendere scene di vita quotidiana.

E tuttavia, benché non desiderabili, anche le limitazioni del diritto alla protezione dati, se proporzionate e temporanee, rappresentano in questo momento il prezzo da pagare per tutelare l’incolumità di tutta la collettività e, in particolar modo, delle sue frange più vulnerabili. La vera difficoltà da affrontare è comprendere quale sia il grado di limitazione dei diritti strettamente necessario a garantire tale scopo, comprimendo le libertà quel tanto (e nulla più) che sia ritenuto indispensabile. Ma entro questo confine, nel doveroso e costante bilanciamento tra diritti contrapposti, si realizza la virtuosa sinergia tra le istanze personaliste e quelle solidariste che sono tra le più nobili radici della nostra Costituzione. Non esistono – come ha ricordato più volte la Consulta – diritti tiranni: essi vivono in equilibrio dinamico e duttile, capace di adeguarsi alle esigenze di volta in volta manifestate dalla realtà sociale.

La protezione dati, se possibile, ancora di più. E’, infatti, un diritto inquieto perché in costante dialettica con una tecnica mai eguale a se stessa, ma anche con i molteplici interessi, individuali e collettivi, che di volta in volta ne lambiscono i confini. Se, dunque, la sua funzione sociale è la forza più grande della protezione dati, mai come oggi essa si rivela indispensabile, rappresentando il punto di equilibrio tra libertà e tecnica, tra persona e società, il presupposto della tenuta della democrazia anche in circostanze eccezionali.

Non si dica, dunque, che la privacy è il lusso che non possiamo permetterci in questo tempo difficile, perché essa consente tutto ciò che è ragionevole, opportuno e consigliabile fare per sconfiggere questo male oscuro.

La protezione dati strumento anti-coronavirus

Non solo: la protezione dati può persino essere uno strumento utilissimo nell’azione di contrasto dell’epidemia, quando quest’azione sia fondata su dati e algoritmi, dei quali va garantita  esattezza, qualità e revisione “umana”, ove necessario, come nel caso di decisioni automatizzate errate perché fondate su bias.  

In questa prospettiva deve essere analizzata anche la proposta della geolocalizzazione dei soggetti positivi per meglio analizzare l’andamento epidemiologico o per ricostruire la catena dei contagi.

I criteri da seguire per la geolocalizzazione contagiati coronavirus

Molteplici essendo le modalità di attuazione di questa misura, i Governi dovrebbero anzitutto orientarsi secondo un criterio di gradualità e dunque valutare se le soluzioni meno invasive possano essere sufficienti a fini di prevenzione. In tal senso, non pone particolari problemi l’acquisizione di trend, effettivamente anonimi, di mobilità.

Laddove, invece, si intendesse acquisire dati identificativi, sarebbe necessaria una previsione normativa ad efficacia temporalmente limitata, dotata di adeguate garanzie e, soprattutto, conforme al principio di proporzionalità, che impone anzitutto un’analisi sullo scopo della raccolta dei dati.

Andrebbe effettuata, in questo senso, un’analisi preliminare dell’effettiva idoneità della soluzione scelta a conseguire risultati utili nell’azione di contrasto, in ordine proporzionale alle esigenze perseguite e sempre che misure meno invasive non debbano ritenersi idonee a conseguire i risultati sperati.

Così, la valutazione relativa alla geolocalizzazione quale strumento di ricostruzione della catena epidemiologica non può prescindere da un’analisi circa la fase, che dovrebbe ragionevolmente conseguirne, dell’accertamento sanitario dei soggetti così individuati quali potenziali contagiati. Si possono raccogliere, infatti, tutti i dati possibili sui potenziali portatori (sani o meno che siano), ma se poi per mille motivi non si hanno le risorse per accertarne l’effettiva positività, temo che non andremmo molto lontano.

Qualunque sia il progetto che si scelga di realizzare, è importante, però, considerare che nella complessa filiera in cui si articolerebbe il contact tracing, soggetti privati quali i gestori delle infrastrutture tecnologiche dovrebbero porre il patrimonio informativo di cui dispongono a disposizione dell’autorità pubblica.

A quest’ultima, invece, dovrebbe essere riservata la fase dell’analisi dei dati (e dell’eventuale reidentificazione), che per la sua maggiore rischiosità necessita delle garanzie e della responsabilità degli organi dello Stato. In ogni caso, le società coinvolte in questo progetto dovrebbero possedere idonei requisiti di affidabilità e trasparenza di azione.

Vanno studiate, dunque, modalità e ampiezza delle misure da adottare in vista della loro efficacia, gradualità e adeguatezza, senza preclusioni astratte o tantomeno ideologiche, ma anche senza improvvisazioni o velleitarie deleghe, alla sola tecnologia, di attività tanto necessarie quanto complesse.

In conclusione

Il nostro Paese, pur non nuovo a circostanze difficilissime, affronta in queste settimane la prova più difficile dal secondo dopoguerra. Ma l’esperienza passata -penso soprattutto agli anni di piombo – pur con tutte le sue differenze, conferma che, se gestita con “metodo democratico”, anche l’emergenza può risolversi in una parentesi destinata a lasciare inalterata- persino per certi versi più forte- la nostra democrazia.

La chiave è nella proporzionalità, lungimiranza e ragionevolezza dell’intervento, oltre che naturalmente nella sua temporaneità. Il rischio che dobbiamo esorcizzare è quello dello scivolamento inconsapevole dal modello coreano a quello cinese, scambiando la rinuncia a ogni libertà per l’efficienza e la delega cieca all’algoritmo per la soluzione salvifica. Così, una volta cessata quest’emergenza, avremo anche forse imparato a rapportarci alla tecnologia in modo meno fideistico e più efficace, mettendola davvero al servizio dell’uomo.

Fonte: Garante Privacy

Pubblicato il

Soro: “Sì al tracciamento dei contatti ma con un decreto temporaneo”

26 Marzo 2020

Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Andrea Iannuzzi, “La Repubblica” – 26 marzo 2020)

Tra le strategie messe in campo dal governo per contenere il contagio da coronavirus c’è il cosiddetto contact tracing digitale, cioè l’uso dei dispositivi mobili dei cittadini per la mappatura e il tracciamento dei soggetti entrati in contatto con persone infette: il modello coreano. Ma come si assicura la tutela della privacy e dei dati personali? Il Garante della privacy Antonello Soro, con il suo team di esperti, è al lavoro per conciliare tutte le esigenze: “Non si tratta – dice a Repubblica – di sospendere la privacy, ma di adottare strumenti efficaci di contenimento del contagio, pur sempre nel rispetto dei diritti dei cittadini”.

C’è bisogno di uno strumento legislativo ad hoc per attuare questo protocollo? Quale?

“La disciplina di protezione dei dati coniuga esigenze di sanità pubblica e libertà individuale, con garanzie di correttezza e proporzionalità del trattamento. Ma una misura quale il contact tracing, che incide su un numero elevatissimo di persone, ha bisogno di una previsione normativa conforme a questi principi. Un decreto-legge potrebbe coniugare tempestività della misura e partecipazione parlamentare. Va da sé che la durata deve essere strettamente collegata al perdurare dell’emergenza”.

Come si evitano gli abusi nel trattamento dei dati? Come ci si difende da intrusioni malevole?

“La nostra disciplina offre gli strumenti per minimizzare il pericolo di abusi, secondo i principi di precauzione e prevenzione, che impongono misure di sicurezza e garanzie di protezione dati già nella fase di progettazione e impostazione della struttura tecnologica. Rispettando questi criteri, si può valorizzare al massimo grado l’innovazione”.

Si può immaginare uno scambio di dati criptato o anonimizzato?

“Lo scambio e, prima ancora, la raccolta dei dati devono avvenire nel modo meno invasivo possibile per gli interessati, privilegiando l’uso di dati pseudonimizzati (ove non addirittura anonimi), ricorrendo alla reidentificazione laddove vi sia tale necessità, ad esempio per contattare i soggetti potenzialmente contagiati. Nella complessa filiera in cui si articolerebbe il contact tracing, soggetti privati – a partire dalle grandi piattaforme – dovrebbero porre il patrimonio informativo di cui dispongono a disposizione dell’autorità pubblica, alla quale dovrebbe invece essere riservata la fase dell’analisi dei dati, che necessita delle garanzie e della responsabilità degli organi dello Stato. In ogni caso, le società coinvolte in questo progetto dovrebbero possedere requisiti di affidabilità e trasparenza di azione. Nella valutazione è fondamentale il vaglio di conformità ai requisiti di protezione dati, per la garanzia dei diritti degli interessati, per l’attendibilità dell’analisi dei dati e anche per la sicurezza nazionale. Non sottovaluterei l’odierno richiamo in proposito da parte del Copasir”.

Come si potrà poi tornare alla “normalità” una volta finita emergenza?

“La chiave è nella proporzionalità, lungimiranza e ragionevolezza degli interventi, oltre che nella loro temporaneità. Il rischio che dobbiamo esorcizzare è quello dello scivolamento inconsapevole dal modello coreano a quello cinese, scambiando per efficienza la rinuncia a ogni libertà e la delega cieca all’algoritmo per la soluzione salvifica”.

Fonte: Garante Privacy

Pubblicato il

Un’app per la salute grazie a precise deroghe alla privacy – Intervista ad Antonello Soro

Intervista ad Antonello Soro, Presidente del Garante per la protezione dei dati personali
(di Paolo Russo, “La Stampa” – 25 marzo 2020)

Prima di rispondere alle domande sui rischi sottesi all’utilizzo di App che traccino i nostri movimenti per fermare l’epidemia, il Garante della privacy, Antonello Soro ci tiene a mettere alcuni punti sulle i. “Ho letto interviste sprezzanti in merito al diritto alla privacy. Abbiamo detto mille volte che quel diritto, anche nella sua declinazione digitale di protezione dei dati, soggiace a delle limitazioni a fronte di un interesse collettivo, a maggior ragione in questa fase drammatica. L’equilibrio tra diritti individuali e della collettività è sancito dalla Costituzione”. “Però – aggiunge – le deroghe non devono diventare un punto di non ritorno”.

Ma non c’è comunque il rischio che un Grande Fratello finisca per controllare ogni nostro movimento?

“Sento parlare molto di modello coreano. Se significa definizione di un protocollo di tracciamento precoce dei positivi e delle persone che sono venute a contatto con loro, oltre che un controllo sul rispetto della quarantena, non avrei obiezioni. Purché a questo seguano poi test mirati, ma diffusi su tutti coloro che sono stati esposti a rischio di contagio e si garantiscano al contempo le adeguate protezioni al personale sanitario. Ma serve un governo unitario delle operazioni. Non è il momento delle improvvisazioni”.

A chi si riferisce?

“Alle iniziative estemporanee di alcuni Comuni e Regioni dove si ipotizzano esperimenti scoordinati e incontrollati, che possono generare confusione”.

A chi spetterebbe la regia e la gestione dei dati?

“Potrebbe essere la Protezione civile affiancata da un team di esperti. Ma spetterà al governo decidere. L’importante è che la regia sia unica e che competa a una autorità pubblica, dotata delle giuste competenze necessarie ad analizzare e utilizzare al meglio i dati. Anche per gestire la successiva fase dei test mirati”.

Si parla anche di un coinvolgimento di big player con Google e Facebook, che in passato hanno utilizzato in modo un po’ spregiudicato queste informazioni.

“Dipende dal ruolo che avranno. Un conto è consentire al regista pubblico di utilizzare le loro piattaforme per raccogliere informazioni secondo procedure e norme di garanzia ben definite. Un altro è offrire loro un’altra occasione per raccogliere dati sensibili. In tal caso andremmo proprio nella direzione sbagliata”.

Chi ci assicura che queste deroghe al diritto alla privacy cessino finita l’emergenza?

“La scadenza deve essere definita in partenza e dovrà coincidere con la fine dello stato di emergenza proclamato dal governo a febbraio. Spetterà all’Autorità garante il compito di vigilare e quando necessario irrogare sanzioni. Che possono arrivare al 4% del fatturato. So che molti dicono “ma tanto già oggi le grandi piattaforme utilizzano come vogliono i nostri dati”. Credo che la spinta dell’emergenza aiuterà a individuare, anche a livello internazionale, forme più efficaci di regolazione contro lo strapotere dei big player del web”.

Le informazioni raccolte serviranno anche a offrire servizi di assistenza e telemedicina a chi è in quarantena. Chi garantisce che dati sensibili sulla nostra salute non vengano poi utilizzati per altro?

“Conta sempre chi deve raccoglierli e poi utilizzarli. Se spetta a una autorità pubblica trasparente va bene. Se vengono affidati a una gestione casuale, magari per diffonderli in Rete no. Ci sono alcuni consiglieri comunali che hanno messo on line nome e cognome dei contagiati creando discriminazioni inaccettabili”.

In conclusione è così difficile in momenti come questi far convivere due diritti come quello alla salute e alla privacy?

“No, se rispettiamo un principio fondamentale della democrazia, la proporzionalità. Che è garantito quando un sistema anche invasivo è comunque finalizzato all’interesse generale di tutela della salute. Purché la raccolta di informazioni non ecceda rispetto alle necessità e avvenga dentro un processo ben normato, controllato e soprattutto a termine”.

Fonte: Garante Privacy

Pubblicato il

Parere sulle modalità di consegna della ricetta medica elettronica

Registro dei provvedimenti n. 58 del 19 marzo 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito Regolamento);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

CONSIDERATI i termini per il rilascio dei pareri di cui all’art. 36, par. 4 del Regolamento (art. 156, comma 5 del Codice e Regolamento del Garante n. 2/2019);

CONSIDERATA l’emergenza epidemiologica da COVID-19 con riferimento alla quale lo schema di decreto sottoposto al parere dell’Autorità prevede che, fino al perdurare dello stato di emergenza epidemiologica da COVID-19, per quanto concerne la ricetta dematerializzata di cui al decreto 2 novembre 2011, restano ferme le disposizioni definite dalle Ordinanze della Protezione Civile;

RITENUTO che le suddette ragioni di urgenza non permettono allo stato la convocazione in tempo utile del Collegio del Garante;

RITENUTO quindi che ricorrono i presupposti per l’applicazione dell’art. 5, comma 8, del Regolamento n. 1/2000 sull’organizzazione e il funzionamento dell’ufficio del Garante, il quale prevede che «Nei casi di particolare urgenza e di indifferibilità che non permettono la convocazione in tempo utile del Garante, il presidente può adottare i provvedimenti di competenza dell’organo, i quali cessano di avere efficacia sin dal momento della loro adozione se non sono ratificati dal Garante nella prima riunione utile, da convocarsi non oltre il trentesimo giorno»;

VISTA la documentazione in atti;

PREMESSO

Con nota del 26 febbraio 2020 (prot. n. 31705), il Ministero dell’Economia e delle Finanze (Mef) ha trasmesso, ai sensi dell’art. 36, par. 4 del Regolamento, uno schema di decreto che modifica il d.m. 2 novembre 2011, estendendo la disciplina relativa alla dematerializzazione delle ricette mediche ad ulteriori categorie di prescrizioni.

Successivamente, con nota del 17 marzo 2020 (prot. n. 39766), il Ministero dell’Economia e delle Finanze ha trasmesso una nuova versione dello schema di decreto che apporta ulteriori modifiche al predetto decreto ministeriale del 2 novembre 2011 individuando i canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica, le cui modalità attuative saranno stabilite in un successivo decreto del medesimo Dicastero da adottarsi di concerto con il Ministero della salute, sentito il Garante.

Con riguardo alle disposizioni in materia di ricetta dematerializzata, nell’ultima versione dello schema di decreto inviata al Garante, il Mef, in ragione all’emergenza epidemiologica da COVID-19, ha disposto che, fino al perdurare del predetto stato di emergenza, sono valide le specifiche disposizioni definite dalle Ordinanze della Protezione Civile.

RILEVATO

La prima versione dello schema di decreto inviato al Garante prevede la modifica del decreto 2 novembre 2011, concernente la dematerializzazione delle ricette mediche, estendendo la prescrizione dematerializzata a tre nuove categorie di prescrizioni.

La versione dello schema di decreto in esame inviata il 17 marzo 2020 ha individuato anche i canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica (c.d. “promemoria dematerializzato”), le cui modalità attuative saranno stabilite in un successivo decreto dello stesso Dicastero, da adottare di concerto con il Ministero della salute, sentito il Garante. Tale ultima versione ha anche previsto che, fino al perdurare dello stato di emergenza epidemiologica da COVID-19, restano ferme le disposizioni definite dalle Ordinanze della Protezione Civile, concernenti la ricetta dematerializzata di cui al decreto 2 novembre 2011.

Le due versioni di schemi di decreto trasmesse all’Autorità sono state formulate anche sulla base dei rilievi e delle indicazioni fornite dall’Ufficio nel corso di alcune riunioni e interlocuzioni, aventi anche carattere d’urgenza, e tengono conto dell’attività tecnica condotta con le regioni, con il Ministero della salute, con l’Agenzia italiana del farmaco (Aifa) e con l’Agenzia per l’Italia digitale (Agid).

L’ultima versione dello schema di decreto trasmessa si compone di 3 articoli, relativi al quadro definitorio (art. 1), alle modifiche al richiamato decreto del 2 novembre 2011 (art. 2) e alle misure emergenziali per la ricetta dematerializzata (art. 3).

In particolare, l’art. 2 dello schema di decreto in esame apporta modifiche al d.m. 2 novembre 2011, estendendo la dematerializzazione della ricetta ai:

– farmaci con piano terapeutico Aifa, al fine di consentire alle Regioni l’esecuzione dei controlli finalizzati alla verifica del rispetto delle condizioni indicate nel piano terapeutico (art. 2 che introduce l’art. 1 -bis al d.m. 2 novembre 2011);

– farmaci distribuiti attraverso modalità diverse dal regime convenzionale (art. 2 che introduce l’art. 1 -ter al d.m. 2 novembre 2011);

– farmaci con ricetta medica limitativa (art. 2 che introduce l’art. 1 -quater al d.m. 2 novembre 2011).

Lo schema di decreto interviene inoltre sulle modalità di consegna all’assistito del “promemoria dematerializzato” da parte il medico prescrittore. L’art. 2 dello schema di decreto, introducendo l’art. 3-bis al d.m. 2 novembre 2011, consente, infatti, al medico prescrittore, al momento della generazione della ricetta elettronica, di rilasciare, su richiesta dell’assistito, il “promemoria dematerializzato” attraverso i seguenti canali:

– nel portale del Sistema di Accoglienza Centrale (SAC) (www.sistemats.it, anche tramite i sistemi di accoglienza regionali);

– nel Fascicolo Sanitario Elettronico, di cui all’art. 12 del decreto legge 179/2012;

– tramite posta elettronica;

– tramite short message service (SMS).

Con decreto del Ministero dell’Economia e delle Finanze, di concerto con il Ministero della salute, sentito il Garante, saranno individuate le modalità attuative dei suddetti canali.

A fronte dell’emergenza epidemiologica da COVID-19, il Ministero ha manifestato l’esigenza di individuare -nell’immediato- modalità alternative alla stampa del promemoria cartaceo della ricetta dematerializzata (c.d. “promemoria dematerializzato”) valide fino al termine dello stato di emergenza deliberato dal Consiglio dei Ministri in data 31 gennaio 2020. In tale contesto, nella versione dello schema di decreto inviata il 17 marzo 2020, è stato previsto, anche a seguito delle interlocuzioni d’urgenza con l’Ufficio del Garante, che, fino al perdurare dello stato di emergenza epidemiologica da COVID-19, con specifico riferimento alle disposizioni concernenti la ricetta dematerializzata di cui al decreto 2 novembre 2011, restano ferme le disposizioni definite dalle Ordinanze della Protezione Civile.

OSSERVA

La dematerializzazione della ricetta medica per le prescrizioni a carico del Servizio Sanitario Nazionale è stata introdotta con decreto del Ministero dell’Economia e delle Finanze del 2 novembre 2011. A disciplina vigente, il medico rilascia all’assistito il promemoria cartaceo della ricetta dematerializzata provvisto del Numero Ricetta Elettronica (NRE) e del codice di autenticazione dell’avvenuta transazione. Il predetto decreto prevede inoltre che “Su richiesta dell’assistito, tale promemoria può essere trasmesso tramite i canali alternativi di cui all’Allegato 1” (art. 1, comma 4). Il citato allegato, precisa che gli “ulteriori canali” “per la fruizione del promemoria da parte degli assistiti” saranno resi disponibili “attraverso il sito del Ministero dell’economia e delle finanze (www.sistemats.it)” (art. 4.1. Altri canali per la fruizione dei servizi, allegato 1 al decreto 2 novembre 2011).

Sebbene la normativa risalga al 2011, le suddette modalità alternative alla stampa del promemoria cartaceo non erano state ancora individuate.

Al riguardo l’Autorità, sin dal 2015 ha evidenziato al Ministero della salute che la mancata individuazione delle predette modalità alternative alla stampa del promemoria cartaceo ha determinato il diffondersi di iniziative autonome, da parte dei medici, molto differenziate sul territorio nazionale, che presentavano profili di criticità in merito alla sicurezza del trattamento dei dati relativi allo stato di salute degli assistiti dal Servizio Sanitario Nazionale (nota del 2 ottobre 2015, cfr. relazione annuale per le 2015, pag. 72). In tale contesto, l’Ufficio del Garante ha quindi sempre manifestato la propria disponibilità ad avviare un confronto con le amministrazioni deputate a intervenire in tale materia, al fine di garantire che il trattamento dei dati personali degli interessati avvenga nel rispetto della dignità e della riservatezza dell’interessato e con modalità uniformi sull’intero territorio nazionale.

Con lo schema di decreto in esame sono stati definiti i canali attraverso i quali effettuare la consegna del “promemoria dematerializzato” della ricetta elettronica all’assistito, rinviando a un successivo decreto dello stesso Dicastero, da adottarsi di concerto con il Ministero della salute e sentito il Garante, le modalità di rilascio del suddetto “promemoria dematerializzato” attraverso i predetti canali.

Sul punto, si condivide la scelta del Ministero di individuare, in un atto normativo concordato con il Ministero della salute, l’individuazione delle modalità di trasmissione all’assistito del “promemoria dematerializzato” della ricetta elettronica, che, con misure adeguate a tutela dei dati personali degli assistiti, siano valide su tutto il territorio nazionale e alle quali le regioni e le province autonome dovranno quindi adeguarsi.

Al riguardo, l’Ufficio, nel corso delle interlocuzioni con il Ministero, ha ribadito che non sussistono impedimenti legati alla protezione dei dati personali nell’individuazione delle predette modalità alternative alla consegna del promemoria cartaceo della ricetta elettronica, evidenziando la possibilità di prevedere canali digitali, alternativi alla stampa cartacea, rispettosi della disciplina in materia di trattamento dei dati sulla salute, come del resto già normativamente previsto in altri ambiti sanitari (cfr. decreto del Presidente del Consiglio dei Ministri del 8 agosto 2013 relativo alle Modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione del pagamento online delle prestazioni erogate, su cui l’Autorità ha fornito il proprio parere il 6 dicembre 2012, doc. web n. 2223206; cfr. anche la disciplina sul Fascicolo sanitario elettronico,  di cui all’art. 12, d.l. n. 179/2012).

Nel corso delle richiamate interlocuzioni con il Ministero dell’Economia e delle Finanze, l’Ufficio del Garante ha manifestato alcune perplessità in merito alla delimitazione, prevista in una prima versione dello schema di decreto in esame, delle modalità alternative al promemoria cartaceo alla sola consultazione del Fascicolo Sanitario Elettronico (FSE), attesa la non completa attuazione del Fascicolo sull’intero territorio nazionale e la attuale facoltatività di attivazione dello stesso da parte dell’interessato. Tali osservazioni sono state recepite dal predetto Dicastero che, nella versione dello schema di decreto in esame, ha infatti previsto la possibilità che siano individuati canali ulteriori, rispetto al FSE, per la consegna all’assistito del “promemoria dematerializzato” della ricetta elettronica.

Con specifico riferimento all’emergenza epidemiologica da COVID-19, l’Ufficio del Garante, considerate le previsioni governative relative alla necessità di evitare qualsiasi forma di assembramento che si potrebbe determinare anche nella permanenza nelle sale di attesa dei medici prescrittori, ha fornito la propria disponibilità, al fine di individuare, già nell’immediato e fino alla cessazione dello stato emergenziale, modalità alternative alla stampa del promemoria cartaceo della ricetta che siano prontamente e agevolmente applicabili.

In tal senso, nell’ambito di una proficua e immediata attività di collaborazione istituzionale con il Mef, è stato suggerito di considerare, come modalità di consegna all’interessato del “promemoria dematerializzato” della ricetta elettronica, oltre al FSE, le soluzioni tecniche già individuate nella disciplina sulle modalità di consegna digitale dei referti. In particolare, in relazione all’individuazione di tali canali alternativi alla stampa del promemoria cartaceo, è stato rappresentato che, nel caso di invio del “promemoria dematerializzato” della ricetta elettronica alla casella di posta elettronica indicata dall’assistito per tale servizio, analogamente a quanto previsto per l’invio dei referti, il promemoria deve essere spedito in forma di allegato al messaggio e non come testo compreso nel corpo dello stesso, deve essere protetto con tecniche di cifratura e deve essere accessibile tramite una credenziale consegnata separatamente all’interessato.

Con riferimento all’utilizzo dei servizi di short message service (sms) sul dispositivo indicato dall’interessato, è stato rappresentata la necessità che, attraverso tale modalità, sia inviato il solo numero di ricetta elettronica (NRE) e non anche le altre informazioni di dettaglio contenute nel promemoria.

Ciò stante, l’Autorità manifesta sin d’ora il proprio assenso laddove l’esecutivo ritenesse, nella fase di emergenza legata all’epidemia da COVID 19, di disporre, nell’immediato, anche attraverso disposizioni d’urgenza, canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica nei termini sopra riportati.

Si rappresenta, infine, che, nel corso delle interlocuzioni con il Mef, sono state formulate specifiche osservazioni anche con riferimento all’accesso da parte di Aifa, Ministero della salute e regioni ai dati personali indicati nei piani terapeutici elettronici (forme di pseudonimizzazione dei dati personali da stabilirsi previo parere del Garante- art. 2 dello schema di decreto che introduce l’art. 1-bis, comma 7 al d.m. 2 novembre 2011).

Ciò premesso, sullo schema di decreto in esame, che tiene conto delle indicazioni fornite dall’Ufficio, non vi sono rilievi da formulare, sotto il profilo della protezione dei dati personali.

TUTTO CIO’ PREMESSO IL GARANTE:

ai sensi degli artt. 36, par. 4 e 58, par. 3, lett. b) del Regolamento, esprime parere favorevole sullo schema di decreto del Ministero dell’economia e delle finanze da adottare di concerto con il Ministero della salute.

Roma, 19 marzo 2020

IL PRESIDENTE
Antonello Soro

Fonte: Garante Privacy