Del Dott. Enrico Ferrante – Data Protection Officer
Quando si parla di dati sanitari, si entra immediatamente in una dimensione diversa da qualsiasi altro trattamento di dati personali.

Ciò è vero non solo perché il Regolamento (UE) 2016/679 (GDPR) li qualifica come categorie particolari di dati ma soprattutto perché il loro trattamento incide in modo diretto – e spesso irreversibile – sulla sfera più intima della persona.

La salute non è un’informazione neutra: racconta fragilità, percorsi di vita, scelte terapeutiche, ed espone l’interessato a rischi che travalicano il piano meramente giuridico.

Ed è per questa ragione che, nell’ambito dei dati sanitari, il confine tra ciò che è tecnicamente possibile e ciò che è giuridicamente sostenibile si fa più sottile che altrove.

La tecnologia assicura oggi livelli elevatissimi di organizzazione, interoperabilità e conservazione; il diritto, tuttavia, è chiamato a interrogarsi costantemente su fino a che punto tali possibilità possano essere legittimamente perseguite senza compromettere l’equilibrio tra esigenza di cura e tutela della persona.

In questo quadro si colloca uno degli equivoci più frequenti nella prassi applicativa: la sovrapposizione tra Fascicolo Sanitario Elettronico (FSE) e Dossier Sanitario Elettronico (DSE).

La distinzione non è puramente terminologica, ma profondamente sostanziale, perché riflette finalità, perimetri e logiche di trattamento radicalmente diverse.

Il Fascicolo Sanitario Elettronico è uno strumento di sistema, concepito dal legislatore per garantire la continuità delle cure e la circolazione delle informazioni sanitarie dell’assistito su scala nazionale, consentendo ai diversi attori del Servizio sanitario di operare all’interno di un quadro informativo unitario.

Le sue finalità sono tipizzate, le modalità di accesso rigorosamente disciplinate e la sua architettura risponde a una governance istituzionale di insieme, pensata per assicurare coerenza, interoperabilità e tutela dei diritti dell’interessato.

Si pensi, ad esempio, al caso di un paziente che, dopo essere stato seguito da una struttura ospedaliera, si rivolga a un diverso presidio o a un medico specialista in un’altra Regione: attraverso il FSE, referti, lettere di dimissione ed esami già effettuati possono essere consultati, nei limiti e secondo le regole previste, evitando duplicazioni, ritardi e discontinuità nel percorso di cura.

Il Dossier Sanitario Elettronico, invece, nasce e vive all’interno della singola struttura sanitaria ed è finalizzato a supportare l’attività clinica in quel contesto specifico.

Il dossier utilizzato da un ospedale o da una clinica privata raccoglie, pertanto, esclusivamente le informazioni sanitarie strettamente necessarie alla presa in carico del paziente in quella specifica struttura e per quella determinata attività di cura, senza mai assumere la funzione di archivio generale della sua storia sanitaria.

Proprio per questa ragione, il Dossier Sanitario Elettronico non può essere considerato una replica del Fascicolo Sanitario Elettronico né un contenitore generalizzato dei dati sanitari dell’interessato: i criteri distintivi risiedono nel perimetro organizzativo e territoriale di riferimento, nonché nelle finalità concrete per le quali il dossier è concepito e utilizzato.

Non a caso, le Linee guida del Garante sul Dossier Sanitario Elettronico chiariscono che il DSE deve contenere solo le informazioni effettivamente pertinenti e necessarie rispetto alla cura e che la sua alimentazione non può avvenire in modo automatico o indiscriminato.

Questa impostazione affonda le proprie radici in uno dei principi cardine del GDPR, che ne costituisce l’asse portante: la limitazione della finalità (cfr. art. 5, par. 1, lett. b).

Nel DSE, infatti, la finalità non è astratta, ma concreta e circoscritta: supportare la cura all’interno di una determinata struttura sanitaria.

Quando il dossier viene alimentato con dati eccedenti, o reso accessibile oltre quanto necessario, il trattamento perde il suo ancoraggio funzionale e diventa problematico, anche laddove i dati siano stati legittimamente raccolti in origine.

A ciò si affianca il principio di minimizzazione, che in ambito sanitario assume un significato peculiare (cfr. art. 5, par. 1, lett. c, GDPR).

Minimizzare non significa impoverire l’informazione clinica, ma selezionarla; significa interrogarsi non su ciò che è possibile inserire nel DSE, ma su ciò che è realmente necessario rispetto alla cura.

Le Linee guida del Garante insistono su questo punto con chiarezza: il DSE non deve funzionare per accumulo, ma per pertinenza.

Diretta conseguenza di tali principi è il tema degli accessi. Il DSE, proprio perché strumento interno alla struttura, richiede una gestione rigorosa e selettiva dei profili di autorizzazione e una tracciabilità puntuale delle consultazioni, in coerenza con i principi di integrità e riservatezza e con gli obblighi di sicurezza di cui all’art. 32 GDPR (cfr. art. 5, par. 1, lett. f).

Ed invero, in ambito sanitario, l’accesso a dati clinici da parte di soggetti non specificamente formati e autorizzati o non appartenenti al perimetro funzionale di riferimento costituisce già, di per sé, una forma di esposizione indebita del dato personale, idonea a incidere sulla sfera più intima dell’interessato.

Un ulteriore profilo, spesso sottovalutato, riguarda il tempo.

Anche dati sanitari trattati legittimamente possono diventare critici se conservati oltre quanto necessario. La limitazione della conservazione assume qui un rilievo centrale: il DSE non può trasformarsi in un archivio permanente di informazioni sanitarie “nel dubbio che possano servire” (cfr. art. 5, par. 1, lett. e, GDPR).

La conservazione deve restare funzionale, temporalmente ancorata alle esigenze di cura e coerente con l’organizzazione sanitaria di riferimento.

Non sorprende, dunque, che l’Autorità Garante per la protezione dei dati personali sia recentemente intervenuta con un provvedimento sanzionatorio nel quale ha rimarcato, in modo rigoroso, i principi da osservare nell’utilizzo del DSE.

Nel caso in esame, il Garante, lungi dal mettere in discussione l’adozione del Dossier Sanitario Elettronico da parte dell’Organizzazione, avrebbe censurato le modalità di strutturazione e governo del sistema.

Dall’istruttoria emergerebbe che l’assetto organizzativo adottato avrebbe progressivamente ampliato il perimetro del trattamento, consentendo una circolazione, una consultazione e una conservazione dei dati sanitari non pienamente coerenti con i principi di necessità, proporzionalità e selettività.

Secondo la ricostruzione dell’Autorità, il DSE sarebbe stato utilizzato come un contenitore unico nel quale confluivano, in modo sistematico, le informazioni sanitarie relative ai pazienti, indipendentemente dal singolo episodio di cura o dalla concreta necessità clinica.
Referti, esiti di esami, informazioni diagnostiche e dati relativi a prestazioni pregresse sarebbero rimasti stabilmente associati al paziente, anche quando non più funzionali alla cura in corso.

In tal modo, il DSE avrebbe finito per assumere la fisionomia di un archivio esteso della storia clinica, oltrepassando la funzione di supporto alla singola presa in carico.

Analogamente, l’assetto dei profili autorizzativi avrebbe consentito l’accesso ai dati sanitari a una platea di operatori non sempre direttamente coinvolti nel percorso di cura.

Ulteriore profilo critico riguarderebbe la conservazione: le informazioni non sarebbero state cancellate o limitate in modo coerente con le esigenze cliniche, rimanendo disponibili per periodi estesi, senza un chiaro ancoraggio temporale.

La criticità non si collocherebbe, dunque, su un piano meramente formale, ma su quello – ben più insidioso – della trasformazione funzionale dello strumento.

Il provvedimento sembrerebbe fondarsi su un passaggio chiave: quando l’organizzazione del DSE diventa indifferenziata, il trattamento perde la sua legittimazione sostanziale.

Non è la tecnologia a essere posta in discussione, ma la perdita di controllo sul suo utilizzo; non l’innovazione, ma l’assenza di confini organizzativi.

È una presa di posizione netta, che chiarisce come, in sanità, l’illecito possa maturare silenziosamente all’interno delle scelte organizzative.

In questa prospettiva, il provvedimento travalica il caso concreto e si offre come caso di scuola.

L’Autorità ribadisce che l’organizzazione è già trattamento e che ogni configurazione di sistema, ogni regola di accesso, ogni scelta in tema di conservazione deve essere valutata alla luce dell’impatto effettivo sui diritti e sulle libertà dell’interessato.

Il messaggio è chiaro: in ambito sanitario, la tecnologia è legittima solo finché resta governata.

Ed è qui che il ruolo del DPO emerge nella sua dimensione più autentica. Non come mero presidio formale, ma come custode dell’equilibrio tra cura, organizzazione e tutela dei diritti.
Perché, quando quell’equilibrio vacilla, non basta conoscere la norma: serve la responsabilità di chi sceglie, consapevolmente, da che parte stare.