Diritti interna

Doveri interna

Search Form Portlet

ricerca avanzata

g-docweb-display Portlet

Parere su uno schema di decreto recante “Disposizioni relative ai requisiti di qualità e sicurezza del sangue e degli emocomponenti” - 25 giugno 2015 [4172235]

[doc. web n. 4172235]

Parere su uno schema di decreto recante "Disposizioni relative ai requisiti di qualità e sicurezza del sangue e degli emocomponenti" - 25 giugno  2015

Registro dei provvedimenti
n. 379 del 25 giugno 2015

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero della salute;

Visto l´articolo 154, comma 4, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

1. Il Ministero della salute ha richiesto il parere del Garante su uno schema di decreto recante "Disposizioni relative ai requisiti di qualità e sicurezza del sangue e degli emocomponenti". Con tale schema si intende disciplinare tali aspetti lungo tutto il percorso trasfusionale, dalla selezione del donatore fino all´infusione nel paziente, ivi compresa la donazione di cellule staminali emopoietiche, procedendo così alla revisione e all´aggiornamento dei decreti del 3 marzo 2005, concernenti, rispettivamente, le "Caratteristiche e modalità della donazione del sangue ed emocomponenti" e i "Protocolli per l´accertamento dell´idoneità del donatore di sangue e di emocomponenti". Inoltre, con il decreto in discorso, il Ministero intende recepire la direttiva 2014/110/UE della Commissione del 17 dicembre 2014, che modifica la direttiva 2004/33/CE per quanto riguarda i criteri di esclusione temporanea di donatori di unità allogeniche.

In via preliminare, il Garante evidenzia come i citati decreti del Ministro della salute del 3 marzo 2005 siano stati adottati senza il previo parere di questa Autorità. Lo stesso è a dirsi per i decreti ministeriali che hanno modificato i provvedimenti del 2005, quali il d.m. 5 dicembre 2006, il d.m. 27 marzo 2008, il d.m. 3 febbraio 2012, nonché per il d.m. 21 dicembre 2007, con cui è stato istituito il sistema informativo dei servizi trasfusionali (c.d. SISTRA), il d.m. 18 novembre 2009 sulla rete nazionale di banche per la conservazione di sangue da cordone ombelicale e il d.m. 18 novembre 2009 sulla conservazione di cellule staminali da sangue del cordone ombelicale per uso autologo.

In merito a tali provvedimenti, il Garante non è stato mai consultato e non può esprimere evidentemente valutazioni di competenza in questa sede. Ne consegue che il presente parere si riferisce esclusivamente all´articolato e agli allegati allo schema di decreto, al fine di conformarne i contenuti alla normativa in materia di protezione dei dati personali.

RILEVATO

2. Il SISTRA.

Lo schema di decreto presenta implicazioni con il sistema informativo dei servizi trasfusionali (SISTRA), che- come sopra evidenziato- è stato istituito in virtù di un decreto adottato nel 2007 senza il parere del Garante. Sembra, infatti, che i sistemi informatici utilizzati nelle diverse strutture territoriali  che concorrono all´attività trasfusionale siano sistemi alimentanti il SISTRA, che a sua volta raccoglie ed elabora flussi informativi relativi alle macro-aree, quali anagrafiche delle strutture che partecipano all´attività trasfusionale; programmazione e pianificazione del fabbisogno nazionale; raccolta ed utilizzo del sangue e dei suoi componenti; produzione e utilizzo di farmaci plasma derivati; emovigilanza e sorveglianza epidemiologica dei donatori; compensazione emocomponenti e plasma derivati; informazioni concernenti la qualità dei processi e dei prodotti/servizi.

Conferma delle possibili implicazioni del presente schema con il SISTRA si rinviene, a titolo esemplificativo, nel preambolo dello schema (laddove si indica il d.m. del 21 dicembre 2007), all´articolo 30 (che sembra rinviare implicitamente al SISTRA) e nell´allegato XII (cfr. il paragrafo 11.2, che- per la registrazione di eventuali incidenti, reazioni indesiderate e near miss correlati alla trasfusione- prevede la classificazione di tali eventi secondo le specifiche definite dal SISTRA; i paragrafi 13.2.1 e 13.4.1, che prevedono- per l´attivazione delle cartelle sanitarie dei pazienti dell´ambulatorio di medicina trasfusionale del ST e dei pazienti esterni al ST- l´inserimento e l´aggiornamento dei dati sanitari associati al paziente, tra cui eventuali reazioni avverse occorse al paziente a seguito di terapie trasfusionali, classificate secondo le specifiche definite dal SISTRA; il paragrafo 20.2, a mente del quale "il sistema garantisce la raccolta completa e l´elaborazione dei dati e delle informazioni anche in base alle indicazioni delle autorità competenti a livello nazionale (SISTRA) […]").

Nel corso delle interlocuzioni e degli incontri avuti dall´Ufficio del Garante con l´Amministrazione, sono stati acquisiti, tra l´altro, i manuali utente del sistema informativo SISTRA - rispettivamente per il profilo servizio trasfusionale (funzioni di emovigilanza) e per il Centro nazionale sangue (funzioni di emovigilanza) -, dalla cui disamina sono emersi alcuni possibili elementi di criticità, che richiederebbero un´analisi più approfondita, non effettuabile in questa sede.

In particolare e senza alcuna pretesa di  esaustività, si osserva che, relativamente ai dati oggetto di notifica memorizzati nel sistema (ad esempio, le notifiche degli eventi avversi per i pazienti riceventi gli emocomponenti, le notifiche dei donatori risultati positivi ai test per HIV, HCV, HBV e Treponema Pallidum e le notifiche delle reazioni indesiderate dei donatori), vi è un rischio di isolare e re-identificare i donatori e/o i pazienti, tenuto conto sia degli attributi prescelti per caratterizzare ciascun interessato (quali, ad esempio, le iniziali del cognome e del nome, la data di nascita completa, il sesso, la provincia di nascita e il luogo di donazione) sia dell´esiguo numero di casi rilevati.

Da quanto precede, si evince la necessità di un´analisi più approfondita delle menzionato rischio di re-identificazione, per verificare -a titolo esemplificativo e come primo approccio rispetto a soluzioni più strutturate- l´effettiva necessità di raccogliere, registrare o visualizzare alcuni dati, come le iniziali del nome e cognome del paziente ricevente gli emocomponenti, il giorno e/o mese di nascita, come pure il criterio utilizzato per definire il "codice paziente" e il "codice donatore".
In proposito, si consideri che- in aggiunta a specifiche e stringenti policy per la gestione degli accessi alle tabelle di associazione- potrebbe rendersi necessario l´impiego, come "codice paziente" o "codice donatore" di un progressivo numerico, di un codice random o, in ultima ipotesi, di un codice alfanumerico derivato con algoritmo non reversibile dal codice fiscale. Tale ultima opzione appare la meno efficace in quanto la sintassi del codice fiscale è nota e ciò potrebbe rendere possibile, con uno sforzo ragionevole,  ricavare i codici fiscali a partire da una loro codifica. Quanto precede, in ragione della delicatezza del dato trattato, vale ancor di più nel caso di donatori risultati positivi ai test HIV, HCV, HBV e Treponema Pallidum, per i quali è necessario impiegare particolare cura per evitare che si possano isolare e re-identificare gli stessi.

Su quanto sopra si richiama l´attenzione dell´Amministrazione interessata, anche ai fini dell´applicazione delle disposizioni del presente decreto in relazione al funzionamento del SISTRA.

RITENUTO

3. Lo schema di decreto -che si compone di 35 articoli, raggruppati in dieci titoli, e di dodici allegati- stabilisce le norme volte a garantire la qualità e la sicurezza del sangue e degli emocomponenti, al fine di assicurare un elevato livello di tutela della salute umana.

Il decreto si riferisce a tutto il percorso del processo che va dalla selezione del donatore fino all´infusione nel paziente, allo scopo di rivedere e aggiornare la disciplina recata dai menzionati decreti del 3 marzo 2005. In particolare, al titolo I lo schema reca la disciplina della tutela della riservatezza (articolo 3).

Il Garante riconnette particolare importanza alla materia in esame, che coinvolge anche il trattamento di dati personali particolarmente delicati, quali quelli idonei a rivelare lo stato di salute dei donatori e dei riceventi.

L´Autorità, pertanto, richiama l´attenzione dell´Amministrazione e di tutti i soggetti coinvolti sull´esigenza che la disciplina recata dal decreto e la relativa applicazione rispettino le garanzie previste per la protezione dei dati personali degli interessati  dal Codice e dalla normativa dettata in materia.

Il presente schema di decreto è stato elaborato dal Ministero della salute all´esito di riunioni e interlocuzioni avute con l´Ufficio del Garante in merito a un precedente testo del decreto, in merito al quale l´Autorità ha formulato rilievi e ha fornito indicazioni volte a perfezionare e a rendere lo schema pienamente conforme alla disciplina dettata in materia di protezione dei dati personali.

Nel corso degli incontri con l´Amministrazione, l´Autorità ha altresì evidenziato come- sotto il profilo sostanziale- la delicatezza della materia, unitamente al carattere generale e astratto delle disposizioni recate dallo schema, avrebbero probabilmente deposto per l´adozione di un atto di natura regolamentare.

Le indicazioni sono state accolte dall´Amministrazione attraverso una nuova formulazione dello schema, che è stato quindi trasmesso nuovamente al Garante in una versione modificata, corredata di alcuni dei dodici allegati (alla nuova versione dello schema l´Amministrazione ha infatti unito i soli allegati I, II, III, VIII e XII).

Nondimeno, resta l´esigenza di apportare all´articolato alcuni perfezionamenti, nei termini di seguito descritti.

4. L´identificazione del donatore e gli adempimenti in materia di protezione dei dati personali.

All´articolo 5 comma 8 dello schema occorre distinguere le competenze del medico responsabile della selezione del donatore dalle attribuzioni del restante personale incaricato del trattamento dei dati personali con riferimento agli obblighi di compilazione delle cartelle cliniche dei donatori e della loro conservazione e archiviazione; ciò tenendo in considerazione anche le vigenti disposizioni in materia riguardanti l´organizzazione interna dei servizi ospedalieri (cfr. artt. 5 e 7 d.P.R. 27 marzo 1969, n. 128 e art. 35 del d.P.C.M. 27 giugno 1986).

5. La definizione di dati genetici.

L´Allegato I allo schema di decreto riporta le definizioni relative al donatore di sangue e di emocomponenti, alla donazione di sangue e di emocomponenti ed alle attività di pertinenza della medicina trasfusionale (art. 1, comma 3).

Il punto 32 di tale allegato fa riferimento ai "dati genetici" precisando che tale definizione è riferibile anche ai sistemi gruppo-ematici (fenotipo ABO ed Rh ed altri antigeni eritrocitari) e al sistema di istocompatibilità HLA. Tale definizione va espunta dal momento che essa ricalca quella prevista da una precedente autorizzazione generale del Garante sul trattamento dei dati genetici, ad oggi non più vigente. Se si intende comunque conservare nel testo la definizione di dati genetici, essa deve essere conforme a quella di cui al punto 1), a) dell´autorizzazione generale al trattamento dei dati genetici dell´11 dicembre 2014 (aut. n. 8/2014, reperibile sul sito del Garante, doc. web n. 3632835). Con l´occasione si ricorda di aggiornare nel preambolo i riferimenti alla predetta autorizzazione generale e a quella sui dati idonei a rivelare lo stato di salute e la vita sessuale (n. 2/2014).

Inoltre, occorre rilevare che i sistemi gruppo-ematici e il sistema di istocompatibilità HLA non sono da considerare di per sé "dati genetici" ai sensi dell´autorizzazione del Garante n. 8/2014 al trattamento dei dati genetici. Semmai, nell´ambito delle procedure volte a valutare la qualità e sicurezza del materiale biologico donato, tali informazioni possono, in presenza di determinati presupposti e in alcuni particolari contesti di trattamento rivelare l´esistenza di malattie genetiche o svelare notizie inattese riguardanti l´esistenza o meno di legami di consanguineità tra le persone coinvolte nella donazione. Nei casi previsti, dette informazioni devono essere trattate nel rispetto delle particolari cautele previste dal Garante nella predetta autorizzazione n. 8/2014, specie con riferimento ai casi e alle modalità in cui le medesime informazioni possono essere rese note all´interessato e comunicate a terzi (cfr. cfr. aut. cit. n. 8/2014, punto 9).

6. Il trattamento dei dati personali e, in particolare, il consenso e l´informativa all´interessato.

Gli articoli 8 e 9 dello schema contengono disposizioni in merito al consenso informato alla donazione e al trattamento dei dati personali con riferimento al sangue, agli emocomponenti e al sangue da cordone ombelicale. Nell´allegato II dello schema sono poi riportati diversi documenti contenenti il materiale informativo, il questionario anamnestico e i moduli di consenso informato alla donazione e di informativa e di consenso al trattamento dei dati personali. Tali disposizioni e i relativi documenti contenuti nell´allegato non risultano, tuttavia, chiaramente definiti o elaborati, con conseguenti incertezze e ambiguità derivanti anche dalla moltiplicazione dei moduli di consenso informato alla donazione e di informativa e consenso al trattamento dei dati personali che potrebbero rendere difficoltosa e complessa la procedura di raccolta di tali manifestazioni di volontà e pregiudicare l´uniforme attuazione di tali adempimenti da parte dei servizi trasfusionali e delle unità di raccolta.

Al fine di semplificare e sciogliere ogni equivoco e ambiguità al riguardo, si suggerisce, pertanto, di perfezionare il testo degli articoli in parola e il relativo allegato nei termini di seguito descritti.

6.1 La donazione di sangue e degli emocomponenti.

Per quanto riguarda il trattamento di dati personali concernenti la donazione del sangue e degli emocomponenti, l´articolo 8 deve essere perfezionato come segue.

6.1.1. Innanzitutto si suggerisce di sostituire il comma 1 con il seguente: "Il donatore, prima di fornire i propri dati personali, sottoscrive il consenso al trattamento dei dati, previa informativa ai sensi dell´articolo 13 del decreto legislativo n. 196 del 2003 come previsto all´Allegato II parte B".

6.1.2. Il comma 2 prevede che il sangue e gli emocomponenti donati possano essere utilizzati "per studi o ricerche scientifiche" e per "l´eventuale trasferimento, a scopo di ricerca, in forma codificata e protetta, degli stessi ad un´altra struttura sanitaria o Ente/Istituzione a fini di ricerca". Il modulo di informativa e di consenso al trattamento dei dati riportato nella parte B dell´Allegato II, cui rinvia il comma 1 del medesimo articolo, non contiene tuttavia alcuna indicazione specifica riguardo al trattamento dei dati personali riferiti alla persona cui appartiene il materiale biologico oggetto di utilizzo o di trasferimento a fini di ricerca scientifica, né prevede l´espressione di un consenso specifico al riguardo. Nel modulo di informativa si legge infatti soltanto che: "Ove i suoi dati saranno utilizzati per finalità di ricerca scientifica Le verrà fornita specifica informativa per l´acquisizione del relativo consenso al trattamento dei dati".

In questo quadro, poiché, ai sensi dell´articolo 105, comma 2, del Codice, i dati personali possono essere utilizzati per scopi di ricerca scientifica "chiaramente determinati e resi noti all´interessato", occorre in primo luogo definire meglio le finalità di studio o ricerca scientifica per le quali è possibile utilizzare il sangue e gli emocomponenti donati.

Al riguardo, anche alla luce di quanto previsto nell´autorizzazione generale n. 2 al trattamento dei dati idonei a rivelare la salute e la vita sessuale, rilasciata dal Garante l´11 dicembre 2014 (doc web n. 3619954), si ritiene preferibile la seguente formulazione: "per studi e ricerche finalizzate alla tutela della salute dell´interessato, di terzi o della collettività in campo medico, biomedico o epidemiologico, anche in relazione all´eventuale trasferimento del materiale donato e dei relativi dati ad altre strutture sanitarie, enti o istituzioni di ricerca.".

6.1.3. Al fine di chiarire quali sono gli adempimenti che incombono ai servizi trasfusionali e alle unità di raccolta, qualora intendano utilizzare o trasferire il materiale donato a scopo di ricerca scientifica, si ritiene necessario integrare il medesimo comma 2 dell´articolo 8 prevedendo che in tali casi i predetti soggetti raccolgano un autonomo e specifico consenso dell´interessato e, a tal fine, predispongano un´informativa circostanziata che illustri gli elementi caratterizzanti i trattamenti di dati personali effettuati a tale scopo anche in conformità, ove gli studi e le ricerche comportino anche il trattamento di dati genetici, alla già citata autorizzazione generale n. 8/2014. Tale informativa dovrà specificare, in particolare, anche per categorie, i soggetti destinatari del trasferimento del materiale donato e l´ambito di comunicazione dei dati e porre in particolare evidenza che il consenso è manifestato liberamente (cfr. art. 13, comma 1, lett. d) e 78, comma 5, lett. a) del Codice).

6.1.4. Sempre all´articolo 8, al comma 3, al fine di evitare ogni fraintendimento e ambiguità, è opportuno chiarire che il consenso cui fa riferimento la disposizione è quello medico, aggiungendo alla frase: "Il donatore esprime il proprio consenso" le parole "informato alla donazione" e rinominare in modo analogo il relativo modulo di consenso riportato all´Allegato II, parte C.

6.2.  La donazione di sangue da cordone ombelicale.

L´articolo 9 riguarda la donazione di sangue da cordone ombelicale e va perfezionato come segue.

6.2.1. Al fine di chiarire la distinzione tra consenso informato alla donazione e al trattamento dei dati personali e assicurare un maggiore coordinamento con la relativa documentazione riportata nell´Allegato II, è necessario riformulare i primi due commi della disposizione secondo la seguente formulazione: "1. Per la donazione di sangue di cordone ombelicale per le finalità previste all´articolo 2, commi 1, 2, 3 e 7 del d.m. 18 novembre 2009 sulla conservazione di cellule staminali da sangue del cordone ombelicale per uso autologo - dedicato, la madre e il padre, prima di fornire i loro dati personali, sottoscrivono il consenso al trattamento dei dati, previa informativa ai sensi dell´articolo 13 del decreto legislativo n. 196 del 2003 come previsto all´Allegato II parte H. 2. La madre e il padre, presa visione del materiale informativo di cui all´allegato II, parte G, prestano il loro consenso alla donazione di cui al comma 1, mirato alla rinuncia alla conservazione del sangue cordonale ad esclusivo beneficio del neonato in qualsiasi momento della sua vita. La madre e il padre esprimono il loro consenso informato sottoscrivendo il modulo riportato nell´Allegato II, parte I.".

6.2.2. I commi 3 e 4 dell´articolo 9 prevedono, poi, che nel caso in cui le unità di sangue cordonale donate non siano idonee per il trapianto, queste possano essere utilizzate "a scopo di ricerca scientifica" oppure per "altri usi" secondo una locuzione di dubbia formulazione che non viene chiarita nel dettaglio né nel resto dell´articolato, né nella documentazione allegata. Pertanto, data l´indeterminatezza della formulazione, la locuzione "altri usi" va espunta dall´art. 9.

Va parimenti eliminata dall´Allegato II l´analoga locuzione "altri possibili utilizzi", ovunque essa ricorra.

Gli scopi di ricerca scientifica menzionati nei predetti commi vanno invece meglio determinati, in conformità al sopra citato articolo 105, comma 2, del Codice e a quanto prevede l´articolo 2, comma 1, lett. f) del d.m. 18 novembre 2009 sulla rete nazionale di banche per la conservazione di sangue da cordone ombelicale che individua l´ambito degli studi e delle ricerche che rientrano nelle finalità istitutive della rete delle predette banche. Tale operazione va effettuata, in termini coerenti, anche nelle pertinenti parti dell´Allegato II (cfr.: parti G, punto 2, L e M).

6.3. L´allegato II.

Come detto sopra, l´Allegato II, cui rinviano i predetti articoli 8 e 9, contiene la documentazione riguardante il materiale informativo, il questionario anamnestico e i moduli di consenso informato alla donazione e di informativa e di consenso al trattamento dei dati personali. Esso deve essere perfezionato come segue, in linea con le osservazioni di cui ai punti 6.1 e 6.2..

6.3.1. Riguardo al testo dell´informativa sul trattamento dei dati personali, riportato nella parte B dell´Allegato II, per maggiore chiarezza e completezza, si suggerisce di sostituire il periodo: "I suoi dati saranno comunicati esclusivamente nei casi e ai soggetti previsti dalla legge (per esempio in caso di positività all´HIV verrà inviata notifica all´Istituto Superiore di Sanità)" con il seguente: "I suoi dati saranno comunicati esclusivamente nei casi e nei modi indicati dalla legge e dai regolamenti ai soggetti previsti, in particolare, in attuazione della normativa sulle malattie infettive trasmissibili.". La medesima indicazione ricorre nel testo degli altri modelli di informativa contenuti nell´Allegato II. Occorre quindi sostituirla anche nel testo delle informative riportate nella Parte H e L dell´Allegato II.

6.3.2. Alcuni perfezionamenti merita anche la parte G dell´Allegato II.

Innanzitutto, sempre al fine di evitare incertezze e ambiguità, è opportuno rinominare la parte G sostituendo la locuzione "Informativa per la donazione", con la seguente: "Materiale informativo per la donazione" in modo da distinguere gli elementi informativi necessari a consentire l´espressione consapevole del consenso medico alla donazione dalle indicazioni riguardanti il trattamento dei dati personali fornite all´interessato in adempimento dell´obbligo di informativa ai sensi del Codice.

Riguardo all´uso a scopi di ricerca scientifica del sangue del cordone ombelicale, il punto 2) della parte G del medesimo allegato contiene indicazioni che sembrano riferirsi in massima parte al trattamento dei dati personali. Altre indicazioni riguardanti il trattamento dei dati sono contenute nella parte L dello stesso Allegato, peraltro, come sembra, almeno in parte, contrastanti con le prime. Al fine di semplificare gli elementi informativi da fornire ai candidati donatori e di evitare la ridondanza della documentazione da esibire si suggerisce pertanto di integrare le indicazioni contenute nel punto 2) della parte G con il testo dell´informativa, riportato nella parte L dello stesso Allegato, coordinando le informazioni menzionate al loro interno.

Si ricorda che in linea con quanto osservato con riferimento ai commi 3 e 4 dell´articolo 9, nel punto 2) della parte G e nella parte L, così integrate, vanno poi perfezionate le indicazioni relative agli scopi di ricerca perseguiti specificandone l´ambito, in conformità a quanto prevede l´articolo 2, comma 1, lett. f) del d.m. 18 novembre 2009 sulla rete nazionale di banche per la conservazione di sangue da cordone ombelicale (v punto 6.2.2. del presente parere).

Occorre inoltre precisare meglio la locuzione "Linee guida di riferimento sull´etica della ricerca scientifica" che appare di dubbia formulazione.

Infine, riguardo al trasferimento del sangue cordonale a fini di ricerca ad altre banche della rete nazionale o ad altre strutture ospedaliere del SSN, la frase "il sangue cordonale o il relativo materiale biologico da esso derivato potrà essere trasferito ai predetti soggetti in maniera codificata per consentire la tracciabilità del campione, garantendo la riservatezza" appare contraddittoria con quella seguente che afferma che i dati personali della madre candidata donatrice e del suo bambino non saranno oggetto di alcuna operazione di comunicazione. Dal momento quindi che, come si evince da quest´ultima affermazione, non sembrerebbe esservi alcuna ragione per mantenere il collegamento tra il sangue donato e la persona cui appartiene, la frase sopra riportata va sostituita con la seguente "il sangue cordonale o il relativo materiale biologico da esso derivato potrà essere trasferito ai predetti soggetti in maniera irreversibilmente anonimizzata per garantire la riservatezza".

6.3.3. La parte H dell´Allegato II contiene invece il modello dell´informativa sul trattamento dei dati che comporta la donazione di sangue di cordone ombelicale per uso allogenico a fini solidaristici e, nei casi previsti dal d.m. 18 novembre 2009 sulla conservazione di cellule staminali da sangue del cordone ombelicale, per uso autologo – dedicato.

Al riguardo, l´art. 14 prevede che nell´ambito della procedura per l´accertamento dell´idoneità della candidata donatrice è raccolta un´accurata anamnesi familiare riguardo ad entrambi i genitori, con particolare riferimento all´esistenza di malattie ereditarie (cfr. anche All. III C allo schema di decreto). Inoltre il materiale informativo riportato nel punto 2) della parte G dell´Allegato II, precisa che anche sul sangue cordonale sono effettuati degli esami volti ad accertare la presenza eventuale di patologie genetiche, anche a richiesta del centro per i trapianti. Le procedure sopra menzionate volte all´accertamento dell´idoneità dei donatori e della qualità e sicurezza del materiale donato, possono comportare pertanto il trattamento di dati genetici ai sensi dell´autorizzazione generale del Garante n. 8/2014 (cfr. punto 1, lett. a) aut. cit.).

E´ necessario pertanto che il modello di informativa di cui alla parte H dell´Allegato II sia integrato e perfezionato in modo da renderlo conforme alle prescrizioni fissate al riguardo nell´autorizzazione sopra menzionata (cfr. aut. cit. n. 8/2014, punto 5). In particolare, occorre porre in particolare evidenza che il trattamento può avere ad oggetto anche dati genetici, indicare i risultati conseguibili anche in relazione ad eventuali notizie inattese che possono essere conosciute per effetto del trattamento, nonché il diritto degli interessati di opporsi al trattamento di tali dati  per motivi legittimi e l´ambito di comunicazione degli stessi. La raccolta del consenso deve poi consentire agli interessati di dichiarare la loro volontà di conoscere o meno i risultati degli esami volti ad accertare la presenza di malattie genetiche, ivi comprese eventuali notizie inattese.

7. La sicurezza dei dati.

Passando ad analizzare i profili più squisitamente tecnici, si osserva, in via generale, che la delicatezza dei dati trattati, oltre ad imporre le cautele sopra ricordate, rende, altresì, necessaria una particolare attenzione alla sicurezza dei sistemi informativi utilizzati e, sul piano applicativo, all´integrità dei dati trattati, mediante l´adozione di misure di sicurezza calibrate rispetto alle modalità di raccolta dei dati, conformi agli articoli 22 (in particolare i commi 6 e 7), 31 e ss. e all´Allegato B del Codice.

I profili tecnici sono disciplinati, in particolare, nel titolo IX ("Sistemi informatici e programmi di prevenzione") e nell´allegato XII ("Requisiti dei sistemi gestionali informatici dei servizi trasfusionali e delle unità di raccolta del sangue e degli emocomponenti").

Al riguardo si ritengono necessari i seguenti perfezionamenti all´articolato e all´allegato XII.

7.1. L´articolo 31 ("Accesso ai dati dei sistemi gestionali informatici dei servizi trasfusionali) appare troppo generico laddove prevede "la consultazione dei dati di cui al presente decreto" (comma 3) senza nulla aggiungere. A fronte di tale considerazione, varrebbe forse evidenziare più chiaramente all´interno della previsione che alle operazioni di consultazione trova applicazione la disciplina di protezione dei dati personali. In ogni caso, si richiama l´attenzione sulla necessità che venga assicurato il rispetto dei principi di proporzionalità e indispensabilità dei dati sensibili e che, quindi, la disciplina assicuri l´accesso selettivo alle informazioni conservate nel sistema ed il loro utilizzo proporzionato rispetto alle finalità perseguite. La norma potrebbe essere, quindi, riformulata nel seguente modo: "I sistemi gestionali informatici garantiscono la consultazione dei dati di cui al presente decreto, in conformità ai principi di finalità del trattamento, di indispensabilità e necessità, nonché di proporzionalità, pertinenza e non eccedenza dei dati personali trattati".

Il comma 6 dell´articolo 31, poi, dispone che "I sistemi gestionali informatici garantiscono i dati necessari a rispondere ai flussi informativi previsti dalla normativa vigente". Si ritiene che, a fronte della formulazione generica della norma (che si riferisce a flussi informativi non ben precisati) e della circostanza che la destinazione di tali flussi è certamente rappresentata dal SISTRA (sul quale si vedano le criticità evidenziate), la stessa vada espunta dal testo del decreto (v. al riguardo quanto osservato al punto 2 del presente parere).

7.2. I "Requisiti dei sistemi gestionali informatici dei servizi trasfusionali e delle unità di raccolta del sangue e degli emocomponenti" sono descritti nell´Allegato XII dello schema. In via generale, si evidenzia come i requisiti minimi di funzionalità e di sicurezza dei sistemi gestionali informatici dei servizi trasfusionali e delle unità di raccolta del sangue e degli emocomponenti, di cui al predetto allegato, risultino poco dettagliati. In particolare, si rileva che:

a) in tutto l´allegato XII va sostituito il termine "sospensione"- laddove ricorra- con il termine "esclusione";

b) va assicurata corrispondenza tra il paragrafo 1.1 dell´allegato XII e l´allegato II, parte D. In particolare, il riferimento al "medico curante" è presente solo al punto 1.1.2. dell´allegato XII. Inoltre, mentre dal paragrafo 1.1.3. dell´allegato XII si evince la non obbligatorietà della raccolta del codice fiscale del donatore, altrettanta evidenza non emerge nella scheda D dell´allegato II;

c) va eliminato il riferimento ai dati dei pazienti nel paragrafo 1.3, poiché il paragrafo è dedicato ai donatori (l´anagrafica dei pazienti è descritta nel paragrafo 13);

d) le informazioni relative all´"associazione/federazione", alla "sezione di appartenenza del donatore" e al "codice associativo del donatore", di cui al paragrafo 1.4, non figurano tra quelle indicate al paragrafo 1.1 e, quindi, occorre rendere omogenei i due paragrafi;

e) nel paragrafo 6.16 va specificato quale tipo di "firma" si richiede per i referti, atteso che le firme ivi citate (la firma elettronica e quella digitale) hanno usi e valori giuridici differenti;

f) il paragrafo 21 ("Caratteristiche infrastrutturali") non reca una descrizione sufficientemente dettagliata degli accorgimenti utilizzati per la protezione dei dati personali, sensibili e genetici. Ci si riferisce, in particolare, al sistema di gestione degli accessi e di profilazione degli utenti e alla registrazione delle operazioni di accesso (log), anche al fine di permettere l´individuazione di eventuali anomalie; alla separazione dei dati anagrafici dai dati sanitari e genetici; alla cifratura dei dati personali, anche nei confronti dei soggetti preposti alle funzioni di amministratore di sistema; alle misure volte a garantire l´integrità e la disponibilità dei dati e alla gestione dei supporti di memorizzazione;

g) nel paragrafo 23 ("Garanzie per la sicurezza della trasmissione dati") non si esplicita che la trasmissione avviene su canale sicuro, aspetto che viceversa va senza dubbio assicurato e espressamente indicato.

IL GARANTE

esprime parere, nei termini di cui in motivazione, sullo schema di decreto recante disposizioni relative ai requisiti di qualità e sicurezza del sangue e degli emocomponenti, con le seguenti condizioni:

a) all´articolo 5, comma 8, dello schema siano distinte le competenze del medico responsabile della selezione del donatore dalle attribuzioni del restante personale incaricato del trattamento dei dati personali, nei termini di cui in motivazione (punto 4);

b) la definizione di dati genetici di cui all´allegato I dello schema, ove mantenuta, sia resa conforme a quella di cui al punto 1), a) dell´autorizzazione generale del Garante al trattamento dei dati genetici dell´11 dicembre 2014 (aut. n. 8/2014) (punto 5);

c) agli articoli 8 e 9 dello schema e all´allegato II siano apportati i perfezionamenti indicati, nei termini di cui in motivazione (punto 6);

d) all´articolo 31 dello schema e all´allegato XII siano apportati i perfezionamenti indicati, nei termini di cui in motivazione (punto 7).

Roma, 25 giugno 2015

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia