Convegno di studio su Privacy e Telemedicina
Transcript
Convegno di studio su Privacy e Telemedicina
Convegno di studio su Privacy e Telemedicina “Tra diritto del paziente alla riservatezza ed utilità della condivisione del dato sanitario” Profili privacy con riferimento ai principali sistemi informativi sanitari Dr.ssa Lidia Di Minco Direttore Ufficio coordinamento, gestione e sviluppo del NSIS – Ministero della Salute D.G. della digitalizzazione, del SIS e della statistica Roma, 21 ottobre 2014 Sala Conferenze di Piazza Monte Citorio, 123/a Agenda o il trattamento dei dati sanitari e il regolamento del Ministero della salute o il Nuovo Sistema Informativo Sanitario (NSIS) o il regolamento per l’interconnessione dei sistemi informativi su base individuale del SSN o il decreto del Presidente del Consiglio dei Ministri sul Fascicolo sanitario elettronico (FSE) 1 Agenda il trattamento dei dati sanitari e il regolamento del Ministero della salute 2 il trattamento dei dati sanitari da parte del Ministero della salute Il trattamento dei dati sensibili, in particolare dei dati sanitari, da parte del Ministero della salute è lecito qualora venga condotto in adempimento di una norma di legge che indica i tipi di dati, le operazioni eseguibili e le finalità di rilevante interesse pubblico. Gli articoli 20, 21, 22 del decreto legislativo 30 giugno 2003, n. 196, recante il «Codice in materia di protezione dei dati personali» stabiliscono i principi per i trattamenti, da parte del Ministero (in quanto soggetto pubblico), dei dati sensibili e giudiziari, in particolare si evidenzia che il trattamento è lecito se soddisfa le seguenti condizioni: Esiste una disposizione che attribuisca al trattamento la finalità di rilevante interesse pubblico? Autorizzazione Garante ex art. 20, comma 3, d.lgs. 196/03 NO SI NO SI SI La disposizione indica i tipi di dati? LaSI disposizione indica le operazioni eseguibili? NO SI il trattamento è lecito NO E’ necessario un Atto di natura regolamentare che individua tipi di dati e di operazioni, adottato in conformità a parere del Garante (ovvero il Regolamento) Il trattamento di dati sensibili e giudiziari non può essere operato 3 il regolamento del Ministero della salute Il Ministero della salute, con proprio decreto ministeriale del 12.12.2007, n° 277, ha adottato il Regolamento di attuazione dell'articolo 20, commi 2 e 3, dell'articolo 21 e dell'articolo 181, comma 1, lettera a) del decreto legislativo 30 giugno 2003, n. 196. I trattamenti operati per le finalità di programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, nell’ambito del Nuovo Sistema Informativo Sanitario (NSIS), sono regolamentati dalla scheda C-01 del predetto regolamento, in coerenza con l’allegato 12 del regolamento delle regioni. Servizio Sanitario Nazionale Regolamento Regioni (All. 12) Aziende Dato sensibile Regioni Trattamenti Regolamento Ministero della Salute (All. C-01) Patrimonio informativo dell’Amministrazione Trattamenti 4 Agenda il Nuovo Sistema Informativo Sanitario (NSIS) 5 il Nuovo Sistema Informativo Sanitario (NSIS) E’ la fonte dati di riferimento a livello nazionale a supporto: del governo del Servizio Sanitario Nazionale del monitoraggio dei Livelli Essenziali di Assistenza (LEA) Il NSIS raccoglie i dati prodotti a livello regionale e locale relativi alla domanda ed all’offerta di assistenza sanitaria, con l’obiettivo di mettere a disposizione informazioni a supporto dei diversi livelli istituzionali, attraverso apposite metodologie e strumenti di lettura ed analisi dei dati. I dati raccolti costituiscono i Livelli Essenziali di Informazione (LEI), ovvero i contenuti informativi omogenei a livello nazionale necessari affinché le diverse componenti del SSN possano dialogare Livelli Essenziali di Informazione Nuovo Sistema Informativo Sanitario Requisiti dei dati NSIS Dati prodotti sul territorio Completezza Accuratezza Tempestività Metodologie Strumenti di lettura e analisi Informazioni messe a disposizione dei diversi livelli istituzionali Sistematicità 6 NSIS: il patrimonio informativo La disponibilità e la capacità di lettura integrata di fonti informative qualitativamente affidabili relative ai processi di cura, presa in carico e gestione del paziente, consente di analizzare e valutare l’adeguatezza del servizio sanitario nel suo complesso di rispondere ai bisogni di natura sanitaria, socio-sanitaria ed assistenziale del cittadino Prestazioni • • Sistema di integrazione • Monitoraggio dei costi Investimenti pubblici Salute mentale informazioni sanitarie individuali • • • LEA ed appropriatezza Liste di attesa Ciclo di vita Farmaco Monitoraggio rete assistenza Strutture Risorse Costi La conoscenza dei dati relativi alle prestazioni erogate per paziente, alla rete di assistenza, alle “risorse” e ai “costi” sono i pilastri del “Modello concettuale del Nuovo Sistema Informativo Sanitario” approvato dalla Cabina di Regia del NSIS nel 2003 7 NSIS: la rilevazione analitica delle prestazioni sanitarie Il patrimonio informativo del NSIS è costituito da flussi disciplinati da appositi decreti ministeriali emanati a seguito di un lungo percorso collaborativo con le Regioni, dell’approvazione da parte della Cabina di regia del NSIS e della condivisione in sede di Conferenza Stato-Regioni, adottati in conformità al parere espresso dall’Autorità Garante per la protezione dei dati personali. Prevenzione Specialistica ambulatoriale Farmaceutica territoriale ADI Distribuzione diretta Salute Mentale Dipendenze RSA Riabilitazione ex art 26 Hospice Emergenza-Urgenza Ricoveri ospedalieri Caratteristica comune di tutti i flussi di rilevazione delle prestazioni erogate, è che i dati individuali vengono inviati attraverso un codice univoco che le Regioni sostituiscono al codice fiscale dell’assistito - in coerenza con le disposizioni dei citati regolamenti privacy delle Regioni e del Ministero. Il codice univoco consente di poter ricostruire i percorsi sanitari dell’assistito all’interno della singola Regione. Farmaceutica Ospedaliera 8 La ricostruzione dei percorsi sanitari: il caso SISM e SIND Prevenzione Specialistica ambulatoriale Farmaceutica territoriale ADI Distribuzione diretta Salute Mentale Dipendenze RSA Riabilitazione ex art 26 Hospice Emergenza-Urgenza Ricoveri ospedalieri Farmaceutica Ospedaliera Tra i flussi del NSIS occorre specificare che i decreti del ministero della salute, 15 ottobre 2010, (recante l’istituzione del sistema informativo per la salute mentale) e 11 giugno 2010 (recante l’istituzione del sistema informativo nazionale per le dipendenze), in relazione alla particolarità dei dati trattati, dispongono, all’articolo 7, “il codice univoco assegnato a ciascun soggetto […] é diverso da analogo codice utilizzato nella trasmissione dei dati di altri sistemi informativi”, allo scopo di non consentire l’interconnessione con altre banche dati. Questa scelta, in linea con quanto espresso dall’Autorità Garante nel parere favorevole espresso sui predetti decreti, comporta l’impossibilità di ricostruzione dei percorsi sanitari, anche all’interno della singola regione. 9 Agenda Il regolamento per l’interconnessione dei sistemi informativi su base individuale del SSN 10 il regolamento per l’interconnessione dei sistemi informativi su base individuale del SSN: i presupposti normativi Il decreto intende dare attuazione a queste disposizioni: • art. 15, comma 25-bis, del decreto legge 6 luglio 2012, n. 95, convertito, con modificazioni, nella legge 7 agosto 2012, n. 135 Ai fini della attivazione dei programmi nazionali di valutazione sull'applicazione delle norme di cui al presente articolo, il Ministero della salute provvede alla modifica ed integrazione di tutti i sistemi informativi del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato, ed alla interconnessione a livello nazionale di tutti i flussi informativi su base individuale, […] esclusivamente in forma anonima ai sensi dell'articolo 35 del decreto legislativo 23 giugno 2011, n. 118. • art. 35 del decreto legislativo 23 giugno 2011, n. 118 Al fine di migliorare i sistemi informativi e statistici della sanità e per il loro migliore utilizzo in termini di monitoraggio dell'organizzazione dei livelli di assistenza, con procedure analoghe a quanto previsto dall'articolo 34, con decreto del Ministro della salute vengono stabilite le procedure di anonimizzazione dei dati individuali presenti nei flussi informativi, già oggi acquisiti in modo univoco sulla base del codice fiscale dell'assistito, con la trasformazione del codice fiscale, ai fini di ricerca per scopi di statistica sanitaria, in codice anonimo, mediante apposito algoritmo biunivoco […] 11 il regolamento per l’interconnessione dei sistemi informativi su base individuale del SSN: contenuti Il NSIS rappresenta la sede in cui definire ed applicare le procedure di interconnessione a livello nazionale dei sistemi informativi su base individuale del SSN, lo schema di decreto si pone come obiettivi: (1) • coordinare le disposizioni in esso contenute con il contesto dei trattamenti di dati già effettuati dal Ministero della salute nell’ambito del NSIS1; • identificare puntualmente i tipi di dati; • esplicitare le modalità di trattamento; • definire le misure di sicurezza. Cfr. scheda C-01 del «Regolamento Privacy» del Ministero della Salute, ovvero ai trattamenti di dati per finalità di programmazione, gestione, controllo e valutazione dell'assistenza sanitaria (art. 85, comma 1, lettera b), del D.Lgs. 196/2003. 12 le modalità di interconnessione L’elemento abilitante l’interconnessione delle banche dati è una procedura di assegnazione a livello nazionale del codice univoco, in sostituzione del codice fiscale, per tutti i trattamenti oggetto d’interconnessione. La procedura è strutturata in modo da non consentire l’identificazione diretta dell’interessato durante il trattamento dei dati personali. 13 il regolamento per l’interconnessione dei sistemi informativi su base individuale del SSN – misure di sicurezza E’ prevista l’applicazione combinata di diverse soluzioni tecnologiche e di processo volte a garantire i massimi livelli di sicurezza, per ridurre i rischi di violazione dei dati: i sistemi informativi dei soggetti alimentanti il NSIS, mediante procedure automatiche, preliminarmente alla trasmissione dei dati anagrafici al NSIS, sostituiscono i codici fiscali presenti nei tracciati di origine con i corrispettivi codici univoci prodotti da una funzione non invertibile (denominato CUNI). il sistema infrastrutturale trasversale denominato “piattaforma codice univoco nazionale dell’assistito”, provvede alla generazione e assegnazione del codice univoco nazionale dell’assistito (denominato CUNA), che non consente l’identificazione diretta dell’interessato e che viene utilizzato per l’interconnessione dei sistemi informativi su base individuale. inoltre alla procedura sono applicate specifiche misure di sicurezza, come: autenticazione forte per gli utenti e gli amministratori della piattaforma; tracciatura degli accessi. 14 il regolamento per l’interconnessione dei sistemi informativi su base individuale del SSN – misure di sicurezza Ai trattamenti comuni a tutti i sistemi NSIS, sono applicate molteplici misure di sicurezza: per la trasmissione telematica dei dati si utilizza un protocollo sicuro e si fa ricorso all'autenticazione bilaterale fra sistemi basata su certificati digitali emessi da un'autorità di certificazione ufficiale; per la conformità dei servizi ai requisiti di sicurezza per la cooperazione applicativa, definiti da appositi accordi di servizio, vengono previste, in particolare, la registrazione e la tracciatura dei dati relativi alle operazioni compiute sulle porte di dominio; vengono tracciate le operazioni svolte sui dati trattati nell’ambito del NSIS. Per i dati di tracciatura è previsto un periodo di retention e il trattamento avviene esclusivamente in forma anonima mediante opportuna aggregazione; l’accesso ai sistemi è regolato da profili di autorizzazione i cui privilegi sono definiti in base alle finalità di trattamento e ai ruoli degli utenti, limitando l’accesso ai soli dati necessari; nei casi in cui sia indispensabile il trattamento di dati facenti uso del codice univoco, il processo di autenticazione degli utenti avviene attraverso strumenti di autenticazione forte e l’accesso è garantito tramite l’utilizzo di un protocollo sicuro. 15 Agenda il decreto del Presidente del Consiglio dei Ministri sul Fascicolo sanitario elettronico (FSE) 16 NSIS e FSE: due facce della stessa medaglia Il NSIS e il Fascicolo Sanitario Elettronico (FSE) rappresentano due facce della stessa medaglia, in quanto entrambi i sistemi sono interessati ad una lettura integrata dell’assistenza erogata ai pazienti nel loro passaggio attraverso i diversi setting assistenziali: il NSIS con la finalità di monitorare i LEA erogati e verificare la coerenza tra le prestazioni erogate ed i relativi costi il FSE con l’obiettivo di supportare la cura del paziente 17 FSE: definizione Il fascicolo sanitario elettronico (FSE) è l'insieme dei dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi, riguardanti l'assistito*. L’utilizzo del FSE a supporto del governo integrato dei bisogni di salute del cittadino: consente di seguire il cittadino nei suoi percorsi assistenziali permette un maggiore coordinamento tra i diversi specialisti che hanno in cura l’assistito rende possibile un ripensamento, in logica di rete, delle modalità di accesso all’offerta sanitaria *Art. 12 comma 1 del decreto legge 18 ottobre 2012, n. 179, recante “Ulteriori misure urgenti per la crescita del Paese” convertito, con modificazioni dalla legge 17 dicembre 2012, n. 221. 18 FSE: percorso di regolamentazione - Istituito, nel 2008, un Tavolo interistituzionale sul FSE presso il Ministero della salute composto da rappresentanti delle regioni (Lombardia, Emilia, Toscana, Veneto), FNOMCeO, Garante privacy, DigitPA, Dipartimento PCM - Predisposte le Linee guida nazionali sul FSE, oggetto di Intesa Stato-Regioni, in data 10 febbraio 2011. Dal 2012 il recepimento delle predette linee guida è valutato in sede di adempimenti LEA - Predisposta una proposta normativa disciplinante il FSE a livello nazionale che è stata recepita nell’articolo 12 del decreto-legge n. 179 del 2012, convertito, con modificazioni, dalla legge n. 221 del 2012, e successive modificazioni. Dal 2012 il recepimento delle linee guida è valutato in sede di adempimenti LEA - Redatto, nell'ambito del suddetto Tavolo interistituzionale, lo schema di DPCM attuativo del comma 7 del citato articolo 12, volto a disciplinare i diversi aspetti che attengono l’istituzione e l’utilizzo del FSE. Lo schema di DPCM è stato inviato alla Presidenza del Consiglio dei Ministri il 30 ottobre 2013. Sullo stesso è stato acquisito il parere della Conferenza Stato-Regioni in data 13 marzo 2014 e del Garante Privacy in data 22 maggio 2014. Allo stato attuale sono in corso di acquisizione le firme dei Ministri ai fini dell’emanazione. (*) Le Linee Guida nazionali sono state pubblicate sulla G.U. n. 50 del 2 marzo 2011 - Supplemento Ordinario n.60 19 Consultazione Finalità e soggetti Istituzione e finalità FSE: principi Il FSE è istituito dalle regioni e province autonome, nel rispetto della normativa vigente in materia di protezione dei dati personali, a fini di: a) prevenzione, diagnosi, cura e riabilitazione; b) studio e ricerca scientifica in campo medico, biomedico ed epidemiologico c) programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria. Le finalità di cui alla lettera a) sono perseguite dai soggetti del Servizio sanitario nazionale e dei servizi socio-sanitari regionali che prendono in cura l’assistito. Le finalità di cui alle lettere b) e c) sono perseguite dalle regioni e dalle province autonome, dal Ministero della salute e dal Ministero del lavoro e delle politiche sociali, nei limiti delle rispettive competenze attribuite dalla legge. La consultazione dei dati e documenti presenti nel Fascicolo Sanitario Elettronico, per le finalità di cura, può essere realizzata soltanto con il consenso dell’assistito, salvo i casi di emergenza sanitaria secondo modalità definite con apposito decreto attuativo. Il mancato consenso non pregiudica il diritto all’erogazione della prestazione sanitaria. 20 Il dPCM sul FSE: adempimenti privacy Il dPCM evidenzia gli adempimenti richiesti per la gestione del FSE in coerenza con il diritto dell’assistito alla tutela dei dati personali. l’informativa agli assistiti, in particolare, deve contenere: La definizione del FSE; Le finalità del fascicolo; Le modalità del trattamento; L’indicazione della necessità di un consenso specifico per l’alimentazione del FSE; L’indicazione della necessità di un consenso specifico per la consultazione dei dati e dei documenti presenti nel FSE; L’indicazione delle categorie di soggetti che possono accedere al FSE per finalità di programmazione sanitaria, verifica delle qualità delle cure e valutazione dell’assistenza sanitaria; L’informazione che, per finalità di cura, qualora sia indispensabile per la salvaguardia della salute di un terzo o della collettività, può essere consultato anche senza il consenso dell’assistito ma nel rispetto dell’articolo 76 del codice privacy e dell’autorizzazione Generale al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale, rilasciata dall’Autorità Garante ai sensi dell’articolo 40 del Codice privacy. il consenso dell’assistito Il FSE può essere alimentato esclusivamente sulla base del consenso libero e informato da parte dell’assistito. i diritti dell’assistito L’assistito ha il diritto di richiedere l’oscuramento dei dati e dei documenti sanitari e socio-sanitari sia prima dell’alimentazione del FSE che successivamente, garantendone la consultabilità esclusivamente all’assistito e ai titolari che li hanno generati; L’oscuramento dei dati avviene con modalità tali da garantire che i soggetti abilitati all’accesso al FSE per finalità di cura, non possono venire automaticamente a conoscenza del fatto che l’assistito ha effettuato tale scelta. 21 Il dPCM sul FSE: adempimenti privacy Nel dPCM, accanto agli adempimenti comuni a tutte le finalità previste, esistono adempimenti puntuali a seconda della finalità perseguita: 1. Finalità di cura l’assistito può consentire l’accesso ai soggetti del SSN e dei servizi socio-sanitari regionali che lo prendono in cura (articolo 14, comma 1); l’accesso alle informazioni è consentito solo se si verificano le seguenti condizioni (articolo 14, comma 2) : l’assistito ha espresso esplicito consenso all’accesso le informazioni da trattare sono esclusivamente quelle pertinenti al processo di cura in atto i soggetti che accedono alle informazioni rientrano nelle categorie di soggetti abilitati alla consultazione del FSE indicate dall’assistito e sono effettivamente coinvolti nel processo di cura. 22 Il dPCM sul FSE: adempimenti privacy Nel dPCM, accanto agli adempimenti comuni a tutte le finalità previste, esistono adempimenti puntuali a seconda della finalità perseguita: 2. Finalità di ricerca possono essere trattati i dati presenti nei documenti contenuti nel FSE, purché privati dei dati identificativi diretti dell’assistito (articolo 17, comma 1); i dati devono essere trattati in conformità ai principi di proporzionalità, necessità, indispensabilità, pertinenza e non eccedenza e nel rispetto degli articoli 39, 104 e 110 del codice privacy e del relativo allegato A4 Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici (articolo 18, comma 1); 3. Finalità di governo possono essere trattati i dati presenti nei documenti contenuti nel FSE, purché privati dei dati identificativi diretti dell’assistito (articolo 20, comma 1); le regioni e le province autonome trattano i dati del FSE di cui all’articolo 20, per le finalità di governo, con le modalità previste dalla scheda 12 dell’Allegato A dello schema tipo di «Regolamento privacy» (articolo 21, comma 1); il Ministero della salute tratta i dati del FSE di cui all’articolo 20, per finalità di governo, avvalendosi del Nuovo Sistema Informativo Sanitario, con le modalità previste dal Regolamento interconnessione (articolo 21, comma 2). 23 Il dPCM sul FSE: misure di sicurezza Nel dPCM*, viene dedicato un articolo alle misure di sicurezza che, oltre a richiamare la necessità di uniformare i trattamenti secondo modalità e soluzioni necessarie per assicurare confidenzialità, integrità e disponibilità dei dati, dispone che: l’accesso al FSE è consentito esclusivamente utilizzando le modalità di accesso di cui all’articolo 64 del Codice dell’Amministrazione Digitale (CAD); Per la consultazione in sicurezza dei dati contenuti nel FSE sono assicurati, tra l’altro: idonei sistemi di autenticazione e di autorizzazione per gli incaricati. procedure per la verifica periodica della qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici tracciabilità degli accessi e delle operazioni effettuate sistemi di audit log per il controllo degli accessi e per il rilevamento di eventuali anomalie procedure di anonimizzazione interconnessione) degli elementi identificativi diretti (decreto *l’articolo 24 dell’attuale testo del decreto, riguarda le misure di sicurezza. 24 Il dPCM sul FSE: misure di sicurezza Il dPCM, sempre l’articolo 24, dispone che: Nel caso in cui dati trattati nell’ambito del FSE subiscano violazioni tali da comportare la perdita, la distruzione o la diffusione indebita di dati personali, il titolare del trattamento effettua una segnalazione all’Autorità garante per la protezione dei dati personali, entro una settimana dal verificarsi dell’evento. Nota: Nel decreto viene introdotta una misura di sicurezza che il futuro regolamento europeo estenderà a tutti i titolari del trattamento ma che, fino ad oggi, nel nostro ordinamento, era stata prevista solamente per determinate categorie di titolari del trattamento (banche, operatori di telecomunicazioni, …) La continuità delle operazioni indispensabili per il servizio e il ritorno alla normale operatività sono assicurate dall’adozione del piano di continuità operativa e del piano di disaster recovery, di cui all’articolo 50 bis del CAD. 25 Conclusioni Disponibilità, tempestività, qualità e coerenza dei dati sono pilastri fondamentali per supportare adeguatamente la pianificazione strategica, la programmazione sanitaria nonché la gestione ordinaria, oltre che precondizione abilitante al monitoraggio ed alla valutazione sistematica dei risultati conseguiti ai diversi livelli del SSN Nella realizzazione dei sistemi informativi che supportano i processi di cura, nell’ambito dei quali vengono generati i dati necessari per perseguire una evoluzione dei servizi sanitari in termini qualitativi che sia misurabile e sostenibile, occorre tenere in considerazione: la disponibilità di strumenti di misura dei fenomeni sanitari •È di fatto impossibile comprendere compiutamente e verificare ciò che non è misurabile il corretto funzionamento della “filiera di generazione e condivisione del dato” •Solo in questo modo è possibile garantire adeguati livelli di disponibilità, tempestività e utilizzabilità dei dati intervenire, in primis, lì dove si generano le informazioni, ovvero a livello locale •È necessario promuovere, a tutti i livelli del SSN, la “cultura del dato” e supportarne una sistematica messa in atto considerare gli aspetti "privacy" di ogni nuovo sistema realizzato •È necessario stimolare, a tutti i livelli del SSN, la sensibilità alla tutela dei dati personali 26 grazie per l’attenzione! Dott.ssa Lidia Di Minco Direttore Ufficio Coordinamento, Sviluppo e Gestione del NSIS Direzione generale della digitalizzazione, del sistema informativo sanitario e della statistica Ministero della Salute 27