g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere sullo schema di decreto recante “Termini e modalità di segnalazione di incidenti che coinvolgono i dispositivi medici e i dispositivi dell’Allegato XVI del Regolamento (UE) 2017/745 da parte degli operatori sanitari, degli utilizzatori profani e dei pazienti” - 14 novembre 2024 [10079161]

Parere sullo schema di decreto recante “Termini e modalità di segnalazione di incidenti che coinvolgono i dispositivi medici e i dispositivi dell’Allegato XVI del Regolamento (UE) 2017/745 da parte degli operatori sanitari, degli utilizzatori profani e dei pazienti” - 14 novembre 2024 [10079161]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 10079161]

Parere sullo schema di decreto recante “Termini e modalità di segnalazione di incidenti che coinvolgono i dispositivi medici e i dispositivi dell’Allegato XVI del Regolamento (UE) 2017/745 da parte degli operatori sanitari, degli utilizzatori profani e dei pazienti” - 14 novembre 2024

Registro dei provvedimenti
n. 693 del 14 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l’avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati – di seguito, Regolamento);

VISTO il d.lgs. 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (di seguito, Codice);

VISTO il Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio del 5 aprile 2017, relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il Regolamento (CE) n. 178/2002 e il Regolamento (CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio;

VISTO il d.lgs. 5 agosto 2022, n. 137, recante “Disposizioni per l'adeguamento della normativa nazionale alle disposizioni del Regolamento (UE) 2017/745 del Parlamento europeo e del Consiglio, del 5 aprile 2017, relativo ai dispositivi medici, che modifica la direttiva 2001/83/CE, il Regolamento (CE) n. 178/2002 e il Regolamento (CE) n. 1223/2009 e che abroga le direttive 90/385/CEE e 93/42/CEE del Consiglio, nonché per l'adeguamento alle disposizioni del Regolamento (UE) 2020/561 del Parlamento europeo e del Consiglio, del 23 aprile 2020, che modifica il Regolamento (UE) 2017/745 relativo ai dispositivi medici, per quanto riguarda le date di applicazione di alcune delle sue disposizioni ai sensi dell'art. 15 della legge 22 aprile 2021, n. 53”, il quale all’art. 10 demanda a uno o più decreti del Ministro della salute il compito di stabilire termini e modalità della segnalazione degli incidenti gravi (comma 2) e degli incidenti diversi da quelli gravi (comma 3) e stabilisce che le segnalazioni di incidente, grave e diverso da quello grave, siano effettuate “dagli operatori sanitari pubblici o privati, direttamente o tramite la struttura sanitaria coinvolta o, a seconda dei casi, dagli utilizzatori profani e dai pazienti, sempre nel rispetto di quanto stabilito dalla disciplina nazionale e di eventuali disposizioni regionali che prevedano la presenza di referenti per la vigilanza sui dispositivi medici” (comma 4), prevedendo altresì, all’art. 27, comma 45, che, in caso di omessa segnalazione di cui all’art. 10, comma 2, del medesimo d.lgs. 5 agosto 2022, n. 137, trovi applicazione a carico degli operatori sanitari pubblici o privati o, se nominati, dei referenti per la vigilanza, la sanzione amministrativa pecuniaria da 26.000 euro a 120.000 euro;

VISTO il parere reso dal Garante in merito al predetto d.lgs. 5 agosto 2022, n. 137, con provvedimento del 26 maggio 2022, n. 189 (doc. web n. 9782450);

VISTO il d.lgs. 31 marzo 1998, n. 112, recante «Conferimento di funzioni e compiti amministrativi dello Stato alle regioni e agli enti locali in attuazione del capo I della legge 15 marzo 1997, n. 59», il quale all'art. 118 individua le funzioni e i compiti amministrativi che restano allo Stato in ordine, tra l'altro, alle attività di informazione e di coordinamento informativo e statistico;

VISTO l'accordo quadro tra il Ministro della salute, le Regioni e le Province autonome, sancito dalla Conferenza permanente tra lo Stato, le Regioni e le Province autonome di Trento e di Bolzano nella seduta del 22 febbraio 2001 (Rep. atti n. 1158/CSR), relativo al piano di azione coordinato per lo sviluppo del Nuovo sistema informativo sanitario nazionale («NSIS»), che all'art. 6 stabilisce che le funzioni di indirizzo, coordinamento e controllo delle fasi di attuazione del NSIS, debbano essere esercitate congiuntamente attraverso un organismo denominato «Cabina di regia»;

VISTA la legge 23 dicembre 2014, n.190, che all’art. 1, comma 586, stabilisce che “Con decreto del Ministro della salute, previa intesa in sede di Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, sono definite le modalità per l’attivazione, senza nuovi o maggiori oneri per la finanza pubblica, di una rete di comunicazione dedicata alla dispositivo-vigilanza che consenta lo scambio tempestivo e capillare delle informazioni riguardanti incidenti che coinvolgono dispositivi medici. Con il medesimo decreto sono determinati, nell’ambito del Nuovo sistema informativo sanitario (NSIS) i contenuti informativi e le modalità di interscambio dei dati del sistema informativo a supporto della rete nazionale per la dispositivo-vigilanza”;

VISTO il decreto ministeriale 31 marzo 2022, recante “Istituzione della rete nazionale per la dispositivo-vigilanza e del sistema informativo a supporto della stessa”, il quale all’art. 1, comma 3, stabilisce che i soggetti incaricati di gestire le segnalazioni di incidente provenienti dal sistema sanitario pubblico, privato accreditato e privato non accreditato, di cui all’art. 2 del decreto ministeriale 31 marzo 2022 (operatore sanitario, responsabile locale della vigilanza e responsabile regionale della vigilanza) siano individuati dalle Regioni e Province Autonome;

VISTO il decreto del Ministro della salute 9 giugno 2023 recante tempi di conservazione dei dati personali eventualmente forniti contestualmente alle comunicazioni di incidenti con i dispositivi medici, su cui il Garante ha reso parere favorevole con provvedimento del 27 aprile 2023, n. 187 (doc. web n. 9896508);

VISTA la nota del Ministero della Salute del 10 ottobre 2024, con cui, a seguito delle interlocuzioni informali con l’Ufficio del Garante, è stato trasmesso all’Autorità, ai fini dell’acquisizione del parere di competenza, lo schema di decreto recante “Termini e modalità di segnalazione di incidenti che coinvolgono i dispositivi medici e i dispositivi dell’Allegato XVI del Regolamento (UE) 2017/745 da parte degli operatori sanitari, degli utilizzatori profani e dei pazienti”, attuativo del sopra richiamato art. 10 commi 2, 3 e 4, del d. lgs. 5 agosto 2022, n. 137, corredato del relativo allegato, recante il “Modulo per la segnalazione degli incidenti con i dispositivi medici e i dispositivi dell’allegato XVI del reg. (ue) 2017/745”;

RILEVATO che il predetto schema di decreto disciplina i termini e le modalità di segnalazione al Ministero della salute, da parte degli operatori sanitari pubblici o privati, degli utilizzatori profani e dei pazienti, degli incidenti gravi di cui all’art. 2, par. 1, n. 65) del Regolamento (UE) 2017/745, anche solo sospetti, che coinvolgono i dispositivi, nonché degli incidenti diversi da quelli gravi, ossia diversi da quelli definiti dal predetto art. 2, par. 1, n. 65) del Regolamento (UE) 2017/745, che coinvolgono i dispositivi, integrando il quadro giuridico di settore concernente i trattamenti riconducibili alle finalità di cui all’art. 9, par. 2, lett. g) ed i), del Regolamento e all’art. 2-sexies, comma 2, lett. u), del Codice, come espressamente richiamate nelle premesse del predetto schema;

RILEVATO che il predetto schema stabilisce, in particolare, che:

- gli incidenti gravi e quelli diversi da quelli gravi siano segnalati, ai sensi dell’art. 10 del d. lgs. n. 137/2022, dall’operatore sanitario o dal referente per la vigilanza nominato da eventuali disposizioni regionali, al Ministero della salute tramite la compilazione on-line del modulo allegato allo schema di decreto, il quale costituisce parte integrante dello schema di decreto e può essere modificato con le medesime modalità di adozione dello stesso schema di decreto e, dunque, previa acquisizione del parere del Garante per la protezione dei dati personali (art. 2, commi 1-3);

- il predetto modulo - che alimenta il sistema informativo a supporto della rete nazionale per la dispositivo-vigilanza di cui al decreto ministeriale 31 marzo 2022, presente all’interno di NSIS (art. 3, comma 1) - sia accessibile dai soggetti indicati dall’art. 2, commi 1 e 2, dello schema di decreto attraverso dispositivi standard (Carta nazionale dei servizi, Carta di identità elettronica, SPID), definiti dalle vigenti normative, come strumenti per l'autenticazione telematica ai servizi erogati in rete dalle pubbliche amministrazioni, ovvero tramite codice utente e parola chiave, in conformità all'art. 64 del Codice dell'amministrazione digitale (art. 2, comma 4);

- nell’ambito delle procedure di autenticazione informatica mediante uno dei predetti sistemi di autenticazione, vengano acquisiti esclusivamente il codice fiscale, il cognome e il nome del soggetto che effettua la segnalazione, nel rispetto del principio di minimizzazione dei dati di cui all’art.  5, par. 1, lett. c), del Regolamento (art. 2, comma 4);

- i dati identificativi del soggetto che ha effettuato la segnalazione siano raccolti nel rispetto della normativa vigente in materia di protezione dei dati personali, in conformità ai principi di cui all'art. 5 del Regolamento, utilizzando tecniche di pseudonimizzazione diverse da quelle di cui al decreto del 7 dicembre 2016, n. 262 (art. 2, comma 5);

- gli operatori sanitari, i responsabili locali della vigilanza e i responsabili regionali della vigilanza assicurino che la segnalazione di incidente non contenga dati che consentano l’identificazione del soggetto coinvolto nell’incidente (art. 2, comma 6);

- per le finalità di cui al decreto ministeriale 31 marzo 2022, le Regioni e le Province autonome siano titolari del trattamento dei dati contenuti nel modulo on-line allegato allo schema di decreto per gli incidenti occorsi sul territorio di competenza; i referenti locali e regionali della dispositivo-vigilanza siano i soggetti autorizzati dal titolare al trattamento dei dati contenuti nella segnalazione di incidente; il Ministero della salute sia titolare del trattamento dei dati acquisiti all’interno di NSIS, in quanto Autorità competente in materia di dispositivi medici (art. 3, commi 2 e 3);

- per il trattamento dei dati contenuti nella segnalazione di incidente, le Regioni, le Province autonome e il Ministero della salute operino nel rispetto di quanto previsto dall’art. 29 del Regolamento e dall’art. 2-quaterdecies del Codice (art. 3, comma 4);

- i dati acquisiti con la segnalazione vengano conservati nel rispetto dei termini di cui all’art. 2 del decreto ministeriale 9 giugno 2023 (art. 3, comma 5);

RILEVATO che il predetto modulo allegato allo schema di decreto prevede che i soggetti di cui all’art. 2, commi 1 e 2, dello schema di decreto, indichino, al suo interno, in particolare:

- il nome, il cognome, il telefono e l’e-mail dell’operatore sanitario che ha rilevato l’incidente;

- in un campo a testo libero, la descrizione dell’incidente, con l’espressa indicazione di non inserire dati personali del soggetto coinvolto nell’incidente;

- le conseguenze dell’incidente sul soggetto coinvolto, selezionando una delle opzioni ivi previste;

- il soggetto coinvolto, selezionando una delle opzioni ivi previste;

- l’età, il sesso biologico e l’indice di massa corporea del soggetto coinvolto;

CONSIDERATO che lo schema di decreto in esame tiene conto delle osservazioni fornite dall’Ufficio nell’ambito delle interlocuzioni informali intercorse con i rappresentanti del Ministero della Salute per rendere conformi i trattamenti ivi disciplinati alla normativa in materia di protezione dei dati personali, assicurando, in pari tempo, il coordinamento con la disciplina di settore applicabile, tenendo conto dei rischi che caratterizzano il trattamento nello specifico contesto in esame. Si fa, in particolare, riferimento a:

- la puntuale individuazione del ruolo svolto dalle Regioni e dalle Provincie autonome e dai referenti locali e regionali della dispositivo-vigilanza in relazione al trattamento dei dati contenuti nel modulo on-line allegato allo schema di decreto nonché dal Ministero della salute in relazione al trattamento dei dati acquisiti all’interno del NSIS, nel rispetto dei principi di liceità, correttezza e trasparenza,  di limitazione della finalità e di responsabilizzazione (artt. 5, par. 1, lett. a) e b), e 24 del Regolamento);

- la previsione, tramite il predetto modulo, della raccolta dei soli dati personali adeguati, pertinenti e limitati in rapporto alla finalità perseguita, mantenendo la possibilità di compilazione di un campo a testo libero esclusivamente con riguardo alla descrizione dell’incidente senza l’inserimento di dati personali relativi al soggetto coinvolto nell’incidente, nel rispetto dei principi di liceità, minimizzazione e protezione dei dati fin dalla progettazione e per impostazione predefinita di cui agli artt. 5, par. 1, lett. a) e c), e 25 del Regolamento;

- l’individuazione dei dati acquisiti nell’ambito delle procedure di autenticazione informatica mediante gli strumenti di autenticazione previsti dallo schema di decreto ai fini della compilazione del modulo, in modo che siano acquisiti esclusivamente il codice fiscale, il cognome e il nome del soggetto che effettua la segnalazione, nel rispetto del principio di minimizzazione dei dati di cui all’art. 5, par. 1, lett. c), del Regolamento;

- la necessità che i dati identificativi del soggetto che ha effettuato la segnalazione siano raccolti utilizzando tecniche di pseudonimizzazione diverse da quelle di cui al decreto del 7 dicembre 2016, n. 262, al fine di ridurre i rischi di re-identificazione dell’interessato;

- la necessità che eventuali modifiche dello schema di decreto e del relativo modulo, vengano introdotte per il tramite di una base giuridica avente rango non inferiore all’attuale decreto ministeriale, previa consultazione del Garante, nel rispetto degli artt. 6, parr. 1, lett. c) ed e), e 3, 9, par. 2, lett. g) e 36, par. 4, del Regolamento, nonché degli artt. 2-ter e 2-sexies del Codice;

FERMO RESTANDO quanto già rilevato nel parere del 26 maggio 2022, n. 189 (doc. web n. 9782450), in ordine alla necessità che nel quadro normativo di settore sia introdotta una specifica disposizione sulla protezione dei dati personali trattati nell’ambito delle attività funzionali alla fornitura o manutenzione dei dispositivi, tale da inibire l’accesso ai dati anagrafici e anamnestici del paziente, salva l’indispensabilità ai fini dell’erogazione del servizio di manutenzione e telediagnosi/teleintervento, rendendo comunque tracciabile ogni operazione di intervento/accesso (v. parere del 26 maggio 2022, n. 189, condizione di cui alla lett. a), primo alinea, doc. web n. 9782450);

RITENUTO che la versione in esame del menzionato schema di decreto e il relativo allegato, a valle delle predette interlocuzioni con l’Ufficio del Garante, tengono conto della normativa in materia di protezione dei dati personali, prevedendo, in ossequio ai principi di protezione dei dati fin dalla progettazione e per impostazione predefinita  di cui all’art. 25 del Regolamento, l’individuazione di misure appropriate e specifiche volte ad attuare in modo adeguato i principi di protezione dei dati e a integrare nel trattamento le necessarie garanzie al fine di soddisfare i requisiti previsti dalla normativa in materia di protezione dei dati personali (artt. 5, par. 1, lett. a) e c), e 25 del Regolamento);

RITENUTO, pertanto, di poter esprimere parere favorevole sullo schema di decreto in esame;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

VISTA la documentazione in atti;

Relatore il dott. Agostino Ghiglia;

TUTTO CIO’ PREMESSO, IL GARANTE

ai sensi degli artt. 36, par. 4, e 58, par. 3, lett. b), del Regolamento, esprime parere favorevole sullo schema di decreto recante “Termini e modalità di segnalazione di incidenti che coinvolgono i dispositivi medici e i dispositivi dell’Allegato XVI del Regolamento (UE) 2017/745 da parte degli operatori sanitari, degli utilizzatori profani e dei pazienti”, attuativo del sopra richiamato art. 10 commi 2, 3 e 4, del d. lgs. 5 agosto 2022, n. 137.

Roma, 14 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei

Scheda

Doc-Web
10079161
Data
14/11/24

Argomenti

Particolari categorie di dati Archivi e banche dati Dati sanitari Minimizzazione Pseudonimizzazione

Tipologie

Parere del Garante

Vedi anche (1)