g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere sullo schema di Decreto del Ministero della Salute intitolato "Istituzione del Registro pubblico telematico" - 19 dicembre 2024 [10097854]

Parere sullo schema di Decreto del Ministero della Salute intitolato "Istituzione del Registro pubblico telematico" - 19 dicembre 2024 [10097854]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10097854]

Parere sullo schema di Decreto del Ministero della Salute intitolato "Istituzione del Registro pubblico telematico" - 19 dicembre 2024

Registro dei provvedimenti
n. 795 del 19 dicembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27/4/2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito RGPD);

VISTO il d. lgs. n. 196 del 30/6/2003, Codice in materia di protezione dei dati personali (di seguito “Codice”);

VISTA la legge n. 62 del 31/5/2022, intitolata «Disposizioni in materia di trasparenza dei rapporti tra le imprese produttrici, i soggetti che operano nel settore della salute e le organizzazioni sanitarie» e in particolare, l’art. 5, comma 1, che istituisce il registro pubblico telematico denominato «Sanità trasparente» da rendere disponibile nel sito internet istituzionale del Ministero della salute;

VISTO l’art. 5, comma 7, della predetta legge nella parte in cui prevede che «con decreto del Ministro della salute, sentiti l’Agenzia per l’Italia digitale, l’Autorità nazionale anticorruzione e il Garante per la protezione dei dati personali, sono determinati la struttura e le caratteristiche tecniche del registro pubblico telematico nonché i requisiti e le modalità per la trasmissione delle comunicazioni e l’inserimento dei dati, secondo i […] criteri» ivi indicati, nonché il successivo comma 8 che sancisce che con il medesimo decreto «sono altresì stabiliti i modelli per le comunicazioni [al Ministero della salute] di cui agli articoli 3 e 4 ed eventuali ulteriori elementi da indicare nelle medesime comunicazioni»;

VISTA la nota prot. n. 16374 del 15/11/2024, con la quale il Ministero della salute ha sottoposto a questa Autorità lo schema di Decreto ministeriale intitolato «Istituzione del Registro pubblico telematico» comprensivo del relativo disciplinare tecnico contenuto nell’Allegato A, chiedendo il parere di questa Autorità;

RILEVATO che i testi dello schema di decreto e del relativo Allegato A, trasmessi a questa Autorità, sono stati modificati tenendo conto delle osservazioni fornite dall’Ufficio nel corso di precedenti confronti avvenuti nell’ambito dell’apposito gruppo di lavoro istituito presso predetto Ministero, relative, fra l’altro, all’opportunità di:

1) con riferimento allo schema di decreto:

a. definire più precisamente il concetto di “titolare” del trattamento, il contenuto dell’informativa ai sensi degli artt. 13 e 14 del RGPD, nonché l’esercizio del diritto di rettifica per i dati personali inesatti eventualmente pubblicati sul Registro pubblico telematico;

b. modificare l’art. 5 sulle segnalazioni in modo da assicurare anche il coordinamento con il d. lgs. n. 24 del 10/3/2023, in materia di whistleblowing;

2) con riferimento al disciplinare tecnico contenuto nell’allegato A allo schema di decreto:

a. modificare la terminologia utilizzata uniformandola con le definizioni contenute nella l. n. 62/2022;

b. specificare la tipologia della procedura di autenticazione informatica e degli strumenti di identità digitale con i quali il responsabile della trasmissione dei dati al Registro accede alla piattaforma NSIS;

c. precisare, in relazione alla consultazione del registro e alle funzioni consentono la ricerca semplice e avanzata nelle tre distinte sezioni del Registro stesso, la necessità di adottare misure tecniche per il rispetto del principio di minimizzazione dei dati personali ai sensi dell’articolo 5 del RGPD;

d. precisare, con riferimento al riutilizzo dei dati pubblicati nel caso in cui si tratti di informazioni riferite a persone fisiche, che lo stesso può avvenire in termini compatibili con gli scopi originari per i quali le stesse informazioni sono state raccolte dal Ministero della salute e, in particolare, nel rispetto del principio della limitazione della finalità di cui all’art. 5, par. 1, lett. b) e all’art. 6, par. 4, del RGPD, con esclusione di casi in cui in cui risulti pregiudizievole per la tutela della vita privata e dell'integrità degli individui;

CONSIDERATA, alla luce di una rinnovata lettura complessiva e sistematica del testo trasmesso, la necessità di apportare ancora alcuni perfezionamenti. In particolare, in analogia con i precedenti di questa Autorità in relazione ai dati trattati riguardanti le identità SPID e CIE, utilizzate a scopo professionale, si ritiene opportuno prevedere nel disciplinare tecnico di cui all’Allegato A che, nell’ambito delle procedure di autenticazione informatica mediante gli strumenti di cui all’articolo 64 del d. l.gs. n. 82 del 7/3/2005 (Codice dell’amministrazione digitale), siano acquisiti esclusivamente il codice fiscale (eventualmente anche nome e cognome) del soggetto che effettua l’accesso e non gli altri attributi SPID (es. residenza, mail, numero del telefono cellulare), nel rispetto del principio di minimizzazione dei dati di cui all’art.  5, par. 1, lett. c), del RGPD;

RITENUTO, pertanto, opportuno che lo schema di Decreto in esame venga integrato con gli elementi sopra descritti;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Agostino Ghiglia;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del RGPD, nonché dell’art. 5, comma 7, della legge n. 62/2022 esprime parere favorevole sullo schema di Decreto del Ministro della salute, intitolato «Istituzione del Registro pubblico telematico» e sul relativo disciplinare tecnico contenuto nell’Allegato A, a condizione che siano apportate le seguenti modifiche:

- prevedere nel disciplinare tecnico di cui all’Allegato A che, nell’ambito delle procedure di autenticazione informatica mediante gli strumenti di cui all’articolo 64 del d. l.gs. n. 82 del 7/3/2005 (Codice dell’amministrazione digitale), siano acquisiti esclusivamente il codice fiscale (eventualmente anche nome e cognome) del soggetto che effettua l’accesso e non gli altri attributi SPID (es. residenza, mail, numero del telefono cellulare), nel rispetto del principio di minimizzazione dei dati di cui all’art.  5, par. 1, lett. c), del RGPD.

Roma, 19 dicembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL VICE SEGRETARIO GENERALE
Filippi

Scheda

Doc-Web
10097854
Data
19/12/24

Argomenti

Pubblica Amministrazione Pubblici registri

Tipologie

Parere del Garante

Vedi anche (10)