Ricette elettroniche dematerializzate: si fa presto a dire "promemoria".
Mi sa che il giornalismo sgombro ha colpito ancora. Ma quale whatsapp? Per favore, siamo seri e non diciamo vaccate!
Whatsapp non è tra gli strumenti approvati per l'invio del promemoria relativi alle ricette mediche o alle ricette mediche per la prescrizione di farmaci non a carico del servizio sanitario nazionale.(Numero della Ricetta Bianca Elettronica - NRBE per gli amici.)
Solo FSE, email o sms.
L'articolo segnalato da @sonoclaudio fa molta scena e suscita scalpore, attira tanti click ma è sbagliato e non riporta le cose come stanno nella realtà.
Peraltro, l'articolo indirizza la preoccupazione e crea allarme su un tema marginale, perdendo completamente di vista il nocciolo della questione.
Il promemoria delle ricette arriverà via whatsapp... orrore, spavento raccapriccio!
Sono d'accordo, sarebbe una stupidaggine colossale... ma dato che non accadrà, non mi pare il caso di creare allarme su un fatto del tutto ipotetico e che, qualora accadesse, sarebbe immediatamente preso a ceffoni dal Garante Privacy. Bene ha fatto Claudio a stigmatizzare l'articolo, sbagliato nei contenuti e scorretto nei toni.
Ciò che ci dovrebbe preoccupare veramente è il fatto che il Governo, un passo dopo l'altro, abbia preso il completo controllo dei dati sanitari delle persone. Non sarebbe un problema con riferimento ai dati dei pronto soccorso, degli ospedali, del medici di medicina generale e dei pediatri di libera scelta, anche perchè questi soggetti operano per conto del servizio sanitario nazionale e, quindi, la gestione del dato, per fini sanitari e amministrativi, mi pare necessaria.
Inizia a diventare molto più problematico il passaggio da FSE a FSE2.0 dal momento che i dati personali relativi alla salute vengono gestiti dal Ministero delle Finanze ed utilizzati per finalità non strettamente sanitarie. Ne ho scritto qui: Dark Pattern di Stato e anche qui: Quali sono i trattamenti non sanitari del FSE2.0?
Un passo dopo l'altro, quindi, siamo arrivati all'obbligo di inserire nel FSE2.0 tutte le prescrizioni di farmaci anche se a carico dell'utente (la ricetta bianca), gli esami, le prestazioni sanitarie privatistiche in generale. In pratica, fino a ieri era possibile recarsi da un medico specialista o professionista privato, se necessario farsi prescrivere un farmaco, acquistarlo a proprio carico, il tutto senza comunicare nulla allo stato e senza darne visibilità al servizio sanitario nazionale (o alle varie agenzie collegate al ministero delle finanze). Da oggi questo non è più possibile. Dal 2025, ogni prescrizione, anche quelle su ricetta bianca, non a carico del servizio sanitario nazionale, dovranno essere emesse attraverso il SistemaTS e confluire nel Fascicolo Sanitario Elettronico (FSE2.0). In alcune regioni questo sistema è già operativo. Il Governo mette così fine alla possibilità di curarsi senza farlo sapere al Ministero della Salute, al Ministero delle Finanze, a varie agenzie e ad un numero imprecisato di soggetti
Cosa comporta tutto questo?
Beh, chi desidera curarsi in modo invisibile allo stato potrà continuare a farlo ma dovrà andare in Svizzera, a San Marino, in Vaticano o, comunque, fuori dai confini italiani. Tutti gli altri si potranno curare ma dovranno condividere ogni dettaglio con enti, persone, ministeri, agenzie che nulla hanno a che vedere con il percorso di cura intrapreso.
E perchè si dovrebbe desiderare di non condividere con il Governo i dati sulle cure privatistiche?
Beh, ci sono molte ragioni e sono tutte legittime.
1) perché mi va! Viva Dio, finché non ci sarà uno straccio di ragione per negarmelo, io voglio poter tenere per me le informazioni che mi riguardano e decidere con chi condividerle. Magari sembra esagerato pensando ai gusti musicali ma non lo è con informazioni divisive. Persino il tifo calcistico diventa motivo di discriminazione, figuriamoci quanto possono essere pericolose informazioni relative alla salute come il ricorso a psicologi o psicoterapeuti, l'aver iniziato un percorso di transizione, una scabrosa prescrizione dell'andrologo.
2) i dati che oggi giudichiamo innocui potrebbero diventare deprecabili domani. Un esempio attuale: la GPA non era un problema finché non è stata trasformata in un reato "universale". L'aborto non è un problema, finché sarà possibile farvi ricorso. Assumere un contraccettivo d'emergenza è solo un fatto privato, almeno finché a qualcuno non verrà in mente di criminalizzarlo. Intraprendere un percorso di cura per la riabilitazione da dipendenze non è una informazione da condividere allegramente e a cuor leggero. Aver sottoposto a circoncisione un bebè potrebbe essere un forte indicatore di appartenenza ad una determinata religione e, di questi tempi, non è certamente una buona idea creare delle liste. Potrei andare avanti per ore. Ormai sono veramente molti gli esempi concreti di uso "a posteriori" dei dati sanitari registrati in qualche sistema (archivi dello stato, app, cronologia di navigazione) al fine di perseguire giudizialmente comportamenti che, nel tempo, sono divenuti illeciti.
3) lo stato non è capace di proteggere i dati che dovrebbe custodire. Duole constatarlo ma gli enti della sanità sono un colabrodo, i data breach sono innumerevoli e hanno riguardato milioni di persone, l'accesso selvaggio alle banche dati è fuori controllo e non conosco funzioni pubbliche capaci di supportare il Governo per impostare un concreto miglioramento. Le cose sono destinate a peggiorare sia per la crescente complessità dei sistemi, sia per la proliferazione dei flussi di dati e la quantità di informazioni registrate. No, non sono affatto ottimista. Ho già scritto il mio pensiero e son convinto che, in questo scenario, la sanità debba fare a meno dei dati personali, almeno finché non si organizzerà in modo tale da riuscire a proteggerli adeguatamente.
4) le cose non funzionano granché e, se ho il mal di pancia, mi incazzo parecchio se non posso avere il farmaco che me lo potrebbe far passare. Mi riferisco al fatto che, spesso, i fantastici sistemi che dovrebbero digitalizzare e semplificare la vita delle persone, semplicemente non funzionano: si bloccano, si interrompono i servizi, tutti alzano le spalle perché non è colpa di nessuno e, per mandare avanti le cose, si ricorre alla vecchia maniera... alla carta, quando si può. Abbiamo visto ATS completamente bloccate e ospedali in preda al panico, cancellazioni in massa di esami e operazioni chirurgiche, situazioni drammatiche al limite della decenza e mi stupisco che non ci sia scappato il morto, almeno, non ufficialmente. Anche solo limitandosi alle prescrizioni dei farmaci, sono abbastanza frequenti i blocchi che impediscono alle farmacie di accedere alle prescrizioni e, quindi, di dispensare i farmaci. Se scompare la carta, se tutto è digitale, racchiuso nel FSE o in qualche database accessibile agli operatori e sbloccabile con una tesserina, con CIE, SPID o credenziali varie, basta una connessione interrotta da un escavatore che lavorava alla fognatura, un incendio alla cabina elettrica, il blocco di un IP da parte dei quei geni del piracy shield, una batteria scarica per non avere più niente. Niente!
5) la legge (il GDPR) prevede un criterio di "necessità" per poter considerare legittimo un trattamento, vale a dire che per trattare dati personali deve esserci una valida e legittima ragione. A parte il fatto che il governo abbia voluto una legge che lo abilita a acquisire questi dati, non c'è alcuna altra ragione sostanziale che giustifichi l'introduzione della norma stessa. In pratica, una norma autoavverante. Di solito uno STOP arriva prima della promulgazione perché, nel momento in cui diventa vigente una norma che istituisce questo flusso di dati, diventa molto più complicato scardinare il meccanismo. I regimi totalitari funzionano così, giustificano il proprio operato con leggi tautologiche e, quando una cosa è legge, si neutralizzano le funzioni di garanzia che dovrebbero impedire l'approvazione di norme folli. Da quel momento, anche i giudici sono chiamati ad applicare le leggi formalmente vigenti. In altre parole, la stampa avrebbe dovuto svegliarsi prima. Ora non serve più; il Garante si sarebbe dovuto interessare della questione anni fa, ora è tardi; il Presidente della Repubblica avrebbe potuto evitare di firmare turandosi il naso. Ora la puzza è ovunque.
Ma quando è successo tutto questo? Quando tutti stavano guardando da un'altra parte ed eravamo affaccendati a salvare il salvabile: nel 2020.
E il Garante non ha veramente fatto nulla? In realtà il Garante ha emesso dei pareri sempre ben circostanziati allo stato di emergenza, alla situazione pandemica contingente, al fatto che la situazione richiedesse misure eccezionali. Con il senno di poi possiamo dire che, forse, si è fidato troppo.
Ecco alcuni estratti dai parerei più rilevanti, emessi dall'Autorità Garante, in ordine cronologico:
Parere sulle modalità di consegna della ricetta medica elettronica - 19 marzo 2020 [9296257]
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9296257
"il promemoria deve essere spedito in forma di allegato al messaggio e non come testo compreso nel corpo dello stesso, deve essere protetto con tecniche di cifratura e deve essere accessibile tramite una credenziale consegnata separatamente all’interessato."
"Con riferimento all’utilizzo dei servizi di short message service (sms) sul dispositivo indicato dall’interessato, è stato rappresentata la necessità che, attraverso tale modalità, sia inviato il solo numero di ricetta elettronica (NRE) e non anche le altre informazioni di dettaglio contenute nel promemoria."
"con esclusivo riferimento alla pandemia: l’Autorità manifesta sin d’ora il proprio assenso laddove l’esecutivo ritenesse, nella fase di emergenza legata all’epidemia da COVID 19, di disporre, nell’immediato, anche attraverso disposizioni d’urgenza, canali alternativi alla stampa del promemoria cartaceo della ricetta elettronica nei termini sopra riportati."
poi
Parere al Ministero dell'Economia e delle Finanze su uno schema di decreto che estende la ricetta elettronica ai farmaci non a carico del Servizio Sanitario Nazionale (SSN) e individua modalità facilitate per la ricezione del promemoria dematerializzato della ricetta - 2 aprile 2020 [9308089] ]
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9308089
"Con credenziali Spid o con la carta nazionale dei servizi (CNS), al portale Sistema Tessera Sanitaria (Sistema TS) per consultare e scaricare le proprie ricette elettroniche e i relativi promemoria dematerializzati, nonché per richiedere di utilizzare il promemoria dematerializzato presso una determinata farmacia."
"A fronte dell’emergenza epidemiologica da COVID-19, il Ministero ha manifestato l’esigenza di individuare -nell’immediato- misure volte ad agevolare l’uso delle modalità semplificate di acquisizione del promemoria dematerializzato ovvero del numero di ricetta elettronica previste dall’Ordinanza della Protezione civile n. 651 del 19 marzo 2020, valide fino al termine dello stato di emergenza deliberato dal Consiglio dei Ministri in data 31 gennaio 2020."
"l'invio degli estremi della ricetta direttamente alla farmacia potrà avvenire tramite l’invio di un messaggio di posta elettronica o attraverso una specifica funzionalità che sarà implementata sul Sistema TS, che consentirà di abbinare la singola prescrizione alla farmacia prescelta dall’interessato"
"può accedere al portale Sistema Tessera Sanitaria (TS) per consultare e scaricare le proprie ricette elettroniche generate dai medici prescrittori e i relativi promemoria dematerializzati e per richiedere l’utilizzo del promemoria dematerializzato recante prescrizioni di farmaci direttamente presso la farmacia prescelta."
"La ricetta bianca dematerializzata è già nel FSE e i medici prescrittori, farmacie e parafarmacie hanno accesso all'area dedicata con forme di autenticazione robuste"
(Si vedano inoltre il Provvedimento del 22 giugno 2023 [9919813] e il Provvedimento del 29 dicembre 2023 [9981601] )
Ecco i testi di legge di riferimento:
Decreto interministeriale del 02/11/2011 - Min. Economia e Finanze - Articolo 3 bis
MINISTERO DELL'ECONOMIA E DELLE FINANZE - DECRETO 30 dicembre 2020 - Art. 2
Legge di bilancio 2025 - 30 Ottobre 2024
Per le pagine successive del provvedimento si veda il PDF del file completo.
P.S.:
se qualcuno volesse veramente approfondire le magagne del sistema, potrebbe approfondire la selva oscura dei gestionali dedicati ai medici di base, una vera e propria orgia di dati, gestiti con sgarzullina leggerezza e interfacciati con ogni sistema di messaggistica mai concepito. App fatiscenti, repository completamente in chiaro, profili di autenticazione inesistenti, gestione maccheronica del backend. Lì sì che c'è da divertirsi. ...Volendo. (Si potrebbe mettere la cosa all'attenzione del Garante Privacy)
Prendo a prestito le parole del mio amico immaginario @happycactus:
Perché "comodo" fa a botte con "sicuro" e "privacy". Non è che se una cosa è comoda è automaticamente buona. Altrimenti tanto vale che le diagnosi i medici le enuncino in sala d'aspetto, converrai che è comodo ma ben poco rispettoso della cosiddetta privacy.
P.P.S:
PROSIT
Grazie per il tuo tempo. Se ti è piaciuto l'articolo o ti ha dato spunti utili per la tua vita, prendi in considerazione l'idea di ringraziarmi. Puoi farlo in due modi:
- Condividendo il mio lavoro sui tuoi social. Così facendo aiuterai altre persone
- Con una donazione. In questo modo aiuterai me.
Se sei un professionista della privacy, fammi sapere come la pensi, il confronto è essenziale per migliorarsi. Se non hai tempo per farlo, rifletti su questo: il mio contributo ti ha aiutato? Ha evitato che facessi una sconfinata figura di mer#a con un cliente? Ti ha permesso di fare bella figura in una riunione? Ti ha agevolato nella stesura di un parere?
Bene... allora mi devi una birra.
👇 👇 Clicca qui 👇 👇