Nei primi mesi del 2021 un hacker si introduceva in MyCivis, il portale ufficiale della P.A. dell’Alto Adige, accedendo al servizio relativo al Fascicolo Sanitario Elettronico (FSE) e, sfruttando una vulnerabilità del sistema, violava i dati relativi ad un totale di cinque codici fiscali di alcuni assistiti. Il sistema allora in uso permetteva infatti, a seguito di un’autenticazione SPID valida e certificata, di iniettare nelle chiamate (API) codici fiscali di altri utenti, permettendo così di avere accesso a, e poi di recuperare, documenti di altri cittadini.
Il Garante Privacy ha sanzionato per 75mila euro una Asl per non aver configurato correttamente le modalità di accesso al dossier sanitario elettronico (Dse). L’Autorità si è attivata a seguito di alcuni reclami e segnalazioni che lamentavano il trattamento illecito di dati personali effettuato tramite il sistema di archiviazione e refertazione delle prestazioni erogate dall’azienda sanitaria.
Il Fascicolo Sanitario Elettronico richiede il consenso esplicito dell'interessato. I dati sanitari sono delicatissimi e meritano il più alto grado di protezione. Lo ha specificato il Garante della privacy nel provvedimento n. 55 del 7 marzo 2019 (Chiarimenti sull'applicazione della disciplina per il trattamento dei dati relativi alla salute in ambito sanitario).
Il Garante Privacy ha notificato a 18 Regioni e alle Province autonome di Bolzano e Trento l’avvio di procedimenti correttivi e sanzionatori per le numerose violazioni riscontrate nell’attuazione della nuova disciplina sul FSE 2.0, introdotta con il decreto del Ministero della salute del 7 settembre 2023.
In relazione alle notizie diffuse nei giorni scorsi, riguardo ad una presunta scadenza dell'11 gennaio 2021 per manifestare l’eventuale opposizione all’inserimento dei propri dati personali nel Fascicolo sanitario elettronico (FSE), il Garante per la protezione dei dati personali precisa che tale scadenza non esiste ed è priva di qualsiasi fondamento normativo.
La normativa sul Fascicolo sanitario elettronico prevede che l’interessato possa oscurare dati e documenti presenti nel fascicolo che saranno così accessibili solo dallo stesso interessato e dal medico che li ha generati. Tale diritto è esercitabile al momento in cui sono generati i referti o successivamente. A seguito del mancato rispetto della richiesta di oscuramento avanzata dai pazienti, il Garante ha sanzionato due Aziende sanitarie (la Usl della Romagna e l’Azienda Provinciale per i Servizi Sanitari di Trento), rispettivamente per 120.000 e 150.000 euro.
Il referto sull’HIV può essere inserito nel Fascicolo sanitario elettronico (Fse) solo dopo che il medico ha comunicato di persona all’interessato l’esito dell’esame. Lo ha ribadito il Garante per la protezione dei dati personali in una FAQ pubblicata sul proprio sito web.
Parere negativo del Garante privacy al Ministero della salute e al Ministero per l’innovazione tecnologica e la transizione digitale sullo schema di decreto che prevede la realizzazione della nuova banca dati denominata Ecosistema Dati Sanitari (EDS), prevista dalla riforma del Fascicolo sanitario elettronico. Il Garante ha chiesto anche di correggere un secondo schema di decreto, per favorire e migliorare l’implementazione a livello nazionale del Fascicolo sanitario elettronico (FSE).
Non ci vuole il consenso dell’interessato per alimentare il Fascicolo Sanitario elettronico. Conseguentemente non può essere revocato un consenso, che a priori non è richiesto per il caricamento delle informazioni. Il consenso è, invece, necessario, tranne alcune eccezioni, per rendere possibile la consultazione, ma si tratta di un consenso che dal campo del trattamento del dato finisce per sconfinare nel consenso sostanziale per la terapia o per le analisi mediche.
