Il decreto del Ministero della salute
A seguito del parere favorevole dell'Autorità garante per la protezione dei dati personali, è stato pubblicato, nella Gazzetta Ufficiale n. 53 del 5 marzo 2025, il decreto del Ministero della salute del 31 dicembre 2024, che, in attuazione dell’art. 12, comma 15-quater, del d.l. n. 179/2012, istituisce l’Ecosistema dei dati sanitari (EDS). Si tratta di un’infrastruttura tecnologica di notevoli dimensioni, progettata per comprendere al proprio interno i dati trasmessi al Fascicolo sanitario elettronico (FSE) dalle strutture sanitarie e sociosanitarie e dagli enti del Servizio sanitario nazionale (SSN)[ref]Si veda, in proposito, l’art. 3 del Decreto del Ministero della salute del 7 settembre 2023, pubblicato in Gazzetta Ufficiale il 24 ottobre 2023.[/ref], nonché i dati resi disponibili tramite il sistema Tessera sanitaria. Attraverso la raccolta e il trattamento di tali informazioni, l’EDS si propone di fornire, in modo omogeneo sul territorio nazionale, servizi di supporto:
- alle cure;
- alla prevenzione;
- alla profilassi internazionale;
- al governo dell’assistenza sanitaria;
- alla ricerca scientifica in campo medico, biomedico ed epidemiologico.
Per esempio, l’istituzione dell’EDS agevolerà la compilazione del Profilo sanitario sintetico, documento socio-informatico redatto dai medici di medicina generale e dai pediatri di libera scelta che riassume la storia clinica dell’assistito e la sua situazione corrente conosciuta. Consentirà, inoltre, la realizzazione del dossier farmaceutico, contenente i dati relativi a prescrizioni, erogazioni e somministrazioni di farmaci all’assistito, estratti dai documenti del FSE e aggiornati a cura della farmacia o della struttura che effettua la dispensazione.
La struttura dell’EDS
L’EDS è composto da più unità di archiviazione di dati tra loro indipendenti, di cui:
- ventuno dedicate alla gestione dei dati “in chiaro” (cioè non sottoposti alla tecnica di anonimizzazione o pseudonimizzazione) associati a ciascuna regione e provincia autonoma;
- una contenente i dati relativi ai servizi di assistenza sanitaria erogati al personale navigante (SASN);
- una riservata ai dati pseudonimizzati (vale a dire non attribuibili a un interessato specifico senza l’utilizzo di informazioni aggiuntive);
- una finalizzata alla raccolta di dati anonimi.
A ciascuna unità di archiviazione possono accedere solo determinati soggetti, avuto riguardo al ruolo da essi esercitato e alle esigenze del trattamento.
Le modalità di alimentazione dell’EDS
Alle strutture sanitarie e sociosanitarie e agli enti del SSN compete l’estrazione dei dati contenuti nel FSE e nel sistema Tessera sanitaria e la trasmissione degli stessi all’EDS. Per il compimento di tali operazioni, rispetto alle quali le regioni e le province autonome rivestono il ruolo di titolari del trattamento, è richiesta l’adozione di soluzioni tecnologiche idonee ad assicurare un corretto scambio di dati, la cui predisposizione spetta all’Agenzia nazionale per i servizi sanitari regionali (Agenas), in qualità di responsabile del trattamento. Deve, in particolare, garantirsi il pieno allineamento tra i documenti sanitari pubblicati nei FSE regionali e i dati resi disponibili nell’EDS, nonché, in conformità al principio di minimizzazione, l’assenza di superflue duplicazioni.
Il consenso informato dell’interessato
Il consenso informato dell’interessato costituisce una condizione di accesso all’EDS qualora il trattamento persegua finalità di cura, di prevenzione o di profilassi internazionale. Può essere prestato anche per via telematica o per il tramite di un delegato e, in caso di sua revoca, il soggetto in precedenza autorizzato non potrà più usufruire dei servizi offerti dall’EDS.
Anche nei casi in cui l’adesione dell’interessato non è necessaria per la consultazione dell’EDS, il titolare del trattamento ha l’obbligo di fornire a quest’ultimo un’informativa adeguata, in conformità all’art. 14 del Reg. (Ue) n. 2016/679 (GDPR).
L’accesso all’EDS
L’accesso all’EDS è consentito a soggetti determinati, individuati in base alla finalità perseguita dal trattamento. In particolare:
- per finalità di diagnosi, cura e riabilitazione, possono consultare l’EDS le strutture sanitarie e sociosanitarie, i medici convenzionati e gli esercenti le professioni sanitarie che prendono in cura l’interessato, oltre ai medici di medicina generale e ai pediatri di libera scelta per il periodo in cui gli prestano assistenza;
- per finalità di prevenzione, l’accesso è riservato ai soggetti del SSN e dei servizi sociosanitari regionali, nonché ai professionisti sanitari che hanno in carico o assistono l’interessato;
- per finalità di profilassi internazionale, può procedere alla consultazione la direzione generale del Ministero della salute designata quale Centro italiano per il regolamento sanitario internazionale;
- per finalità di governo dell’assistenza sanitaria e per finalità di studio e di ricerca scientifica in campo medico, biomedico ed epidemiologico, infine, può accedere all’EDS il personale degli uffici del Ministero della salute, di Agenas, delle regioni e delle province autonome competenti in materia.
Le misure di sicurezza a tutela dei diritti degli interessati
Per garantire un livello di sicurezza adeguato al rischio per i diritti e le libertà fondamentali degli interessati, è prescritta l’adozione di misure di sicurezza specifiche, tra cui l’impiego di efficaci sistemi di autorizzazione, l’adozione di protocolli sicuri di comunicazione dei dati basati su standard crittografici, la cifratura o la separazione di dati particolarmente sensibili (quali quelli relativi allo stato di salute degli interessati), il tracciamento degli accessi e delle operazioni effettuate mediante l’EDS.
Tempi di attivazione dell’EDS
I servizi dell’EDS verranno attivati entro il 31 marzo 2026 e comunque non prima della completa attuazione della disciplina sul FSE 2.0.