[doc. web n. 4252386]

Parere su uno schema di decreto del Presidente del Consiglio dei ministri in materia di sistemi di sorveglianza e  registri - 23 luglio 2015

Registro dei provvedimenti
n. 435 del 23 luglio 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero della salute;

Visto l´articolo 154, comma 4, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

1. Il Ministero della salute ha richiesto il parere del Garante su uno schema di decreto del Presidente del Consiglio dei ministri in materia di sistemi di sorveglianza e  registri, da adottare ai sensi dell´articolo 12, comma 11, del decreto-legge 18 ottobre 2012, n. 179, convertito con modificazioni dalla legge 17 dicembre 2012, n. 221, al fine d´istituire i sistemi di sorveglianza ed i registri di cui al comma 10 del medesimo articolo.

Il predetto comma 10 prevede, infatti, che siano istituiti sistemi di sorveglianza e registri di mortalità, di tumori e di altre patologie, di trattamenti costituiti da trapianti di cellule e tessuti e trattamenti a base di medicinali per terapie avanzate o prodotti d´ingegneria tessutale e di impianti protesici "ai fini di prevenzione, diagnosi, cura e riabilitazione, programmazione sanitaria, verifica della qualità delle cure, valutazione dell´assistenza sanitaria e di ricerca scientifica in ambito medico, biomedico ed epidemiologico allo scopo di garantire un sistema attivo di raccolta sistematica di dati anagrafici, sanitari ed epidemiologici per registrare e caratterizzare tutti i casi di rischio per la salute, di una particolare malattia o di una condizione di salute rilevante in una popolazione definita".

RILEVATO

2. L´articolo 1 dello schema nell´identificare i sistemi e i registri, distingue fra quelli "di rilevanza nazionale e regionale", riportati nell´allegato A) al decreto; quelli "già disciplinati dalla normativa vigente a livello nazionale" (allegato B); e quelli "di rilevanza esclusivamente regionale" (allegato C) (comma 1).

Il comma 2 del medesimo articolo individua, poi, le finalità dell´istituzione dei sistemi di sorveglianza e dei registri, in stretta aderenza con il dettato normativo di riferimento (art. 12, comma 10, d.l. n. 179/2012), mentre il comma 3 chiarisce che i sistemi di sorveglianza e i registri di cui all´allegato A), sono articolati in un livello regionale, che tratta i dati provenienti dagli organismi sanitari e dai servizi socio sanitari operanti nel proprio territorio, e in un livello nazionale, che tratta i dati provenienti dal livello regionale.

L´articolo 3 - che concerne i sistemi di sorveglianza ed i registri di rilevanza nazionale e regionale di cui all´allegato A) – stabilisce che la regione individui per ciascun sistema di sorveglianza e registro un "centro di riferimento regionale" che ne garantisca la gestione amministrativa, tecnica ed informatica e funga da titolare del trattamento dei dati contenuti in esso (comma 2).

Inoltre, è previsto che: il Ministero della salute e le Regioni trattino i dati personali e sensibili contenuti nei sistemi di sorveglianza e nei registri per finalità di ricerca e di governo; gli altri enti di livello nazionale indicati nell´allegato A), diversi dal Ministero, per le sole finalità di ricerca ed i centri di riferimento regionale per finalità di cura e di ricerca (commi 3-6).

È opportuno a questo punto richiamare le lettere o), p) e q) dell´articolo 2, unico comma, dello schema che, rispettivamente, definiscono: "finalità di cura", le finalità di prevenzione, diagnosi, cura e riabilitazione, di cui al comma 10 dell´articolo 12 del decreto-legge n. 179/2012; "finalità di ricerca", le finalità di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico, di cui allo stesso comma 10; "finalità di governo", le finalità di prevenzione primaria e secondaria, di programmazione sanitaria, verifica delle qualità delle cure e valutazione dell´assistenza sanitaria.

L´articolo 4 disciplina i sistemi di sorveglianza ed i registri di rilevanza esclusivamente regionale, individuati nell´allegato C).

Di particolare importanza è l´articolo 5 rubricato "Modalità di trattamento dei dati", dove si prevede che i titolari del trattamento trattino i dati contenuti nei sistemi di sorveglianza e nei registri nel rispetto dei principi di indispensabilità, necessità, pertinenza e non eccedenza nel trattamento, mentre si fa rinvio direttamente agli articoli 29 e 30 del Codice quanto all´individuazione dei responsabili e degli incaricati del trattamento dei dati (commi 1 e 2).

Il comma 4 del medesimo articolo specifica poi che i competenti titolari del trattamento dei dati trattano gli stessi per finalità di ricerca e di governo mediante un sistema di codifica che non deve consentire la diretta identificazione dell´interessato.

Il comma 5 prevede che in caso di incidenti correlati ad impianti protesici mammari e protesi impiantabili, di cui ai registri sub A2.4 e A2.5 dell´allegato A), si possa risalire all´identità dell´interessato tramite decodifica dei relativi dati effettuata dalla struttura sanitaria che abbia effettuato l´impianto, nel rispetto della normativa vigente in materia di protezione dei dati personali; mentre il comma 6 disciplina trattamenti di dati strettamente indispensabili alla tutela della salute, contenuti nei registri degli impianti di protesi impiantabili e nei registri di trattamenti a base di medicinali per terapie avanzate o prodotti di ingegneria tessutale, da parte degli organismi che prendono in carico l´assistito, ai fini del follow-up.

Infine, al comma 8 dello stesso articolo si prevede un non meglio precisato flusso informativo di dati sulla salute fra i centri di riferimento regionali per finalità di cura.

CONSIDERATO

3. L´articolo 12, comma 13, del summenzionato decreto-legge n. 179/2012 prevedeva che i soggetti legittimati all´accesso ai registri, i dati acquisibili, nonché le misure per la custodia e la sicurezza delle informazioni fossero individuati, in conformità alle disposizioni di cui agli articoli 20, 22, e 154 del Codice, entro diciotto mesi dall´entrata in vigore del decreto, con regolamento da adottarsi ai sensi dell´articolo 17, comma 1, della legge n. 400 del 23 agosto 1988, su proposta del Ministero della salute, acquisito il parere del Garante.

L´articolo 13, comma 2-bis, del decreto-legge 21 giugno 2013, n. 69, convertito dalla legge 9 agosto 2013, n. 98, ha quindi disposto che i regolamenti previsti, fra gli altri, dalla predetta disposizione normativa, qualora non ancora adottati e decorsi ulteriori trenta giorni dalla data di entrata in vigore della legge di conversione del decreto-legge, siano adottati su proposta del Presidente del Consiglio dei ministri.

Non risulta al Garante che tale regolamento sia stato adottato; anzi, ad esso fa rinvio l´articolo 6, comma 1, dello schema.

Poiché a tale regolamento è, quindi, demandato di individuare importanti garanzie per il trattamento dei dati personali contenuti nei sistemi e nei registri oggetto del presente schema, l´Autorità richiama fin d´ora l´attenzione delle Amministrazioni interessate sulla necessità che il predetto regolamento venga predisposto quanto prima al fine di rendere leciti e rispettosi di adeguate cautele a tutela dei diritti degli interessati i trattamenti di dati sensibili effettuati in attuazione del presente decreto.

L´Autorità resta pertanto in attesa di ricevere lo schema del regolamento in questione ai fini dell´espressione del previsto parere di competenza per i profili di protezione dei dati personali.

RITENUTO

4. Il Garante riconnette particolare importanza alla materia in esame, che coinvolge il trattamento di dati personali particolarmente delicati, quali quelli idonei a rivelare lo stato di salute delle persone che sono raccolti in ambito sanitario in maniera sistematica e tenuti in banche dati o registri a copertura regionale o nazionale (cfr. art. 94 del Codice).

L´Autorità, pertanto, richiama sin d´ora l´attenzione di tutte le amministrazioni coinvolte sull´esigenza che sia data applicazione alle disposizioni del decreto nel pieno rispetto delle garanzie previste per la protezione dei dati personali e sensibili degli interessati, sia dal decreto stesso, sia, più in generale, dal Codice.

In ragione dell´importanza della materia, si pone l´esigenza di apportare all´articolato alcuni perfezionamenti, nei termini di seguito descritti.

4.1. In via preliminare è necessario chiarire come si intenda attuare la previsione dell´articolo 12, comma 10, del decreto-legge n. 179/2012 in base alla quale i sistemi di sorveglianza e i registri di rilevanza nazionale e regionale sono istituiti anche per finalità di cura della salute strettamente intese, vale a dire di prevenzione, diagnosi, cura e riabilitazione (cfr. art. 1, comma 2, dello schema).

Atteso che lo schema di decreto in esame correttamente non specifica nel dettaglio quali dati sono destinati a confluire nei sistemi di sorveglianza e nei registri - poiché tale aspetto è demandato al regolamento attuativo di cui al comma 13 dell´articolo 12 del medesimo decreto legge - non è dato comprendere: le specifiche finalità di cura in concreto perseguite mediante queste banche dati sanitarie,  le condizioni in presenza delle quali i soggetti coinvolti nel trattamento dei dati possono utilizzare i predetti archivi e le operazioni di trattamento che possono porre in essere a tal fine (ad es. attraverso l´inserimento e la consultazione dei dati anagrafici e sanitari del singolo interessato nella banca dati, oppure attraverso l´elaborazione di questi dati per ottenere informazioni epidemiologiche aggregate).

Al riguardo, occorre tenere in considerazione che, in base al quadro normativo vigente, il trattamento di dati sulla salute per le predette finalità può essere legittimamente effettuato soltanto da organismi sanitari e da esercenti la professione sanitaria, nel rispetto delle disposizioni che il Codice prevede in questo ambito, in particolare per quanto riguarda l´acquisizione del consenso dell´interessato (artt. 76 e 85, comma 2 del Codice; autorizzazione generale del Garante n. 2/2014).

Tale osservazione preliminare - di estrema importanza - è volta a verificare l´idoneità dei presupposti legittimanti l´utilizzo a fini di cura dei dati contenuti nei sistemi di sorveglianza e nei registri previsti nello schema di decreto, al fine di scongiurare trattamenti illeciti di dati e un utilizzo improprio degli archivi in questione, quasi fossero fascicoli sanitari elettronici accessibili, però, in assenza delle specifiche cautele previste per questi ultimi (cfr. art. 12, commi 1-7, d. l. n. 179/2012).

E´ necessario, pertanto, che l´Amministrazione tenga conto delle predette considerazioni e provveda a perfezionare lo schema nelle parti in cui si richiama, genericamente, la "finalità di cura", dettagliando il più possibile gli specifici scopi di cura perseguibili nei casi di specie e individuando i soli soggetti legittimati al trattamento (organismi sanitari) nel rispetto delle regole del Codice sopra ricordate (cfr., in particolare: artt. 3, comma 6, 4, comma 4, e 5, comma 8, dello schema).

Sotto quest´ultimo profilo, si rileva la necessità di chiarire (auspicabilmente mediante un´apposita definizione con cui integrare l´articolo 2 dello schema) l´ambito soggettivo cui si riferisce la dizione "centri di riferimento regionale" tenendo conto che, come detto, i trattamenti di dati sanitari a fini di prevenzione, diagnosi, cura e riabilitazione possono essere effettuati solo da organismi sanitari e con riferimento, peraltro, ai soli pazienti presi in carico. Di conseguenza tali centri potrebbero essere prescelti dalle regioni unicamente tra gli organismi sanitari che operano nel territorio regionale (ad es. non potrebbe essere individuato quale centro di riferimento né un ufficio della Regione, né l´Agenzia sanitaria regionale).

4.2 Nel preambolo, occorre sostituire la menzione dell´articolo 98, comma 1, lett. b) del Codice (che fa riferimento alle finalità di rilevante interesse pubblico relative ai trattamenti di dati per scopi statistici) con quella dell´articolo 98, comma 1, lett. c), relativa ai trattamenti per scopi scientifici.

Inoltre, per quanto sopra detto, deve essere fatto riferimento anche agli articoli 76 e seguenti del Codice in relazione alle finalità di cura della salute (vale a dire "prevenzione, diagnosi, cura e riabilitazione") cui sono preposti i sistemi di sorveglianza e i registri (articolo 12 , comma 10, d.l. n. 179/2012).

4.3. L´articolo 1, comma 4, dello schema stabilisce che resta fermo quanto previsto dalla normativa vigente per i sistemi di sorveglianza e dei registri indicati nell´allegato B.

Al riguardo, va tenuto in considerazione che la normativa istitutiva dei predetti sistemi e registri, essendo perlopiù precedente al Codice, non disciplina  in modo esaustivo, per ogni sistema o registro, i profili essenziali del trattamento in conformità alle disposizioni sulla protezione dei dati (cfr. artt. 20 e 22 del Codice, con l´eccezione dei  sistemi di sorveglianza e dei registri elencati nell´articolo 94 del medesimo Codice per quanto riguarda il rispetto del solo principio di necessità nel trattamento dei dati).

Ciò premesso, si ritiene necessario integrare il comma 4 dell´articolo 1 prevedendo che anche ai sistemi di sorveglianza e ai registri di cui all´allegato B si applicano i principi e le garanzie in materia di protezione dei dati personali individuati nel decreto e nel regolamento attuativo di cui all´articolo 12, comma 13, del decreto-legge n. 179/2012, fatte salve le norme più restrittive eventualmente previste dalle specifiche discipline di settore. L´osservazione può essere recepita aggiungendo alla fine del comma la seguente locuzione: "nell´ambito dei quali i dati personali sono trattati nel rispetto delle garanzie previste dal presente decreto e dal regolamento di cui all´articolo 6, comma 1, fatte salve le norme più restrittive eventualmente previste dalle specifiche discipline di settore".

4.4. Con riferimento alle definizioni di cui all´articolo 2, secondo l´attuale dettato il "registro di patologia" dovrebbe contenere anche "dati non sanitari"; la locuzione è generica e deve essere specificata (art. 2, comma 1, lett. i)).In relazione poi alla definizione di "registri di trattamenti a base di medicinali per

terapie avanzate o prodotti di ingegneria tessutale" (lett. l)), occorre  riformulare la locuzione "tracciamento degli eventi connessi al trattamento nel follow up", che risulta anch´essa generica e di dubbia interpretazione.

Infine, come anticipato sopra, è opportuno inserire nell´articolo anche la definizione di "centri di riferimento regionali".

4.5. L´articolo 3, comma 3, dello schema prevede che il Ministero della salute tratti i dati personali e sensibili contenuti nei sistemi di sorveglianza e nei registri di cui al comma 1 ritenuti indispensabili "per le finalità di ricerca e di governo".

Dall´analisi delle disposizioni del decreto legislativo n. 502 del 1992 sulla ricerca scientifica sanitaria, non risulta, tuttavia, che il Ministero persegua direttamente questa finalità: al dicastero sono infatti attribuiti compiti di promozione, sviluppo, monitoraggio, valutazione e coordinamento della attività di ricerca scientifica in materia sanitaria (art. 12-bis; cfr. in proposito, anche il d.P.C.M. 11 febbraio 2014, n. 59 recante il regolamento di organizzazione del Ministero della salute e lo schema di regolamento sull´interconnessione a livello nazionale dei sistemi informativi sanitari predisposto dallo stesso Ministero su cui l´Autorità ha reso il proprio parere il 19 marzo scorso, doc. web 3869889). Inoltre, diversamente da quanto previsto dallo stesso decreto legge n. 179 con riferimento ai dati del fascicolo sanitario elettronico (art. 12, comma 6), le previsioni relative ai sistemi di sorveglianza e ai registri non attribuiscono al Ministero specifiche competenze in materia di ricerca scientifica in campo medico, biomedico ed epidemiologico.

Occorre, quindi, precisare la previsione dell´articolo 3, comma 3, in conformità al pertinente quadro normativo di riferimento, che definisce nel dettaglio gli ambiti e i limiti delle competenze istituzionalmente attribuite al Ministero o alle sue articolazioni organizzative.

4.6. Gli articoli 3, commi 2, 3 e 5, e 5, comma 4, dello schema qualificano il Ministero della salute, le regioni e i centri di riferimento regionali come "titolari del trattamento". Non risulta, invece, una specifica indicazione circa l´eventuale titolarità del trattamento dei dati in capo agli enti di livello nazionale diversi dal Ministero presso i quali lo schema prevede l´istituzione di alcuni registri e sistemi di sorveglianza (v. art. 3, comma 4, e allegato A dello schema ).

Al riguardo, si osserva che non tutti i predetti soggetti, individuati dallo schema come "titolari", sono anche responsabili della tenuta e del funzionamento delle banche dati sanitarie in questione, potendosi questi configurare "titolari" solo in relazione all´utilizzo dei dati del sistema di sorveglianza o del registro cui hanno accesso (v. ad es. il Ministero della salute rispetto alle banche dati sanitarie tenute presso il Centro nazionale trapianti e l´Istituto superiore di sanità o le regioni rispetto alle banche dati sanitarie gestite dai centri di riferimento regionale).

Di conseguenza, non risulta agevole individuare le responsabilità connesse alla tenuta e al funzionamento dei diversi registri e sistemi di sorveglianza previsti, anche sotto il profilo degli obblighi di notificazione (nei casi in cui non siano già stati adempiuti: cfr. art. 37, comma 1, lett. b) del Codice), di informativa (art. 13 del Codice) e di adozione delle misure organizzative e tecniche di sicurezza (artt. 31 ss. del Codice). Ciò, fermo restando che le modalità di consultazione volte a garantire livelli diversificati di accesso selettivo ai dati oggetto di trattamento, in relazione alle specifiche finalità perseguite, saranno definite dal regolamento di cui al comma 13 dell´articolo 12 del decreto-legge n. 179/2012.

Lo schema va quindi perfezionato, chiarendo le rispettive titolarità del trattamento e le connesse responsabilità dei soggetti coinvolti dal decreto, nel senso sopra indicato.

4.7. L´articolo 5, comma 1, dello schema va integrato prevedendo che i titolari del trattamento dei dati contenuti nei sistemi e nei registri trattino i dati anche nel rispetto delle garanzie che saranno introdotte con il regolamento attuativo di cui all´articolo 12,  comma 13, del decreto-legge n. 179/2012. L´osservazione può essere recepita sostituendo le parole "Codice privacy." con le seguenti: "decreto legislativo 30 giugno 2003, n. 196, e delle disposizioni del regolamento di cui all´articolo 6, comma 1.".

4.8. L´articolo 5, comma 5, dello schema deve essere perfezionato individuando le specifiche finalità che giustificano l´operazione di decodificazione dei dati ivi prevista da parte delle strutture sanitarie, nonché le modalità di accesso ai dati, tenendo conto di quanto già dispone la normativa di settore e, in particolare, l´articolo 1, comma 7, della legge 5 giugno 2012, n. 86, con riferimento proprio al funzionamento del registro degli impianti protesici mammari (all. A, punto A2.4, dello schema), con il quale andrebbe comunque coordinata tale disposizione.

4.9. L´articolo 5, comma 6, dello schema prevede che gli organismi sanitari che prendono in carico l´assistito possano trattare dati contenuti nei registri delle protesi impiantabili e in quelli di trattamenti a base di medicinali per terapie avanzate o prodotti di ingegneria tessutale a fini di follow up.

La disposizione tuttavia non risulta formulata in modo chiaro poiché non consente di comprendere: a) se gli organismi sanitari possano accedere ai dati personali sulla salute riferiti al singolo assistito presenti nei predetti registri o estrapolare da questi dati epidemiologici aggregati e con quali modalità (specifica richiesta ai centri di riferimento regionali o accesso ai registri secondo le modalità individuate dal regolamento di cui al comma 13 dell´articolo 12 del decreto-legge n. 179/2012 richiamato dall´articolo 6, comma 1, dello schema); b) le specifiche finalità di cura in concreto perseguite; c) le condizioni in presenza delle quali risulterebbe necessario porre in essere tali operazioni di trattamento.
La disposizione va pertanto integrata nel senso sopra indicato, tenendo conto delle osservazioni svolte al punto 2.1. del presente parere circa l´osservanza delle disposizioni del Codice relative al consenso dell´interessato e all´autorizzazione del Garante e i rischi di trattamenti illeciti o utilizzi impropri dei dati.

4.10. In relazione alla pubblicazione di risultati statistici in forma aggregata, la disposizione di cui all´articolo 5, comma 7, va perfezionata specificando che i dati devono essere resi "anonimi in modalità irreversibile" e non trattati "secondo modalità che non rendano identificabili gli interessati neppure tramite dati identificativi indiretti" come ora previsto.

4.11. In relazione all´articolo 5, comma 8, non si comprende quali siano, in concreto, le specifiche finalità di cura perseguite dai centri di riferimento regionali mediante lo scambio dei dati presso i rispettivi sistemi di sorveglianza e registri, considerando che tali centri potrebbero perseguire finalità di tutela della salute soltanto qualora fossero organismi sanitari, con riferimento ai soli pazienti presi in carico e nel rispetto delle disposizioni relative al consenso dell´interessato e all´autorizzazione del Garante ai sensi dell´art. 76 del Codice.

La disposizione va pertanto chiarita e perfezionata nel senso sopra indicato, tenendo conto delle osservazioni svolte al punto 2.1. del presente parere circa i rischi di trattamenti illeciti o utilizzi impropri dei dati.

4.12. Al fine di scongiurare il rischio di accessi abusivi e di garantire l´esattezza e la continuità della fruibilità dei dati contenuti nei registri e nei sistemi di sorveglianza, lo schema deve essere integrato prevedendo l´obbligo per il titolare del trattamento di avvisare tempestivamente il Garante nel caso in cui i dati trattati nell´ambito dei sistemi e dei registri subiscano violazioni (c.d."data breach"): si pensi a attacchi informatici, incendi o altre calamità, che possano comportare la perdita, la distruzione o la diffusione indebita di dati (cfr. artt. 4, comma 3, lett. g-bis e 32-bis del Codice). Ciò, in linea con le prescrizioni emanate dall´Autorità con riferimento a grandi banche dati pubbliche e in considerazione del fatto che un´analoga previsione è contenuta nello schema di decreto per la disciplina del fascicolo sanitario elettronico (art. 24, comma 9), in relazione al quale il Garante ha reso a suo tempo parere

4.13. Si richiama, infine, l´attenzione sulla necessità che gli allegati siano perfezionati nei termini seguenti:

a) il registro impianti protesici mammari (ora citato nell´allegato A, punto A2.4) deve essere correttamente inserito nell´allegato B, essendo stato istituito dalla legge n. 86 del 2012;

b) l´allegato B deve essere integrato con il riferimento al registro nazionale dei donatori di cellule riproduttive a scopi di procreazione medicalmente assistita di tipo eterologo, istituito dall´articolo 1, comma 298, della legge 23 dicembre 2014, n. 190.

IL GARANTE

esprime parere, nei termini di cui in motivazione, sullo schema di decreto del Presidente del Consiglio dei ministri in materia di sistemi di sorveglianza e  registri, da adottare ai sensi dell´articolo 12, comma 11, del decreto-legge 18 ottobre 2012, n. 179, convertito con modificazioni dalla legge 17 dicembre 2012, n. 221, con la seguente condizione:

a) allo schema di decreto siano apportate le modifiche e integrazioni indicate in motivazione (punti da 4.1. a 4.13.).

Roma,  23 luglio 2015.

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia