Trattamento dati personali nella Piattaforma nazionale di telemedicina, via libera del Garante

Il Garante per la protezione dei dati personali, nella riunione del 16 gennaio 2025, ha espresso parere favorevole sullo schema di decreto del ministero della Salute, da adottare di concerto con il ministro dell’Economia e delle Finanze e con il Sottosegretario di Stato alla Presidenza del Consiglio dei Ministri con delega all’innovazione tecnologica, recante la disciplina dei trattamenti di dati personali nell’ambito della Piattaforma nazionale di telemedicina (Pnt) di cui al Pnrr, Missione 6 Salute, Componente 1, Sub-misura 1.2.3. “Telemedicina per un migliore supporto ai pazienti cronici”.

Raccolta e gestione dati utili anche pseudonimizzati

Lo schema di decreto disciplina gli aspetti di protezione dei dati personali connessi ai trattamenti effettuati attraverso la Piattaforma nazionale di telemedicina. In particolare, si compone di 19 articoli e 5 che ne costituiscono parte integrante. Nello specifico, il provvedimento dà attuazione a quanto previsto dall’art. 12, comma 15-undecies, lett. g) e h) del d.l. n. 179/2012 che attribuisce ad Agenas la gestione della Pnt e la valutazione delle tecnologie sanitarie (Health Technology Assessment – Hta) e al comma 15-duodecies (introdotto dal d.l. n. 19 del 2024 convertito con modificazioni nella l. n. 56 del 2024) che prevede che Agenas avvii le attività relative alla raccolta e alla gestione dei dati utili anche pseudonimizzati, garantendo che gli interessati non siano direttamente identificabili.

Tipologia di dati trattati e delle operazioni sugli stessi eseguibili

Nel descrivere la Pnt e le relative funzionalità, il decreto disciplina gli aspetti di protezione dei dati personali connessi ai trattamenti effettuati attraverso la suddetta Piattaforma. In particolare, come richiesto dagli artt. 6 e 9 del Regolamento e dall’art. 2-sexies del Codice, sono stati specificati la tipologia di dati trattati e delle operazioni sugli stessi eseguibili, i motivi di interesse pubblico rilevante e le misure specifiche e appropriate per tutelare i diritti e gli interessi degli interessati.

I casi in cui le finalità possono essere sospese

Il decreto prevede la sospensione dei trattamenti per finalità diverse da quelle di cura fino all’aggiornamento delle Linee guida per i servizi di telemedicina. Lo schema di decreto supera il rilievo formulato dal Garante nel parere dell’8 giugno 2023 sul Fse 2.0 in quanto prevede che i trattamenti dei dati personali effettuati dalla Pnt per finalità diverse da quelle di diagnosi, cura e riabilitazione descritti nelle “Linee guida per i servizi di telemedicina – requisiti funzionali e livelli di servizio” approvate con decreto del Ministero della salute del 21 settembre 2022 siano sospesi fino all’aggiornamento delle medesime con decreto da adottare previo parere dell’Autorità Garante per la protezione dei dati personali.

I servizi abilitanti per l’erogazione delle prestazioni di telemedicina

Nel dettaglio, la Pnt, istituita presso Agenas, si articola nella Infrastruttura nazionale di telemedicina (Int) e nelle Infrastrutture regionali di telemedicina (Irt). La Int offre alle Irt servizi abilitanti a supporto del processo di cura e nell’erogazione delle prestazioni di telemedicina creando un livello di interoperabilità che garantisce standard comuni. Le Irt, invece, sono articolazioni funzionali della Pnt attraverso le quali sono erogate le prestazioni sanitarie in telemedicina. I dati e i documenti relativi alle prestazioni erogate in telemedicina attraverso la Pnt alimenteranno il Fascicolo sanitario elettronico (Fse), e di conseguenza l’Ecosistema Dati Sanitari (Eds). Tali dati personali potranno essere consultati, attraverso il Fse o l’Eds, dai professionisti sanitari solo se l’interessato preso in cura avrà manifestato i consensi previsti dalla relativa disciplina.

Estrazione dei dati pseudonimizzati da parte delle Regioni

Il decreto prevede inoltre che il Ministero della salute, Agenas e le regioni e province autonome possano estrarre dall’Eds dati pseudonimizzati per tipologia di servizio di telemedicina erogato per finalità di governo e programmazione. L’accesso è consentito ai soli dati privati degli elementi identificativi diretti, pseudonimizzati in modo irreversibile, nonché a dati aggregati, in modo automatico, senza intervento umano e con una frequenza massima di una volta nelle ventiquattro ore. Il decreto individua i ruoli di titolarità dei diversi trattamenti, disciplina gli aspetti relativi all’informativa e ai diritti degli interessati e prevede specifiche misure di sicurezza diversificate per Int e Irt al fine di assicurare standard omogenei sul territorio nazionale.