Con una nota pubblicata sul proprio Portale online, il Garante privacy ha dato via libera allo schema di decreto del Ministero della salute che disciplina i trattamenti di dati personali nell’ambito della Piattaforma nazionale di telemedicina (PNT).

La piattaforma, prevista dal PNRR, garantisce standard comuni ai servizi di telemedicina sviluppati dalle Regioni valorizzando, integrando o completandone il portafoglio di servizi.

L’approvazione del Garante è stata data dopo aver chiesto ed ottenuto maggiori garanzie a tutela dei dati personali e sensibili trattati.

Le richieste del Garante

Lo schema di decreto ha accolto le numerose istanze di modifica richieste dal Garante.

La principale richiesta accolta in sede di decreto è costituita dall’introduzione, rispetto alla prima bozza trasmessa dal Ministero, dell’obbligo della valutazione d’impatto preventiva (DPIA).

Quest’ultima è una procedura – prevista dall’articolo 35 del Regolamento UE/2016/679 (RGPD) – che mira a descrivere un trattamento di dati per valutarne la necessità e la proporzionalità nonché i relativi rischi, allo scopo di approntare misure idonee ad affrontarli.

Una DPIA può riguardare un singolo trattamento oppure più trattamenti che presentano analogie in termini di natura, ambito, contesto, finalità e rischi.

Altre specifiche riportate nello schema di Decreto:

• sono state specificate la tipologia di dati trattati e delle operazioni eseguibili, i motivi di interesse pubblico rilevante e le misure specifiche e appropriate per tutelare i diritti degli interessati;
• sono stati individuati i servizi resi disponibili dalla PNT per finalità di cura e di governo, le modifiche alla disciplina dell’Ecosistema Dati Sanitari (EDS), i ruoli del trattamento, le specifiche finalità e i compiti attribuiti ai diversi soggetti coinvolti.

Misure di sicurezza per la tutela dei dati personali dei pazienti

Infine, su richiesta del Garante, è stata posta particolare attenzione alle misure di sicurezza tecniche e organizzative per offrire garanzie adeguate al rischio.

Lo schema di decreto prevede, tra le altre cose:

• l’adozione di misure idonee ad attenuare il pericolo dell’utilizzo fraudolento di identità digitali;
• la cifratura dei dati mediante algoritmi robusti;
• l’introduzione di Intrusion Prevention System per monitorare il traffico di rete ed eliminare potenziali minacce;
• il monitoraggio degli eventi di sicurezza;
• la gestione dei possibili incidenti e la tracciabilità delle operazioni.

Il Garante ha inoltre evidenziato la necessità di aggiornare le “Linee guida per i servizi di telemedicina – requisiti funzionali e livelli di servizio” approvate con decreto del Ministero della salute nel 2022 in funzione della nuova disciplina sul FSE 2.0 e delle disposizioni del Regolamento europeo.