[doc. web n. 10141363]

Parere alla Regione Lombardia su uno schema di regolamento, corredato da relativo disciplinare tecnico, recante le norme di funzionamento del Registro regionale Grandi Traumi - 10 aprile 2025

Registro dei provvedimenti
n. 226 del 10 aorile 2025

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il dott. Claudio Filippi, segretario generale reggente;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 57, paragrafo 1, lett. c);

Visto il  Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo 30 giugno 2003, n. 196 e s.m.i., di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Visto il decreto-legge 18 ottobre 2012 n. 179 (“Ulteriori misure urgenti per la crescita del Paese”), convertito, con modificazioni, dall'art. 1, comma 1, della legge 17 dicembre 2012, n. 221 e s.m.i.;

Visto il d.P.C.M. 3 marzo 2017 “Identificazione dei sistemi di sorveglianza e dei registri di mortalità, di tumori e di altre patologie”;

Vista la richiesta della Regione Lombardia;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale reggente, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatrice la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

La Regione Lombardia ha richiesto il parere del Garante su di uno schema di regolamento, corredato da relativo disciplinare tecnico, recante le norme di funzionamento del Registro regionale Grandi Traumi.

Esso è finalizzato a valutare l’incidenza, la morbilità e la mortalità del trauma maggiore – inteso quale condizione clinica tempo-dipendente − e ad analizzare le eventuali criticità del sistema integrato pre e intra-ospedaliero, per consentire un’analisi epidemiologica dei fabbisogni e promuovere i correlati interventi correttivi, verificando in pari tempo la qualità dei processi clinico-assistenziali.

Il provvedimento si inserisce in un articolato quadro normativo costituito, per quanto riguarda la legislazione statale, dall’articolo 12, c.10, del decreto-legge 18 ottobre 2012 n. 179, convertito, con modificazioni, dalla legge 17 dicembre 2012, n. 221, recante istituzione di sistemi di sorveglianza e registri di mortalità, tumori e altre patologie per finalità di prevenzione, diagnosi, cura e riabilitazione, programmazione sanitaria, verifica della qualità delle cure, valutazione dell'assistenza sanitaria e di ricerca scientifica in ambito medico, biomedico ed epidemiologico allo scopo di garantire un sistema attivo di raccolta sistematica di dati anagrafici, sanitari ed epidemiologici per registrare e caratterizzare tutti i casi di rischio per la salute, di una particolare malattia o di una condizione di salute rilevante in una popolazione definita.

Tali sistemi e registri sono istituiti con decreto del Presidente del Consiglio dei ministri, acquisito il parere del Garante e i relativi elenchi sono aggiornati periodicamente con decreto del Ministro della salute (art. 12, c. 11). L'attività obbligatoria di tenuta e aggiornamento dei registri rientra tra le attività istituzionali delle aziende e degli enti del Servizio sanitario nazionale e gli esercenti le professioni sanitarie, in ragione delle rispettive competenze, sono tenuti ad alimentarli in maniera continuativa (art. 12, c. 11-bis).

Le Regioni e le Province autonome di Trento e di Bolzano possano istituire, con propria legge, registri di tumori e di altre patologie, di mortalità e di impianti protesici di rilevanza regionale e provinciale diversi da quelli di cui al comma 10 (art. 12, c. 12).

I tipi di dati da raccogliere nei singoli registri e sistemi di sorveglianza, i soggetti legittimati ad accedervi, i dati conoscibili, le operazioni eseguibili, nonché le misure appropriate e specifiche a tutela degli interessati sono individuati, in conformità alle disposizioni di cui all'articolo 2-sexies del Codice, con uno o più decreti del Ministro della salute, acquisito il parere del Garante per la protezione dei dati personali e previa intesa in sede di Conferenza permanente per i rapporti tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano (art. 12, c. 13).

Con decreto del Presidente del Consiglio dei Ministri 3 marzo 2017, recante “Identificazione dei sistemi di sorveglianza e dei registri di mortalità, di tumori e di altre patologie”– sul cui schema il Garante ha reso parere il 23 luglio 2015 – sono stati identificati i sistemi di sorveglianza e i registri di mortalità, tumori e altre patologie e impianti protesici, distinguendo tra sistemi di sorveglianza e registri di rilevanza nazionale e regionale e con possibilità per le Regioni e le Province autonome di Trento e di Bolzano di istituire con propria legge registri di tumori e di altre patologie, di mortalità e di impianti protesici di rilevanza regionale e provinciale diversi da quelli ivi richiamati (art. 1, c. 1).

Il decreto disciplina, inoltre, le modalità di realizzazione dei trattamenti connessi all’istituzione dei sistemi e registri (art. 5), demandando a regolamenti regionali (o delle Province autonome di Trento e Bolzano) la disciplina di dettaglio dei propri sistemi di sorveglianza e registri (art. 6, c. 3).

Per quanto concerne la Regione Lombardia, l’articolo 17, comma 1, lett. c), della l.r. 11 del 2024, nel novellare la l.r. 33 del 2009, ha incluso il Registro Grandi Traumi tra quelli regionali istituiti su disposizione di legge (art. 129, c.1, lett.n-bis l.r. 33).

Il registro raccoglie i dati anagrafici e sanitari riferiti allo stato di salute (attuale e pregresso) delle persone interessate per finalità di studio e di ricerca, rinviando – per quanto non già disciplinato dalla normativa statale – ai regolamenti adottati in conformità al parere del Garante l’individuazione, nel rispetto di quanto previsto dagli articoli 2-ter e 2-sexies del Codice, le specifiche finalità perseguite tramite il registro, i tipi di dati personali che possono essere trattati (inclusi quelli afferenti alle categorie particolari di cui all'articolo 9, paragrafo 1, del Regolamento), le operazioni eseguibili, i soggetti che possono aver accesso ai dati medesimi, nonché le misure di sicurezza e le misure appropriate e specifiche per tutelare i diritti degli interessati (c. 3).

Ulteriori disposizioni sono, infine, rinvenibili nel decreto direttoriale regionale 1° ottobre 2012, n. 8531 (“Determinazioni in merito all'organizzazione di un sistema integrato per l'assistenza al trauma maggiore”), volto a riorganizzare il sistema regionale di assistenza al trauma maggiore, per realizzare un sistema integrato di gestione dei pazienti che abbiano subito traumi gravi. Rileva, inoltre, la delibera della Giunta regionale XII/162 del 17 aprile 2023, come rettificata dalla delibera della Giunta regionale XII/211 del 17 maggio 2023, con cui è stato approvato il documento tecnico di riorganizzazione della Rete regionale del Trauma secondo il modello del Sistema Integrato per l’Assistenza al Trauma (SIAT).  

In tale contesto il regolamento sottoposto al parere del Garante intende disciplinare gli aspetti di funzionamento e di trattamento dei dati personali connessi all’istituendo Registro Grandi Traumi definendo, tra l’altro, i ruoli degli attori coinvolti, le rispettive finalità, i tempi di conservazione dei dati e, tramite l’allegato disciplinare tecnico, le misure di sicurezza a loro protezione. 

RILEVATO

L’articolo 1 dello schema di regolamento reca le definizioni applicabili, (tra le quali quelle di “Registro Grandi Traumi” – inteso quale “raccolta sistematica di dati prospettici, relativi a pazienti con Trauma potenzialmente maggiore soccorsi e portati dal sistema di emergenza urgenza territoriale 118, o auto presentati presso gli ospedali della Rete Trauma di Regione Lombardia o giunti presso strutture afferenti alla Rete Trauma da ospedali non ad essa appartenenti, impiegata per l’analisi, la programmazione, la gestione ed il monitoraggio degli interventi relativi a trauma maggiore” – e di “SIAT” (Sistema Integrato di Assistenza al Trauma), comprensivo dell’“organizzazione dell’urgenza-emergenza territoriale costituita da una rete di strutture ospedaliere tra loro funzionalmente connesse e classificate, sulla base delle risorse e delle competenze disponibili”), rinviando invece, per gli aspetti relativi alla protezione dei dati personali, all’articolo 4 del Regolamento.

L’articolo 2 definisce l’oggetto del regolamento, mentre l’articolo 3 indica i titolari dei trattamenti nel contesto dell’operatività del Registro Grandi Traumi, individuandoli nell’Agenzia Regionale Emergenza Urgenza (AREU), negli Enti ospedalieri della rete trauma della Regione Lombardia e nella stessa Regione Lombardia.

L’articolo 4 contiene indicazioni sugli scopi e le basi giuridiche del trattamento, prevedendo un’elencazione analitica e dettagliata delle numerose finalità − sanitarie, assistenziali, amministrative, programmatiche, ecc. − perseguite dai soggetti operanti nel contesto di operatività del Registro Grandi Traumi con riferimento, in base alle attività svolte istituzionalmente da ciascuno, alle condizioni di liceità sottese ai rispettivi trattamenti (artt. 6, parr. 1, lett. e), e 3, e 9, par. 2, lett. g), del Regolamento e artt. 2-ter e 2-sexies, c, 2, lett. t), u) e v), del Codice). L’articolo 5 individua le tipologie di dati trattati (anzitutto anagrafici e di contatto, nonché relativi allo stato di salute), stabilendone la tassonomia in funzione dei compiti svolti dai titolari e prevedendone la previa pseudonimizzazione in rapporto a specifiche finalità.

L’articolo 6 disciplina l’origine dei dati, prevedendone l’acquisizione secondo diverse modalità (raccolta presso l'AREU; acquisizione presso gli Enti ospedalieri della rete trauma della Regione Lombardia) e fonti (cartella clinica pre-ospedaliera e ospedaliera; referti strutturati (lettera di dimissione), mentre l’articolo 7 individua le operazioni di trattamento eseguibili, determinandone l’ambito in funzione delle attività svolte dai singoli titolari.

L’articolo 8 disciplina l’ambito di comunicazione e diffusione dei dati, prevedendo forme di divulgazione delle informazioni solo in forma anonima e aggregata e ribadendo, comunque, che le operazioni di comunicazione devono avvenire nel rispetto del principio di minimizzazione e delle misure di sicurezza previste.

In proposito, l’articolo 9 prevede disposizioni di indirizzo rinviando, per le misure attuative, al disciplinare tecnico allegato al medesimo schema di regolamento.

L’articolo 10 reca la disciplina per i soggetti autorizzati al trattamento, condizionandone l’accesso ai dati del Registro alle previste operazioni di autenticazione e verifica dei livelli di autorizzazione e profilazione, secondo modalità operative, logiche di elaborazione e profili strettamente pertinenti e non eccedenti ai compiti individualmente assegnati. La disposizione, inoltre, prevede l’obbligo di una preventiva e adeguata istruzione dei soggetti autorizzati, come pure il dovere per costoro di improntare la propria condotta a regole analoghe al segreto professionale.

L’articolo 11, a tutela della riservatezza degli interessati, prevede l’utilizzo di codici sostitutivi in luogo dei relativi dati identificativi, per rendere inintelligibili le informazioni anche ai soggetti autorizzati ad accedere al Registro. È previsto, inoltre, che i dati idonei a rivelare lo stato di salute siano trasmessi e conservati separatamente da altri dati personali trattati per finalità che non ne richiedono l’utilizzo, secondo misure di volta in volta aggiornate in conformità alle garanzie adottate dal Garante, ai sensi dell’art. 2-septies del Codice.

L’articolo 12, in ordine ai responsabili del trattamento, richiama disposizioni di carattere generale (art. 28 del Regolamento), al pari dell’articolo 13 che, in conformità alle norme di cui agli articoli 13 e 14 del Regolamento, prevede il rilascio di un’idonea informativa agli interessati.

L’articolo 14 disciplina il periodo di conservazione dei dati, individuandolo (pur con una formulazione perplessa) in venti anni per le finalità di cui all’articolo 4, con la definitiva e irreversibile anonimizzazione al termine.

L’articolo 15 reca disposizioni in ordine alle violazioni dei dati personali, conformemente agli articoli 33 e 34 del Regolamento. L’articolo 16, invece, prevede lo svolgimento una specifica valutazione di impatto in relazione ai trattamenti sottesi al registro in considerazione della loro natura, dell’oggetto, del contesto e delle finalità perseguite.

L’articolo 17, infine, menziona alcune fonti normative di interesse per il Registro, mentre l’articolo 18 riguarda l’entrata in vigore del provvedimento.

Il disciplinare tecnico, che costituisce parte integrante dello schema di regolamento, individua le misure di sicurezza che si intendono adottare a protezione dei dati personali contenuti nel Registro.

RITENUTO

Lo schema di regolamento, nel testo così come integrato all’esito di prime interlocuzioni informali intercorse con l’Autorità, necessita di ulteriori modifiche, per assicurarne una più compiuta coerenza con la disciplina di protezione dati.

In primo luogo, va disciplinata con maggiore dettaglio la titolarità dei trattamenti (art. 3).

Va, infatti, individuato il soggetto che gestisce il regolamento in qualità di titolare dei relativi trattamenti (v. pure, in materia, quanto stabilito dal d.P.C.M. 3 marzo 2017). Inoltre, è indispensabile specificare il ruolo da attribuirsi all’Osservatorio Regionale per il trauma maggiore, anch’esso non chiaramente delineato.

L’articolo 6 deve essere riformulato per chiarire meglio le fonti dei dati che alimentano il registro, indicate solo indirettamente. Inoltre, per rendere il testo coerente con l’articolo 4 e allinearlo alla definizione normativa (art. 4, punto 5), del Regolamento e Considerando 26), occorre sostituire la locuzione [dati] “privati degli elementi identificativi” con quella, più appropriata, di [dati] “pseudonimizzati”. 

All’articolo 8, si evidenzia la necessità di specificare l’ambito di comunicazione dei dati, precisando inoltre che le operazioni di comunicazione e diffusione ineriscono, unicamente, al perseguimento di finalità normativamente previste o a scopi istituzionali degli enti che alimentano e hanno accesso al Registro.

Deve essere inoltre integrato anche l’articolo 12, relativo ai responsabili del trattamento, che si limita a richiamare alcune indicazioni di principio già contenute nell’art. 28 del Regolamento, senza tuttavia addurre elementi idonei ai fini di una loro concreta individuazione. In tale prospettiva, risulta necessario effettuare un esplicito riferimento allo sviluppatore dell’applicativo − preposto, sulla base della documentazione trasmessa, alla registrazione, gestione, archiviazione e consultazione dei dati censiti nel Registro −, in ragione della rilevanza delle informazioni cui può accedere, per conto dei titolari, sia in occasione dell’erogazione delle attività di supporto, sia in fase di manutenzione del sistema.

Anche l’articolo 13 necessita di un’adeguata riformulazione, in quanto per i trattamenti di dati personali raccolti nei registri non sussiste, in linea generale, l’obbligo di fornire l’informativa, potendosi al riguardo applicare l’esenzione di cui all’art. 14, par. 5 lett. c) del Regolamento. Inoltre, i professionisti sanitari deputati alla raccolta dei dati per scopi di cura sono già tenuti a informare, seppur sommariamente, circa gli eventuali destinatari dei dati (art. 13, par. 1 lett. e) del Regolamento) e i medici di medicina generale, ai sensi dell’art. 78 del Codice, sono tenuti a informare i propri assistiti anche in relazione ai trattamenti effettuati ai sensi dell’articolo 12, del decreto-legge 18 ottobre 2012, n. 179, ai fini dei sistemi di sorveglianza e dei registri. Occorre dunque chiarire che l’informativa relativa ai trattamenti connessi al Registro verrà resa direttamente da AREU o dagli Enti ospedalieri al momento della raccolta dei dati.

Anche l’articolo 14, relativo alla conservazione dei dati, necessita di riformulazione rispetto alla tempistica ivi prevista. La previsione, infatti, di un unico e indistinto periodo di conservazione (venti anni), per tutte le finalità, anche molto diverse tra loro, elencate all’articolo 4 dello schema di regolamento non appare coerente con il principio di limitazione della conservazione (art. 5, par. 1, lett. e) del Regolamento), che impone l’individuazione di periodi di conservazione dei dati congrui e diversificati in funzione delle singole finalità perseguite. La disposizione, pertanto, deve essere adeguatamente ricalibrata, prevedendo tempistiche differenziate e commisurate ai singoli scopi, con specifico riferimento a quelli che non richiedono una conservazione così prolungata delle informazioni. Occorre inoltre chiarire che si tratta di termine massimo, sopprimendo l’ultimo periodo del comma 2 che, avendo valore meramente esplicativo e non normativo, rischia di ingenerare dubbi sulla natura massima e non minima del termine.

Dal momento che le modifiche suggerite nel presente parere incidono, tra l’altro, sul disciplinare tecnico allegato allo schema di regolamento, si renderà naturalmente necessario adeguare quest’ultimo nelle parti corrispondenti.

Peraltro, è necessario che il disciplinare tecnico indichi in apposita tabella la tipologia di operazioni e la “profondità di accesso” riconosciuta ai soggetti autorizzati al trattamento. 

Occorre, inoltre, che lo stesso descriva sinteticamente, anche mediante schema, l’architettura funzionale del registro, rappresentando, per maggiore chiarezza, gli attori, sistemi, flussi informativi coinvolti nei trattamenti.

È essenziale, infine, integrare il disciplinare tecnico con la previsione di misure a garanzia della sicurezza applicativa, attraverso periodici “penetration test” e “vulnerability assessment”, tenendo conto delle indicazioni contenute nelle linee guida sulla conservazione delle password adottate dal Garante con provvedimento n. 594 del 7 dicembre 2023. 

Lo stesso disciplinare tecnico, inoltre, dovrà specificare, con riferimento alle tecniche di pseudonimizzazione, la logica applicata e descrivere le operazioni di anonimizzazione.

IL GARANTE

ai sensi dell’articolo 57, paragrafo 1, lett. c) del Regolamento, esprime - sul proposto schema di regolamento e sull’annesso disciplinare tecnico - parere nei termini di cui in motivazione.

Roma, 10 aprile 2025

IL PRESIDENTE
Stanzione

LA RELATRICE
Cerrina Feroni

IL SEGRETARIO GENERALE REGGENTE
Filippi