Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere su uno schema di decreto del MEF di concerto con il Ministero della salute, concernente le modalità tecniche e i servizi telematici resi disponibili all’infrastruttura nazionale per l’interoperabilità dei FSE- 26 luglio 2017 [6930323]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
6930323
Data:
26/07/17
Argomenti:
Dati sensibili , Dati sanitari , Fascicolo sanitario elettronico
Tipologia:
Parere del Garante

[doc. web n. 6930323]

Parere su uno schema di decreto del MEF di concerto con il Ministero della salute, concernente le modalità tecniche e i servizi telematici resi disponibili all'infrastruttura nazionale per l'interoperabilità dei FSE- 26 luglio 2017

Registro dei provvedimenti
n. 339 del 26 luglio 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero dell'economia e delle finanze;

Visto l'articolo 154, comma 4, del d.lg. 30 giugno 2003, n.196, recante Codice in materia di protezione dei dati personali (di seguito Codice);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art.15 del regolamento del Garante n.1/2000;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. Il Ministero dell'economia e delle finanze, con nota del 7 luglio 2017, ha richiesto il parere del Garante ai sensi dell'art.154, comma 4 del Codice in merito ad uno schema di decreto concernente le modalità tecniche e i servizi telematici resi disponibili dall'infrastruttura nazionale per l'interoperabilità del fascicolo sanitario elettronico (di seguito FSE).

Lo schema è adottato in attuazione dell'art. 12, comma 15 ter del decreto legge 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, come modificato dall'art. 1, comma 382 della legge 11 dicembre 2016, n. 232, il quale prevede che "l'Agenzia per l'Italia digitale, sulla base delle esigenze avanzate dalle regioni e dalle province autonome, nell'ambito dei rispettivi piani, cura, in accordo con il Ministero della salute e il Ministero dell'economia e delle finanze e con le regioni e le province autonome, la progettazione dell'infrastruttura nazionale necessaria a garantire l'interoperabilità dei FSE, la cui realizzazione è curata dal Ministero dell'economia e delle finanze attraverso l'utilizzo dell'infrastruttura del Sistema Tessera sanitaria".

RILEVATO

2. Lo schema di decreto -che si compone di 23 articoli e di 4 allegati tecnici-   disciplina in via principale le funzioni e i servizi telematici che verranno svolti  attraverso l'utilizzo dell'Infrastruttura Nazionale necessaria a garantire l'Interoperabilità dei FSE (di seguito INI), istituita ai sensi del comma 15 ter del predetto art. 12, oltre che i procedimenti e le modalità con le quali si garantisce, per le regioni e le province autonome che comunicano al Ministero dell'economia e delle finanze e al Ministero della salute di volersi avvalere della medesima infrastruttura nazionale, l'interconnessione dei soggetti per la trasmissione automatica dei dati contenuti nei FSE ai fini della loro successiva alimentazione e consultazione (art. 2).

Attraverso l'allineamento con l'Anagrafe nazionale degli assistiti (ANA), per mezzo dell'INI si garantisce l'identificazione dell'assistito e l'estrazione delle relative informazioni di assistenza sanitaria. Nelle more della realizzazione dell'ANA, l'identificazione è comunque assicurata attraverso l'allineamento con l'elenco degli assistiti presente nel Sistema Tessera Sanitaria (art. 3 e 4).

Lo schema istituisce e disciplina l'anagrafe dei consensi e delle revoche dell'assistito (art. 5) e regola le funzioni e i servizi da erogarsi tramite l'INI per realizzare l'interoperabilità dei FSE. In particolare viene disciplinato il servizio attraverso il quale i FSE regionali comunicano all'INI i metadati dei diversi documenti che sono inseriti, modificati, cancellati, ricercati e recuperati nel relativo FSE (artt. 6 - 9).

Lo schema prevede, altresì, che tramite l'INI si gestiscano le codifiche nazionali e regionali e si mettano a disposizione dei FSE e dei dossier farmaceutici regionali i dati presenti negli archivi del Sistema Tessera Sanitaria, relativi alle esenzioni per reddito dell'assistito, alle prescrizioni e alle prestazioni erogate di specialistica a carico del Servizio sanitario nazionale (artt. 13 -18).

Uno specifico Capo dello schema viene espressamente dedicato al trattamento dei dati personali e sensibili raccolti e gestiti nell'INI: il Ministero dell'economia e delle finanze è individuato quale titolare dei dati del sistema TS e dei dati trattati attraverso l'offerta dei servizi INI e, conformemente ai principi del Codice in materia di protezione dei dati personali (art. 11 Codice), tratterà esclusivamente i dati indispensabili  ed effettuerà le operazioni di trattamento strettamente necessarie al raggiungimento delle finalità di cui allo schema di decreto (Capo VII, artt. 21 e 22). A ciò si aggiunga che il medesimo Ministero viene designato quale responsabile esterno da parte delle Regioni e Province autonome con riferimento ai trattamenti di cui le stesse sono titolari (art. 19).

Lo  schema di decreto assicura infine che la riservatezza dei dati sarà garantita da apposite procedure di sicurezza, adottate dal titolare del trattamento nel quadro delle più ampie misure di cui agli artt. da 31 a 36 e all'All. B) del Codice (art. 23).

I quattro allegati tecnici, parte integrante del decreto in esame, descrivono rispettivamente,  le funzioni e i servizi che attraverso l'INI  si renderanno disponibili ai sistemi regionali di FSE al fine di garantirne l'interoperabilità (Allegato A); la struttura dei dati dell'Anagrafe dei consensi e delle eventuali relative revoche associati a ogni assistito presente nell'Anagrafe nazionale degli assistiti (ANA) (Allegato B); i servizi da rendere disponibili ai sistemi regionali di FSE, al fine di garantire la messa a disposizione ai medesimi dei metadati dei documenti resi disponibili dal sistema tessera sanitaria all'INI ai sensi dell'art. 12 dello schema di decreto (Allegato C); le misure di sicurezza per la protezione dei dati (Allegato D).

RITENUTO

3. L'introduzione e la regolamentazione dell'INI (12, comma 15 ter del decreto legge 18 ottobre 2012, n. 179), determina il trattamento di una grande quantità di informazioni sensibili, attualmente registrate in distinte banche dati di rilevanza nazionale e regionale.

Le finalità che vengono realizzate attraverso le disposizioni dello schema di decreto oggetto di parere, pur rispondendo a riconosciute finalità istituzionali devono assicurare un equo bilanciamento di tali esigenze con i diritti delle persone, nonché un'adeguata protezione delle informazioni conservate, anche sotto il profilo della sicurezza dei dati e dei sistemi.

In ragione della rilevanza che tali trattamenti assumono sotto il profilo della protezione dei dati personali, lo schema di decreto è stato elaborato dal Ministero di Economia e Finanze di concerto con il Ministero della salute, all'esito di numerose riunioni e interlocuzioni avute con l'Ufficio del Garante il quale ha formulato rilievi e ha fornito indicazioni volte a perfezionare e rendere il testo pienamente conforme alla disciplina in materia di protezione dei dati personali; le indicazioni sono state pressoché integralmente recepite dalle Amministrazioni attraverso una nuova formulazione dello schema di decreto nel suo complesso.

3.1. Presenza dei dati nel sistema TS

La principale osservazione formulata dall'Ufficio ha riguardato la necessità di analizzare la tipologia di dati e documenti che legittimamente sono conservati nel Sistema TS, al fine di individuare quelli che possono essere resi disponibili al FSE, in linea con la disciplina vigente che impone al Ministero dell'economia e delle finanze di conservare le informazioni solo per il tempo strettamente necessario al completamento delle operazioni tecniche di verifica e che tali informazioni devono essere cancellate irreversibilmente al termine delle operazioni (cfr. il decreto del MEF del 27 luglio 2005 con riferimento alle ricette e l'art. 50, comma 10, d.l. n. 269/2003 con riferimento ai dati sulla liquidazione periodica dei rimborsi erogati alle strutture di erogazione di servizi sanitari per prescrizioni farmaceutiche e specialistiche).

3.2. Individuazione delle finalità del trattamento e dei soggetti che possono accedere ai dati e ai documenti del Sistema TS

L'Ufficio ha inoltre evidenziato che i dati e i documenti del Sistema TS che devono essere resi disponibili nel FSE riguardano l'aspetto prescrittivo e certificatorio legato alle prestazioni sanitarie, farmaceutiche e alle agevolazioni erogate dal Servizio Sanitario Nazionale (SSN) o da altri organismi statali.  I suddetti documenti non sono, infatti,  generati per finalità di cura.

L'amministrazione accogliendo le osservazioni dell'Ufficio ha riformulato la tipologia di dati che vengono resi disponibili dal sistema TS al fascicolo, in modo che  siano rispettate le finalità per le quali gli stessi sono trattati dal medesimo sistema. Le modalità attraverso cui i dati verranno resi disponibili saranno definite con successivi decreti del Ministero dell'economia e delle finanze, di concerto con il Ministero della salute, sentito il Garante per la protezione dei dati personali.

In particolare, con riferimento alle informazioni sulle esenzioni per reddito, il Ministero ha accolto l'osservazione dell'Autorità secondo cui tali informazioni non sono consultabili dai soggetti che accedono al FSE per finalità di cura né per finalità di ricerca o di governo e quindi ne è consentito l'accesso solo all'interessato.

Con riferimento ai certificati di malattia telematici, il Garante ha rilevato che la loro presenza nel Sistema TS risponde a finalità amministrative legate all'obbligo di  comunicazione all'INPS dell'assenza per malattia del lavoratore. L'inserimento di tali documenti nel FSE non può pertanto determinare l'accesso a tali documenti da parte di soggetti diversi da quelli espressamente indicati dalla legge (INPS e, con certe limitazioni, il datore di lavoro).

In accoglimento di  tale osservazione, nell'articolato vengono indicati esclusivamente i certificati relativi all'astensione dal lavoro per malattia (cfr. definizioni) e che l'individuazione delle modalità attraverso le quali tali documenti saranno resi disponibili nel FSE viene rinviata  ad un successivo decreto. Il rinvio ad un successivo decreto riguarda anche le informazioni concernenti prescrizioni e prestazioni farmaceutiche.

Per quanto concerne invece prescrizioni e prestazioni specialistiche a carico del Servizio Sanitario Nazionale, è stata inoltre prevista, in linea con quanto osservato dall'Ufficio, una soluzione informatica che colleghi i documenti amministrativi alla prestazione erogata e ai relativi referti in modo tale che, quando l'interessato decida di oscurare un documento, automaticamente siano oscurati nel FSE anche i documenti amministrativi a questo collegati.

Al momento dell'oscuramento della prescrizione tramite il numero elettronico della ricetta, verrà oscurato anche il documento collegato; l'interessato, attraverso l'accesso al proprio FSE, avrà anche la possibilità di oscurare le prescrizioni specialistiche e farmaceutiche, prima che alle stesse sia associato un referto.

3.3. Informativa agli interessati

La questione dell'informativa all'interessato, ovvero la circostanza che l'interessato non sia a conoscenza del fatto che, sul proprio FSE, confluiranno le informazioni del Sistema TS è stata affrontata da parte del Ministero attraverso la presentazione al Garante, contestualmente al  presente parere, di una richiesta di autorizzazione al rilascio di una informativa semplificata, di cui all'art. 13, comma 5, lett. c) del Codice, su cui il Garante si riserva di fornire un'autonoma valutazione.

Si rappresenta infine che, ulteriori aspetti di intervento hanno riguardato, in particolare, la necessità di costituire un archivio delle informative regionali da utilizzare nel caso in cui il consenso dell'assistito venga raccolto da una regione diversa da quella di assistenza.

3.4. Titolarità del trattamento dei dati resi disponibili dal sistema TS

Facendo seguito alle osservazioni rese dagli uffici dell'Autorità, lo schema di parere  è stato modificato chiarendo i ruoli e le funzioni svolte da ciascuno dei soggetti coinvolti, distinguendo le rispettive responsabilità in conformità con le disposizioni vigenti in materia, e specificando i  soggetti che debbono considerarsi titolare e responsabile del trattamento dei dati.

3.5 Allegati tecnici

I contenuti, accogliendo le osservazioni dell'Ufficio sono stati adeguati.

3.5.1 Allegato A - Funzioni e Servizi INI

Sono state aggiornate le tabelle che contengono le informazioni scambiate dai servizi per la gestione dei documenti FSE.

In seguito alla osservazioni del Garante, sul rispetto del principio di necessità e minimizzazione dei dati, l'Amministrazione ha inoltre effettuato una più accurata valutazione delle predette informazioni.

3.5.2. Allegato B - Anagrafe dei consensi

E' stato modificato l'allegato per quanto riguarda le informazioni della banca dati dell'anagrafe dei consensi e delle revoche e la costituzione dell'archivio contenente le informative regionali.

3.5.3. Allegato C - Messa a disposizione dei dati Sistema TS

E' stato modificato l'allegato per limitare le informazioni messe a disposizione dal Sistema TS e individuare una soluzione tecnica che consenta l'oscuramento di tutti i documenti e i metadati eventualmente collegati al documento su cui l'interessato esercita il diritto di oscuramento.

3.5.4. Allegato D - Misure di sicurezza per la protezione dei dati

E' stato modificato l'allegato rendendolo conforme e adeguato alla realtà tecnico/giuridica propria dell'INI,  che lo schema di decreto si propone di disciplinare.

In particolare è stata migliorata la descrizione del processo di rilascio delle credenziali e dell'utilizzo dei certificati digitali, tenendo conto delle identità regionali federate.

E' stata perfezionata la descrizione delle responsabilità dell'amministratore centrale della sicurezza, dei limiti a cui sono sottoposti gli amministratori di sistema/DBA, delle misure di sicurezza dell'infrastruttura fisica (videosorveglianza e accesso ai locali) e dei canali di trasmissione (che devono essere protetti in relazione allo stato dell'arte dell'evoluzione tecnologica) nonché delle previsioni circa la registrazione delle operazioni nei file di log ed è stato inserito il richiamo alle misure di sicurezza previste dall'art. 23 del DPCM 178 del 2015, per i FSE eventualmente "ospitati" sull'INI in regime di sussidiarietà.

Tanto premesso, pur prendendo atto che la maggior parte delle osservazioni rappresentate nel corso dei lavori, sono state recepite nello schema di decreto, questa Autorità ritiene tuttavia che permangano talune criticità che ritiene di dover sottoporre all'attenzione dell'amministrazione

4. In particolare si ritiene opportuno con riferimento allo schema di decreto:

a) rivedere la terminologia utilizzata nel testo, laddove  si prevede che il trattamento dei dati venga effettuato direttamente dall'INI, non essendo quest'ultimo un soggetto giuridico ma un mero strumento informatico,  utilizzato per l'espletamento dei compiti conferiti dalle norme ai soggetti istituzionalmente competenti in materia. Rientra nella responsabilità di tali soggetti/istituzioni, quali titolare del trattamento, assicurare che il trattamento dei dati effettuato utilizzando l'infrastruttura nazionale sia rispettoso della normativa di protezione dei dati inclusa l'adozione delle necessarie misure di sicurezza.

b) modificare l'art. 14 nella parte in cui prevede che "Dal 1° luglio 2017, limitatamente agli assistiti risultanti in ANA di cui all'articolo 4 comma 1, lettere a) e b), il Sistema TS comunichi all'INI i metadati". Al riguardo, come già segnalato al Ministero, si ritiene necessario modificare suddetto termine, prevedendone uno successivo alla data di adozione del decreto.

TUTTO CIO' PREMESSO IL GARANTE:

esprime parere favorevole, nei termini di cui in motivazione sullo schema di decreto del Ministero dell'economia e delle finanze di concerto con il Ministero della salute, concernente le modalità tecniche e i servizi telematici resi disponibili all'infrastruttura nazionale per l'interoperabilità dei FSE di cui all'art. 12, del decreto legge 18 ottobre 2012, n. 179, come modificato dall'art. 1, comma 382 della legge 11 dicembre 2016, n. 232, con le osservazioni di cui ai punti 4. lett. a) e b).

Roma, 26 luglio 2017

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia