Il Garante Privacy dà il via libera al decreto sulla telemedicina proposto dal Ministero della Salute, garantendo maggiore sicurezza e tutela dei dati personali dei pazienti.
Garante Privacy: sì alla telemedicina
Il Garante Privacy dà il via libera allo schema di decreto del Ministero della Salute che disciplina i trattamenti dei dati personali nell’ambito della Piattaforma nazionale di telemedicina (PNT) prevista dal Piano Nazionale Ripresa e Resilienza (PNRR).
Lo schema di decreto ha accolto tutte le modifiche richieste dal Garante per la Protezione dei dati personali. Nello specifico, rispetto alla prima bozza trasmessa dal Ministero, il Decreto introduce l’obbligo della valutazione d’impatto preventiva. Ciò è avvenuto anche in considerazione della natura, dell’oggetto, delle finalità e dell’elevato numero di persone coinvolte nel trattamento dati.
Per approfondire > Valutazione d’impatto protezione dei dati (DPIA) e rischio del trattamento
Lo schema di decreto stabilisce le modalità per il trattamento dei dati personali sanitari attraverso la Piattaforma Nazionale di Telemedicina (PNT). Definisce i dati trattati, le operazioni possibili, i motivi di interesse pubblico e le misure di tutela per i diritti degli interessati.
Per saperne di più > Medicina digitale e protezione dei dati; tra consenso e protezione del dato
Decreto sulla telemedicina: cosa stabilisce?
Per finalità di governo e programmazione, il decreto consente al Ministero della Salute, all’Agenas e alle Regioni di estrarre dati pseudonimizzati dall’Ecosistema Dati Sanitari (EDS), evitando duplicazioni nella Piattaforma nazionale di telemedicina (PNT). I dati estratti saranno conservati per un massimo di 24 ore e cancellati successivamente, garantendo aggiornamento, esattezza e sicurezza.
Inoltre, Agenas, incaricata della gestione dei dati e della valutazione delle tecnologie sanitarie, potrà accedere a dati pseudonimizzati e aggregati da EDS per analisi e monitoraggio, ma solo rispettando principi di minimizzazione e necessità. I dati saranno conservati per un massimo di 24 ore. L’elaborazione tramite intelligenza artificiale (AI) è stata esclusa.
Ruoli, responsabilità e misure di sicurezza nel trattamento dei dati
Il decreto definisce i ruoli nel trattamento dei dati. Attribuisce la titolarità dei trattamenti all’Infrastruttura nazionale di telemedicina (Agenas) per specifiche attività e alle Regioni e Province autonome per le infrastrutture regionali (IRT). Le IRT e le Residenze sanitarie Assistite (RdA) sono titolari delle operazioni necessarie per l’autenticazione e il tracciamento delle operazioni, mentre le strutture sanitarie sono responsabili dei trattamenti legati alla cura tramite i servizi di telemedicina.
Il decreto prevede misure per garantire trasparenza nei trattamenti dei dati, inclusa l’informativa completa all’interessato e la possibilità di esercitare i diritti relativi ai dati di autenticazione e accesso ai servizi di telemedicina. È stato stabilito un periodo di conservazione di 12 mesi per i dati personali relativi all’autenticazione e all’accesso ai servizi minimi di telemedicina.
Infine introduce misure di sicurezza differenziate tra la INT e le IRT. Tra queste troviamo l’uso della crittografia e sistemi di monitoraggio degli eventi di sicurezza. Ma anche misure specifiche per prevenire accessi non autorizzati e garantire la tracciabilità delle operazioni, con una conservazione degli accessi per 24 mesi.
L’Autorità ha sottolineato, infine, l’importanza di rivedere le “Linee guida per i servizi di telemedicina – requisiti funzionali e livelli di servizio“, approvate con decreto del Ministero della Salute nel 2022, per adeguarle alla nuova regolamentazione relativa al FSE 2.0 e alle disposizioni previste dal Regolamento europeo.
Il documento completo è disponibile qui.
