[doc. web n. 10097356]

Parere su di uno schema di regolamento recante le norme di funzionamento del Registro tumori della Regione autonoma Friuli Venezia Giulia - 13 novembre 2024

Registro dei provvedimenti
n. 661 del 13 novembre 2024

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza e il dott. Agostino Ghiglia, componenti e il cons. Fabio Mattei, segretario generale;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 57, paragrafo 1, lett. c);

Visto il  Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo 30 giugno 2003, n. 196 e s.m.i., di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la richiesta della Regione autonoma Friuli Venezia Giulia;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

PREMESSO

Il Garante è stato richiesto di esprimere il proprio parere su di uno schema di regolamento recante le norme di funzionamento del Registro tumori della Regione autonoma Friuli Venezia Giulia, già approvato in via preliminare dalla Giunta regionale con delibera del 17 maggio 2024, n. 717.

Il provvedimento attua l’articolo 36 della legge regionale n. 19 del 2006, istitutivo dei registri di patologia tra i quali, appunto, il registro tumori, tenuto a indicare: a) le modalità di accertamento diagnostico della patologia; b) i trattamenti e gli interventi sanitari conseguenti; c) la qualità delle cure prestate; d) le conseguenze in termini funzionali della patologia; e) la sopravvivenza; f) le recidive.

Lo schema di regolamento intende dunque disciplinare - nell’ambito delle finalità di rilevante interesse pubblico di cui all’articolo 2-sexies, comma 2, lettere t), u), v) e cc) del Codice- ., le finalità perseguite dal Registro Tumori della Regione, i tipi di dati trattati e le operazioni eseguibili, i soggetti legittimati al trattamenti e alle relative misure di sicurezza.

La potestà legislativa (e, quindi, regolamentare) regionale in materia s’inscrive all’interno di un quadro normativo complesso, caratterizzato anzitutto dalla facoltà, riconosciuta alle Regioni e alle Province autonome dalla normativa statale (art. 12, c.12, d.l. 179 del 2012, conv.mod. l. 221 del 2012) d’istituzione, con legge regionale, dei registri di tumori e di altre patologie, di mortalità e di impianti protesici di rilevanza regionale e provinciale diversi da quelli individuati dal comma 10 del medesimo articolo 12. 

L’articolo 6, c.3, del d.P.C.M. 3 marzo 2017, recante “Identificazione dei sistemi di sorveglianza e dei registri di mortalità, di tumori e di altre patologie nel quale sono censiti tutti i registri di rilevanza nazionale, regionale e provinciale”, demanda poi alle Regioni e alle Province autonome di Trento e di Bolzano l’adozione, se non già avvenuta, dei regolamenti concernenti i propri sistemi di sorveglianza e registri, che individuino i soggetti legittimati all’accesso, i dati accessibili, nonché le misure per la custodia e la sicurezza.

Con decreto del Ministero della salute 1° agosto 2023 è stata, poi, demandata alle Regioni e alle Province autonome la realizzazione dei Registri tumori di rilevanza regionale, tenendo a tal fine conto dei Registri di popolazione già operanti, secondo criteri di qualità definiti dagli standard di accreditamento nazionali e internazionali di cui all’articolo 1, comma 5, lett. a) della legge 22 marzo 2019, n. 29 e in conformità alle previsioni del medesimo decreto (art. 4, c. 3).

RILEVATO

L’articolo 1 dello schema di regolamento individua le definizioni applicabili, richiamando per relationem quelle contenute nell’articolo 4 del Regolamento e nell’articolo 1, comma 1, del decreto del Ministero della Salute 1° agosto 2023 e specificando la nozione di “Registro Tumori Regionale”, quale “sistema attivo di raccolta sistematica di dati personali anagrafici e sanitari dei casi di tumore che insorgono nei residenti nel territorio della Regione Friuli Venezia Giulia, realizzato ai fini di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico, nonché di elaborazione delle informazioni epidemiologiche e statistiche a supporto delle attività di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria”.

L’articolo 2 definisce l’oggetto del regolamento, con particolare riguardo alle finalità di rilevante interesse pubblico perseguite dal Registro (ai sensi degli articoli 2-sexies, comma 2, lettere t), u), v) e cc) del Codice e 35 della legge regionale 26 ottobre 2006, n. 19), ai tipi di dati trattati e alle operazioni eseguibili, ai soggetti legittimati al trattamento, nonché alle relative misure di sicurezza.

L’articolo 3 chiarisce nel dettaglio le finalità del Registro, mentre l’articolo 4 individua il titolare del trattamento dei dati personali contenuti nel Registro nell’Istituto di Ricovero e Cura a Carattere Scientifico “Centro di riferimento oncologico” di Aviano (PN), presso cui è istituito il Centro di riferimento del Registro tumori Friuli Venezia Giulia. I dati sono messi a disposizione della Regione Friuli Venezia Giulia per finalità di governo e programmazione sanitaria, nei limiti delle competenze attribuite dalla legge ed esclusivamente mediante un sistema di codifica che non consente l’identificazione diretta degli interessati.

Responsabile del trattamento, ai sensi dell’articolo 28 del Regolamento, è la società INSIEL S.p.A., incaricata della gestione dell’infrastruttura informatica del Registro.

L’articolo 5 individua i dati, appartenenti alle categorie particolari di cui all’articolo 9 del Regolamento, suscettibili di trattamento e, segnatamente, quelli relativi alla salute riferiti ai casi diagnosticati di tumore, nei limiti di quanto indispensabile per il raggiungimento delle finalità perseguite, oltre che nel rispetto delle previsioni del Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, ai sensi dell’articolo 106 del Codice.

L’articolo 6 disciplina le fonti dei dati, prevedendone la raccolta con le modalità e nel rispetto delle misure di sicurezza di cui all’articolo 32 del Regolamento (come meglio dettagliate nel Disciplinare tecnico allegato) presso gli archivi individuati. I titolari degli archivi sono tenuti a trasmettere le informazioni indicate secondo le modalità contenute nel predetto Disciplinare tecnico.

L’articolo 7 disciplina la comunicazione dei dati ai titolari dei Registri tumori di altre regioni, prevedendo la stipula di apposite convenzioni volte a definire le modalità tecniche di trasmissione delle informazioni in conformità alle misure di sicurezza individuate dal Garante con il provvedimento n. 393 del 2 luglio 2015 e contenute nell’Allegato 2. Il Titolare del trattamento del Registro tumori regionale, per l’esclusivo perseguimento delle finalità sopra indicate, può svolgere studi in campo medico, biomedico ed epidemiologico, anche in collaborazione con Università, Enti ed Istituti di ricerca e società scientifiche, nonché con ricercatori, singoli o associati, ivi operanti, nel rispetto delle regole previste dal Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici di cui all’allegato A.4 al Codice. Lo stesso titolare attua quanto previsto dagli articoli 9 e 10 del decreto del Ministro della Salute 1° agosto 2023.

L’articolo 8 disciplina condizioni e limiti della diffusione dei dati, ammessa in forma anonima o anonimizzata relativamente ai casi raccolti e registrati in forma esclusivamente aggregata e, in ogni caso, secondo modalità che non rendano in alcun modo identificabili i soggetti interessati.

In base all’articolo 9, i dati personali contenuti nel Registro sono trattati, nel rispetto dei principi di indispensabilità, necessità, pertinenza e non eccedenza, soltanto da personale appositamente individuato e autorizzato dal Titolare e dal Responsabile del trattamento, in conformità agli articoli 29 del Regolamento e 2-quaterdecies del Codice. I soggetti autorizzati, ove non già tenuti al segreto professionale, sono comunque sottoposti a regole di condotta analoghe, potendo inoltre accedere ai dati secondo modalità e logiche strettamente pertinenti e non eccedenti i compiti attribuiti a ciascuno di essi.

L’articolo 10 individua le misure di sicurezza applicabili al Registro, rinviando per la relativa specifica al disciplinare tecnico contenuto in allegato allo schema di regolamento.

L’articolo 11 reca la disciplina della codifica dei dati, stabilendo che quelli, appartenenti a categorie particolari contenuti nel Registro tumori regionale devono essere trattati, nel rispetto di quanto sancito nel Disciplinare tecnico allegato al regolamento, mediante l’utilizzo di codici identificativi atti a tutelare l’identità e la riservatezza degli interessati. È previsto, inoltre, che i dati idonei a rivelare lo stato di salute siano conservati separatamente rispetto agli altri dati personali trattati per finalità che non richiedono il loro utilizzo.

L’informativa deve essere rilasciata – dispone l’articolo 12 – mediante le strutture del Servizio Sanitario Regionale, pubbliche o private accreditate che erogano le prestazioni sanitarie, nelle modalità previste dagli artt. 13 e 14 del Regolamento. Si impone, inoltre, al titolare del trattamento di garantire agli interessati il pieno e tempestivo esercizio dei diritti accordati loro dal Regolamento.

L’articolo 13 disciplina la procedura da osservare in caso di “data breach”, imponendo la notifica al Garante, con le modalità e le tempistiche previste dall’articolo 33 del Regolamento, delle violazioni dei dati o degli incidenti informatici suscettibili di avere un impatto significativo sui dati personali trattati. Qualora la violazione sia suscettibile di presentare un rischio elevato per i diritti e le libertà delle persone, il titolare è tenuto a darne comunicazione anche agli interessati, in conformità a quanto previsto dall’articolo 34 del Regolamento.
L’articolo 14 reca la disciplina transitoria, stabilendo in 180 giorni i tempi per l’adeguamento e per l’adozione delle modalità tecniche e delle misure di sicurezza previste dal Disciplinare tecnico di cui al citato articolo 10.

L’articolo 15, infine, disciplina il regime di conservazione dei dati stabilendone la cancellazione trascorsi centoventi anni dal decesso dell’interessato.

RITENUTO

Lo schema di regolamento, inscritto all’interno della cornice normativa su descritta, necessita di alcuni correttivi volti a renderne il testo conforme alla disciplina in materia di protezione dei dati personali.

In primo luogo, la definizione delle finalità del registro (art.1, c.2)  va integrata con riferimento agli altri scopi sottesi alla sua istituzione, in conformità con quanto sancito  dagli articoli 1, comma 2, del d.P.C.M. 3 marzo 2017 e 3 del D.M. 1° agosto 2023.

Correlativamente, andrebbe valorizzata all’interno del testo la finalità – pur genericamente menzionata all’articolo 2 tra quelle di rilevante interesse pubblico perseguite dal Registro ai sensi dell’articolo 2-sexies del Codice – attinente alle “attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d'organo e di tessuti nonché alle trasfusioni di sangue umano”, che invece non trovano effettivo riscontro, sul piano delle finalità perseguite, tra quelle contenute nell’ (o desumibili dall’)articolato.

Sotto altro profilo, deve essere poi attentamente valutata, ai fini di un suo più chiaro coordinamento sistematico, la previsione contenuta nell’articolo 3, comma 1, lett. d), dello schema di regolamento, secondo cui il Registro tumori regionale è finalizzato, tra l’altro, a “produrre dati anonimi e aggregati per la programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, inerente gli interventi di prevenzione primaria e secondaria rivolti alle persone ed all’ambiente di vita e lavoro, nonché dell’efficacia dei programmi di screening”. Tale previsione, infatti, non collima appieno con quanto stabilito all’articolo 4, comma 2, secondo cui i dati contenuti nel Registro sono messi a disposizione della Regione per finalità di governo e programmazione sanitaria esclusivamente mediante un sistema di codifica che non consente l’identificazione diretta dell’interessato.

Considerato che, in base all’articolo 5, comma 4, del d.P.C.M. 3 marzo 2017, i dati individuali possono essere trattati solo mediante il sistema di codifica, si ritiene dunque necessaria una modifica che garantisca piena coerenza tra queste disposizioni, chiarendo in particolare all’articolo 3, comma 1, lett. d) che il Registro è funzionale, tra l’altro, alla produzione di dati in forma pseudonimizzata, successivamente aggregabili e anonimizzabili per finalità di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria.

Rispetto alla rubrica dell’articolo 5, si segnala l’inappropriatezza della locuzione “dati sensibili” (oggi riferibile alla nozione di dati appartenenti alle “categorie particolari” di cui all’articolo 9 del Regolamento) la cui descrizione non contempla, del resto, in relazione ai referti anatomo-patologici, la specifica indicazione della sede, morfologia, grado di differenziazione e comportamento biologico, comprese le indagini biomolecolari atte a definire la prognosi della neoplasia e le tecniche di dimissione diagnostica, prevista, rispettivamente, dalle lett. f) e g) del comma 2 dell’art. 7: riferimenti che vanno aggiunti.

Del pari integrato deve essere l’articolo 6, comma 1, dello schema di regolamento che, nell’indicare le fonti presso le quali sono acquisiti i dati tenuti a popolare il Registro tumori regionale e successivamente quello nazionale non include, rispetto all’omologo articolo 8, comma 2.2, del D.M. 1° agosto 2023, gli archivi delle protesi di interesse oncologico e l’archivio delle vaccinazioni di interesse oncologico (rispettivamente, lett. h) e l) del citato art. 8).

Con riferimento al comma 1 dell’articolo 7 e alle finalità ivi indicate si segnala, per la modifica in tal senso, l’inadeguatezza del richiamo all’articolo 2-ter del Codice in luogo dell’articolo 2-sexies, costituente norma di raccordo per i trattamenti effettuati per motivi di interesse pubblico rilevante (quale quelli del caso di specie). Considerato, peraltro, che la disciplina in via convenzionale dei flussi di dati tra pubbliche amministrazioni, prevista dall’art. 58 del d.lgs. marzo 2005, n. 82 e s.m.i., è stata  abrogata dal d.lgs. 26 agosto 2016, n. 179, vale poi evidenziare che il riferimento al Provvedimento del Garante n. 393 del 2 luglio 2015, seppur di ausilio rispetto ai trattamenti in esame, non esime il titolare del trattamento dall’obbligo di adottare misure tecniche e organizzative proporzionate ai rischi e adeguate allo stato dell’arte tecnologico (artt. 25 e 32 del Regolamento). E’, pertanto, necessaria un’integrazione della disposizione che provveda a chiarire, sotto questo profilo- tenuto conto dei costi di attuazione, nonché della natura, dell’oggetto, del contesto e delle finalità del trattamento, anche in rapporto ai rischi per i diritti e le libertà fondamentali delle persone fisiche- le ulteriori garanzie adottate dal titolare del trattamento. 

Il comma 2 dell’articolo 7, che disciplina lo svolgimento di studi in campo medico, biomedico ed epidemiologico anche in collaborazione con altri soggetti, andrebbe poi integrato con quanto indicato dall’omologo articolo 3, comma 2, del D.M. 1° agosto 2023 in ordine all’obbligo della preventiva adozione di idonee misure di pseudonimizzazione e allo svolgimento e pubblicazione della relativa valutazione di impatto ai sensi degli articoli 35 e 36 del Regolamento, secondo quanto previsto dall’articolo 110 del Codice e nel rispetto – anziché del Codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici e scientifici, ormai superato (v. art. 20, commi 3 e 4, del d.lgs. n. 101 del 2018) – delle regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati ai sensi del Provvedimento del Garante del 19 dicembre 2018.

Ancora, all’articolo 8 andrebbe espunto il riferimento ai dati anonimi essendo quelli diffusi, più correttamente, solo “anonimizzati”.

Da riformulare è, peraltro, l’articolo 12, relativo all’informativa da rendere agli interessati. Come già chiarito dal Garante con il parere del 26 marzo 2020, infatti , l’articolo 14 del Regolamento esclude, alle lettere b) e c) del par.5, l’obbligo di informativa – nel caso in cui i dati non siano acquisiti presso gli interessati − sia qualora la comunicazione risulti impossibile o sproporzionata, in particolare per il trattamento a fini di ricerca scientifica e previa adozione di misure appropriate per tutelare i diritti, le libertà e i legittimi interessi dell'interessato, anche rendendo pubbliche le informazioni, sia ove l’ottenimento o la comunicazione siano previsti dal diritto unionale o nazionale che stabilisca misure appropriate a tutela degli interessi legittimi dell’interessato.

Ferma restando, pertanto, l’inderogabilità dell’obbligo di rendere un’idonea informativa nel caso in cui i dati personali siano raccolti direttamente presso gli interessati (ad esempio, da parte dei medici di medicina generale o dei pediatri di libera scelta rispetto ai trattamenti svolti per le finalità di cui all’art. 78, comma 5, lett. c-ter) del Codice), l’ articolo 12 dello schema di regolamento andrebbe riformulato, prevedendo l’obbligo per il titolare del trattamento dei dati contenuti nel Registro di fornire le informazioni relative ai trattamenti svolti per finalità di ricerca scientifica in campo medico, biomedico e epidemiologico attraverso il proprio sito internet.

L’individuazione, da parte dell’articolo 15 dello schema di regolamento, in 120 anni dalla morte dell’interessato dei tempi di conservazione delle informazioni contenute nel Registro, andrebbe poi integrata – coerentemente con la corrispondente  disposizione del D.M. 1° agosto 2023- prevedendo che, ove il decesso dell’interessato non sia tracciato nel Registro nazionale tumori, i dati personali ivi presenti siano comunque cancellati trascorsi centocinquant'anni dal loro inserimento nel Registro medesimo (art. 13, c, 3, del D.M. 1° agosto 2023; cfr. punto 2.1 e 3.4 della Valutazione d’impatto).

Le modifiche suggerite comporteranno, poi, la conseguente variazione dei corrispondenti contenuti del Disciplinare tecnico allegato.

IL GARANTE

ai sensi dell’articolo 57, par.1, lett.c), del Regolamento, esprime parere favorevole sul proposto schema di regolamento, con le seguenti condizioni, esposte nel “Ritenuto”, relative alla necessità di:

- integrare la definizione di cui al comma 2 dell’articolo 1, con gli ulteriori scopi sottesi all’istituzione del Registro;

- valorizzare all’interno del testo la finalità attinente alle “attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d'organo e di tessuti nonché alle trasfusioni di sangue umano” di cui all’articolo 2-sexies, comma 1, lett. t), del Codice;

- modificare l’articolo 3, comma 1, lett. d), chiarendo che il Registro è funzionale, tra l’altro, alla produzione di dati in forma pseudonimizzata, successivamente aggregabili e anonimizzabili per finalità di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria;

- sostituire la rubrica dell’articolo 5 come suggerito in motivazione, indicando nel corpo del testo, in relazione ai referti anatomo-patologici, la specifica indicazione della sede, morfologia, grado di differenziazione e comportamento biologico, comprese le indagini biomolecolari atte a definire la prognosi della neoplasia e le tecniche di dimissione diagnostica;

- integrare l’articolo 6, comma 1, includendo gli archivi delle protesi di interesse oncologico e l’archivio delle vaccinazioni di interesse oncologico;

- modificare l’articolo 7, comma 1, richiamando l’articolo 2-sexies del Codice in luogo dell’ articolo 2-ter, valutando l’espunzione della parte relativa alla disciplina in via convenzionale dei flussi di dati, specificando le garanzie adottate a tutela dei dati personali degli interessati, nonché integrando il comma 2 in ordine all’obbligo della preventiva adozione di idonee misure di pseudonimizzazione dei dati e allo svolgimento e pubblicazione della connessa valutazione di impatto, con richiamo anche alle regole deontologiche per trattamenti a fini statistici o di ricerca scientifica;

- espungere dall’articolo 8 il riferimento ai dati anonimi;

- riformulare l’articolo 12, prevedendo l’obbligo per il titolare del trattamento di fornire le informazioni relative ai trattamenti svolti per finalità di ricerca scientifica in campo medico, biomedico e epidemiologico attraverso il proprio sito internet;

- integrare l’articolo 15 con l’indicazione del termine di 150 anni dall’inserimento dei dati nel Registro nazionale dei tumori per la cancellazione da quest’ultimo dei dati in caso di mancato censimento del decesso dell’interessato nel Registro medesimo.

Roma, 13 novembre 2024

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei