Diritti interna

Doveri interna

ricerca avanzata

Parere su uno schema di regolamento recante procedure per l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato - 19 marzo 2015 [3869889]

VEDI  NEWSLETTER DEL  24 APRILE 2015

[doc. web n. 3869889]

Parere su uno schema di regolamento recante procedure per l´interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato - 19 marzo 2015

Registro dei provvedimenti
n. 162 del 19 marzo 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero della salute;

Visti gli articoli 15, comma 25-bis, del decreto legge 6 luglio 2012, n. 95,  convertito, con modificazioni,  dalla legge 7 agosto 2012, n. 135, e 35 del decreto legislativo 23 giugno 2011, n. 118.

Visti gli articoli 20, comma 2, 21, comma 2, e 154, comma 1, lett. g), e 4, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice");

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la prof.ssa Licia Califano;

PREMESSO

1. Il Ministero della salute ha richiesto il parere del Garante su uno schema di regolamento recante procedure per l´interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato.

Il regolamento è adottato ai sensi dell´articolo 17, comma 3, della legge n. 400 del 1988 ai fini dell´attuazione di quanto previsto dall´articolo 15, comma 25-bis, del decreto legge 6 luglio 2012, n. 95,  convertito, con modificazioni,  dalla legge 7 agosto 2012, n. 135 e dall´articolo 35 del decreto legislativo 23 giugno 2011, n. 118.

Il predetto articolo 15, comma 25-bis, prevede che ai fini della attivazione dei programmi nazionali di valutazione sull´applicazione delle norme per l´equilibrio del settore sanitario e di governo della spesa farmaceutica, il Ministero della salute provvede alla modifica ed integrazione di tutti i sistemi informativi del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato, ed alla interconnessione a livello nazionale di tutti i flussi informativi su base individuale. Il complesso delle informazioni e dei dati individuali così ottenuti è reso disponibile per le attività di valutazione esclusivamente in forma anonima ai sensi dell´articolo 35 del decreto legislativo n. 118 del 2011.

Ai sensi del citato articolo 35, al fine di migliorare i sistemi informativi e statistici della sanità e per il loro migliore utilizzo in termini di monitoraggio dell´organizzazione dei livelli di assistenza, con decreto del Ministro della salute vengono stabilite le "procedure di anonimizzazione dei dati individuali presenti nei flussi informativi, già oggi acquisiti in modo univoco sulla base del codice fiscale dell´assistito, con la trasformazione del codice fiscale, ai fini di ricerca per scopi di statistica sanitaria, in codice anonimo, mediante apposito algoritmo biunivoco, in modo da tutelare l´identità dell´assistito nel procedimento di elaborazione dei dati. I dati così anonimizzati sono utilizzati per migliorare il monitoraggio e la valutazione della qualità e dell´efficacia dei percorsi di cura, con un pieno utilizzo degli archivi informatici dell´assistenza ospedaliera, specialistica, farmaceutica".

Con il presente regolamento, pertanto, il Ministero intende procedere alla definizione di procedure per l´interconnessione a livello nazionale dei sistemi informativi del Servizio sanitario nazionale su base individuale, con particolare riferimento alle funzioni di valutazione degli esiti delle prestazioni assistenziali e delle procedure medico-chirurgiche, nonché ai fini di migliorare il monitoraggio e la valutazione della qualità e dell´efficacia dei percorsi di cura (cfr. preambolo dello schema di decreto).

RILEVATO

2. L´articolo 2 dello schema di decreto, al comma 1, individua le finalità del trattamento dei dati mediante interconnessione dei sistemi informativi, che sono: a) lo svolgimento delle funzioni di valutazione degli esiti delle prestazioni assistenziali e delle procedure medico-chirurgiche nell´ambito del Servizio sanitario nazionale, di cui al predetto articolo 15, comma 25-bis, del decreto legge 95/2012 (che, per semplificare, di seguito definiremo "finalità di valutazione esiti"); b) il monitoraggio dei livelli essenziali e uniformi di assistenza (LEA), ai sensi del decreto legislativo 30 dicembre 1992, n. 502, attraverso le analisi aggregate utili per il calcolo di indicatori, nonché per migliorare il monitoraggio e la valutazione della qualità e dell´efficacia dei percorsi di cura, ai sensi del citato articolo 35 del decreto legislativo n. 118/2011 ("finalità di monitoraggio LEA"); c) le finalità statistiche perseguite dai soggetti pubblici che fanno parte del Sistema statistico nazionale (SISTAN) ai sensi del decreto legislativo 6 settembre 1989, n. 322 ("finalità statistiche").

Il medesimo articolo 2, al comma 2, individua i sistemi informativi su base individuale cui si applica la procedura di interconnessione nei seguenti: a) quelli del Ministero della salute previsti nell´ambito del Nuovo sistema informativo sanitario (di seguito NSIS) ai fini del monitoraggio dei livelli essenziali e uniformi di assistenza di cui al predetto decreto legislativo n. 502/1992 e al d.P.C.M. 29 novembre 2011; b) il sistema informativo Tessera Sanitaria del Ministero dell´economia e delle finanze, relativamente alle prestazioni di specialistica ambulatoriale e di assistenza farmaceutica convenzionata; c) i sistemi informativi sanitari delle Regioni e delle Province Autonome, limitatamente ai soli dati individuati dai decreti istitutivi dei sistemi informativi nell´ambito del NSIS.

L´articolo 3 individua le procedure per il trattamento e l´interconnessione.

Occorre premettere che per "codice identificativo", lo schema di decreto intende un codice che "identifica l´assistito nei rapporti con il Servizio sanitario nazionale", ovvero il codice fiscale, il codice "STP" ("straniero temporaneamente presente"), il codice "ENI" ("europeo non iscritto") o il codice "TEAM" ("numero di identificazione personale della Tessera europea di assicurazione malattia"). Inoltre, per "livello nazionale" ai fini del presente decreto si intende il Ministero della salute.

Ciò premesso, i "fornitori dei dati per il livello nazionale" (cioè le regioni e le province autonome, nonché il Ministero dell´economia e delle finanze) prima dell´invio dei dati dei pertinenti flussi informativi al Ministero della salute nell´ambito del NSIS, effettuano: a) la verifica della validità del codice identificativo attraverso il servizio fornito dal sistema Tessera sanitaria, nelle more dell´attivazione dell´Anagrafe nazionale degli assistiti, secondo le modalità indicate nel disciplinare tecnico allegato che costituisce parte integrante del decreto; b) l´assegnazione di un codice univoco non invertibile ("CUNI") che sostituisce il codice identificativo, tramite un sistema di codifica univoco a livello nazionale, definito dal Ministero della salute, che non consente alcuna correlazione immediata con i dati anagrafici del soggetto.

I dati, così privati degli elementi identificativi diretti degli assistiti, unitamente ai correlati dati sanitari, vengono inviati al Ministero della salute nell´ambito del NSIS, ai sensi delle disposizioni vigenti, in forma individuale, ma priva di ogni riferimento che ne permetta il collegamento diretto con gli interessati e comunque con modalità che, pur consentendo il collegamento nel tempo delle informazioni riferite ai medesimi individui, rendono questi ultimi non direttamente identificabili.

Il Ministero della salute, per il perseguimento delle finalità di cui all´articolo 2, comma 1, sopra descritte, sostituisce il "CUNI" con il codice univoco nazionale dell´assistito ("CUNA"), come indicato nel dettaglio nel disciplinare tecnico. Tale codice permette l´interconnessione a livello nazionale, nell´ambito del NSIS, di tutti i sistemi informativi su base individuale oggetto del presente decreto.

Seguono alcune disposizioni specifiche per il flusso concernente le Schede di dimissione ospedaliera (di seguito "SDO"), sulle quali ci si soffermerà più avanti (art. 3, commi 3, 4 e 5).

L´articolo 4 dello schema disciplina l´accesso ai dati resi disponibili dal sistema a seconda della diversa finalità perseguita dal soggetto che vi accede.

Così, al fine di consentire il perseguimento delle finalità di valutazione esiti il NSIS –in base alla formulazione attuale dello schema- è predisposto per permettere: alle competenti unità organizzative delle regioni e province autonome, come individuate da provvedimenti regionali e provinciali, di consultare le informazioni, relative ai propri assistiti, rese disponibili, mediante l´utilizzo del codice univoco, nonché di consultare le informazioni rese disponibili in forma aggregata, relative anche ad assistiti di altre Regioni o Province autonome, per analisi comparative; alle competenti unità organizzative del Ministero della salute, anche con l´ausilio tecnico operativo dell´AGENAS di consultare le informazioni rese disponibili mediante l´utilizzo del codice univoco.

In relazione alle finalità di monitoraggio LEA, il NSIS, invece, consente alle competenti unità organizzative delle regioni e province autonome di consultare, anche per effettuare analisi comparative, e al Ministero della Salute, le informazioni rese disponibili in forma aggregata o anonima.

Infine, per quanto riguarda le finalità statistiche, il NSIS è predisposto per permettere ai soggetti pubblici che fanno parte del SISTAN di consultare le informazioni rese disponibili in forma aggregata, fatto salvo quanto previsto dalla Direttiva n.9/Comstat del 20 aprile 2004 e successive modificazioni, concernente criteri e modalità per la comunicazione dei dati personali nell´ambito del SISTAN.

Gli articoli 5 e 6 dello schema recano disposizioni in materia di protezione dei dati personali, anche sotto il profilo della sicurezza dei dati.

Il Ministero della salute è titolare del trattamento dei dati conferiti nell´ambito del NSIS (art. 5, comma 1) e in tale qualità individua il responsabile preposto alla definizione dei profili di autorizzazione, alla designazione degli amministratori di sistema e degli utenti e dei rispettivi privilegi, nonché alle modalità di conferimento, sospensione e revoca dei profili di accesso (art. 6, comma 5).

Seguono specifiche prescrizioni sulle modalità e logiche di organizzazione ed elaborazione delle informazioni contenute nei sistemi informativi trattate per finalità di valutazione esiti o di monitoraggio LEA, volte ad assicurare il rispetto dei principi di necessità, pertinenza e non eccedenza (art. 5, commi 3 e 4).

Per quanto riguarda, più in particolare, i profili della sicurezza, i dati dei sistemi informativi su base individuale cui si applica il decreto sono archiviati previa separazione dei dati sanitari dagli altri dati e i dati sanitari sono trattati con tecniche crittografiche (art. 5, comma 5).

Lo schema prevede che le operazioni sui dati personali siano effettuate mediante strumenti elettronici con modalità e soluzioni necessarie per assicurare confidenzialità, integrità e disponibilità dei dati, in coerenza con le misure di sicurezza previste nel Codice e in particolare, nell´articolo 34, comma 1, lettera h) (tecniche di cifratura e codici identificativi) e nel relativo disciplinare tecnico (Allegato B al Codice) (art. 6, commi 1 e 2).

Tutte le operazioni effettuate dagli utenti incaricati sono registrate in appositi file di log ai fini della verifica della liceità e correttezza del trattamento dei dati. I file di log sono protetti con idonee misure contro ogni uso improprio o non conforme alle finalità per cui sono registrati e sono trattati in forma anonima mediante opportuna aggregazione, salvo il caso in cui risulti indispensabile verificare la liceità e correttezza di singole operazioni di trattamento I file di log sono conservati per dodici mesi e cancellati alla scadenza (art. 6, comma 3).

Lo schema individua, poi, i casi in cui il processo di autenticazione degli utenti deve avvenire attraverso strumenti di autenticazione forte (art. 6, comma 4).

Le specifiche misure di sicurezza adottate per gli accessi al sistema sono descritte nel disciplinare tecnico allegato allo schema di decreto in esame.
Infine lo schema reca una disposizione (art. 7) volta ad applicare le procedure di interconnessione di cui al presente decreto  ai dati  del Fascicolo sanitario elettronico per le solo finalità "di governo" di cui all´articolo 12, comma 2, lett. c), del decreto-legge 18 ottobre 2012, n. 179 (conv. dalla l. n. 221/2012).

RITENUTO

3. La raccolta di dati sensibili e l´interconnessione dei sistemi informativi.

Il Garante riconnette particolare importanza alla materia in esame in quanto lo schema di decreto, attraverso l´interconnessione nell´ambito del NSIS di numerosi sistemi informativi, consente la raccolta "centralizzata" di una notevole quantità di informazioni personali degli assistititi, particolarmente delicate, trattandosi di dati sensibili idonei specialmente a rivelare, anche nel dettaglio, il loro stato di salute. L´Autorità, pertanto, richiama sin d´ora l´attenzione di tutte le amministrazioni interessate sull´esigenza che sia data applicazione alle disposizioni del decreto nel pieno rispetto delle garanzie previste, per gli assistiti, in materia di protezione dei dati personali, sia dal decreto stesso, sia, più in generale, dal Codice.

In ragione della delicatezza della materia, lo schema di decreto è stato elaborato dal Ministero della salute all´esito di numerose riunioni e interlocuzioni avute con l´Ufficio del Garante il quale ha formulato rilievi e ha fornito indicazioni volte a perfezionare il testo e a renderlo pienamente conforme alla disciplina in materia di protezione dei dati personali; le indicazioni sono state accolte dall´Amministrazione attraverso una nuova formulazione di alcuni articoli.

Le indicazioni rese dagli uffici dell´Autorità hanno riguardato, in particolare:

a) la puntuale definizione delle specifiche finalità perseguite nel trattamento dei dati effettuato in applicazione del decreto, in linea con la normativa di settore e l´individuazione dei sistemi informativi oggetto di interconnessione (art. 2 dello schema; art. 11 del Codice);

b) la definizione di procedure e modalità del trattamento in grado di assicurare adeguate garanzie a tutela della riservatezza degli assistiti, anche in relazione a sistemi informativi o flussi di dati per i quali sussistano particolari esigenze che richiedono un´applicazione graduale del sistema di codifica univoco previsto a livello nazionale, come quelle prospettate dall´Amministrazione per i dati contenuti nelle SDO (art. 3 dello schema; artt. 3 e 11 del Codice);

c) la precisazione dei limiti e delle modalità di accesso alle informazioni rese disponibili dal sistema NSIS da parte dei vari soggetti legittimati, secondo un approccio selettivo e coerente con il principio di necessità, in relazione ai soli dati sensibili pertinenti e indispensabili (art. 4 dello schema; artt. 3, 11 e 22 del Codice);

d) l´implementazione e la razionalizzazione delle misure a protezione dei dati e dei sistemi, al fine di garantire un elevato livello di sicurezza, adeguato al volume significativo e all´estrema delicatezza dei dati stessi. In tal senso, ad esempio, è stato previsto il ricorso a strumenti di autenticazione forte degli utenti del sistema per i trattamenti particolarmente delicati (come quelli che prevedono l´accesso a dati sensibili riferiti a singoli individui; v. art. 31 del Codice).

Nondimeno, in ragione della complessità e dell´importanza della materia, resta l´esigenza di apportare all´articolato alcuni perfezionamenti, nei termini di seguito descritti.

4. Le finalità di rilevante interesse pubblico.

Nell´articolo 2, comma 1, dello schema di decreto concernente le finalità del trattamento, (che, si ricorda, ha natura regolamentare ai sensi dell´articolo 20, comma 2, del Codice), è necessario fare riferimento alle pertinenti finalità di rilevante interesse pubblico individuate dal Codice (riportate attualmente solo in premessa). Si tratta, per le finalità di valutazione esiti e di monitoraggio LEA, di quelle di cui all´articolo 85, comma 1, lett. b), e per le finalità statistiche, di quelle di cui all´articolo 98, comma 1, lett. b) del Codice, in relazione ai trattamenti effettuati dall´ufficio di statistica del Ministero ovvero da strutture diverse appartenenti alla medesima amministrazione, qualora i relativi trattamenti siano previsti dal programma statistico nazionale e l´ufficio di statistica attesti le metodologie adottate, osservando le pertinenti disposizioni di settore (v. codice deontologico per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell´ambito del Sistema statistico nazionale, allegato A3 al Codice).

5. Le modalità del trattamento dei dati e il codice univoco.

5.1. Come anticipato sopra, l´articolo 3 dello schema individua le procedure e le modalità per il trattamento dei dati e l´interconnessione dei sistemi e in particolare, al comma 1, descrive gli adempimenti cui sono tenute le regioni e le province prima di assolvere al loro "debito informativo" verso il Ministero della salute, in relazione ai vari flussi previsti dal decreto.

Al riguardo, per fugare ogni possibile dubbio sull´oggetto della trasmissione, la formulazione dell´alinea del comma 1 deve essere perfezionata nei termini seguenti: "Entro sei mesi dall´entrata in vigore del presente regolamento, i fornitori dei dati per il livello nazionale, prima di inviare al Ministero della salute, nell´ambito dell´NSIS, i dati relativi ai flussi informativi previsti dal medesimo regolamento, effettuano:".

Allo stesso fine, si suggerisce inoltre di precisare meglio la descrizione del sistema di codifica univoco a livello nazionale contenuta nel comma 1, lett. b) dell´articolo 3 dello schema in esame, sostituendo le parole "consiste in una frequenza fissa di caratteri alfanumerici casuali" con le seguenti: "consiste in una sequenza di caratteri alfanumerici casuali di lunghezza fissa".

Inoltre, si suggerisce di precisare meglio l´indicazione dei dati oggetto di trasmissione al livello nazionale contenuta nel comma 2 dell´art. 3, sostituendo le parole "I dati di cui al comma 1 così privati di elementi identificativi diretti" con le seguenti "I dati di cui al comma 1 così privati del codice identificativo".

5.2. Sotto altro profilo, al fine di evitare possibili equivoci interpretativi in merito all´utilizzo del codice univoco dell´assistito (CUNA) da parte del Ministero, occorre perfezionare il comma 2 dell´articolo 5 sulla base di un approccio selettivo e coerente con il principio di necessità. A tal fine, occorre precisare che il CUNA consente di collegare le informazioni sanitarie riferite al medesimo assistito nelle procedure di interconnessione, ma non deve essere utilizzato come criterio di selezione delle predette informazioni (eccettuati i casi indicati nel paragrafo 5.4 del disciplinare tecnico, su cui v. punto 10 del presente parere), né deve essere oggetto di consultazione, poiché ciò non è necessario per realizzare le finalità perseguite tramite le procedure di interconnessione (artt. 3 e 11 del Codice).

Si suggerisce pertanto di riformulare la disposizione in questione nei termini che seguono: "2. Il Ministero della salute per le finalità di cui all´articolo 2, comma 1, utilizza il codice univoco nazionale dell´assistito esclusivamente per collegare le informazioni sanitarie riferite al medesimo assistito secondo le modalità previste dall´articolo 4 del presente decreto."

6. L´accesso ai dati.

6.1. Come detto, l´articolo 4 dello schema definisce le regole per l´accesso ai dati interconnessi sulla base del codice univoco dell´assistito a livello nazionale e resi disponibili nell´ambito del NSIS in relazione alle diverse finalità perseguite dai soggetti legittimati.

Al riguardo, per conformare il trattamento al principio di necessità (artt. 3, 11 e 22 del Codice), è necessario perfezionare la formulazione attuale dello schema con particolare riferimento all´individuazione delle esigenze di consultazione dei dati riferiti a singoli assistiti nei trattamenti compiuti per "finalità di valutazione esiti". Si suggerisce pertanto di riformulare i primi due commi dell´articolo 4, nei termini che seguono: 

"1.  Al fine di consentire il perseguimento delle finalità di cui all´articolo 2, comma 1, lettera a) e b), il NSIS è predisposto per permettere: a) alle competenti unità organizzative delle regioni e province autonome, come individuate da provvedimenti regionali e provinciali, di consultare le informazioni rese disponibili in forma aggregata o anonima; i dati relativi ad assistiti di altre Regioni o Province autonome possono essere utilizzati solo per effettuare analisi comparative; b)alle competenti unità organizzative del Ministero della Salute, come individuate dal decreto ministeriale di organizzazione, di consultare le informazioni rese disponibili in forma aggregata o anonima.

2. Nel perseguimento delle finalità di cui all´articolo 2, comma 1, lettera a), il NSIS consente per comprovate e documentate esigenze di validazione delle misure di esito: a) alle competenti unità organizzative delle regioni e province autonome di consultare le informazioni riferite anche ai singoli assistiti, con esclusione dei relativi dati anagrafici e del codice univoco; b) alle competenti unità organizzative del Ministero della salute, anche con l´ausilio tecnico operativo dell´AGENAS, di consultare le informazioni riferite anche ai singoli assistiti, con esclusione dei relativi dati anagrafici e del codice univoco.".

Conseguentemente, si ritiene necessario modificare il testo del disciplinare tecnico nelle parti cui fa riferimento ai servizi che richiedono l´utilizzo o l´accesso a dati individuali e, in particolare, il par. 4.6 del medesimo disciplinare.

6.2. Inoltre, all´articolo 5, comma 3, dello schema il primo periodo può essere soppresso e il secondo deve essere riformulato come segue: "Nel perseguimento delle finalità di cui all´articolo 2, comma 1, qualora sia indispensabile consultare le informazioni riferite ai singoli assistiti nei limiti indicati dall´articolo 4, commi 2 e 2-bis, il trattamento dei dati avviene nel rispetto delle specifiche misure di sicurezza di cui all´articolo 6, commi 4 e 6.".

7. I trattamenti per finalità statistiche.

7.1. In base all´attuale formulazione dell´articolo 4, comma 3, dello schema, sembrerebbe che l´ufficio di statistica del Ministero possa trattare per finalità di ricerca statistica soltanto informazioni in forma aggregata. La predetta tabella riportata al par. 4.6 del disciplinare tecnico parrebbe, al contrario, consentire a tale ufficio di avere accesso anche a dati riferiti ai singoli assistiti.

Si ritiene quindi necessario coordinare puntualmente il disposto del regolamento con quello dell´allegato tecnico, in modo da consentire, se ritenuto necessario, all´ufficio di statistica del Ministero e alle altre strutture dell´amministrazione indicate nel punto 4 del presente parere, di avere accesso anche a dati riferiti ai singoli assistiti nei trattamenti per scopi statistici nel rispetto della disciplina di settore (codice deontologico per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell´ambito del Sistema statistico nazionale, allegato A3 al Codice). Ciò posto, occorre prevedere, conseguentemente, l´autenticazione forte anche per gli incaricati dei trattamenti per finalità statistiche (art. 6, comma 4 dello schema).

7.2. Inoltre, le predette disposizioni (art. 4, comma 3, dello schema e par. 4.6 del disciplinare tecnico) rinviano alla direttiva COMSTAT. Tale richiamo, in questa sede, risulta inconferente perché quest´ultima fa riferimento soltanto alle operazioni di comunicazione di dati tra soggetti facenti parte del SISTAN e non riguarda l´accesso ai dati per scopi statistici da parte dei competenti uffici del Ministero. Il richiamo a tale direttiva deve pertanto essere espunto dalla tabella riportata al par. 4.6 del disciplinare.

Riguardo alle operazioni di comunicazione di dati tra soggetti facenti parte del SISTAN, occorre, invece, perfezionare il comma 3 dell´articolo 4 dello schema facendo riferimento al rispetto degli articoli da 104 a 108 del Codice e del codice deontologico per i trattamenti di dati personali a scopi statistici e di ricerca scientifica effettuati nell´ambito del Sistema statistico nazionale (allegato A3 al Codice). Deve essere, invece, espunto dallo schema di decreto e dal disciplinare tecnico il riferimento al codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi scientifici di cui all´allegato A4 del medesimo Codice, che non riguarda trattamenti effettuati nell´ambito del SISTAN (v. ad esempio, art. 5, commi 3 e 4 e tabella contenuta nel par. 4.6 del disciplinare tecnico).

8. La verifica della validità del codice identificativo e l´aggiornamento dei dati.

In relazione a quanto previsto all´articolo 3, commi 1, lett. a), e 7, dello schema, al par. 6 del disciplinare tecnico allegato al decreto sono disciplinate le procedure di verifica della validità del codice identificativo (Tabella 1) e di aggiornamento dei dati (Tabella 2), che avvengono tramite il servizio fornito dal sistema Tessera sanitaria.

Al riguardo, è opportuno, innanzitutto, perfezionare il rinvio a tali procedure contenuto nel predetto articolo 3, comma 7, sostituendo le parole da "attraverso l´invio" sino a "NSIS" con le seguenti: "e di aggiornamento dei dati". Ciò, al fine di chiarire gli scopi dei trattamenti effettuati dal Ministero della salute nell´utilizzo del servizio fornito dal sistema Tessera sanitaria, in coerenza con quanto indicato nel disciplinare tecnico allegato (par. 6).

Nella Tabella 1 sono descritte le informazioni restituite dal servizio nella procedura di verifica del codice identificativo. La tabella -come convenuto nelle ultime interlocuzioni fra gli uffici- contiene alcuni dati eccedenti rispetto alle finalità del trattamento, posto che il sistema dovrebbe restituire solo le informazioni necessarie per accertare se il codice inviato sia valido o meno. Dalla Tabella 1 pertanto devono essere espunti i seguenti campi: nn. 1 (tipo variazione), 4 (data evento) e 5 (codice fiscale precedente). Inoltre, occorre specificare se i campi A e B della Tabella 1 ("Validità del codice identificativo dell´assistito (codice fiscale, STP, ENI, TEAM)" e "Tipo di codice identificativo") siano integrati nel tracciato ad opera del Ministero della salute o del Ministero dell´economia e delle finanze.

Anche la Tabella 2, che riporta le informazioni relative alle variazioni del codice univoco, contiene alcuni dati eccedenti rispetto alle finalità del trattamento, posto che il sistema dovrebbe trasmettere solo le informazioni necessarie per aggiornare il codice oggetto di variazione, la cui validità è stata preliminarmente verificata attraverso le procedure sopra descritte. Nella Tabella 2, pertanto, il campo n. 10 (data di nascita) va espunto oppure valorizzato con il solo anno di nascita. Inoltre, occorre perfezionare il riferimento a tale servizio nel par. 6 del disciplinare tecnico sostituendo le parole "variazioni di validità dei codici identificativi" con "variazioni di validità dei codici univoci" e modificando conseguentemente la didascalia della Tabella 2.

Infine, va perfezionata la previsione relativa alla conservazione dei dati ("Il NSIS conserva tutte le informazioni fintanto che sono necessarie per la verifica e la coerenza dei dati trattati") che sembra riferirsi -in termini alquanto generici- alle informazioni acquisite tramite entrambe le procedure, sostituendola con la seguente: "Le predette informazioni di cui alle tabelle 1 e 2 sono conservate per il tempo strettamente necessario a completare le operazioni tecniche di verifica della validità del codice identificativo e di variazione del codice univoco e, al termine delle operazioni, sono cancellate irreversibilmente.".

9. Il flusso informativo delle schede di dimissione ospedaliera (SDO).

Come anticipato sopra, l´articolo 3 reca alcune disposizioni sul sistema informativo e il relativo flusso di dati contenuti nelle schede di dimissione ospedaliera (SDO) di cui al decreto del Ministro della sanità del 27 ottobre 2000, n.380, allo scopo di disciplinarne talune specificità (art. 3, commi 3, 4 e 5).

Il predetto flusso fra le Regioni, le Province autonome e il Ministero della salute, per profili diversi dall´interconnessione con altri sistemi, trova separata -anche se coordinata con quella qui in esame- disciplina in uno schema di regolamento anch´esso all´esame del Garante per il prescritto parere.

Ciò premesso, a tale flusso il citato articolo 3 riserva un´applicazione graduale delle procedure e modalità di trattamento dei dati previste, a regime, per tutti i flussi e sistemi informativi, che sono, in sintesi, le seguenti: verifica da parte delle regioni e delle province della validità del codice identificativo; assegnazione all´assistito, in luogo di questo, di un "codice univoco non invertibile" (CUNI); invio di tali dati, unitamente ai correlati dati sanitari, al Ministero della salute nell´ambito del NSIS, in forma individuale che non consenta l´identificazione dell´interessato (art. 3, commi 1 e 2).

La gradualità dell´applicazione delle descritte modalità di trattamento - il cui cronoprogramma dovrà essere fissato, in tempi brevissimi, dalla Cabina di Regia del NSIS, sentito il Garante - è volta a tenere conto dell´effettiva disponibilità da parte delle Regioni e Province autonome dei necessari servizi a supporto della interoperabilità delle SDO. Nelle more della applicazione delle modalità sopra descritte, si applicheranno specifiche procedure individuate nel disciplinare tecnico (par. 5.2).

Se questa è la ratio delle norme, l´attuale formulazione delle disposizioni in parola merita, però, un perfezionamento, anche mediante accorpamento degli attuali commi 3 e 4, nei termini che di seguito si suggeriscono: "3. Entro sessanta giorni dall´entrata in vigore del presente regolamento, la Cabina di regia del NSIS individua, previa consultazione del Garante, un cronoprogramma che, tenuto conto della disponibilità, da parte delle Regioni e delle Province autonome, dei servizi a supporto dell´interoperabilità delle schede di dimissione ospedaliera di cui al decreto del Ministro della sanità del 27 ottobre 2000, n. 380 e successive modificazioni, preveda la graduale applicazione delle disposizioni di cui al comma 1 al flusso delle schede di dimissione ospedaliera. 4. Nelle more dell´applicazione delle disposizioni di cui al comma 1, al flusso delle schede di dimissione ospedaliera si applicano le procedure indicate al paragrafo 5.2 del disciplinare tecnico allegato al presente decreto.".

Conseguentemente, nel disciplinare tecnico si ritiene necessario: a) rettificare i rinvii ai commi 3 e ss. dell´articolo 3 modificati come sopra suggerito; b) semplificare il dettato del par. 5.2 sopprimendo le parole da: "e con riferimento", sino a "regime di ricovero)" e inserendo, dopo "tracciato anagrafico" le seguenti: "del flusso SDO"; c) dare evidenza nello schema logico del Sistema di integrazione delle informazioni sanitarie individuali riportato al par. 7 della "transitorietà" delle procedure indicate per il flusso SDO.

A tale proposito, l´Autorità richiama sin d´ora fortemente l´attenzione di tutti i soggetti interessati (Ministero della salute, Regioni e Province autonome) sull´esigenza di avviare tempestivamente il processo di adeguamento dei trattamenti sul flusso SDO alle procedure "a regime" e di completarlo in tempi ragionevoli e coerenti con l´estrema delicatezza e il significativo volume dei dati trattati, assicurando, al contempo, nella fase "transitoria" la scrupolosa applicazione delle procedure, delle misure e degli accorgimenti previsti per ridurre il rischio di re-identificazione degli assistiti (ad esempio, cifratura del codice fiscale) e di garantire comunque un adeguato livello di sicurezza nel trattamento dei dati (artt. 22, comma 6, e 31 del Codice).

10. Il trattamento dei dati di specifiche coorti di assistiti.

Nel paragrafo 5.4 del disciplinare tecnico è disciplinata la procedura con cui il Ministero della salute assegna codici univoci a specifici elenchi o coorti di assistiti identificati con il codice identificativo.

Tale procedura, in base alla attuale formulazione, è consentita per perseguire tutte le finalità del trattamento individuate all´articolo 2, comma 1. In base alle interlocuzioni avute con gli uffici del Ministero, ci si riferirebbe, in particolare, ai casi in cui l´Amministrazione competente, per scopi di "valutazione esiti", "monitoraggio dei LEA" o a fini statistici, abbia necessità di estrarre le informazioni sanitarie contenute nei diversi archivi del NSIS oggetto di interconnessione che si riferiscono ai soli individui presenti nei suddetti elenchi o coorti (ad esempio per valutare l´efficacia dei percorsi delle cure erogate ad una coorte di personale impegnato in delicate missioni all´estero).

Al riguardo, lo schema va integrato con una disposizione volta a circoscrivere i casi in cui le procedure di assegnazione del codice univoco possono essere applicate ad elenchi o coorti di singoli assisiti. Tale disposizione (da inserire, preferibilmente, nell´articolo 4 quale comma 2-bis) potrebbe assumere il seguente tenore: "2-bis. Solo qualora risulti indispensabile per corrispondere a comprovate e documentate esigenze strettamente connesse alle finalità di cui all´articolo 2, comma 1, il Ministero della salute effettua operazioni di selezione, estrazione ed elaborazione dei soli dati sanitari indispensabili a tali fini, contenuti nei diversi sistemi informativi dell´NSIS oggetto di interconnessione e riferiti ad individui presenti in specifici elenchi o coorti, i cui dati identificativi sono acquisiti nel rispetto degli articoli 20 e 22 del Codice, secondo le modalità di cui al paragrafo 5.4 del disciplinare tecnico.".

Conseguentemente, occorre riformulare il paragrafo 5.4 del predetto disciplinare in termini coerenti con la disposizione suggerita, prevedendo altresì che, in questi casi, il codice univoco nazionale dell´assistito è utilizzato, per il tempo strettamente necessario, esclusivamente per collegare al medesimo assistito le diverse informazioni sanitarie che lo riguardano. Tali elenchi o coorti che identificano singoli assistiti sono quindi  tempestivamente eliminati.

11. Particolari misure di sicurezza.

Per assicurare un elevato livello di sicurezza nel trattamento dei dati, è necessario riformulare l´articolo 6, comma 4, dello schema precisando che le procedure di autenticazione forte ivi previste devono essere applicate ai trattamenti di particolare delicatezza (quali la consultazione di informazioni riferite a singoli assistiti), nonché agli amministratori di sistema e a coloro ai quali sono attribuite funzioni di gestione e manutenzione della piattaforma codice univoco dell´assistito (cfr. par. 4.2.4 del disciplinare tecnico).

Al riguardo, si suggerisce di modificare il predetto comma come di seguito: "4. Per il perseguimento delle finalità di cui all´articolo 2, comma 1,  qualora sia indispensabile consultare le informazioni riferite ai singoli assistiti nei limiti indicati dall´articolo 4, commi 2 e 2-bis, il processo di autenticazione degli utenti avviene attraverso strumenti di autenticazione forte, in conformità all´articolo 64 del CAD e all´articolo 34 del decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni. Il medesimo processo di autenticazione forte è previsto per i soggetti cui sono attribuite funzioni di amministratore di sistema o assimilabili. L´accesso è garantito tramite l´utilizzo di un protocollo sicuro."

Va di conseguenza rivisto il disciplinare tecnico integrandolo rispetto al profilo delle procedure di autenticazione forte.

IL GARANTE

esprime parere favorevole sullo schema di regolamento recante procedure per l´interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, con le seguenti condizioni:

a) all´articolo 2, comma 1, dello schema si faccia riferimento alle finalità di rilevante interesse pubblico per le quali è consentito il trattamento, nei termini di cui in motivazione (punto 4);

b) all´articolo 3, comma 1, l´alinea sia sostituito dal seguente: "Entro sei mesi dall´entrata in vigore del presente regolamento, i fornitori dei dati per il livello nazionale, prima di inviare al Ministero della salute, nell´ambito dell´NSIS, i dati relativi ai flussi informativi previsti dal medesimo regolamento, effettuano:" e le parole contenute nella lett. b): "consiste in una frequenza fissa di caratteri alfanumerici casuali" con le seguenti: "consiste in una sequenza di caratteri alfanumerici casuali di lunghezza fissa" (punto 5.1);

c) all´articolo 3, comma 2, le parole "I dati di cui al comma 1 così privati di elementi identificativi diretti" siano sostituite dalle seguenti "I dati di cui al comma 1, così privati del codice identificativo" (punto 5.1);

d) all´articolo 3, i commi 3, 4, 5 siano sostituiti dai seguenti: "3. Entro 60 giorni dall´entrata in vigore del presente regolamento, la Cabina di regia del NSIS individua, previa consultazione del Garante, un cronoprogramma che, tenuto conto della disponibilità, da parte delle Regioni e delle Province autonome, dei servizi a supporto dell´interoperabilità delle schede di dimissione ospedaliera di cui al decreto del Ministro della sanità del 27 ottobre 2000, n. 380, e successive modificazioni, preveda la graduale applicazione delle disposizioni di cui al comma 1 al flusso delle schede di dimissione ospedaliera. 4. Nelle more dell´applicazione delle disposizioni di cui al comma 1, al  flusso delle schede di dimissione ospedaliera si applicano le procedure indicate al paragrafo 5.2 del disciplinare tecnico allegato al presente decreto." (punto 9);

e) all´articolo 3, comma 7, le parole da "attraverso l´invio" sino a "NSIS" siano sostituite dalle seguenti: "e di aggiornamento dei dati" (punto 8);

f) all´articolo 4, i commi 1 e 2 siano sostituiti dai seguenti: "1.    Al fine di consentire il perseguimento delle finalità di cui all´articolo 2, comma 1, lettera a) e b), il NSIS è predisposto per permettere: a) alle competenti unità organizzative delle regioni e province autonome, come individuate da provvedimenti regionali e provinciali, di consultare le informazioni rese disponibili in forma aggregata o anonima; i dati relativi ad assistiti di altre Regioni o Province autonome possono essere utilizzati solo per effettuare analisi comparative; b)    alle competenti unità organizzative del Ministero della Salute, come individuate dal decreto ministeriale di organizzazione, di consultare le informazioni rese disponibili in forma aggregata o anonima.   2.    Nel perseguimento delle finalità di cui all´articolo 2, comma 1, lettera a), il NSIS consente per comprovate e documentate esigenze di validazione delle misure di esito: a) alle competenti unità organizzative delle regioni e province autonome di consultare le informazioni riferite anche ai singoli assistiti, con esclusione dei relativi dati anagrafici e del codice univoco; b) alle competenti unità organizzative del Ministero della salute, anche con l´ausilio tecnico operativo dell´AGENAS, di consultare le informazioni riferite anche ai singoli assistiti, con esclusione dei relativi dati anagrafici e del codice univoco."; conseguentemente il par. 4.6. del disciplinare tecnico sia modificato nei termini di cui in motivazione (punto 6.1);

g) all´articolo 4, sia aggiunto il seguente comma: "2-bis. Solo qualora risulti indispensabile per corrispondere a comprovate e documentate esigenze strettamente connesse alle finalità di cui all´articolo 2, comma 1, il Ministero della salute effettua operazioni di selezione, estrazione ed elaborazione dei soli dati sanitari indispensabili a tali fini, contenuti nei diversi sistemi informativi dell´NSIS oggetto di interconnessione e riferiti ad individui presenti in specifici elenchi o coorti, i cui dati identificativi sono acquisiti nel rispetto degli articoli 20 e 22 del Codice, secondo le modalità di cui al paragrafo 5.4 del disciplinare tecnico." (punto 10);

h) lo schema di regolamento (e in particolare l´articolo 4, comma 3, e il par. 4.6 del disciplinare tecnico) sia perfezionato rispetto al trattamento dei dati per finalità statistiche, anche mediante un più puntuale coordinamento tra lo stesso schema e il disciplinare, nei termini di cui in motivazione (punto 7);

i) sia espunto dallo schema di decreto e dal disciplinare tecnico il riferimento al codice di deontologia e di buona condotta per i trattamenti di dati personali per scopi scientifici di cui all´allegato A4 del medesimo Codice (punto 7).

j) all´articolo 5, il comma 2 sia sostituito dal seguente: "2. Il Ministero della salute per le finalità di cui all´articolo 2, comma 1, utilizza il codice univoco nazionale dell´assistito esclusivamente per collegare le informazioni sanitarie riferite al medesimo assistito secondo le modalità previste dall´articolo 4 del presente decreto." (punto 5.2);

k) all´articolo 5, comma 3, dello schema il primo periodo può essere soppresso e il secondo deve essere riformulato come segue: "Nel perseguimento delle finalità di cui all´articolo 2, comma 1, qualora sia indispensabile consultare le informazioni riferite ai singoli assistiti nei limiti indicati dall´articolo 4, commi 2 e 2-bis, il trattamento dei dati avviene nel rispetto delle specifiche misure di sicurezza di cui all´articolo 6, commi 4 e 6."; (punto 6.2.);

l) all´articolo 6, il comma 4 sia sostituito dal seguente: "4. Per il perseguimento delle finalità di cui all´articolo 2, comma 1,  qualora sia indispensabile consultare le informazioni riferite ai singoli assistiti nei limiti indicati dall´articolo 4, commi 2 e 2-bis, il processo di autenticazione degli utenti avviene attraverso strumenti di autenticazione forte, in conformità all´articolo 64 del CAD e all´articolo 34 del decreto legislativo 30 giugno 2003, n. 196 e successive modificazioni. Il medesimo processo di autenticazione forte è previsto per i soggetti cui sono attribuite funzioni di amministratore di sistema o assimilabili. L´accesso è garantito tramite l´utilizzo di un protocollo sicuro."; conseguentemente il disciplinare tecnico sia modificato nei termini di cui in motivazione (punto 11);

m) ai paragrafi 4.6, 5.2, 5.4, 6 e 7 del disciplinare tecnico allegato al decreto siano apportate le modifiche indicate ai punti 6, 7, 8, 9 e 10.

Roma, 19 marzo 2015

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia