Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Trattamento dei dati personali attraverso un sistema "Rfid" di monitoraggio a distanza di pazienti portatori di defibrillatori cardiaci impiantabili attivi. Verifica preliminare richiesta da Azienda Ospedaliera e Sas - 29 novembre 2012 [2276103]

[Vedi anche: Newsletter del 1° marzo 2013]

[doc. web n. 2276103]

Trattamento dei dati personali attraverso un sistema "Rfid" di monitoraggio a distanza di pazienti portatori di defibrillatori cardiaci impiantabili attivi. Verifica preliminare richiesta da Azienda Ospedaliera e Sas  - 29 novembre 2012

Registro dei provvedimenti
n. 370 del 29 novembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, del dott.ssa Giovanna Bianchi Clerici, della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196), di seguito Codice;

Visto il d.lg. 14 febbraio 1992 n. 507, recante attuazione della direttiva 90/385/CEE concernente il ravvicinamento delle legislazioni degli Stati membri relative ai dispositivi medici impiantabili attivi;

Vista la nota con la quale l'Azienda Ospedaliera e Sas hanno richiesto la verifica preliminare del Garante, ai sensi dell'art. 17 del Codice, in relazione al trattamento dei dati personali che intendono effettuare attraverso un sistema "Rfid" di monitoraggio a distanza di pazienti portatori di defibrillatori cardiaci impiantabili attivi (nota 29 marzo 2011 integrata a più riprese e da ultimo in data 9 marzo 2012);

Visto il provvedimento generale del 9 marzo 2005, con il quale il Garante ha individuato specifiche garanzie per l'uso delle c.d. "Etichette intelligenti" (Rfid) (doc. web 1109493);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSA

L'Azienda Ospedaliera e la Sas hanno richiesto la verifica preliminare del Garante, ai sensi dell'art. 17 del Codice, in relazione al trattamento di dati che intendono effettuare attraverso un sistema Rfid di monitoraggio remoto che consente agli operatori sanitari di controllare a distanza i pazienti portatori di defibrillatori cardiaci impiantabili attivi.

Con riferimento alle finalità che si intendono perseguire tramite il predetto sistema chiamato "Remote Monitoring System" (di seguito RMS), è stato rappresentato che il sistema è stato sviluppato dalla Sas, che produce e commercializza tecnologie mediche per la cardiochirurgia e per la cura di patologie cardiovascolari, per permettere agli operatori sanitari di effettuare il controllo a distanza dei dati clinici registrati dal dispositivo cardiaco impiantato nel paziente, per monitorare eventuali anomalie ed effettuare la defibrillazione, ove necessaria, senza bisogno che il paziente si sottoponga a visite ospedaliere.

Al riguardo, è stato precisato che il sistema di monitoraggio remoto non è destinato a funzionare come un sistema di risposta di emergenza in quanto il suo scopo principale è quello di elaborare e rendere accessibili agli operatori sanitari i dati memorizzati dal defibrillatore, ogni volta lo considerino necessario, senza bisogno che il paziente venga sottoposto a visita.

Per quanto concerne le modalità di funzionamento del sistema è stato illustrato che i dati registrati dal dispositivo impiantato sono inviati in modalità wireless -tramite tecnologia Rfid- a un monitor installato a casa del paziente in date ed ad ore predeterminate dai medici preposti al controllo medico dell'interessato. I dati così ricevuti sono quindi trasferiti, attraverso linea telefonica o GPRS, dal monitor ad un server centrale dove vengono memorizzati ed elaborati per generare dei report (in formato PDF) consultabili e analizzabili, attraverso un'interfaccia web, dai medesimi medici senza che il paziente debba recarsi presso la struttura sanitaria per la visita di controllo.

Nella rappresentazione delle modalità di funzionamento del sistema è stato evidenziato che esso è composto dai seguenti elementi:

un monitor (HM) situato a casa del paziente e costituito da un box elettronico il quale, tramite una connessione in radio frequenza, consente collegarsi al dispositivo impiantato e trasferire automaticamente i dati grezzi memorizzati dall'impianto cardiaco al server centrale utilizzando la rete telefonica pubblica fissa o mobile;

il back office (BO), costituito da un server centrale il quale, attraverso un applicativo con un'interfaccia web resa disponibile dal sistema, consente ai medici di consultare ed esaminare i report contenenti i dati memorizzati dall'impianto cardiaco e di programmare "visite di controllo a distanza" ad intervalli prestabiliti, nonché di pianificare "visite di controllo su richiesta" del paziente;

il back office analyzer (BOA), costituito da diverse applicazioni software che elaborano i dati grezzi ottenuti dall'impianto cardiaco generando i predetti report, consultabili attraverso l''interfaccia web, ovvero memorizzabili dai medici sui loro personal computer.

È stato precisato, altresì, che per il corretto funzionamento del sistema di monitoraggio a distanza sono stati predisposti dei servizi di assistenza tecnica su tre livelli: il servizio di primo livello è volto a fornire assistenza per via telefonica ai pazienti e agli operatori sanitari che utilizzano il sistema, il secondo e il terzo livello intervengono qualora l'assistenza di primo livello non sia in grado di risolvere telefonicamente i problemi prospettati e si renda necessario un intervento sui sistemi, nonché per assicurare la manutenzione della rete e della infrastruttura tecnica del sistema.

OSSERVA

1. La radiotecnologia Rfid.

La Radio Frequency Identification (Rfid) è un sistema che usa onde elettromagnetiche per l'identificazione automatica di cose o persone. Il sistema si compone generalmente di un Tag (cioè di un'etichetta costituita da una memoria elettronica leggibile e talvolta scrivibile, nonché da antenne) e di un lettore. I Tag Rfid possono contenere un codice identificativo o anche ulteriori informazioni. I lettori Rfid sono utilizzati per leggere le informazioni contenute nei Tag.

Molteplici sono le soluzioni e le applicazioni basate sulla tecnologia Rfid utilizzabili nel settore sanitario, si pensi ai sistemi ideati per gli ospedali che impiegano i tag Rfid per tracciare le sacche di sangue o gli strumenti utilizzati nelle sale operatorie oppure ai sistemi che sono in grado di ricordare al paziente l'assunzione di farmaci o di pasti particolari, nonché di raccogliere dati clinici al fine di consentire il controllo a distanza di alcune funzioni vitali, ovvero la gestione di terapie e la somministrazione di medicinali con maggiore precisione e sicurezza. Alcune di queste applicazioni peraltro combinano l'utilizzo della tecnologia Rfid con le tecniche di impianto di microchip sottocutaneo su individui.

Con specifico riferimento all'utilizzo di sistemi Rfid destinati all'impianto sottocutaneo, nel provvedimento generale del 9 marzo 2005, il Garante ha precisato che l'inserimento di microprocessori sottopelle, per l'evidente delicatezza delle implicazioni che ne derivano sui diritti delle persone, rende necessaria la predisposizione di particolari cautele (Provv. cit. del 9 marzo 2005, reperibile sul sito Internet dell'Autorità www.garanteprivacy.it, doc. web 1109493).

In considerazione dei potenziali rischi derivanti dall'utilizzo di questi sistemi, sia per la salute dei soggetti che si sottopongono all'impianto, sia per la sicurezza dei dati personali trattati, l'impiego di microchip sottocutaneo può essere ammesso solo in casi eccezionali, per comprovate e giustificate esigenze a tutela della salute delle persone, in stretta aderenza al principio di proporzionalità (art. 11 del Codice) e nel rigoroso rispetto della dignità dell'interessato (art. 2, comma 1 del Codice), fatte salve le altre previsioni della normativa sulla protezione dei dati e le prescrizioni del provvedimento sopra citato (v. Provv. cit. del 9 marzo 2005).

2. L'istanza dell'Azienda Ospedaliera e della società fornitrice del servizio RMS

L'Azienda Ospedaliera e la Sas hanno rappresentato a questa Autorità di voler attivare un sistema Rfid di monitoraggio remoto per consentire agli operatori sanitari di controllare a distanza i pazienti portatori di defibrillatori cardiaci impiantabili attivi. Essi hanno, in particolare, richiesto la verifica preliminare di questa Autorità, ai sensi dell'art. 17 del Codice, in relazione al trattamento di dati personali e sensibili che intendono effettuare attraverso il predetto sistema.

Inoltre, nel corso dell'istruttoria dell'istanza, è stata prodotta documentazione relativa alle valutazioni di impatto sulla "privacy" dei pazienti effettuate dall'Azienda Ospedaliera e dalla Sas, su richiesta dell'Ufficio del Garante, in ordine all'impiego della tecnologia Rfid, con particolare riferimento alla "descrizione della caratterizzazione della applicazione Rfid", alla rappresentazione degli "obiettivi" e dei "rischi per la vita privata" connessi all'utilizzo di detta applicazione, nonché all'elencazione "dei (relativi) controlli e delle misure attenuanti".

In proposito, occorre dapprima precisare che il trattamento di dati personali oggetto dell'istanza proposta non rientra tra quelli da sottoporre alla verifica preliminare del Garante, non rinvenendosi -allo stato e sulla base degli elementi forniti- una delle caratteristiche essenziali -di seguito evidenziata- in presenza della quale occorre richiedere tale verifica preliminare ai sensi dell'art. 17 del Codice.

In via generale il Codice prevede infatti che debba essere effettuata una verifica preliminare del Garante, anche a seguito di un interpello del titolare, con riferimento al trattamento dei dati personali -diversi da quelli sensibili e giudiziari- che presenta rischi specifici per i diritti e le libertà fondamentali, nonché per la dignità dell'interessato, in relazione alla natura dei dati o alle modalità del trattamento o agli effetti che può determinare, al fine di consentire all'Autorità di prescrivere, ove necessario, ulteriori misure ed accorgimenti a garanzia dell'interessato (art. 17).

Per completezza, si evidenzia, inoltre che, con specifico riferimento all'utilizzo di sistemi Rfid destinati all'impianto sottocutaneo, nel citato provvedimento generale del 9 marzo 2005, il Garante si è riservato di prescrivere ai titolari del trattamento di sottoporre alla verifica preliminare dell'Autorità tali sistemi i quali, in quanto tali, presentano rischi specifici per i diritti, le libertà fondamentali e la dignità degli interessati.

In tale quadro, con riferimento all'ipotesi generale di cui all'art. 17 del Codice, si rileva che il trattamento di dati personali che l'Azienda Ospedaliera e la Sas intendono effettuare tramite il sistema Rfid descritto in premessa non deve essere sottoposto alla verifica preliminare del Garante, in quanto il trattamento dei dati personali sensibili (segnatamente, le informazioni cliniche registrate dall'impianto cardiaco e trasmessi mediante la tecnologia Rfid nel sistema RMS) è effettuato dalla struttura sanitaria per monitorare a distanza il paziente "impiantato". Tali informazioni facendo riferimento, tra l'altro, a parametri programmati, misurazioni ed episodi relativi allo scompenso cardiaco sofferto dal paziente e alle terapie erogate dal dispositivo, sono idonee a rivelare lo stato di salute dell'interessato (si pensi, ad esempio, ad eventuali aritmie cardiache).

Come precisato dall'Autorità nel citato provvedimento generale del 9 marzo 2005, ove le informazioni memorizzate nell'etichetta siano "sensibili" (art. 4, comma 1, lett. d) del Codice), i relativi trattamenti devono essere effettuati nell'osservanza dei presupposti e dei limiti stabiliti dal Codice per i trattamenti in ambito sanitario (artt. 22 e 2; Parte II, Titolo V del Codice), nonché, ove prescritto, preventivamente autorizzati dal Garante (artt. 26 e 76).

Non può tuttavia non rilevarsi che, come già sottolineato, i sistemi che utilizzano dispositivi Rfid destinati all'impianto sottocutaneo, sollevano, in quanto tali, questioni estremamente delicate. Tali sistemi, infatti, ancor più ove comportino il trattamento anche di dati sanitari, sono suscettibili di recare gravi pregiudizi agli interessati sia sotto il profilo della salute, sia sotto il profilo della sfera privata e della protezione dei dati dei soggetti che si sottopongono all'impianto, specie in relazione alla sicurezza e alla delicatezza delle informazioni trattate. Per tali ragioni, specifica e rigorosa attenzione deve essere prestata alla tutela dei diritti e delle libertà fondamentali, nonché della dignità dell'interessato, sia nella fase della realizzazione, che nella fase dell'utilizzo di tali sistemi.

Ciò premesso, ai sensi dell'art. 154, comma 1, lett. c) del Codice, il Garante ritiene opportuno prescrivere all'Azienda Ospedaliera e alla Sas, le misure necessarie e opportune di seguito indicate, al fine di rendere il trattamento conforme alle disposizioni vigenti.

3. I dati trattati nel sistema RMS e i soggetti coinvolti nella gestione del sistema RMS

Sulla base di quanto risulta dalla documentazione in atti, le tipologie di dati trattati attraverso il sistema RMS comprendono:

  • dati identificativi del paziente (nominativo, indirizzo, numero di telefono, numero seriale del dispositivo, numero seriale del monitor) i quali sono registrati nel sistema, attraverso l'applicativo web, dai medici dell'Azienda Ospedaliera che hanno in cura il paziente cui è impiantato il dispositivo e sono modificabili soltanto da questi ultimi;
  • dati clinici registrati dal defibrillatore i quali sono trasmessi al monitor tramite tecnologia Rfid e da questo al server del sistema RMS mediante la linea telefonica, quindi elaborati sotto forma di report dalle applicazioni rese disponibili dal sistema e consultabili in sola lettura dai predetti operatori sanitari sempre mediante l'interfaccia web;
  • dati di carattere tecnico relativi al funzionamento del sistema (es., stato della batteria del dispositivo, livelli di assorbimento di potenza) generati automaticamente dal Tag Rfid e dal monitor, i quali sono accessibili al fornitore e agli altri operatori cui sono affidati in outsourcing compiti di manutenzione e di sicurezza del sistema.

Come risulta in atti, l'Azienda Ospedaliera stipulerà con la Sas un contratto per la fornitura del servizio RMS sulla base di un modello standard predisposto dalla società per essere sottoposto alla stipula delle strutture sanitarie che decidessero di avvalersi della fornitura del medesimo servizio.

Secondo il contratto standard, le attività poste in essere dalla società fornitrice del servizio consistono in:

  • rendere disponibile alla struttura sanitaria il monitor per il periodo richiesto dalla stessa;
  • fornire assistenza telefonica al paziente per l'attivazione e il funzionamento del monitor;
  • fornire alla struttura sanitaria, tramite Internet, l'accesso al BO e agli applicativi da questo resi disponibili, nonchè l'assistenza telefonica agli operatori sanitari per l'utilizzo del sistema;
  • fornire i servizi di manutenzione collegati.

Inoltre, sulla base degli atti, la società fornitrice ha la facoltà di affidare a soggetti esterni "provvisti della necessaria competenza ed esperienza tecnica" (c.d. subappaltatori) alcune delle attività di manutenzione e di sicurezza del sistema informandone preventivamente l'Azienda e impegnandosi a garantire i servizi forniti da questi ultimi i quali potranno avere accesso ai dati del paziente soltanto per scopi operativi funzionali al servizio fornito.

Nello specifico, al fine di assicurare il servizio RMS la Sas si avvale della collaborazione dei predetti soggetti esterni per effettuare:

  • la trasmissione dei dati dall'abitazione del paziente al server del sistema RMS tramite la rete telefonica;
  • l'assistenza telefonica ai pazienti ed agli operatori sanitari;
  • il mantenimento e l'aggiornamento degli apparecchi di raccolta e trattamento dei dati dei pazienti;
  • la crittografia e le altre misure di protezione dei dati durante tale trasmissione (es. attraverso firewalls) e l'accesso ai dati raccolti;
  • il monitoraggio della performance e della qualità del servizio.

4. Le finalità del trattamento e la notificazione al Garante

Il trattamento di dati personali effettuato attraverso il sistema RMS risulta perseguire finalità di prevenzione, diagnosi e cura dell'interessato in quanto è preposto a monitorare eventuali aritmie cardiache del paziente e ad effettuare la defibrillazione ove necessaria. In conformità alle previsioni del Codice esso può essere pertanto effettuato esclusivamente da parte di soggetti operanti in ambito sanitario e con il consenso dell'interessato, previa idonea informativa sul trattamento dei dati, anche in assenza dell'autorizzazione del Garante (artt. 13 e 76 del Codice).

Alla luce del principio di finalità, il trattamento di tali informazioni è pertanto consentito soltanto nei limiti del rapporto di cura che lega la struttura sanitaria al paziente. Questa relazione di fiducia esclude tutti i terzi, anche eventuali altri operatori sanitari, in relazione ai quali il paziente non abbia espressamente acconsentito alla comunicazione dei suoi dati (v. infra par. 8).

Sulla base delle dichiarazioni in atti, l'Azienda Ospedaliera provvederà altresì a notificare preventivamente a questa Autorità il trattamento effettuato tramite il sistema RMS, in quanto esso rientra tra quelli soggetti all'obbligo di notificazione. E' regola generale, infatti, che i trattamenti di dati idonei a rivelare lo stato di salute trattati a fini di prestazione di servizi sanitari per via telematica relativi a banche di dati devono essere notificati preventivamente al Garante (art. 37, comma 1, lett. b) del Codice). Inoltre il trattamento in esame non rientra nelle ipotesi esonerate all'obbligo di notificazione individuate dall'Autorità con Provv. del 31 marzo 2004 (doc. web n. 852561).

Al riguardo si osserva che la mancata o incompleta notificazione ai sensi degli artt. 37 e 38 del Codice è punita con la sanzione amministrativa prevista dall'art. 163.

5. I ruoli dei soggetti coinvolti nella gestione del sistema RMS rispetto al trattamento dei dati personali

In relazione ai ruoli svolti dai soggetti coinvolti nel trattamento dei dati, secondo quanto dichiarato in atti, il sistema RMS verrà utilizzato dall'Azienda Ospedaliera quale "titolare del trattamento" e la Sas opererà in qualità di "responsabile". È stato evidenziato, inoltre, che la società fornitrice intende proporre l'utilizzo del sistema di monitoraggio remoto anche ad altre strutture ed operatori sanitari italiani i quali opereranno come "titolari del trattamento", mentre la società assumerà il ruolo di "responsabile".

Dall'esame degli elementi in atti riguardanti i compiti svolti dai predetti soggetti, emerge che la Sas non effettua alcuna attività di raccolta diretta dei dati dei pazienti e che essa non ha accesso ai locali dell'Azienda Ospedaliera (non potendo quindi interloquire con le persone), ma è richiesta di trattare i dati personali necessari a fini di manutenzione e di sicurezza del sistema per conto della struttura sanitaria. Sono invece gli operatori sanitari dell'Azienda Ospedaliera a raccogliere i dati identificativi dei pazienti impiantati direttamente da questi ultimi e a crearne il relativo "profilo" nel sistema inserendo tali dati attraverso l'applicazione web.

Le condizioni del servizio e le relative modalità di trattamento dei dati sono tuttavia predeterminate dal fornitore essendo fissate nel contratto standard elaborato da questi per essere sottoposto alla stipula delle strutture sanitarie. Ciononostante, tale elemento non basta in se per concludere che la società fornitrice del servizio RMS possa essere considerata titolare del trattamento dei dati, nella misura in cui l'Azienda Ospedaliera accetti liberamente le clausole contrattuali e ha, di conseguenza, piena responsabilità al riguardo (1). Inoltre, dagli elementi in atti, risulta che la società fornitrice non può utilizzare i dati dei pazienti per fini diversi dall'adempimento degli obblighi assunti con il contratto nei confronti dell'Azienda Ospedaliera; quest'ultima, infatti, in qualità di "titolare del trattamento", può essa soltanto determinare insieme alle relative modalità (art. 28).

Risulta in atti, poi, che la Sas non è autorizzata a mettere a disposizione i dati trattati a soggetti diversi dalla struttura sanitaria presso la quale è in cura l'interessato. Essa gestisce, invece, le credenziali di autenticazione e i profili di autorizzazione con riferimento ai soggetti abilitati all'accesso al sistema RMS.

Infine, qualora i pazienti non si avvalgano più, per qualsiasi ragione, del servizio RMS collegato con il dispositivo impiantato (decesso, cambio della strumentazione, cessazione degli effetti del contratto con il fornitore), l'Azienda Ospedaliera è tenuta a rimuovere in modo permanente dal sistema i dati corrispondenti ai menzionati pazienti e ad informarne il fornitore, una volta completata tale operazione, cosicché questi possa definitivamente cancellare i menzionati dati dai propri server e da ogni backup.

In tale quadro, pertanto, ai sensi degli artt. 4, comma 1, lett. f) e 28 del Codice, l'Azienda Ospedaliera si configura come "titolare del trattamento" dei dati personali dei pazienti trattati attraverso il sistema di monitoraggio a distanza. Inoltre, come è già stato rilevato, ai fini della liceità del trattamento, è necessario che i pazienti acconsentano esplicitamente, e previa idonea informativa, al trattamento dei loro dati effettuato dall'Azienda Ospedaliera attraverso l'utilizzo del servizio RMS (art. 76 del Codice).

La Sas si configura invece come "responsabile del trattamento" dei dati finalizzato alla fornitura del servizio di monitoraggio a distanza (artt. 4 comma 1, lett. g) e 29 del Codice). In tale qualità, la società fornitrice risulta essere stata formalmente designata dall'Azienda Ospedaliera, ai sensi dell'art. 29 del Codice, impegnandosi ad agire solo sulla base delle istruzioni fornite dalla struttura sanitaria e a trattare i dati personali solo entro i limiti e per gli scopi espressamente autorizzati dalla struttura sanitaria.

6. I terzi coinvolti nella fornitura del servizio di monitoraggio a distanza

Come detto, la Sas ha dichiarato di avvalersi di diversi operatori esterni (c.d. subappaltatori), provvisti della necessaria competenza ed esperienza tecnica, ai quali intende delegare alcune delle attività di manutenzione e di sicurezza del sistema informandone preventivamente l'Azienda al fine di consentirle di designare tali soggetti quali "responsabili del trattamento" dei dati personali. Secondo quanto dichiarato, tali operatori esterni, i cui servizi la società si impegna a garantire, in particolare per ciò che concerne "la loro conformità ai loro impegni relativi alle performance ed alla qualità del servizio", possono avere accesso ai dati del paziente soltanto per scopi operativi funzionali al servizio fornito.

In proposito, occorre richiamare le disposizioni del Codice in base alle quali tali soggetti, una volta designati "responsabili del trattamento", in conformità all'art. 29, devono attenersi alle istruzioni impartite dall'Azienda Ospedaliera, la quale è tenuta a vigilare sulla puntuale osservanza delle istruzioni impartite.

Pertanto, avuto riguardo alla delicatezza del trattamento dei dati effettuato mediante un impianto sottocutaneo di microchip, al fine di assicurare che gli obblighi e le responsabilità derivanti dalla disciplina sulla protezione dei dati siano chiaramente attribuiti ai diversi soggetti che intervengono nel trattamento, occorre che la società fornitrice si impegni ad informare l'Azienda Ospedaliera che intende avvalersi di terzi per l'esecuzione di alcune delle attività effettuate per conto dell'Azienda e a sottoporre tale circostanza al previo accordo di quest'ultima; a seguito dell'accordo dell'Azienda, la società fornitrice poi deve stipulare con i suoi "subappaltatori" un accordo scritto che imponga a questi ultimi il rispetto degli stessi obblighi cui la società stessa è vincolata in virtù della designazione a "responsabile del trattamento" effettuata dall'Azienda Ospedaliera; la società fornitrice infine deve inviare all'Azienda copia dei contratti conclusi con i propri subappaltatori, impegnandosi, a sua volta, a tenere un elenco aggiornato di tali contratti.(2)

In particolare, al fine di consentire all'Azienda Ospedaliera di esercitare un effettivo controllo sui dati personali trattati per suo conto dai predetti "responsabili del trattamento", in caso di esternalizzazione a terzi di alcune delle attività di manutenzione e sicurezza del sistema RMS, è necessario che l'Azienda sia a conoscenza delle principali modalità di esecuzione dei servizi resi da tali operatori esterni, quali le specifiche funzioni cui sono addetti e le tipologie di dati cui hanno accesso, nonché le procedure adottate per garantire la sicurezza dei dati trattati. (3)

7. Informativa

Il modello di informativa e di consenso prodotto in atti risulta essere stato predisposto da Sas ed allegato al contratto standard elaborato dalla società.

Il modello di informativa esaminato precisa gli estremi indentificativi della società che fornisce il servizio RMS alla struttura sanitaria. Tuttavia esso non contiene una espressa indicazione circa il ruolo di "responsabile" svolto nel trattamento dei dati dalla Sas, né dagli altri soggetti subappaltatori di cui la società si avvale per il fornire il servizio RMS. Nel descrivere le categorie di soggetti che possono avere accesso ai dati dei pazienti, l'informativa si limita poi a menzionare "ogni altro subappaltatore per garantire il corretto funzionamento del servizio" senza indicarne gli estremi identificativi, evidenziando comunque che "una lista completa dei soggetti (che possono avere accesso ai dati dei pazienti) sarà a … disposizione (del paziente) presso la struttura sanitaria", senza però precisare le modalità attraverso le quali gli interessati possono conoscere in modo agevole  tale elenco aggiornato contenente i dati identificativi dei "responsabili del trattamento" (cfr. art. 13 del Codice).

Tenuto conto che secondo quanto risulta in atti, l'identità dei soggetti che possono avere accesso ai dati dei pazienti in qualità di "responsabili del trattamento" è suscettibile di mutare nel tempo, poiché come detto, il fornitore può affidare a terzi alcune attività necessarie per l'adempimento del contratto con l'Azienda Ospedaliera (soggetti, che saranno ritualmente designati dall'Azienda stessa "responsabili" ai sensi dell'art. 29 del Codice), è necessario che l'informativa fornisca agli interessati precise indicazioni circa le modalità attraverso le quali essi possono conoscere in modo agevole l'elenco aggiornato di tali soggetti. Ciò, a prescindere dalla circostanza che nel modello di informativa sia prevista l'indicazione di un medico designato dalla struttura sanitaria quale responsabile per il riscontro all'interessato in caso di esercizio del diritto di accesso e degli altri diritti previsti dal Codice (artt. 9 e 13, comma 1, lett. f) del Codice)

È necessario altresì modificare l'indicazione relativa al tempo di attesa ("fino a due (2) mesi") per la richiesta di accesso relativa ai dati clinici dell'interessato risalenti a più di cinque anni; ciò al fine di rendere tale indicazione conforme al disposto del Codice che prevede un termine massimo di trenta giorni dal ricevimento della richiesta quando le operazioni necessarie per l'integrale riscontro all'interessato sono di particolare complessità (art. 146, comma 3).
Chiara evidenza deve infine essere data nel modello di informativa anche alle modalità a disposizione del paziente per interrompere il trasferimento al Sistema RMS dei dati registrati dal defibrillatore, nonché per disattivare il funzionamento del sistema di Rfid connesso al suo impianto.

8. Consenso

In relazione alle categorie di soggetti cui i dati personali dei pazienti possono essere comunicati da parte della struttura sanitaria, si rileva che nel contratto standard predisposto dalla società, per essere sottoposto alla stipula delle strutture sanitarie che si avvalgono della fornitura del servizio RMS e nel modello di informativa allegato viene precisato che, oltre ai medici "responsabili per le … cure mediche  relative all'impianto", possono, tra gli altri, avere accesso a questi dati "qualsiasi altro professionista del settore sanitario coinvolto nel garantire la continuità delle cure o nel determinare la miglior linea d'azione possibile", a meno che non sia indicato altrimenti dal paziente.

Al riguardo va osservato che in presenza di un trattamento di dati personali, il necessario consenso deve avere i requisiti previsti dal Codice (art. 23). In particolare, esso deve essere specifico ed espresso, non rilevando a tal fine il semplice comportamento concludente dell'interessato (art. 23, commi 1 e 3). Pertanto, la soluzione del silenzio-assenso (opt-out) per l'eventuale consultazione dei dati sanitari dell'interessato da parte di medici non appartenenti alla struttura sanitaria presso la quale è in cura l'interessato, quali autonomi titolari del trattamento, non soddisfa i requisiti della disciplina sulla protezione dei dati (artt. 23 e 76, comma 1, lett. a) del Codice; v. anche art. art. 8 par. 2, lettera a) dir. 95/46/CE), ancorché si tratti di medici coinvolti nella cura dell'interessato (es. il medico di medicina generale, il cardiologo specialista).

È necessario, quindi, che l'eventuale messa a disposizione di dati clinici dell'interessato, registrati dal servizio RMS, a favore di altri operatori sanitari che abbiano in cura l'interessato, quali titolari autonomi del trattamento, sia reso possibile soltanto a condizione che l'interessato stesso vi abbia acconsentito espressamente e specificamente (ad esempio, sulla base dell'autorizzazione fornita di volta in volta dall'interessato attraverso la consegna di una smart card mediante la quale sia reso possibile a singoli operatori sanitari, quali autonomi titolari, accedere al servizio RMS). (4)

Il contratto standard relativo al servizio RMS predisposto da Sas e il modello di informativa e di consenso ad esso allegato vanno pertanto modificati in conformità a quanto sopra indicato.

9. Le garanzie in applicazione dei principi necessità, proporzionalità e indispensabilità

In ottemperanza alle prescrizioni e alle garanzie individuate dall'Autorità nel citato provvedimento del 9 marzo 2005 sulle etichette intelligenti, i sistemi di Rfid devono essere configurati in modo tale da evitare l'utilizzo di dati personali oppure, a seconda dei casi, l'identificabilità degli interessati, quando non siano strettamente necessarie in relazione alla finalità perseguita (art. 3 del Codice).

Con specifico riferimento al sistema in esame, il trattamento di dati personali, anche sensibili, effettuato attraverso il sistema RMS, poiché persegue esclusivamente finalità di prevenzione, diagnosi e cura dell'interessato, deve essere posto in essere in modo da limitare l'accesso dei diversi soggetti autorizzati alle sole informazioni indispensabili in funzione dei relativi ruoli e delle esigenze di accesso e trattamento (art. 3, 11 e 22 del Codice). In particolare, l'accesso ai dati sanitari dell'interessato deve essere limitato ai soli operatori sanitari dell'Azienda Ospedaliera che hanno in cura il paziente e allo stesso interessato. La Sas, invece, potrà trattare esclusivamente dati di carattere tecnico necessari ai fini della manutenzione e della sicurezza del sistema. Infine, gli operatori esterni responsabili dell'assistenza tecnica in favore dei medici e/o dei pazienti potranno avere accesso ai dati identificativi dei pazienti ai soli fini di evadere le richieste di assistenza tecnica avanzate dagli utenti.

Al riguardo, dall'esame degli elementi in atti, non risultano tuttavia poste in essere adeguate misure tecnico-organizzative volte ad garantire che la società fornitrice del servizio e gli operatori esterni di cui questo si avvale non possano aver accesso ai dati clinici degli interessati. Peraltro, non può escludersi che tale eventualità possa verificarsi anche per finalità operativo-gestionali quali la manutenzione e l'esercizio dei dispositivi presso l'abitazione del paziente o dei data-base memorizzati sul server centralizzato, specie in considerazione della circostanza che le chiavi di cifratura volte a proteggere i dati dei pazienti memorizzati nel server centralizzato sono generate e custodite dal fornitore e/o dagli operatori esterni che collaborano con quest'ultimo per la prestazione del servizio. Inoltre, come è stato già evidenziato, i c.d. subappaltatori del fornitore cui è affidata la gestione del servizio di assistenza tecnica devono poter accedere ai dati identificativi dei pazienti, ivi incluso il numero seriale del defibrillatore e del monitor situato a casa del paziente, nonché ad altre informazioni di carattere tecnico relative al funzionamento del sistema necessarie di assicurare ai medici e agli stessi pazienti il predetto supporto.

In applicazione dei principi di necessità, proporzionalità e indispensabilità nel trattamento dei dati (art. 3, 11 e 22 del Codice), si ritiene pertanto di dover prescrivere l'adozione dei seguenti accorgimenti tecnico-organizzativi:

  • qualora, per specifici interventi posti in essere per esclusive necessità di operatività e di sicurezza del sistema, si renda indispensabile l'accesso ai dati clinici dei pazienti da parte del fornitore o degli altri responsabili del trattamento dei dati, l'Azienda Ospedaliera dovrà essere tempestivamente informata dell'intervento effettuato;
  • dovranno essere registrate le operazioni effettuate dal fornitore del servizio o dagli operatori esterni coinvolti con l'indicazione delle utenze dalle quali sono state effettuate, dell'eventuale utilizzo della chiave di decifratura e delle ragioni che lo hanno determinato;
  • le predette registrazioni (access log) devono avere caratteristiche di completezza, inalterabilità e possibilità di verifica della loro integrità adeguate al raggiungimento dello scopo di verifica per cui sono richieste; a tale fine, le registrazioni devono comprendere i riferimenti temporali e la descrizione dell'evento che le ha generate e devono essere conservate per un congruo periodo, non inferiore a sei mesi.

Infine, per evitare che i dati ai quali i soggetti autorizzati hanno accesso possano essere utilizzati al di fuori del contesto clinico e/o operativo per usi non consentiti o non conformi alle finalità della raccolta, si individua come misura necessaria l'adozione di procedure informatiche volte a evitare la copia massiva (download) di dati dal server centrale predisponendo opportuni alert in presenza di anomalie. In tal quadro si ravvisa altresì la necessità di adottare meccanismi di controllo degli accessi che impediscano il verificarsi di accessi multipli ai dati personali dei pazienti riferibili alla medesima utenza.

10. Ulteriori garanzie a tutela degli interessati.

Dall'esame degli atti risulta che il paziente stesso può avere accesso ai dati registrati dal defibrillatore impiantatogli attraverso il monitor situato nella sua abitazione. In proposito va rilevato che l'accesso dell'interessato deve essere consentito nel rispetto delle cautele previste dall'art. 84 del Codice secondo cui gli esercenti le professioni sanitarie e gli organismi sanitari possono comunicare all'interessato informazioni inerenti al suo stato di salute per il tramite di un medico -individuato dallo stesso interessato o dal titolare- o di un esercente le professioni sanitarie, che nello svolgimento dei propri compiti intrattiene rapporti diretti con il paziente.(5)

Secondo quanto risulta dagli elementi in atti, con l'autorizzazione del medico il paziente può avviare o interrompere il trasferimento dei dati registrati dall'impianto tramite un bottone di cui è dotato il monitor collocato nella propria abitazione ogni volta che lo ritenga necessario (ad esempio, in caso di malore) in modo da inviarli direttamente ai medici della struttura sanitaria presso la quale è in cura.

Al riguardo, occorre rilevare che all'interessato deve essere riconosciuta la possibilità di ottenere in modo agevole la disattivazione del sistema RMS e, quindi, del funzionamento dall'etichetta Rfid contenuta nel dispositivo impiantato (v. Provv. 9 marzo 2005, cit.)

Infine, al fine di consentire all'interessato il controllo dei propri dati personali trattati da remoto mediante il dispositivo che gli è stato impiantato, occorre prevedere idonei accorgimenti per tenere traccia degli utenti abilitati che hanno avuto accesso al servizio RMS (ivi incluse ora e data dell'accesso), del contenuto dei dati consultati e delle altre operazioni eventualmente effettuate. Tali informazioni devono essere fornite al paziente su sua richiesta.

11.  Conservazione dei dati

Secondo quanto dichiarato in atti e indicato nel modello di informativa predisposto, i dati dei pazienti trattati dal fornitore e/o dai suoi subappaltatori saranno conservati in archivi situati all'interno del territorio dell'Unione europea.
Sempre in base a quanto dichiarato, i dati clinici di ciascun paziente sono conservati nel sistema RMS per un periodo di tempo non superiore a quello necessario a garantire l'adempimento degli obblighi di cura nei confronti del paziente e il corretto funzionamento del servizio di monitoraggio a distanza ad esso collegato (art. 11, comma 1, lett. e) del Codice). Tale periodo viene definito per ogni paziente dalla struttura sanitaria nell'ambito del limite massimo indicato dal fornitore. A tal fine la struttura sanitaria verificherà, anche mediante controlli periodici, che i dati conservati siano strettamente pertinenti, non eccedenti e indispensabili in relazione alle finalità di cura perseguite .

Come risulta in atti e in conformità a quanto previsto dall'articolo 16 del Codice, in tutti i casi in cui i pazienti non utilizzino più il servizio RMS collegato con il dispositivo, il fornitore è tenuto a cancellare i dati che li riguardano dal server e da ogni altro archivio in suo possesso, nonché dal sistema di backup, salvo che il mantenimento dei dati per un periodo ulteriore sia necessario per l'esercizio di un diritto in un procedimento giudiziario o per ottemperare a specifici obblighi di legge.

Nessun dato è conservato, invece, nel monitor fornito al paziente per trasmettere i dati ricevuti dal defibrillatore, in quanto, in base alle dichiarazioni in atti, esso funziona come mero apparecchio trasmittente.

Sulla base delle dichiarazioni in atti, è previsto che i dati clinici dei pazienti siano cancellati entro cinque anni dalla loro raccolta, salvo che questi non siano indispensabili per l'esercizio di un diritto in sede giudiziaria o per ottemperare ad uno specifico obbligo di legge.

12.  Misure di sicurezza

Per ciò che concerne il profilo della sicurezza dei dati trattati, dagli elementi in atti risulta che sono state adottate misure organizzative e predisposti specifici accorgimenti tecnici al fine di ridurre i rischi connessi al trattamento dei dati dei pazienti nell'ambito del sistema RMS. Si fa riferimento in particolare a:

  • sistemi di memorizzazione e archiviazione (file system o data-base system) con funzioni crittografiche avanzate basate su algoritmi robusti dei dati clinici dei pazienti registrati nel server centrale inclusi i report elaborati sulla base dei dati raccolti dal dispositivo, di quelli registrati dagli operatori sanitari attraverso l'interfaccia web resa disponibile, nonché di quelli gestiti dal sistema di backup;
  • protocolli di comunicazione sicuri basati sull'utilizzo di standard crittografici per la trasmissione dei dati grezzi dal defibrillatore al monitor, per la trasmissione elettronica dei dati grezzi raccolti dal defibrillatore al server centrale e per tutte le comunicazioni via Internet assicurate dal protocollo SSL basato sullo scambio di chiavi asimmetriche;
  • idonee procedure per l'attribuzione dei profili di autorizzazione degli incaricati del trattamento in funzione dei ruoli e delle esigenze di accesso e trattamento (es. procedure di autenticazione per l'accesso ai dati dei pazienti e procedure di controllo per verificare che le richieste di accesso ai dati siano effettuate da utenti debitamente autorizzati);
  • opportuni accorgimenti (basati su tecnologie crittografiche) al fine di assicurare l'integrità dei dati clinici trasmessi al server centrale e di garantire l'inalterabilità dei medesimi dati;
  • duplicazione periodica dei dati in un sito di emergenza in modo da prevenire perdite accidentali dei medesimi
  • procedure preventive anti-intrusione quali firewall e intrusion detection systems (IDS) a protezione del server centrale
  • verifiche periodiche sulla qualità e coerenza delle credenziali di autenticazione e dei profili di autorizzazione assegnati agli incaricati del trattamento;
  • sistemi di audit log per il controllo degli accessi al sistema e per il rilevamento di eventuali anomalie;
  • misure di sicurezza perimetrali quali la predisposizione di un'infrastruttura con caratteristiche idonee di robustezza e affidabilità.

Con specifico riferimento al sistema di autenticazione e di autorizzazione adottato nei confronti degli operatori sanitari dell'Azienda Ospedaliera è stato rappresentato che il fornitore, per ogni struttura sanitaria, configura nel sistema RMS un'utenza dotata del profilo di autorizzazione di amministratore locale ("clinic account manager") che consente, in capo a un'unica figura a ciò preposta dalla struttura sanitaria, di gestire le richieste di abilitazione e autorizzazione dei medici e degli altri operatori sanitari della struttura con la possibilità di creare e gestire direttamente le utenze per l'accesso al sistema RMS.
Al riguardo, va rilevato che per quanto concerne le credenziali di autenticazione è necessario che la componente riservata della credenziale (password) degli utenti del sistema RMS, operatori sanitari e non, sia composta da almeno otto caratteri in linea con quanto previsto dalla regola n. 5 del Disciplinare tecnico di cui all'Allegato B) al Codice.

In secondo luogo, al fine di incrementare il livello di sicurezza delle misure poste in essere per ridurre i rischi di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta, in considerazione della delicatezza dei dati resi consultabili agli operatori sanitari presso l'Azienda Ospedaliera per il monitoraggio clinico dei pazienti impiantati e dei connessi rischi per la loro salute, è necessario che presso la struttura sanitaria il "clinic account manager", il quale è il soggetto più idoneo a controllare l'attività quotidiana degli utenti abilitati ad accedere al sistema, sia dotato di strumenti di gestione delle utenze che prevedano la possibilità di effettuare anche monitoraggi statistici degli accessi con l'attivazione di sistemi di alert utili all'individuazione di anomalie sia con riferimento al funzionamento del sistema, sia con riferimento all'accesso ai dati da parte delle utenze abilitate.

In terzo luogo, per consentire a ciascun operatore sanitario di controllare l'utilizzo del proprio account, è poi necessario che sia possibile visualizzare, nella prima schermata successiva al collegamento al sistema RMS tramite l'applicazione web, le informazioni relative all'ultima sessione effettuata con le stesse credenziali (almeno con l'indicazione di data, ora e indirizzo di rete da cui è stata effettuata la precedente connessione). Per accrescere la consapevolezza del controllo, le stesse informazioni vanno riportate anche relativamente alla sessione corrente.

Infine, il personale autorizzato presso la struttura sanitaria ad accedere al sistema RMS e, in generale, il personale a vario titolo coinvolto nella manutenzione e nella sicurezza del servizio deve essere adeguatamente edotto in ordine alle funzionalità delle applicazioni rese disponibili dal sistema e alle corrette modalità di utilizzo, in relazione agli aspetti concernenti il trattamento dei dati personali.

TUTTO CIO' PREMESSO IL GARANTE

ai sensi dell'art. 154, comma 1, lett. c) del Codice, prescrive all'Azienda Ospedaliera e alla Sas, in relazione al trattamento dei dati personali che intendono effettuare attraverso un sistema "Rfid" denominato "Remote Monitoring System", per il monitoraggio a distanza di pazienti portatori di defibrillatori cardiaci impiantabili attivi, le misure necessarie e opportune indicate nei punti 6, 7, 8, 9, 10 e 12  del presente provvedimento, al fine di rendere il predetto trattamento conforme alle disposizioni vigenti in materia di protezione dei dati personali.

Dispone che il presente provvedimento sia pubblicato sul sito dell'Autorità www.garanteprivacy.it avuto riguardo alla rilevanza generale delle indicazioni in esso contenute che possono ritenersi utili per i titolari di analoghi trattamenti di dati personali effettuati in ambito sanitario.

Roma, 29 novembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia

NOTE

1) Cfr. Gruppo Art. 29, Parere 1/2010 sui concetti di "responsabile del trattamento" e "incaricato del trattamento" adottato il 16 febbraio 2010 reperibile in http://ec.europa.eu/justice/data-protection/index_en.htm

2) V. le garanzie previste nella Decisione della Commissione europea n. 2010/87/UE del 5 febbraio 2010 (specie clausole n. 5 e n. 11),con riferimento alle diverse ipotesi di trasferimenti di dati personali posti in essere da un responsabile del trattamento (soggetto importatore), stabilito in un paese terzo che non assicura un livello di protezione adeguato, ad un altro responsabile del trattamento, stabilito in un paese terzo che non assicura un livello di protezione adeguato (c.d. subincaricato), sulla base di un apposito accordo (c.d. "subcontratto") stipulato tra i predetti soggetti. V. anche l'Autorizzazione del Garante del 27 maggio 2010, doc. web n. 1728496 e il Parere 3/2009 adottato dal Gruppo Art. 29 il 5 marzo 2009 - WP161, doc. web n. 1620329.

3) Cfr. Gruppo Art. 29, Parere cit. sui concetti di "responsabile del trattamento" e "incaricato del trattamento".

4) Cfr. Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario del 16 luglio 2009, doc. web n. 1634116 e Gruppo Art. 29, Documento di lavoro sul trattamento dei dati personali relativi alla salute contenuti nelle cartelle cliniche elettroniche (CCE), 15 febbraio 2007, WP 131 consultabile sul sito Internet: http://ec.europa.eu/justice/data-protection/index_en.htm.

5) Tale intermediazione può essere soddisfatta accompagnando la messa a disposizione delle informazioni sanitarie con un giudizio scritto e la disponibilità del medico a fornire ulteriori indicazioni su richiesta dell'interessato Cfr. il Provvedimento del Garante del 9 novembre 2005, doc. web n. 1191411.