g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere sullo schema di decreto del Ministro della salute recante “Disposizioni per l'avvio del programma pluriennale di screening su base nazionale nella popolazione pediatrica per l'individuazione degli anticorpi del diabete di tipo 1 e della celiachia” e sul relativo disciplinare tecnico - 30 gennaio 2025 [10112237]

Parere sullo schema di decreto del Ministro della salute recante “Disposizioni per l'avvio del programma pluriennale di screening su base nazionale nella popolazione pediatrica per l'individuazione degli anticorpi del diabete di tipo 1 e della celiachia” e sul relativo disciplinare tecnico - 30 gennaio 2025 [10112237]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10112237]

Parere sullo schema di decreto del Ministro della salute recante “Disposizioni per l'avvio del programma pluriennale di screening su base nazionale nella popolazione pediatrica per l'individuazione degli anticorpi del diabete di tipo 1 e della celiachia” e sul relativo disciplinare tecnico - 30 gennaio 2025

Registro dei provvedimenti
n. 59 del 30 gennaio 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito “Codice”);

VISTE le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica adottate dal Garante, ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101, con provvedimento n. 515, del 19 dicembre 2018 (doc. web n. 9069637);

VISTE le Prescrizioni relative al trattamento dei dati genetici e le Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica, allegati n. 4 e n. 5 al Provvedimento che individua le prescrizioni contenute nelle Autorizzazioni generali che risultano compatibili con il Regolamento e con il d.lgs. n. 101/2018 di adeguamento del Codice, del 5 giugno 2019 (doc. web n. 9124510);

VISTA la legge 29 dicembre 2022, n. 197 recante “Bilancio di previsione dello Stato per l'anno finanziario 2023 e bilancio pluriennale per il triennio 2023-2025” (legge di Bilancio 2023) e, in particolare, l’articolo 1, comma 530, secondo cui “Per la realizzazione di un programma pluriennale di screening su base nazionale nella popolazione pediatrica per l'individuazione degli anticorpi del diabete di tipo 1 e della celiachia, nello stato di previsione del Ministero della salute è istituito un fondo con una dotazione di 500.000 euro per l'anno 2023 e di 1 milione di euro per ciascuno degli anni 2024 e 2025”;

VISTA la legge 15 settembre 2023, n. 130, recante “Disposizioni concernenti la definizione di un programma diagnostico per l'individuazione del diabete di tipo 1 e della celiachia nella popolazione pediatrica” e, in particolare, l'articolo 1, comma 1, che dispone che il Ministro della salute adotti, mediante un decreto ministeriale, un programma pluriennale di screening su base nazionale nella popolazione pediatrica per l'individuazione degli anticorpi del diabete di tipo 1 e della celiachia, da avviare a decorrere dall'anno 2024;

VISTO, in particolare, l’articolo 2 della legge 15 settembre 2023, n. 130, secondo cui presso il Ministero della salute è istituito l'Osservatorio nazionale sul diabete di tipo 1 e sulla celiachia, avente il compito di studiare ed elaborare le risultanze dello screening e di pubblicare annualmente una relazione nel sito internet istituzionale dello stesso Ministero;

VISTO il decreto del Ministero della salute del 25 settembre 2024, istitutivo dell’Osservatorio nazionale sul diabete di tipo 1 e sulla celiachia, di cui all’articolo 2 della legge del 15 settembre 2023, n. 130 (di seguito Osservatorio), al quale è attribuito il compito di  studiare ed elaborare le risultanze degli screening nazionali sulle predette patologie, stabilendo altresì che i “i dati sono forniti, [...], dal Ministero della salute che li detiene e dall’Istituto superiore di sanità che gestisce il funzionamento della piattaforma informatica dedicata alla raccolta e all’elaborazione statistica dei dati. L’Osservatorio può richiedere all’Istituto superiore di sanità, per il tramite del Ministero della salute l’effettuazione di ulteriori ricognizioni statistiche e può proporre opportune implementazioni dei sistemi informatici”;

VISTA la nota con la quale il Ministero della salute ha chiesto, con ogni consentita urgenza, al Garante di esprimere il parere di competenza sullo schema di decreto del Ministro della salute recante “Disposizioni per l'avvio del programma pluriennale di screening su base nazionale nella popolazione pediatrica per l'individuazione degli anticorpi del diabete di tipo 1 e della celiachia” (nota del 10 gennaio 2025, prot. n. 992);

CONSIDERATO che lo schema di decreto si compone di n. 14 di articoli relativi rispettivamente a: Obiettivo dello screening (art. 1); Popolazione target, chiamata attiva e prelievo dei campioni ematici (art. 2); Pediatri di libera scelta (art. 3); Programma nazionale di screening (art. 4); Ruoli di protezione dei dati personali (art. 5); Informativa e consenso allo screening DT1 e MC (art. 6); Raccolta e analisi dei campioni ematici (art. 7); Risultati analitici, comunicazione, richiamo, conferma diagnostica e presa in carico (art. 8); Coordinamento nazionale e regionale del programma di screening (art. 9); Osservatorio nazionale sul diabete di tipo 1 e sulla celiachia (art. 10); Campagne di informazione (art. 11); Integrazione con i percorsi di prevenzione e promozione della salute (art. 12); Criteri di riparto (art. 13); Entrata in vigore (art.14);

CONSIDERATO che compongono lo schema di decreto altresì un allegato 1, parte integrante del testo del predetto schema, recante una “TABELLA 1 Marker anticorpali, e metodiche analitiche impiegabili nel programma di screening” e una “TABELLA 2 Riparto Regioni sulla base dei bambini che non hanno compiuto un anno di età al 01/01/2024” e un disciplinare tecnico relativo alle misure tecniche e organizzative perviste, in particolare, per garantire la sicurezza dei dati trattati e la loro integrità e riservatezza, che costituiscono oggetto del presente parere;

CONSIDEARTO che, per i profili rilevanti in materia di protezione dei dati personali, lo schema di decreto prevede, in particolare, che:

- l’attività di screening, coinvolge i nuovi nati, per l’indagine sulla celiachia, e i bambini fino a 8 anni non compiuti, per quella sul diabete di tipo 1, ai fini di una diagnosi precoce delle predette patologie (artt. 1 e 2);

- lo screening si inserisce nell’ambito dell’attività previste Piano Nazionale di Prevenzione 2020-2025, adottato dal Ministero della salute in attuazione dei livelli essenziali di assistenza, di cui al d.P.C.M. 12 gennaio 2017 (art. 1);

- il programma sia attuato dalle Regioni e dalle Province Autonome di Trento e Bolzano e prevede il coinvolgimento dei Punti nascita (competenti per lo screening sulla celiachia), Pediatri di libera scelta (PLS) e dei Dipartimenti di prevenzione delle aziende sanitarie (competenti per lo screening del diabete di tipi 1), dei Laboratori di riferimento (competenti per l’analisi dei campioni biologici) e dei Centri clinici (competenti per la presa in carico e deputati al trattamento dei bambini riconosciuti affetti da diabete di tipo 1 e/o celiachia); nello schema sono altresì specificati i ruoli di protezione dei dati personali dei predetti soggetti (artt. 1, 3, 4, 5 e 7);

- la partecipazione allo screening è volontaria e prevede una preventiva informativa agli interessati sul trattamento dei dati personali, ai sensi degli artt. 12 e 13 del Regolamento, nonché l’acquisizione di uno specifico consenso al trattamento dei dati genetici del minore necessario per lo screening della celiachia, rilasciato da entrambi i genitori o dal soggetto che esercita la responsabilità genitoriale sul minore (art. 6);

- i dati relativi ai risultati delle analisi sui campioni ematici sono inseriti, in forma pseudonimizzata, dai Laboratori di riferimento in una piattaforma informatica -le cui componenti principali e le relative misure di sicurezza sono descritte nel disciplinare tecnico, allegato allo schema di decreto- e sono resi accessibili, ognuno per gli ambiti di rispettiva competenza, ai Centri clinici di riferimento e ai PLS (artt. 8 e 9);

- la piattaforma informatica è ospitata presso l’Istituto superiore di sanità (ISS) che la gestisce, per attività di coordinamento e per il perseguimento di finalità di analisi statistica ed epidemiologica dei dati, in qualità di responsabile del trattamento, ai sensi dell’art. 28 del Regolamento, per conto del Ministero della Salute, titolare del trattamento, ai sensi dell’art. 24 del Regolamento, a cui trasmette dati aggregati, secondo i livelli di aggregazione indicati all’art. 3, comma 2 del d.m. del 26 settembre 2024, che sottopone alla valutazione dell’Osservatorio ai fini dell’elaborazione della relazione annuale, finalizzata anche all’eventuale revisione periodica del programma da parte del Ministero (artt. 5, 9 e 10);

- i dati personali sono conservati nella Piattaforma fino al compimento del 18esimo anno di età dei soggetti interessati (art. 9);

CONSIDERATO che il disciplinare tecnico descrive le caratteristiche della piattaforma dedicata alla gestione degli screening in esame e le misure tecniche ed organizzative per garantire sia la continuità del servizio che la riservatezza e l’integrità dei dati, specificando altresì le tecniche applicate -quali la pseudonimizzazione- sui dati trattati dai diversi soggetti coinvolti nelle attività di screening;

RILEVATO che lo schema di decreto tiene conto delle osservazioni formulate dall’Ufficio nell’ambito delle numerose interlocuzioni informali intercorse con il Ministero e l’ISS che hanno riguardato in particolare:

- l’indicazione delle norme da richiamare nei visti dell’atto, con riferimento a quelle di cui al Regolamento, al Codice e ai rilevanti provvedimenti del Garante in materia anche al fine di una corretta indicazione dei compiti di interesse pubblico rilevante ivi disciplinati (art. 9, par. 2, lett. a), g), h) e j) del Regolamento, art. 2-sexies del Codice, Prescrizioni e Regole deontologiche);

- l’individuazione dei soggetti coinvolti a vario titolo nella realizzazione dello screening e la corretta attribuzione dei relativi ruoli di protezione dei dati, di titolare, responsabile o autorizzato al trattamento dei dati, in considerazione delle diverse finalità istituzionali attribuite ai predetti soggetti nello svolgimento delle attività di screening (artt. 4, punti 7) e 8), 24, 28 e 29 del Regolamento e 2-quaterdecies del Codice);

- la necessità di garantire che i dati anagrafici dei soggetti da sottoporre a screening, siano previamente verificati mediante l’Anagrafe nazionale degli assistiti (ANA) e che, nelle more della sua realizzazione, l'identificazione dell'assistito sia assicurata attraverso l'allineamento con l'elenco degli assistiti gestito dal Sistema Tessera sanitaria, ai sensi dell'articolo 50 del d.l. n. 269 del 2003, convertito, con modificazioni, dalla legge n. 326 del 2003;

- la necessità che, in relazione al trattamento dei dati personali per finalità di screening, il consenso sia raccolto esclusivamente con riferimento all’indagine sulla celiachia che comporta un trattamento di dati genetici (art. 9, par. 2, lett. h) e par. 4 del Regolamento);

RILEVATO che anche il disciplinare tecnico allegato allo schema di decreto risulta allo stato conforme alle numerose indicazioni e integrazioni proposte dall’Ufficio nel corso delle richiamate interlocuzioni che hanno riguardato, in particolare:

- la descrizione delle caratteristiche tecniche, della piattaforma web dedicata alla raccolta centralizzata dei dati e delle relative funzionalità rese disponibili ai diversi soggetti coinvolti;

- una descrizione maggiormente dettagliata delle tecniche di pseudonimizzazione la cui efficacia deve essere costantemente verificata tenendo conto dell’evoluzione dello stato dell’arte tecnologico anche alla luce delle raccomandazioni e delle linee guida via via adottate a livello europeo e internazionale;

- la puntuale indicazione, attraverso specifici tracciati record, dei contenuti informativi gestiti dalla piattaforma;

- che il personale dell’ISS possa accedere ai dati pseudonimizzati senza ma non alle informazioni aggiuntive che consentono di re-identificare l’interessato e che l’accesso ai dati in chiaro sia consentito solo ai professionisti sanitari;

- la cifratura dei dati (at rest e in transit) mediante algoritmi robusti allo stato dell’arte tecnologico;

- l’adozione per il monitoraggio degli eventi di sicurezza e la gestione di possibili incidenti di sistemi SIEM (Security Information and Event Management) e SOAR (Security orchestration, automation and response);

- la necessità di prevedere procedure di autenticazione a più fattori;

- la registrazione delle operazioni di consultazione dei log da parte del personale autorizzato;

- la definizione dei tempi di conservazione dei file di log;

- la previsione che i dati contenuti nei log siano trattati da personale appositamente incaricato del trattamento esclusivamente in forma aggregata e in forma non aggregata unicamente laddove ciò risulti indispensabile ai fini della verifica della correttezza e legittimità delle singole operazioni effettuate;

FERMO RESTANDO che i trattamenti potranno essere avviati solo in esito alla predisposizione del modello di informativa da sottoporre al parere del Garante come previsto dall’art. 6, comma 4 dello schema di decreto;

RITENUTO di non dover formulare rilievi sullo schema di decreto trasmesso e sul relativo allegato tecnico, atteso che, nel recepire tutte le osservazioni formulate dall’Ufficio, è stato previsto un complesso di misure di garanzia da ritenersi appropriate a tutelare i diritti fondamentali e gli interessi delle persone fisiche coinvolte nelle operazioni di trattamento dei dati personali dando effettiva applicazione ai principi di protezione dei dati personali;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l'avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministro della salute recante “Disposizioni per l'avvio del programma pluriennale di screening su base nazionale nella popolazione pediatrica per l'individuazione degli anticorpi del diabete di tipo 1 e della celiachia” e sul relativo disciplinare tecnico.

Roma, 30 gennaio 2025

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10112237
Data
30/01/25

Argomenti

Dati genetici Dati sanitari

Tipologie

Parere del Garante

Vedi anche (8)