g-docweb-display Portlet

Parere su uno schema di decreto concernente la definizione delle caratteristiche e dei contenuti delle prescrizioni dei medicinali rilasciate nel territorio italiano su richiesta di un paziente che intenda utilizzarle in uno Stato membro dell'UE - 26 gennaio 2023 [9856677]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 

VEDI ANCHE: Newsletter del 21 febbraio 2023

 

[doc. web n. 9856677]

Parere su uno schema di decreto concernente la definizione delle caratteristiche e dei contenuti delle prescrizioni dei medicinali rilasciate nel territorio italiano su richiesta di un paziente che intenda utilizzarle in uno Stato membro dell'UE - 26 gennaio 2023

Registro dei provvedimenti
n. 24 del 26 gennaio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. n. 196 del 30 giugno 2003, di seguito “Codice”);

VISTA la direttiva 2011/24/UE del Parlamento europeo e del Consiglio del 9 marzo 2011 concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera;

VISTA la direttiva di esecuzione 2012/52/UE della Commissione europea del 20 dicembre 2012 recante "Misure destinate ad agevolare il riconoscimento delle ricette mediche emesse in un altro Stato membro", volta a dare attuazione al predetto articolo 11, paragrafo 1, della direttiva 2011/24/UE;

VISTO il decreto legislativo 4 marzo 2014, n. 38, recante “Attuazione della direttiva 2011/24/UE concernente l’applicazione dei diritti dei pazienti relativi all’assistenza sanitaria transfrontaliera, nonché della direttiva 2012/52/UE, comportante misure destinate ad agevolare il riconoscimento delle ricette mediche emesse in un altro stato membro”;

VISTO l'articolo 12 del decreto-legge 18 ottobre 2012, n. 179, recante “Fascicolo sanitario elettronico, sistemi di sorveglianza nel settore sanitario e governo della sanità digitale”;

VISTO il decreto del Presidente del Consiglio dei Ministri 29 settembre 2015, n. 178, recante “Regolamento in materia di Fascicolo Sanitario Elettronico”;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE il prof. Pasquale Stanzione;

PREMESSO

Il Ministero della salute, con la nota del 9 dicembre 2022, ha trasmesso al Garante, per il prescritto parere di competenza, lo schema di decreto da adottare di concerto con il Ministro dell'economia e delle finanze, concernente la definizione delle caratteristiche e dei contenuti delle prescrizioni dei medicinali rilasciate nel territorio italiano su richiesta di un paziente che intenda utilizzarle in uno Stato membro ai sensi dell’art. 12, comma 9, del d.lgs n. 38 del 2014.

Lo schema di decreto, trasmesso unitamente alla relativa relazione illustrativa, si compone di 10 articoli di seguito sinteticamente descritti.

Alla disposizione sul quadro definitorio (art. 1) seguono quelle relative all’ambito di applicazione (art. 2), alle caratteristiche e contenuti delle prescrizioni transfrontaliere ai (art. 3) e alle modalità di rilascio e utilizzo delle stesse (art. 4). Lo schema di decreto indica poi l’elenco dei medicinali per i quali è possibile generare la prescrizione transfrontaliera (art. 5) e le modalità e le procedure per il rimborso delle spese sostenute per tali prescrizioni (art. 6). Gli artt. 7 e 8 sono dedicati alle informazioni sulle previsioni contenute nello schema di decreto che devono rendere le Regioni e le Province autonome e sul sito del Ministero della salute. Le disposizioni finali concernono il trattamento dei dati personali dei soggetti interessati alle prescrizioni transfrontaliere e la registrazione e l’entrata in vigore dello schema di decreto (artt. 9 e 10).

OSSERVA

1. Considerazioni preliminari.

Lo schema di decreto in esame dà attuazione alle disposizioni previste, nell’ambito della cooperazione in materia di assistenza sanitaria, per il riconoscimento delle prescrizioni rilasciate in un altro Stato membro (art. 12 d.lgs n. 38 del 2014). In particolare, lo schema di decreto individua ai sensi dell’art. 14, comma 9, del d.lgs n. 38 del 2014, le caratteristiche ed i contenuti delle prescrizioni che verranno rilasciate nel territorio italiano su richiesta di un paziente che intenda utilizzarle in un altro Stato membro.

Lo schema di decreto in esame, pur contenendo molti profili tecnici legati all’elenco dei medicinali per i quali è possibile generare la prescrizione transfrontaliera e alle modalità di rimborso degli stessi, incide, come evidenziato anche nella relazione illustrativa allo stesso, su numerosi aspetti legati alla disciplina sulla protezione dei dati personali, concernendo il trattamento di informazioni relative allo stato di salute del soggetto cui la prescrizione si riferisce.

In tale contesto appare opportuno premettere che, sul piano dei principi e in relazione ai profili di competenza in materia di protezione dei dati personali, non vi sono ostacoli da parte di questa Autorità all’attuazione degli strumenti previsti a livello unionale, come quelli in esame, volti ad agevolare l’utilizzo di una prescrizione farmaceutica in un altro Stato membro.

Ciò premesso, si osserva che nello schema di decreto in esame non risultano compiutamente regolati tutti gli aspetti che avrebbero dovuto essere disciplinati e che alcune scelte di fondo del complessivo trattamento di dati personali appaiono, allo stato, da un lato indeterminate e dall’altro non coerenti con il quadro giuridico di riferimento.

Ciò stante, si rappresenta che le disposizioni relative al trattamento dei dati personali contenute nello schema di decreto in esame, tenuto conto anche dello specifico contesto di riferimento, devono assicurare una corretta applicazione dei principi in materia di protezione dei dati quali, in particolare, quelli di:

- liceità, correttezza e trasparenza, con specifico riferimento alla corretta individuazione del perimetro di titolarità dei trattamenti, ai limiti di responsabilità dei soggetti coinvolti e alla necessità di fornire all’interessato informazioni chiare in merito alle operazioni eseguite sui dati personali che lo riguardano (art. 5, par. 1, lett. a);

- minimizzazione, esattezza e limitazione della conservazione in base ai quali il trattamento dei dati deve essere limitato a quanto e al tempo necessario rispetto alle finalità per le quali sono trattati e deve essere effettuato adottando specifiche misure volte a garantire in concreto l’esattezza, l’integrità e l’aggiornamento dei dati (art. 5, par. 1, lett. c), d) ed e));

- integrità e sicurezza del trattamento mediante la previsione di misure tecniche e organizzative idonee a garantire un livello di sicurezza adeguato al rischio di varia probabilità e gravità per i diritti e le libertà delle persone fisiche (art. 5, par. 1 lett. f));

- protezione dei dati fin dalla progettazione e per impostazione predefinita da assicurare anche mediante una preventiva valutazione di impatto considerata la tipologia dei trattamenti descritti nello schema di decreto in esame (artt. 25 e 35 del Regolamento).

Al riguardo, per i profili di protezione dei dati, si osservano le seguenti carenze nello schema di decreto in esame che investono profili sostanziali del trattamento.

2. Elementi di criticità in materia di protezione dei dati personali.

2.1. Titolarità del trattamento

Unitamente allo schema di decreto è stata trasmessa la relazione illustrativa in cui è stato evidenziato che il predetto schema di decreto recepisce i principi e le indicazioni di cui alla direttiva 2011/24/UE del Parlamento europeo e del Consiglio e che gli Stati membri hanno previsto modalità progressive di attivazione di servizi digitali basati sull'eHealth Digital Service Infrastructure (eHDSI), per la prescrizione e la dispensazione della ricetta farmaceutica transfrontaliera, al fine di garantire la continuità dell'assistenza ai cittadini europei durante i loro viaggi all'estero.

L’infrastruttura eHDSI consente ai professionisti sanitari coinvolti l’accesso ai dati clinici degli assistiti residenti nel territorio di uno Stato membro, attraverso un portale messo a disposizione dal National Contact Point eHealth (NCPeH) designato da ciascuno stato membro; per l’Italia è stato individuato come NCPeH il Ministero della salute.

Per gli aspetti di protezione dei dati personali la predetta relazione illustrativa indica che “ogni NCPeH è responsabile del trattamento dei dati, dalla raccolta, all'archiviazione, al trasferimento e alle altre operazioni di elaborazione dei dati delle cartelle cliniche, in conformità alle norme previste dal Regolamento UE n. 2016/679 e dalle norme in vigore nel paese di trattamento”. La citata relazione indica inoltre che “il Ministero dell'Economia e Finanze è titolare del trattamento dei dati relativi alla procedura di rilascio della ricetta elettronica transfrontaliera, fase nella quale l’assistito viene informato dell’applicazione dei diritti relativi all’assistenza sanitaria transfrontaliera secondo quanto previsto dalla direttiva 2011/24/UE, dalla direttiva di esecuzione 2012/52/UE e da quanto recepito a livello nazionale dal decreto legislativo n. 38 del 2014, nonché di tutte le informazioni relative al trattamento dei suoi dati, pubblicate nella sezione della pagina web istituzionale del Punto di Contatto Nazionale e sul portale del Ministero della salute”.

Sul punto lo schema di decreto in esame prevede che sia “Titolare del Trattamento il Ministero dell'Economia e Finanze“, “mentre è Responsabile del Trattamento la società Sogei SpA”.

In merito a tale attribuzione dei ruoli emergono le seguenti criticità:

non è descritto il ruolo del Ministero della salute, che, sulla base della normativa di settore, è designato National Contact Point eHealth, ovvero il soggetto che mette a disposizione un apposito portale per consentire ai professionisti sanitari coinvolti l’accesso ai dati clinici degli assistiti residenti nel territorio di uno Stato membro. Si segnala al riguardo che in alcuni punti della documentazione trasmessa il National Contact Point eHealth e il Ministero della salute sembrano essere soggetti distinti (cfr. ad esempio art. 8, comma 3, dello schema di decreto);

non è indicato il soggetto che riveste la funzione di “national connector” che, secondo quanto indicato nello schema in esame, si occupa dell’interconnessione tra i sistemi nazionali e l’infrastruttura europea, effettuando le trasformazioni tra le codifiche previste nei due ambiti (cfr. artt. 1, comma 1, lett. n) e 4);

non è indicato il soggetto che gestisca l’«infrastruttura eHDSI», ovvero l’infrastruttura informatica che assicura la continuità dell'assistenza ai cittadini europei durante i loro viaggi nell'Unione Europea (cfr. artt. 1, comma 1, lett. m) e 4);

non è definito il perimetro di titolarità del trattamento effettuato attraverso la generazione della ricetta transfrontaliera effettuata dal medico prescrittore e le successive attività necessarie all’utilizzo della ricetta all’estero e al controllo della regolarità della stessa, descrivendo il momento in cui cessa la titolarità del soggetto che ha generato il dato (medico prescrittore) e inizia quella degli altri soggetti coinvolti nel trattamento. Il perimetro di titolarità deve essere evidenziato anche con riferimento alle operazioni di correzione e aggiornamento dei dati;

alla luce della richiamata disciplina di settore non appare correttamente individuata la titolarità del Ministero dell’economia e delle finanze relativa alla c.d. “procedura di rilascio della ricetta elettronica transfrontaliera”, in quanto i dati inseriti nella ricetta sono raccolti e generati dal medico prescrittore e il soggetto che dovrebbe mettere a disposizione un apposito portale volto consentire ai professionisti sanitari coinvolti l’accesso ai dati clinici degli assistiti residenti nel territorio di uno Stato membro è demandata al National Contact Point eHealth, che -nel nostro Paese- è il Ministero della salute. Non risulta infatti che il quadro normativo di settore attribuisca, con riferimento al trattamento dei dati in esame, al Ministero dell’economia e delle finanze specifiche finalità perseguibili in qualità di titolare del trattamento (art. 9 dello schema di decreto);

non sono chiaramente indicate le attività che verrebbero effettuate dalla società Sogei Spa, responsabile del Ministero dell’economia e delle finanze (art. 9 dello schema di decreto).

Ciò stante, si ritiene necessario che si proceda a una riformulazione delle disposizioni dello schema di decreto relative alla titolarità del trattamento al fine di delineare chiaramente i rapporti tra i diversi attori che intervengono nel processo di generazione e utilizzo della ricetta transfrontaliera, descrivendo la titolarità dei trattamenti effettuati, individuando le responsabilità e i compiti dei soggetti coinvolti, nel rispetto delle finalità che sono state individuate e attribuite dalla specifica disciplina di settore.

2.2. Informazioni da rendere all’interessato

L’art. 8 dello schema di decreto in esame prevede che “Tutte le informazioni rese all’assistito, secondo il presente decreto, sono fornite nel rispetto di quanto stabilito dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), della legislazione nazionale di ciascun paese in materia di protezione dei dati personali e, per l'Italia, dal decreto legislativo 30 giugno 2003 n. 196 recante il "Codice in materia di protezione dei dati personali", così come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”.

Tale previsione non soddisfa il rispetto del principio di trasparenza di cui all’art. 5, par. 1, lett. a), del Regolamento in quanto si limita a evidenziare ciò che è già vigente, ovvero che le informazioni da rendere all’interessato debbano essere rese nel rispetto della disciplina sulla protezione dei dati personali. La disposizione in esame non individua infatti il soggetto, il momento in cui tali informazioni debbano essere rese all’interessato, né il contenuto delle stesse.

La predetta disposizione si limita inoltre a indicare che le “informazioni di cui al presente decreto e da rendere al cittadino dello Stato di affiliazione e/o dello Stato membro di cura sono pubblicate nella sezione della pagina web istituzionale del Punto di Contatto Nazionale e sul portale del Ministero della salute” senza specificare se si tratti delle informazioni da rendere ai sensi del Regolamento o quelle relative alla disciplina sull’assistenza sanitaria transfrontaliera secondo quanto previsto dalla direttiva 2011/24/UE, dalla direttiva di esecuzione 2012/52/UE e da quanto recepito a livello nazionale dal decreto legislativo n. 38 del 2014 (art. 8, comma 3 dello schema).

2.3. Liceità del trattamento

Lo schema di decreto in esame non disciplina tutti gli elementi richiesti dagli artt. 6, par. 3 e 9 del Regolamento e dall’art. 2 sexies del Codice.

Oltre agli aspetti relativi alla titolarità del trattamento indicati nel paragrafo 2.1, si rappresenta che lo schema di decreto in esame non indica le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati, le operazioni eseguibili e il motivo di interesse pubblico rilevante perseguito.

Come evidenziato nel precedente paragrafo, risulta altrettanto pleonastica la formulazione dell’art. 9, comma 1, dello schema di decreto in cui è indicato che “Il trattamento dei dati utilizzati per assicurare l'assistenza sanitaria transfrontaliera secondo le procedure del presente decreto è effettuato nel rispetto di quanto stabilito dal regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), della legislazione nazionale di ciascun paese in materia di protezione dei dati personali e,  per l'Italia,  dal decreto legislativo 30 giugno 2003 n. 196 recante il "Codice in materia di protezione dei dati personali", così come modificato dal decreto legislativo 10 agosto 2018, n. 101, recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati)”. Fermo restando che ogni trattamento di dati personali deve essere effettuato nel rispetto della disciplina vigente in materia, lo schema di decreto non individua, come richiesto dalla normativa di settore ivi citata, le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati, il motivo di interesse pubblico rilevante perseguito, nonché le diverse operazioni di trattamento che posso essere effettuate dai diversi soggetti coinvolti.

Parimenti retorica risulta la previsione dell’ultimo comma dell’art. 9 dello schema di decreto trasmesso secondo cui “Alle pubbliche amministrazioni e/o ai soggetti autorizzati che dovessero entrare nelle procedure o fasi di rilascio della prescrizione transfrontaliera si applicano il regolamento UE sulla protezione dei dati 2016/679 e il decreto legislativo 30 giugno 2003 n. 196 e s.m. secondo il proprio modello giuridico ed organizzativo di protezione dei dati personali”. Tale disposizione inoltre evidenzia il coinvolgimento nel trattamento di pubbliche amministrazioni e altri soggetti senza specificare l’identità di tali figure, il ruolo nel trattamento e le finalità lecitamente perseguite.

Si evidenzia infine la non correttezza della formulazione dell’art. 9, comma 2, dello schema di decreto che prevede che “Ai dati di cui all'articolo 9 del regolamento UE sulla protezione dei dati 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016, trattati in attuazione al presente decreto si applica quanto previsto agli articoli 5, 6 e 7 del medesimo regolamento europeo”. Ciò in considerazione del fatto che ai dati sulla salute di cui all’art. 9 del Regolamento si applicano molte altre disposizioni del Regolamento (solo a titolo esemplificativo cfr. artt. 13, 14, 15 e ss., 25, 32) e che al trattamento dei dati in esame non è invece applicabile l’art. 7 relativo al consenso dell’interessato, in quanto lo stesso trova la base giuridica non nella manifestazione di volontà dell’interessato, ma nelle richiamate disposizioni normative unionali e nazionali (art. 9, par 2, lett. g) del Regolamento).

2.4 Accessibilità delle prescrizioni attraverso il Fascicolo sanitario Elettronico (FSE)

Lo schema di decreto in esame contiene i seguenti riferimenti al Fascicolo Sanitario Elettronico (FSE):

1. “Il Sistema Tessera Sanitaria alimenta il Fascicolo Sanitario Elettronico con le prescrizioni transfrontaliere in formato elettronico e le relative prestazioni erogate di farmaceutica, secondo quanto già previsto per le ricette elettroniche dall’articolo 12 comma 15-septies del decreto legge 179 del 2012”;

2. “Al fine di dimostrare l'erogazione della prestazione ottenuta, l’assistito che ha utilizzato la prescrizione transfrontaliera può far riferimento ai documenti presenti nel proprio Fascicolo Sanitario Elettronico ed ai documenti rilasciati dallo Stato di erogazione” (art. 6, comma 5 dello schema).

Al riguardo, si richiama integralmente quanto già rilevato dal Garante nel parere espresso il 22 agosto 2022, n. 294 (disponibile in www.gpdp.it [doc. web n. 9802729]), con particolare riferimento alla circostanza che spetta al decreto di cui all’art. 12, comma 15-ter del d.l. n. 179/2012, che non è stato ancora adottato, individuare le modalità attraverso le quali il Sistema Tessera sanitaria (TS) rende disponibili ai FSE e ai dossier farmaceutici, attraverso l’infrastruttura nazionale, i dati risultanti negli archivi del medesimo Sistema -relativi tra l’altro alle prescrizioni e prestazioni erogate di farmaceutica (combinato disposto dell’art. 12, commi 15-ter, n. 3 e 15-septies). In assenza di tale decreto e allo stato della normativa vigente (d.l. n. 179/2012 e dpcm n. 178/2012) non si evince con quali modalità il Sistema Tessera sanitaria possa alimentare il FSE con le informazioni relative alle ricette transfrontaliere.

Sul punto si rappresenta inoltre che l’Autorità ha espresso specifici rilievi in ordine al dossier farmaceutico nel richiamato parere del 22 agosto 2022 (paragrafo 3.7) a cui si rinvia integralmente, chiedendo al Ministero della salute di definire la titolarità dei trattamenti e di indicare ove risiedano i dati e i soggetti che possono accedervi e per quali finalità.

2.5 Qualità delle informazioni

Come evidenziato nel paragrafo 2.3, lo schema di decreto in esame non indica le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati. In particolare, si evidenzia che non sono state descritte le modalità attraverso le quali sarebbero garantiti i parametri relativi alla qualità dei dati trattati, che assumono un significativo rilievo considerato che si tratta di informazioni sulla salute utilizzate per la dispensazione di farmaci al di fuori del nostro Paese.

In conformità al principio di trasparenza, è necessario che lo schema di decreto in esame sia integrato con l’indicazione dei soggetti responsabili del rispetto dei principi applicabili al trattamento di tali dati, con particolare riguardo a quelli di esattezza, aggiornamento e di integrità e sicurezza dei dati, nonché delle modalità attraverso le quali l’interessato e il medico prescrittore possono chiedere la rettifica o l’aggiornamento dei dati presenti nella ricetta transfrontaliera.

2.6. Periodo di conservazione dei dati personali e diritti degli interessati

Lo schema di decreto in esame risulta privo dell’indicazione del periodo di conservazione dei dati trattati attraverso la ricetta transfrontaliera da parte dei diversi soggetti coinvolti nel trattamento (art. 6 del Regolamento).

Parimenti non sono indicate le modalità attraverso le quali l’interessato può esercitare i diritti a esso riconosciuti dal Regolamento nei confronti dei molteplici soggetti che trattano le informazioni presenti nella predetta ricetta.

Lo schema di decreto deve pertanto essere integrato con l’indicazione del tempo di conservazione dei dati da parte dei diversi soggetti coinvolti nel trattamento, nonché con l’informazione relativa ai diritti esercitabili da parte dell’interessato rispetto alla pluralità dei soggetti che trattano i dati personali.

2.7. Sicurezza del trattamento

Lo schema di decreto trasmesso non è corredato da alcuna disposizione o allegato tecnico in cui siano descritti gli elementi e le componenti dell’architettura nazionale che si collegherebbe con l’infrastruttura eHDSI, nonché le misure tecniche e organizzative che si intende adottare in funzione dei rischi che presenta il trattamento, come, ad esempio, quelli di:

- accessi abusivi e illeciti;

- integrità ed esattezza e aggiornamento del dato;

- perdita e distruzione dei dati;

- utilizzo dei dati per finalità non compatibili;

- danni anche fisici ai soggetti assistiti.

2.8. Valutazione d’impatto

La previsione di un sistema centralizzato a livello nazionale attraverso il quale generare e verificare il corretto utilizzo delle ricette transfrontaliere, determinando un trattamento sistematico, su larga scala, di particolari categorie di dati personali di cui all’art. 9 del Regolamento e presentando un rischio elevato per i diritti e le libertà degli interessati, deve essere preceduta da una valutazione di impatto ai sensi dell’art. 35, par. 10 del Regolamento.

Ciò premesso, si rileva che solo all’esito di una preventiva e compiuta valutazione di impatto che tenga conto di quanto sopra osservato, potrà essere adottato il parere dell’Autorità sul decreto in esame. Senza tale valutazione d’impatto non è possibile effettuare un esame complessivo e preventivo sull’adeguatezza e proporzionalità delle misure che si intendono implementare.

Ciò stante, si rileva la necessità che venga svolta una preventiva valutazione di impatto, che tenga conto degli specifici rischi indicati nel precedente paragrafo 2.7. Tale valutazione d’impatto si ritiene debba essere effettuata in relazione all’insieme dei trattamenti che saranno effettuati da una pluralità di titolari, che presentano rischi analoghi, ai sensi dell’art. 35, par. 10.

***

Alla luce delle suesposte considerazioni, nel rilevare l’importanza di dare attuazione alle richiamate direttive europee, si osserva che lo schema di decreto in esame, per i profili di competenza, reca profili di non conformità alla disciplina rilevante in materia di protezione dei dati personali che impongono la necessità di operare una revisione del testo.

TUTTO CIÒ PREMESSO, IL GARANTE

in considerazione delle carenze strutturali e sostanziali descritte in premessa, riguardanti la mancanza di garanzie per il pieno rispetto dei diritti e delle libertà fondamentali degli interessati e in relazione alle criticità descritte e motivate nel paragrafo 2 del presente parere, cui si rinvia integralmente, relative a:

1. la titolarità dei trattamenti, essendo necessaria una riformulazione delle disposizioni dello schema di decreto relative alla titolarità del trattamento al fine di delineare chiaramente i rapporti tra le diverse componenti che intervengono nel processo di generazione e utilizzo della ricetta transfrontaliera, descrivendo la titolarità dei trattamenti effettuati, individuando le responsabilità e i compiti dei soggetti coinvolti, nel rispetto delle finalità che sono state individuate e attribuite dalla specifica disciplina di settore (paragrafo 2.1);

2. le informazioni da rendere all’interessato, essendo necessario che sia individuato il soggetto, il momento in cui tali informazioni debbano essere rese all’interessato, nonché il contenuto delle stesse (paragrafo 2.2.);

3. la liceità del trattamento, essendo necessario indicare la corretta base giuridica dello stesso, le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi degli interessati, le operazioni eseguibili e il motivo di interesse pubblico rilevante (paragrafo 2.3);

4. l’accessibilità delle prescrizioni attraverso il Fascicolo sanitario Elettronico, essendo necessario rispettare quanto già rilevato dall’Autorità nel parere del 22 agosto 2022, n. 294 relativamente alle modalità attraverso le quali il Sistema Tessera sanitaria rende disponibili ai FSE e ai dossier farmaceutici, attraverso l’infrastruttura nazionale, i dati risultanti negli archivi del medesimo Sistema, nonché definire la titolarità dei trattamenti e indicare ove risiedano i dati e i soggetti che possono accedervi e per quali finalità (paragrafo 2.4);

5. la qualità delle informazioni, essendo necessario indicare i soggetti responsabili del rispetto dei principi applicabili al trattamento di tali dati, con particolare riguardo a quelli di esattezza, aggiornamento e di integrità e sicurezza dei dati, nonché le modalità attraverso le quali l’interessato e il medico prescrittore possono chiedere la rettifica o l’aggiornamento dei dati presenti nella ricetta transfrontaliera (paragrafo 2.5);

6. la sicurezza del trattamento essendo necessario descrivere gli elementi e le componenti dell’architettura nazionale che si collegherebbe con l’infrastruttura eHDSI, nonché le misure tecniche e organizzative che si intende adottare in funzione dei rischi che presenta il trattamento (paragrafo 2.6);

7.  la necessità che sia accompagnato dalla valutazione d’impatto sul trattamento dei dati personali effettuato nell’ambito della generazione e utilizzo della ricetta transfrontaliera effettuato da una pluralità di titolari, ai sensi dell’art. 35, par. 10 (paragrafo 2.7);

ritiene che il presente parere, reso ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, sullo schema di decreto trasmesso dal Ministero della salute, con la nota del 9 dicembre 2022, da adottare di concerto con il Ministro dell'economia e delle finanze, concernente la definizione delle caratteristiche e dei contenuti delle prescrizioni dei medicinali rilasciate nel territorio italiano su richiesta di un paziente che intenda utilizzarle in uno Stato membro ai sensi dell’art. 12, comma 9, del d.lg n. 38 del 2014, non possa essere positivo.

Roma, 26 gennaio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL SEGRETARIO GENERALE
Mattei