[doc. web n. 1893476]

Parere del Garante al Ministero della salute su uno schema di decreto concernente "Modifiche al decreto del Ministro del lavoro, della salute e delle politiche sociali del 17 dicembre 2008, recante "Istituzione del sistema informativo per il monitoraggio dell´assistenza domiciliare" - 29 marzo 2012

Registro dei provvedimenti
n. 124 del 29 marzo 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele De Paoli, segretario generale;

Vista la richiesta di parere del Ministero della salute;

Visto l´art. 154, comma 4 del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

1. Il Ministero della salute ha richiesto il parere del Garante in ordine a uno schema di decreto del Ministro della salute concernente "Modifiche al decreto del Ministro del lavoro, della salute e delle politiche sociali del 17 dicembre 2008, recante "Istituzione del sistema informativo per il monitoraggio dell´assistenza domiciliare" ".

L´odierno provvedimento mira a perfezionare - sotto il profilo del rispetto della normativa in materia di protezione dei dati personali – il citato decreto del 2008, che non era stato sottoposto al parere di questa Autorità.

Inoltre, le novelle apportate allo stesso decreto tengono conto dell´impostazione di fondo sottesa allo schema di decreto del Ministro della salute recante "Istituzione del sistema informativo per il monitoraggio dell´assistenza erogata presso gli Hospice" - sul quale il Garante ha già reso parere – e delle cautele, ivi previste, per garantire il diritto alla protezione dei dati personali trattati per le finalità sancite dallo stesso decreto.

RILEVATO

2. Il decreto ministeriale del 17 dicembre 2008 ha istituito, nell´ambito del Nuovo Sistema Informativo Sanitario (NSIS), il Sistema informativo per il monitoraggio dell´assistenza domiciliare (infra: Sistema), finalizzato, appunto, alla raccolta delle informazioni relative ad interventi, procedure e attività sanitarie e socio-sanitarie erogate – da operatori afferenti al Servizio sanitario nazionale - a persone presso il proprio domicilio.

Le novelle apportate dall´odierno provvedimento al citato decreto del 2008 concernono, in particolare, i seguenti aspetti.

In ordine alle specifiche finalità cui è preordinato il Sistema, l´articolo 1, comma 1, lettera a), inserendo un comma 2-bis nell´articolo 2 del decreto del 2008, prevede che il Sistema stesso è finalizzato a rendere possibili le analisi aggregate utili per il calcolo di indicatori, anche ai fini della "verifica di cui all´articolo 3" dell´Intesa  conclusa in sede di Conferenza Stato-Regioni il 23 marzo 2005 e pubblicata sulla Gazzetta Ufficiale del 7 maggio 2005, relativa al monitoraggio della spesa nell´àmbito del Nuovo Sistema Informativo Sanitario. Per le stesse finalità si autorizza l´interconnessione dei "contenuti informativi" del NSIS mediante il codice univoco dell´assistito di cui alla scheda 12 dello schema tipo di Regolamento per il trattamento dei dati sensibili e giudiziari effettuat[o] dalle regioni e province autonome, con modalità tali da garantire il rispetto del diritto alla protezione dei dati personali degli interessati.

In relazione ai tipi di dati trasmessi al Sistema, la lettera c) del comma 1 dell´articolo 1 dello schema di decreto, nel novellare l´articolo 3 del provvedimento del 2008, precisa che il flusso informativo (come dettagliato nel disciplinare tecnico) riguarda dati relativi all´erogatore e dati non direttamente identificativi dell´assistito.

In ordine al regime di consultabilità dei dati presenti nel Sistema, la lettera d) del comma 1 dell´articolo 1 dello schema di decreto, nel novellare l´articolo 4, legittima l´accesso a tali dati, esclusivamente in forma aggregata – al fine di consentire il monitoraggio delle prestazioni erogate in regime di assistenza domiciliare – alle unità organizzative delle regioni e delle province autonome competenti (come individuate da provvedimenti regionali e provinciali) per effettuare analisi comparative in materia di assistenza sanitaria domiciliare, nonché alle unità organizzative della Direzione generale della programmazione sanitaria e della Direzione generale del sistema informativo e statistico sanitario del Ministero della salute competenti, come individuate dal decreto ministeriale di organizzazione.

In relazione alle modalità di realizzazione del flusso informativo, la lettera e) del comma 1 dell´articolo 1 dello schema di decreto, nel novellare l´articolo 5 del provvedimento del 2008, prevede che le trasmissioni al Sistema devono avvenire secondo le modalità indicate nel disciplinare tecnico allegato al decreto stesso e secondo le specifiche tecniche pubblicate sul sito internet del Ministero. In particolare, si precisa che la trasmissione telematica dei dati deve essere conforme alle relative regole tecniche del Sistema pubblico di connettività (SPC) di cui agli articoli 72 e seguenti del Codice dell´amministrazione digitale (infra: CAD) e che, segnatamente, deve avvenire mediante ricorso a un protocollo sicuro e all´autenticazione bilaterale fra sistemi basata su certificati digitali emessi da un´autorità di certificazione digitale.  Il comma 3-ter, aggiunto nel corpo dell´articolo 5, impone peraltro alle regioni e alle province autonome, nonché al Ministero stesso, di garantire – ai fini della cooperazione applicativa - la conformità delle infrastrutture alle regole dettate dal SPC. 

In ordine alle specifiche disposizioni sul trattamento dei dati nell´ambito del Sistema, la lettera i) del comma 1 dell´articolo 1 dello schema di provvedimento, nel novellare l´articolo 8 del decreto del 2008, precisa che nel Sistema sono raccolti e trattati unicamente i dati indispensabili in rapporto alle finalità cui è preordinato il decreto, con modalità e funzioni applicative tali da fornire soltanto rappresentazioni aggregate dei dati. Gli stessi incaricati del trattamento accedono ai dati presenti nel Sistema mediante chiavi di ricerca che non consentono di consultare dati riferibili a singoli individui o elenchi di codici identificativi. Il novellato comma 3 dell´articolo 8 impone l´assegnazione di un codice univoco a ciascun soggetto, conformemente a quanto previsto dalla scheda 12 del citato schema tipo di Regolamento per il trattamento dei dati sensibili e giudiziari effettuato dalle regioni e province autonome. Si prevede peraltro che, qualora le regioni e le province autonome non dispongano di sistemi di codifica, coerenti con quanto stabilito dallo schema tipo di regolamento, i dati siano inviati in forma anonima.

Come già osservato in sede di parere sullo schema di decreto del Ministro della salute  recante "Istituzione del sistema informativo per il monitoraggio dell´assistenza erogata presso gli Hospice" e nell´ambito del parere sullo schema di decreto del Ministro della salute  recante"Modifiche al decreto del Ministro del lavoro, della salute e delle politiche sociali del 17 dicembre 2008, pubblicato nella Gazzetta Ufficiale n. 9 del 13 gennaio 2009, recante "Istituzione del sistema informativo per il monitoraggio delle prestazioni erogate nell´ambito dell´assistenza sanitaria in emergenza-urgenza" ", tale ultima disposizione va intesa con riferimento all´invio di dati – in forma anonima – dalle strutture sanitarie alle regioni o alle province autonome, analogamente a quanto disposto dalla scheda 12 dell´Allegato A) del suddetto schema tipo di Regolamento.

Ai sensi del novellato comma 4 dell´articolo 8, i dati trasmessi dalle regioni e dalle province autonome – già privati degli elementi identificativi diretti - sono archiviati previa separazione dei dati sanitari dalle altre informazioni, precisandosi che i primi sono trattati con tecniche crittografiche.

RITENUTO

3. Come già rilevato in premessa, l´odierno provvedimento mira a migliorare - sotto il profilo del rispetto della normativa in materia di protezione dei dati personali – il citato decreto del 2008, tenendo peraltro conto dell´impostazione di fondo sottesa allo schema di decreto ministeriale recante "Istituzione del sistema informativo per il monitoraggio dell´assistenza erogata presso gli Hospice".

Residuano tuttavia alcuni aspetti dell´odierno provvedimento che meritano un perfezionamento.

3.1. Identificazione dell´assistito.
La lettera c) del comma 1 dell´articolo 1 dello schema di decreto, sancisce – modificando l´alinea del comma 1 dell´articolo 3 del decreto del 2008 – il carattere  non direttamente identificativo dei dati trasmessi al Sistema. Tuttavia, tra i dati elencati dallo stesso comma (nella sua parte non modificata), sono anche presenti dati relativi alle "caratteristiche anagrafiche dell´assistito" [lettera a)]. Tale ultima prescrizione sembra essere in contrasto con quanto sancito dall´alinea dello stesso comma e pertanto, alla lettera a) del comma 1 dell´articolo 3 la parola: "anagrafiche" dovrebbe essere soppressa.

Conseguentemente, nel disciplinare tecnico, al § 4 "Le informazioni", la voce "Caratteristiche anagrafiche dell´assistito", presente nella seconda tabella, e il riferimento ai "dati anagrafici del paziente", presente nel secondo capoverso "Tracciato 1 ", dovrebbero essere espunti.

3.2. Finalità del trattamento.
Nella lettera a) del novellato articolo 4 manca il riferimento (peraltro presente, invece, nel decreto sull´assistenza erogata presso gli Hospice) agli indicatori utili alla verifica di cui all´articolo 3 della citata Intesa Stato-Regioni, quale parametro (peraltro richiamato dall´articolo 2, comma 2-bis, dello schema di decreto) cui orientare le analisi comparative in materia di assistenza sanitaria domiciliare; finalità, questa, che, sola, legittima l´accesso ai dati presenti nel Sistema da parte delle competenti unità organizzative delle regioni e delle province autonome. Dal momento che tale omesso richiamo rischia di privare della necessaria funzione selettiva la finalità che legittima il trattamento di dati personali e che, del resto, esso non pare giustificato dalla diversità di materia dell´odierno provvedimento rispetto a quello relativo all´assistenza erogata presso gli Hospice, all´articolo 1, comma 1, lettera d), capoverso "Art. 4", al comma 1, lettera a), dopo le parole: "assistenza sanitaria domiciliare", è opportuno che siano aggiunte le seguenti: ", sulla base degli indicatori calcolati ai sensi dell´articolo 2, comma 2-bis, primo periodo".

3.3. Tecniche crittografiche.
In ordine alle tecniche di archiviazione, ricerca e accesso alle informazioni rese disponibili dal Sistema stesso, nell´articolo 8 del decreto (come novellato), manca qualsiasi riferimento – presente, invece, peraltro, nel comma 5 dell´articolo 8 del decreto sull´assistenza erogata presso gli Hospice - all´obbligo di trattare con tecniche crittografiche i dati relativi alla patologia da cui è affetto l´interessato, al fine di renderli temporaneamente inintelligibili anche a chi è autorizzato ad accedervi. Dal momento che neppure tale omesso richiamo pare giustificato dalla diversità di materia trattata, in considerazione della particolare rilevanza della prescrizione omessa è necessario che all´articolo 8 sia aggiunta una disposizione del tenore di quella appena descritta.

3.4. Modalità di archiviazione e di comunicazione dei dati.
Nello schema di decreto manca ogni disciplina degli accorgimenti da adottare, a garanzia della sicurezza dei dati riguardanti le prestazioni erogate, qualora la loro archiviazione e relativa trasmissione avvenga presso il domicilio dell´assistito. E´ pertanto opportuno che, all´interno dello schema di decreto, siano disciplinati tali aspetti, nell´osservanza di quanto sancito in proposito dal Codice in materia di protezione dei dati personali e delle particolari cautele che tale fonte normativa prevede per il trattamento dei dati idonei a rivelare lo stato di salute dell´interessato.

3.5. Disciplinare tecnico.
In relazione alle modifiche apportate al disciplinare tecnico, allegato al decreto, è possibile riscontrare taluni aspetti suscettibili di ulteriore perfezionamento, ai fini della piena conformità alla disciplina in materia di protezione dei dati personali.

3.5.a. In primo luogo, talune voci riportate nei tracciati 1 e 2 appaiono eccedenti rispetto alle finalità cui il monitoraggio è preordinato e, soprattutto, suscettibili di identificare, sia pure indirettamente, l´interessato. Pertanto, la voce "stato civile" (pag. 6) deve essere espunta dal relativo tracciato; inoltre, la descrizione della voce "assistente non familiare convivente" (pag. 6) andrebbe precisata indicando soltanto la presenza o meno di tale figura ed escludendo, quindi, la rilevazione di dati identificativi; analogamente, la descrizione delle voci relative al "soggetto che richiede la presa in carico" (pag. 6) e al  "tipo operatore" (descritta come voce tesa ad "identifica[re] l´operatore che ha effettuato l´accesso" – pag. 9), dovrebbe essere sostituita, rispettivamente, con un riferimento alla tipologia del soggetto richiedente la presa in carico e non alla sua identità (es.: medico di medicina generale, ospedale, familiare, ecc.) e con l´indicazione della categoria professionale dell´operatore (ad es.: infermiere, assistente sociale, ecc.).

3.5.b. Inoltre, altre voci (si pensi alle seguenti: "patologia prevalente"; "patologia concomitante", pagg. 7 e 10) rischiano di rivelare informazioni per le quali la legge impone particolari cautele (si pensi all´infezione da virus HIV) o dati comunque meritevoli di una tutela particolare. Pertanto, la disciplina di dettaglio che attuerà tali prescrizioni dovrà escludere la rivelazione – sia pure in via indiretta – delle suddette informazioni.  Parimenti, le voci "tipo prestazione" (pag. 9), "motivo della rivalutazione" (pag. 10) e "motivo conclusione dell´AD" (pag. 12) devono essere sviluppate, nella disciplina di dettaglio, in modo tale da articolarsi in macro-categorie relative alle varie tipologie di interventi e di motivazioni.

IL GARANTE

esprime parere favorevole sullo schema di decreto del Ministro della salute concernente "Modifiche al decreto del Ministro del lavoro, della salute e  delle politiche sociali del 17 dicembre 2008, recante "Istituzione del sistema informativo per il monitoraggio dell´assistenza domiciliare" ", con le seguenti condizioni:

a) nello schema di decreto sia inserita una disposizione che all´articolo 3, comma 1, lettera a) del decreto del Ministro della salute del 17 dicembre 2008, sopprima la parola: "anagrafiche" (punto 3.1);

b) all´articolo 1, comma 1, lettera c), capoverso "Art. 4" dello schema di decreto, al comma 1, lettera a), dopo le parole: "assistenza sanitaria domiciliare", siano aggiunte le seguenti: ", sulla base degli indicatori calcolati ai sensi dell´articolo 2, comma 2-bis, primo periodo" (punto 3.2);

c) nello schema di decreto sia inserita una disposizione che aggiunga all´articolo 8 del citato decreto del 2008 una disposizione del tenore di quella di cui all´articolo 8, comma 5, dello schema di decreto ministeriale recante "Istituzione del sistema informativo per il monitoraggio dell´assistenza erogata presso gli Hospice" (punto 3.3.);

d) all´interno dello schema di decreto siano disciplinati gli accorgimenti da adottare, a garanzia della sicurezza dei dati riguardanti le prestazioni erogate, qualora la loro archiviazione e relativa trasmissione avvenga presso il domicilio dell´assistito (punto 3.4.);

e) nel disciplinare tecnico, la voce "stato civile" (pag. 6) sia espunta dal relativo tracciato; inoltre, la descrizione della voce "assistente non familiare convivente" (pag. 6) sia precisata indicando soltanto la presenza o meno di tale figura ed escludendo, quindi, la rilevazione di dati identificativi; analogamente, la descrizione delle voci relative al "soggetto che richiede la presa in carico" (pag. 6) e al  "tipo operatore" sia  sostituita, rispettivamente, con un riferimento alla tipologia del soggetto e non alla sua identità (es.: medico di medicina generale, ospedale, familiare, ecc.) e con l´indicazione della categoria professionale dell´operatore (ad es.: infermiere, assistente sociale, ecc.) (punto 3.5.a.);

f) sempre nel disciplinare tecnico, nella parte non modificata dal presente schema, al § 4 "Le informazioni", la voce "Caratteristiche anagrafiche dell´assistito", presente nella seconda tabella, e il riferimento ai "dati anagrafici del paziente", presente nel secondo capoverso "Tracciato 1 ", siano espunti;

e con la seguente raccomandazione:

g) in sede di disciplina di dettaglio, valuti l´Amministrazione l´opportunità di sviluppare i riferimenti a voci quali: "patologia prevalente" e "patologia concomitante" (pagg. 7 e 10) in maniera tale da escludere la rivelazione – sia pure in via indiretta – di dati cui la legge assicura una particolare protezione; e l´opportunità di descrivere le voci relative al "tipo prestazione" (pag. 9), al "motivo della rivalutazione" (pag. 10) e al "motivo conclusione dell´AD" (pag. 12) in modo tale da articolarsi in macro-categorie relative alle varie tipologie di interventi e di motivazioni (punto 3.5.b).

Roma, 29 marzo 2012

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
De Paoli