Diritti interna

Doveri interna

ricerca avanzata

Parere alla Provincia autonoma di Trento su uno schema di regolamento concernente il funzionamento del Registro Tumori - 26 marzo 2020 [9344651]

SCHEDA
Garante per la protezione dei dati personali
Doc-Web:
9344651
Data:
26/03/20
Argomenti:
Particolari categorie di dati , Sanità e ricerca scientifica , Stato di salute
Tipologia:
Parere del Garante

 

VEDI ANCHE Newsletter del 21 maggio 2020

 

 

[doc. web n. 9344651]

Parere alla Provincia autonoma di Trento su uno schema di regolamento concernente il funzionamento del Registro Tumori - 26 marzo 2020

Registro dei provvedimenti
n. 63 del 26 marzo 2020

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento).

Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice) e, in particolare, l’articolo 154, comma 5;

Vista la richiesta di parere della Provincia autonoma di Trento;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Antonello Soro;

PREMESSO

1. La Provincia autonoma di Trento ha richiesto il parere del Garante ai sensi dell’articolo 36, paragrafo 4, del Regolamento (UE) 2016/679, su uno schema di regolamento concernente il funzionamento del Registro Tumori (in seguito, anche, “Registro”).  Lo schema si propone di disciplinare il trattamento dei dati personali concernenti il funzionamento del Registro istituito sulla base dell’articolo 14, commi 5-bis e 5-ter, della legge provinciale 23 luglio 2010, n. 16, che attua la facoltà prevista dall’articolo 12, comma 12, del decreto-legge 18 ottobre 2012, n. 179, convertito con modificazioni dalla legge 17 dicembre 2012, n. 221, e dall’articolo 1, comma 1, del d.P.C.M. 3 marzo 2017 che lo inserisce nell’elenco A2 relativo ai registri di patologia di rilevanza nazionale e regionale.

Lo schema di regolamento ricalca lo schema-tipo adottato in materia il 21 giugno 2018 dalla Conferenza delle Regioni e Province autonome di Trento e di Bolzano, sul quale il Garante ha espresso parere favorevole in data 18 aprile 2018 (reperibile in garanteprivacy.it – doc web n. 8983816).

RILEVATO

2. Lo schema di regolamento – che si compone di 15 articoli e di un disciplinare tecnico dedicato alla sicurezza dei dati e del sistema – dopo aver richiamato l’applicazione delle definizioni contenute nell’articolo 4 del Regolamento, individua le definizioni di “Registro Tumori”, “Tumore” e “Popolazione di riferimento” (art. 1) e, nell’ambito delle finalità di rilevante interesse pubblico di cui all’articolo 2-sexies, del Codice, si propone di individuare le specifiche finalità perseguite dal Registro, i tipi di dati trattati, le operazioni eseguibili, i soggetti che possono trattare i dati e le misure di sicurezza (art. 2).

L’articolo 3 individua come “finalità specifiche del trattamento di dati” la: produzione di misure dell’incidenza, mortalità, sopravvivenza e prevalenza dei tumori; descrizione del rischio della malattia in base a sede, tipo di tumore, età, genere, e ogni altra variabile rilevante; lo svolgimento di studi epidemiologici e la distribuzione territoriale dei casi di tumore, gli esiti delle diagnosi precoci e relative terapie, anche in collaborazione con altri enti e strutture di ricerca; la produzione di dati anonimi e aggregati per la programmazione, gestione, controllo e valutazione dell’assistenza sanitaria; il monitoraggio e l’analisi dei dati sull’appropriatezza e qualità dei servizi diagnostici terapeutici, e sulla sopravvivenza dei pazienti affetti da cancro.

Il titolare del trattamento è individuato nell’Azienda provinciale per i servizi sanitari (APSS) presso la quale è istituito il Registro (art. 4), mentre il punto 5 dell’allegato Disciplinare tecnico dispone la designazione a responsabili del trattamento “in outsourcing” dei soggetti esterni che effettuano attività di manutenzione dei sistemi informativi. I dati personali contenuti nel Registro saranno comunque trattati da personale appositamente individuato, in base all’articolo 2-quaterdecies del Codice (art. 9) e formato sui rischi che incombono sui dati, sulle misure per prevenire eventi dannosi e sui profili inerenti alla protezione dei dati personali in base all’articolo 29 del Regolamento (cfr. Disposizioni generali del Disciplinare tecnico).

I dati oggetto di trattamento sono quelli sullo stato di salute riferiti a casi diagnosticati di tumore «nei limiti di quanto indispensabile per il raggiungimento delle predette finalità» (art. 5), raccolti presso l’archivio provinciale delle Schede di dimissioni ospedaliere (SDO), gli archivi appositamente indicati di altre Aziende sanitarie e strutture sanitarie private accreditate nonché l’Anagrafe Sanitaria provinciale degli assistiti (art. 6).

Gli articoli 7 e 8 dello schema di regolamento sono volti a disciplinare la comunicazione e diffusione dei dati; l’articolo 10 rinvia ad un apposito Disciplinare tecnico per gli aspetti di sicurezza dei dati, mentre il successivo articolo 11 prevede un sistema di codifica delle informazioni.

Infine gli articoli 12 e 13 ricalcano, sostanzialmente, le norme in materia di informazioni da rendere agli interessati e “Data breach” contenute nel Regolamento.

RITENUTO

3. Lo schema di regolamento è nel suo complesso conforme allo schema-tipo adottato dalla Conferenza delle Regioni e Province autonome di Trento e di Bolzano, sul quale il Garante ha espresso a suo tempo parere, nondimeno esso, anche a seguito dell’entrata in vigore del Regolamento (UE) 2016/679 e della normativa nazionale di adeguamento (d. lgs. n. 101/2018) necessita di alcuni perfezionamenti volti a renderlo pienamente conforme ai principi e alle regole poste in materia di protezione dei dati personali dal Regolamento e dal Codice.

3.1. Il trattamento dei dati relativi alla salute.

Lo schema di regolamento prevede il trattamento da parte dei soggetti autorizzati di dati relativi alla salute dei pazienti con diagnosi di tumore, che rientrano, come è noto, nelle particolari categorie di dati cui il Regolamento e il Codice novellato dal decreto legislativo n. 101 del 2018 accordano particolari tutele e garanzie (artt. 9 Reg.; 2 -sexies e 2-septies Codice) sia quando sono trattati per finalità di cura, sia quando il loro trattamento è necessario per finalità diverse ma di rilevante interesse pubblico. Da questo punto di vista, preliminarmente si apprezza la previsione della definizione di “popolazione di riferimento” che, individuando con maggior dettaglio i soggetti ai quali le particolari categorie di dati trattati si riferiscono, si muove nell’ottica del rispetto dei principi di trasparenza e minimizzazione dei dati (art. 1, comma 2, lett. c), schema).

Ciò premesso, si suggeriscono di seguito alcuni perfezionamenti del testo:

all’articolo 2, comma 1, tra le finalità di interesse pubblico rilevante, ai sensi dell’articolo 2-sexies del Codice, è necessario aggiungere quella di “ricerca scientifica”, ai sensi della lettera cc) del comma 2 del medesimo articolo, mentre, di converso, non appare pertinente in questa sede il richiamo dell’articolo 110 del Codice. Inoltre, sarebbe più corretto sostituire la locuzione “le misure per la sicurezza dei dati” con “le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”, in aderenza al dettato dell’art. 2-sexies del Codice;

all’articolo 5 si ritiene necessario adeguare la definizione dei dati al nuovo lessico normativo (“dati relativi alla salute” in luogo di “dati idonei a rivelare lo stato di salute”); inoltre è opportuno prevedere il rispetto anche delle “Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica specificate nell’allegato 5 al Provvedimento del Garante per la protezione dei dati personali n. 146 del 5 giugno 2019 recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101” e, in considerazione del fatto che il quadro di garanzie in materia è in evoluzione, è opportuno integrare l’articolo con il “rispetto delle ulteriori regole deontologiche e delle misure di garanzia adottate ai sensi degli articoli 2-quater e 2-septies del Codice”.

all’articolo 6, per una maggiore chiarezza del testo è opportuno sostituire al comma 2 la locuzione “i soggetti di cui al comma 1” con “le amministrazioni, gli enti e le Aziende sanitarie e delle strutture sanitarie private accreditate che detengono gli archivi di cui al comma 1”, nonché la locuzione “rispondere alle richieste di informazione avanzate dal Registro Tumori” con “rispondere alle richieste di informazione avanzate dall’APSS per l’implementazione del Registro Tumori”;

l’articolo 7 comma 2, va integrato prevedendo che il trattamento di dati per  finalità di studio in campo medico, biomedico ed epidemiologico ivi previsto sia effettuato nel rispetto, oltre che delle regole deontologiche richiamate, anche “dell’articolo 110 del decreto legislativo 30 giugno 2003, n. 196, e successive modificazioni, nonché delle Prescrizioni relative al trattamento dei dati personali effettuato per scopi di ricerca scientifica specificate nell’allegato 5 al Provvedimento del Garante per la protezione dei dati personali n. 146 del 5 giugno 2019 recante le prescrizioni relative al trattamento di categorie particolari di dati, ai sensi dell’art. 21, comma 1 del d.lgs. 10 agosto 2018, n. 101”;

all’articolo 9, comma 1, per una maggiore aderenza al rinnovato quadro normativo, si suggerisce di sostituire le parole “soltanto da personale appositamente individuato dal titolare del trattamento” con le seguenti: ” soltanto da personale istruito dal titolare del trattamento e che opera sotto la sua autorità, ai sensi dell’articolo 29 del Regolamento”;

all’articolo 11, comma 1, le parole “dati sensibili” devono essere sostituite con le seguenti: ”dati relativi alla salute”; inoltre la locuzione “sono trattati mediante l’utilizzo di codici identificativi” in armonia con il dettato dell’articolo 32 del Regolamento, andrebbe sostituita dalla seguente: “sono trattati mediante l’utilizzo di tecniche di pseudonimizzazione, anche con il ricorso a codici identificativi”;

in relazione all’articolo 12, volto a disciplinare il rilascio dell’”informativa” agli interessati, si osserva come l’articolo 14, par. 5, lett. b), del Regolamento in riferimento ai dati raccolti presso terzi ammette che il titolare possa non fornire le informazioni di rito quando “comunicare tali informazioni risulta impossibile o implicherebbe uno sforzo sproporzionato; in particolare per il trattamento a fini … di ricerca scientifica (...). In tali casi, il titolare del trattamento adotta misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni”. La lettera c) del medesimo comma ammette, inoltre, che il titolare possa non rendere le informazioni agli interessati in riferimento a dati raccolti presso terzi in base ad uno specifico obbligo di legge, come nel caso in esame. Quando i dati sono raccolti presso l’interessato il titolare è, invece, inderogabilmente tenuto a fornire le informazioni di cui all’articolo 13 del Regolamento che comprendono anche l’indicazione dei destinatari delle comunicazioni, mentre l’articolo 78, comma 5, lett. c-ter) del Codice prevede che il medico di medicina generale o il pediatra di libera scelta debbano informare gli interessati anche in relazione ai trattamenti svolti “ai fini dei sistemi di sorveglianza e dei registri” in questione. Su tali basi, si ritiene quindi che l’adempimento previsto all’articolo 12 dello schema – che potrebbe rivelarsi estremamente gravoso per l’APSS - possa allo stato essere eliminato, senza compromettere il diritto all’autodeterminazione informativa e, più in generale, alla protezione dei dati personali degli interessati. Le richiamate disposizioni, infatti, manifestano l’intenzione del legislatore di valorizzare il momento informativo in particolare all’atto della raccolta dei dati presso gli interessati, in un’ottica di semplificazione, e ferma l’attuazione di misure tecniche e organizzative a garanzia della protezione dei dati nelle successive fasi di trattamento. Tutto ciò premesso, alla luce del richiamato articolo 14, par. 5, lett. b), del Regolamento, tenuto conto che i dati raccolti presso il Registro Tumori sono trattati anche per scopi di ricerca scientifica, la disposizione in esame potrebbe essere sostituita come segue: “Il titolare del trattamento dei dati del Registro Tumori fornisce informazioni agli interessati in relazione ai trattamenti svolti per le finalità di ricerca scientifica in campo medico, biomedico e epidemiologico attraverso il proprio sito internet istituzionale, ai sensi dell’articolo 14, par. 5, lett. b) del Regolamento (UE) 2016/679”.

3.2. Conservazione dei dati.

E’ opportuno che l’articolato sia integrato con disposizioni concernenti la conservazione dei dati, in particolare per quanto riguarda la previsione di  congrui e proporzionati termini di conservazione dei dati inseriti nel Registro o comunque trattati, in conformità al principio di “limitazione della conservazione” di cui all’articolo 5, par. 1, lett. e), del Regolamento, fermo restando che gli aspetti di dettaglio, soprattutto tecnici, potranno essere contenuti nel disciplinare (cfr. in particolare paragrafi 3.2, 6.1. e 6.4).

Al riguardo si fa notare che la previsione al punto 3.2. del Disciplinare della conservazione dei backup, per consentire il ripristino dei dati in caso di guasti e malfunzionamenti del sistema, per un periodo di 10 anni, appare non sostenibile dal punto di vista economico e organizzativo, e non in linea con le buone pratiche di settore. Pertanto, si ritiene opportuna una rimodulazione del termine indicativamente nell’ordine di grandezza di mesi e non superiore all’anno.

3.3. Sicurezza dei dati.

Quanto ai profili della sicurezza dei dati, si richiama innanzitutto l’attenzione della Provincia sulla necessità di un aggiornamento dei richiami normativi e dei relativi contenuti rispetto alla nuova normativa europea e nazionale in materia di protezione dei dati personali, suggerendo le seguenti modifiche all’articolato e al Disciplinare:

a) all’articolo 6 (Fonti dei dati) è opportuno riformulare l’alinea del comma 1 nel seguente modo: “Il titolare del trattamento del Registro Tumori effettua la raccolta dei dati riferiti a pazienti con diagnosi di tumore di cui all’articolo 5, comma 2, con le modalità e nel rispetto delle misure tecniche e organizzative di cui all’articolo 10 e dettagliate nel Disciplinare tecnico richiamato dal medesimo articolo”;

b) all’articolo 10, da rubricare “Sicurezza dei dati personali”, il comma 1 andrebbe così sostituito:  “Il titolare del trattamento dei dati contenuti nel Registro Tumori adotta misure tecniche e organizzative individuate ai sensi degli articoli 25 e 32 del Regolamento (UE) 2016/679, anche a seguito di un'adeguata valutazione d'impatto sulla protezione dei dati condotta ai sensi dell'art. 35 del medesimo Regolamento e specificate nel Disciplinare Tecnico che forma parte integrante del presente regolamento.”;

c) è opportuno sopprimere l’articolo 13 in tema di violazione di dati personali (data breach) che non sembra aggiungere nulla al dettato degli articoli 33 e 34 del Regolamento e integrare invece il Disciplinare con una sezione dedicata in cui si preveda che “il titolare del Registro adotta misure tecniche e organizzative adeguate a rilevare tempestivamente eventuali violazioni dei dati personali e adempiere alle previsioni di cui agli articoli 33 e 34 del Regolamento UE 679/2016”;

d) si suggerisce di modificare il Disciplinare tecnico come segue: sostituendo il primo periodo della Premessa con il seguente: “Il presente Disciplinare specifica le misure tecniche e organizzative di cui agli articoli 25 e 32 del Regolamento (UE) 679/2016, da verificare periodicamente da parte del titolare del trattamento, anche a seguito di una valutazione d’impatto sulla protezione dei dati effettuata ai sensi dell’articolo 35 del medesimo Regolamento”; al paragrafo “Disposizioni Generali”, secondo periodo, per essere maggiormente aderenti al dettato dell’articolo 32 del Regolamento, sostituendo le parole da “rischi” a “raccolta” con le seguenti: “rischi presentati dal trattamento che derivano in particolare dalla distruzione, dalla perdita, dalla modifica, dalla divulgazione non autorizzata o dall'accesso, in modo accidentale o illegale, a dati personali trasmessi, conservati o comunque trattati.”.

TUTTO CIÒ PREMESSO IL GARANTE

esprime parere nei termini di cui in motivazione, ai sensi dell’articolo 57, par. 1, lett. c), del Regolamento, sullo schema di regolamento concernente il funzionamento del Registro tumori della Provincia autonoma di Trento, di cui all’articolo 14-ter della legge provinciale 23 luglio 2010, n. 16, con le osservazioni di cui ai punti da 3.1 a 3.3.

Roma, 26 marzo 2020

IL PRESIDENTE
Soro

IL RELATORE
Soro

IL SEGRETARIO GENERALE
Busia