Garante Privacy: parere sulle modalità di consegna della ricetta medica elettronica

Nell’ambito dell’emergenza epidemiologica da COVID-19, il Garante Privacy ha espresso parere favorevole sullo schema di decreto trasmesso dal Ministero dell’Economia e delle Finanze (“MEF”) da adottare di concerto con il Ministero della salute, relativo alle modalità di consegna al paziente del promemoria dematerializzato della ricetta medica da parte del medico.

Quadro normativo

In particolare:

• con nota del 26 febbraio 2020, il MEF ha trasmesso, ai sensi dell’art. 36, par. 4 del Regolamento generale sulla protezione dei dati personali 679/2016 (“GDPR”), uno schema di decreto che modifica il D.M. 2 novembre 2011 (“Decreto del MEF”), estendendo la disciplina relativa alla dematerializzazione delle ricette mediche ad ulteriori categorie di prescrizioni.
• con nota del 17 marzo 2020, il MEF ha trasmesso una nuova versione dello schema di decreto che individua i canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica, le cui modalità attuative saranno stabilite in un successivo decreto del medesimo dicastero da adottarsi di concerto con il Ministero della salute, sentito il Garante Privacy.

Le due versioni di schemi di decreto trasmesse al Garante Privacy sono state predisposte anche sulla base dei rilievi e delle indicazioni fornite dallo stesso nel corso di alcune riunioni e interlocuzioni, aventi anche carattere d’urgenza, e tengono conto dell’attività tecnica condotta con le regioni, con il Ministero della salute, con l’Agenzia italiana del farmaco (“AIFA”) e con l’Agenzia per l’Italia digitale (“AGID”).

L’ultima versione dello schema di decreto (“Schema di Decreto”) prevede che, fino al perdurare dello stato di emergenza, per quanto concerne la ricetta dematerializzata di cui al Decreto del MEF, restano ferme le disposizioni definite dalle ordinanze della Protezione Civile. Si fa altresì riferimento all’ordinanza n. 651 del 19 Marzo 2020, che consente di mandare i promemoria della ricetta medica elettronica ai pazienti anche con mail ordinaria al fine di evitare gli assembramenti nelle sale di attesa dei medici.

Il suddetto Schema di Decreto è suddiviso in tre articoli, relativi al quadro definitorio (art. 1), alle modifiche al richiamato Decreto del MEF (art. 2) e alle misure emergenziali per la ricetta dematerializzata (art. 3).

In particolare, l’art. 2:

1. estende la dematerializzazione della ricetta ai:

• farmaci con piano terapeutico AIFA, per consentire alle regioni l’esecuzione dei controlli finalizzati alla verifica del rispetto delle condizioni indicate nel piano terapeutico;
• farmaci distribuiti attraverso modalità diverse dal regime convenzionale;
• farmaci con ricetta medica limitativa.

2. interviene sulle modalità di consegna all’assistito del promemoria dematerializzato da parte del medico prevedendo i seguenti canali:

• portale del Sistema di Accoglienza Centrale (“SAC”) (www.sistemats.it, anche tramite i sistemi di accoglienza regionali);
• Fascicolo Sanitario Elettronico (“FSE”), di cui all’art. 12 del decreto legge 179/2012;
• posta elettronica;
• short message serivce (“SMS”).

Rilievi del Garante Privacy

Il Garante Privacy ha preliminarmente osservato come sebbene la normativa relativa alla dematerializzazione della ricetta medica per le prescrizioni a carico del Servizio Sanitario Nazionale risalga al Decreto del MEF del 2011, le modalità alternative alla stampa del promemoria cartaceo non sono state ancora individuate.

A tal riguardo, il Garante Privacy già dal 2015 ha segnalato al Ministero della salute che la mancata individuazione delle predette modalità alternative alla stampa del promemoria cartaceo ha determinato il diffondersi di iniziative autonome, da parte dei medici, molto differenziate sul territorio nazionale, che presentavano profili di criticità in merito alla sicurezza del trattamento dei dati relativi allo stato di salute degli assistiti dal Servizio Sanitario Nazionale (nota del 2 ottobre 2015, cfr. relazione annuale per le 2015, pag. 72).

Con lo Schema di Decreto in esame sono stati definiti i canali attraverso i quali effettuare la consegna del promemoria dematerializzato della ricetta elettronica all’assistito, rinviando a un successivo decreto dello stesso dicastero, da adottarsi di concerto con il Ministero della salute e sentito il Garante, le modalità di rilascio del promemoria dematerializzato attraverso i predetti canali.

Rispetto allo Schema di Decreto, il Garante Privacy:

• condivide la scelta del MEF di individuare, in un atto normativo concordato con il Ministero della salute, le modalità di trasmissione all’assistito del “promemoria dematerializzato” della ricetta elettronica, che, con misure adeguate a tutela dei dati personali degli assistiti, siano valide su tutto il territorio nazionale e alle quali le regioni e le province autonome dovranno adeguarsi.
• asserisce che non sussistono impedimenti legati alla protezione dei dati personali nell’individuazione delle predette modalità alternative alla consegna del promemoria cartaceo della ricetta elettronica, evidenziando la possibilità di prevedere canali digitali, alternativi alla stampa cartacea, conformi alla disciplina in materia di trattamento dei dati sulla salute, come già normativamente previsto in altri ambiti sanitari ( decreto del Presidente del Consiglio dei Ministri del 8 agosto 2013 relativo alle Modalità di consegna, da parte delle Aziende sanitarie, dei referti medici tramite web, posta elettronica certificata e altre modalità digitali, nonché di effettuazione del pagamento online delle prestazioni erogate, su cui l’Autorità ha fornito il proprio parere il 6 dicembre 2012, doc. web n. 2223206; cfr. anche la disciplina sul Fascicolo sanitario elettronico, di cui all’art. 12, D.L. n. 179/2012).
• suggerisce di considerare, come modalità di consegna all’assistito del promemoria dematerializzato della ricetta elettronica, oltre al FSE, le soluzioni tecniche già individuate nella disciplina sulle modalità di consegna digitale dei referti. In particolare: -nel caso di invio del promemoria dematerializzato della ricetta elettronica alla casella di posta elettronica indicata dall’assistito per tale servizio, analogamente a quanto previsto per l’invio dei referti, il promemoria deve essere spedito in forma di allegato al messaggio e non come testo compreso nel corpo dello stesso, deve essere protetto con tecniche di cifratura e deve essere accessibile tramite una credenziale consegnata separatamente all’assistito;-nel caso di utilizzo dei servizi di SMS sul dispositivo indicato dall’assistito, si raccomanda che sia inviato il solo numero di ricetta elettronica (NRE) e non anche le altre informazioni di dettaglio contenute nel promemoria.

Alla luce di ciò, il Garante Privacy manifesta sin d’ora il proprio assenso ove l’esecutivo ritenesse, nella fase di emergenza legata all’epidemia da COVID-19, di disporre, nell’immediato, anche attraverso disposizioni d’urgenza, canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica nei termini sopra evidenziati.

Inoltre, il Garante Privacy segnala che, nel corso delle interlocuzioni con il MEF, sono state formulate specifiche osservazioni anche rispetto all’accesso da parte di AIFA, Ministero della salute e regioni ai dati personali indicati nei piani terapeutici elettronici. A tal riguardo, sono necessarie delle forme di pseudonimizzazione dei dati personali da stabilirsi previo parere del Garante Privacy ai sensi dell’art. 2 dello Schema di Decreto che introduce l’art. 1-bis, comma 7 al Decreto del MEF.

In conclusione, il Garante Privacy non ha rilievi da formulare, sotto il profilo della protezione dei dati personali, sullo Schema di Decreto in esame rispetto al quale, ai sensi degli artt. 36, par. 4 e 58, par. 3, lett. b) del GDPR, esprime parere favorevole.