Diritti interna

Doveri interna

ricerca avanzata

Parere del Garante su uno schema di regolamento recante norme per il funzionamento del Registro dei Tumori del Veneto - 13 settembre 2012

[doc. web n. 1927415]

Parere del Garante su uno schema di regolamento recante norme per il funzionamento del Registro dei Tumori del Veneto - 13 settembre 2012

Registro dei provvedimenti
n. 241 del 13 settembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali;

Vista la richiesta di parere della Regione del Veneto sullo schema di regolamento recante norme per il funzionamento del Registro dei Tumori del Veneto, istituito con Legge Regionale del 16 febbraio 2010, n. 11 (prot. n. 381336 del 21 agosto 2012);

Visti gli atti d´ufficio;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Licia Califano;

PREMESSO:

La Regione del Veneto ha chiesto il parere del Garante in ordine ad uno schema di regolamento recante norme per il funzionamento del Registro dei Tumori del Veneto, istituito con Legge Regionale del 16 febbraio 2010, n. 11.

Il provvedimento in esame mira a dare attuazione alle disposizioni della legge regionale sopra citata che prevedono l´istituzione di taluni registri di rilevante interesse sanitario -tra i quali, appunto il Registro dei Tumori del Veneto- volti a raccogliere dati anagrafici e sanitari relativi a persone affette da specifiche malattie "a fini di studio e ricerca scientifica in campo medico, biomedico ed epidemiologico, nel rispetto della normativa vigente in materia di protezione dei dati personali (art. 18, comma 2,della l.r. n. 11/2010 cit.).

In ordine al trattamento dei dati contenuti nei predetti registri, l´art. 18, comma 3, della legge regionale citata prevede che con regolamento regionale, in conformità al parere espresso dal Garante, ai sensi degli artt. 20 e 154, comma 1, lett. g), del Codice, vengano individuati i tipi di dati sensibili, le operazioni eseguibili, le specifiche finalità perseguite, i soggetti che possono avervi accesso e i dati che possono conoscere, nonché le misure per la custodia e la sicurezza dei dati.

In attuazione di tali previsioni, lo schema di regolamento in esame disciplina la gestione e la tenuta del Registro dei Tumori del Veneto individuando, in particolare, il titolare del trattamento dei dati contenuti nel Registro, gli specifici scopi scientifici perseguiti nell´ambito della più ampia finalità di ricerca scientifica, riconosciuta dal Codice di "rilevante interesse pubblico" (artt. 18, comma 2, della l.r. n. 11/2010 e 98, comma 1, lett. c) del Codice), i tipi di dati sensibili trattati, i soggetti tenuti ad alimentare il Registro, nonché l´ambito di comunicazione e di diffusione dei dati contenuti nel Registro.

Lo schema di regolamento precisa inoltre gli accorgimenti da adottare per tutelare l´identità e la riservatezza degli individui i cui dati sensibili sono contenuti nel Registro, prevedendo, tra l´altro, l´utilizzo di codici indentificativi, le regole di condotta per gli incaricati del trattamento, nonché le misure per la custodia e la sicurezza dei dati e dei sistemi utilizzati nei trattamenti, specificatamente dettagliate nel Disciplinare tecnico contenuto nell´Allegato A dello schema.

OSSERVA

Lo schema di regolamento in esame si compone di un testo di tredici articoli e di due allegati: l´Allegato A reca il "Disciplinare tecnico in materia di misure di sicurezza per il funzionamento del registro tumori" e l´Allegato B contiene la "Scheda recante le informazioni che i medici devono comunicare all´azienda ulss nel cui territorio operano", nonché l´"Informativa sul trattamento dei dati personali".

Al riguardo, l´art. 6 dello schema di regolamento prevede che i medici del Servizio sanitario regionale (Ssr), in attuazione di quanto previsto nel Piano Socio Sanitario Regionale approvato con Legge Regionale del 29 giugno 2012, n. 23 (punto 4.4.4), siano tenuti a comunicare al Registro, tramite l´azienda sanitaria nel cui territorio operano, i dati, indicati nella scheda allegata allo schema di Regolamento (All.B), relativi a nuovi casi diagnosticati di neoplasia, previa informativa da rendere agli interessati ai sensi dell´art. 13 del Codice, sulla base del testo indicato nella stessa scheda allegata.

Il parere è reso su di una versione aggiornata dello schema di regolamento, che tiene conto di gran parte delle osservazioni formulate, in via collaborativa, dall´Ufficio del Garante all´Amministrazione interessata, all´esito di riunioni e contatti informali.

Le osservazioni hanno riguardato, in particolare, le parti dello schema (e dei relativi allegati) inerenti ai seguenti aspetti: la precisazione dei compiti conferiti al titolare del trattamento dei dati contenuti nel Registro; il rispetto dei principi di pertinenza, non eccedenza e di indispensabilità nel trattamento dei dati sensibili (con particolare riferimento all´individuazione delle informazioni riferite a persone affette da neoplasia che i medici del Ssr sono tenuti a raccogliere e che le strutture sanitarie sono tenute a trasmettere al Registro, nonché degli archivi delle strutture sanitarie ai quali gli incaricati del Registro possono accedere in via telematica per estrapolare i dati destinati ad alimentarlo e ad aggiornarlo); l´esigenza di utilizzare codici identificativi al fine di rendere i dati del Registro temporaneamente inintelligibili anche a chi è autorizzato ad accedervi; le cautele per comunicare i dati ai Registri tumori di altre Regioni e per diffondere i medesimi dati in modo da non rendere identificabili gli interessati; la precisazione delle modalità per rendere l´informativa agli interessati, nonché la completezza e l´adeguatezza delle indicazioni da fornire; il rispetto del principio di proporzionalità nell´individuazione del periodo di conservazione dei dati contenuti nel Registro e dei supporti contenenti i medesimi dati; la specificazione di misure organizzative e di accorgimenti tecnici idonei a garantire un adeguato livello di sicurezza dei dati.

Oltre ad alcune modifiche di carattere formale, residuano, tuttavia, alcuni aspetti dell´odierno schema di regolamento che meritano un ulteriore perfezionamento, al fine di elevare il livello di sicurezza dei dati trattati per la gestione e la tenuta del Registro.

1. Titolare del trattamento
1.1 All´art. 6, comma 3, dello schema di regolamento sostituire le parole "Titolare dei dati", con la seguente formulazione più corretta: "Titolare del trattamento dei dati".

1.2 All´art. 7, comma 3, dello schema di regolamento sostituire le parole "ai Titolari dei dati", con la seguente formulazione più corretta: "ai Titolari del trattamento dei dati".

2. Soggetti che trattano i dati
All´art. 8, comma 1, dello schema di regolamento eliminare le virgole che racchiudono l´inciso "che non sono tenuti per legge al segreto professionale" poiché la previsione da parte del titolare del trattamento dei dati di regole di condotta analoghe al segreto professionale alle quali sottoporre gli incaricati non va riferita a tutti gli incaricati del trattamento, bensì soltanto a quelli che non sono tenuti per legge al segreto professionale.

3. Disciplinare tecnico
3.1 Al punto 1.3, lett. c), numero c.5), prevedere la possibilità di utilizzare anche sistemi di strong-authentication per l´abilitazione degli incaricati del Registro all´accesso telematico agli archivi delle strutture sanitarie, individuati dall´art. 6, comma 3, dello schema, per estrapolare i dati destinati ad alimentare e ad aggiornare il Registro, in aggiunta o al posto delle ordinarie credenziali ivi previste, consistenti in un codice per l´identificazione dell´incaricato associato ad una parola chiave.

3.2 Al punto 1.4 eliminare il seguente periodo: "Nel dispositivo sicuro (smart card) deve essere memorizzata la sola componente "privata" della chiave asimmetrica, da utilizzare per la decifratura dei dati" che potrebbe introdurre dei vincoli incompatibili con la gestione dei certificati digitali su smart card, essendo la chiave pubblica, oltre che conoscibile da chiunque, normalmente memorizzata sul dispositivo sicuro in possesso dell´assegnatario (il referente dell´Azienda sanitaria di cui all´art. 6, comma 2, dello schema di regolamento).

3.3 Al punto 6.2 sostituire l´espressione "Gli Hard Disk" con la seguente formulazione "I supporti di memoria di massa", la quale comprende supporti di memorizzazione digitale di qualsiasi tipologia e non solo quelli a disco ruotante.

TUTTO CIÒ PREMESSO IL GARANTE:

ai sensi degli artt. 20, comma 2, e 154, comma 1, lett. g) del Codice, esprime parere favorevole sullo schema di regolamento predisposto dalla Regione del Veneto per disciplinare il funzionamento del Registro dei Tumori, istituito con Legge Regionale del 16 febbraio 2010, n. 11, a condizione che siano recepite le indicazioni fornite nei punti da 1 a 3 del presente parere.

Roma, 13 settembre 2012

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia