g-docweb-display Portlet

Provvedimento del 24 febbraio 2022 [9752221]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9752221]

Provvedimento del 24 febbraio 2022

Registro dei provvedimenti
n. 64 del 24 febbraio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il decreto legge 19 maggio 2020, n. 34 legge, convertito con modificazioni in legge 17 luglio 2020, n. 77, e, in particolare, l’art. 7 relativo alle metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore la prof.ssa Ginevra Cerrina Feroni;

PREMESSO

1. Premessa

Il decreto legge 19 maggio 2020, n. 34, convertito con modificazioni in legge 17 luglio 2020, n. 77, ha previsto che il Ministero della salute, nell'ambito dei compiti e delle funzioni istituzionali in materia di prevenzione, diagnosi, cura e riabilitazione delle malattie, nonché di programmazione tecnico sanitaria di rilievo nazionale e indirizzo, coordinamento, monitoraggio dell'attività tecnico sanitaria regionale, possa trattare, ai sensi dell'articolo 2-sexies, comma 2, lettera v) del Codice, i dati personali anche relativi alla salute, degli assistiti, raccolti nei sistemi informativi del Servizio sanitario nazionale, per lo sviluppo di metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione (art. 7, comma 1).

Con decreto del Ministro della salute, di natura non regolamentare, previo parere del Garante, è previsto che siano individuati i dati personali, anche inerenti alle categorie particolari, che possono essere trattati a tal fine, le operazioni eseguibili, le modalità di acquisizione dei dati dai sistemi informativi dei soggetti che li detengono e le misure appropriate e specifiche per tutelare i diritti degli interessati, nonché i tempi di conservazione dei dati trattati (art. 7, comma 2).

Per lo sviluppo della suddetta metodologia e per la predisposizione del previsto parere, il Ministero della salute ha istituito un gruppo interistituzionale, volto all’elaborazione della versione prototipale del modello predittivo, idoneo a valutare il fabbisogno della popolazione italiana, attraverso la profilazione del rischio sanitario individuale e la successiva stratificazione per classi di morbilità della stessa, cui sono state invitate a partecipare anche otto regioni/province autonome (Lazio, Emilia-Romagna, Lombardia, Piemonte, Puglia, Toscana e Veneto e alla Provincia Autonoma di Bolzano) nonché il Garante in qualità di uditore.

Con riferimento al trattamento dei dati in esame, si richiamano le recenti modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito con modificazione in legge 3 dicembre 2021, n. 205, all’art. 2 sexies del Codice e al citato art. 7 del decreto legge n. 34 del 2020. In particolare, con il predetto intervento normativo è stato previsto che i dati personali relativi alla salute, privati di elementi identificativi diretti, possano essere trattati dal Ministero della salute e da altri enti tra cui le regioni/province autonome, relativamente ai propri assistiti, anche mediante l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico, aventi finalità compatibili con quelle sottese al trattamento, con le modalità e per le finalità che saranno stabilite con decreto del Ministro della salute, che dovrà essere adottato previo parere del Garante e nel rispetto di quanto previsto dal Regolamento, dal Codice, dal Codice dell'amministrazione digitale e dalle linee guida dell'Agenzia per l'Italia digitale in materia di interoperabilità (art. 2-sexies, comma 1-bis).

Con la legge di conversione del decreto legge n. 139 del 2021, è stata,  inoltre modificata la disposizione relativa alle metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione, con l’introduzione, in particolare, all’art.7 del d.l. 34 del 2020, di una disposizione- in vigore, quindi dall’8 dicembre 2021-, secondo cui, nelle more dell'adozione del richiamato decreto, il Ministero della salute può avviare le attività relative alla classificazione delle patologie croniche presenti nella popolazione italiana, limitatamente alla costruzione di modelli analitici prodromici alla realizzazione del modello predittivo del fabbisogno di salute della popolazione, garantendo che gli interessati non siano direttamente identificabili (art. 7, comma 2 bis).

2. L’attività istruttoria

In relazione all’attività svolta dal richiamato gruppo interistituzionale, l’Ufficio ha richiesto informazioni al Ministero della salute, al fine di valutare la conformità alla disciplina vigente in materia di protezione dei dati personali delle attività in corso per la realizzazione della suddetta versione prototipale del modello predittivo (nota del XX, prot. n. XX). In particolare, l’Ufficio ha chiesto elementi in merito ai dati personali che le predette regioni/Provincia autonoma hanno fornito al Ministero ai fini dello sviluppo del predetto modello prototipale, con specifico riferimento alla base giuridica e ai ruoli assunti da parte dei soggetti a vario titolo coinvolti nel trattamento.

Al riguardo, il Ministero ha rappresentato di aver “recepito esclusivamente elaborati statistici già aggregati da (…) otto Regioni italiane” (tra cui la Regione Lazio), che “hanno agito quali autonomi titolari del trattamento, nell’ambito di proprie attività istituzionali, che prevedono l’interconnessione e la successiva aggregazione per scopi di ricerca scientifica, nonché di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria” (nota del XX, prot. n. XX).

In relazione a quanto rappresentato dal Ministero della salute, l’Ufficio ha avviato un’istruttoria preliminare nei confronti delle predette regioni/Provincia autonoma, ivi compresa la Regione Lazio, con particolare riferimento ai trattamenti dalle stesse effettuati nell’ambito delle attività promosse dal Ministero della salute per la realizzazione della suddetta versione prototipale del modello predittivo (nota del XX, prot. n. XX).

La Regione Lazio, come ciascuna delle regioni/Provincia autonoma coinvolte nell’attività istruttoria dell’Ufficio, ha inviato un documento strutturato in modo unitario che evidenzia l’“apporto coordinato ed omogeneo delle Regioni, seppure calato all’interno del singolo contesto regionale” al citato progetto ministeriale.

In particolare, la Regione Lazio, in riscontro alla richiamata richiesta di informazioni dell’Ufficio, ha rappresentato - ai sensi dell’art. 168 del Codice- quanto segue:

il Ministero della salute ha avviato un’attività di collaborazione con le citate regioni/Provincia autonoma al fine di realizzare un primo test metodologico volto a definire una versione prototipale del modello predittivo previsto dall’art. 7 del richiamato d.l. n. 34 del 2020;

già dalla fine del 2018, infatti, il Ministero della Salute aveva avviato “le attività previste per la realizzazione del progetto denominato PON GOV Resilienza "Analisi dei fattori di produzione per resilienza e sviluppo del SSN, con l'obiettivo di costruire un modello previsionale di supporto alla valutazione di interventi di politica sanitaria”;

a tale fine, il Ministero della Salute ha coinvolto i richiamati enti nel “processo di definizione dei criteri alla base del futuro sistema di stratificazione, ritenendo che lo sviluppo dei necessari algoritmi non potesse che essere il frutto della ricognizione degli attuali sistemi in uso a livello regionale, della loro validazione a livello nazionale e della conseguente sintesi e integrazione”;

“le Regioni, tra cui la Regione Lazio, hanno partecipato a vari gruppi di lavoro, istituiti dal Ministero, con l’intento di individuare, con la condivisione dell’Autorità Garante per la protezione dei dati personali, elementi utili per la definizione del patrimonio informativo minimo da interconnettere per lo sviluppo delle metodologie predittive relative all’evoluzione del fabbisogno di salute della popolazione”;

“nell’ottica di test pilota il Ministero ha richiesto alle otto regioni suindicate un’estrazione dai propri flussi informativi - con tracciato e denominazione dei campi predeterminati dal Ministero stesso - consistente in elaborati statistici aggregati ed anonimi contenenti informazioni di natura demografica (sesso, classe d’età), di gruppi nosologici e di consumo di risorse (costo complessivo per i diversi setting assistenziali di specialistica ambulatoriale, farmaceutica e ricoveri ospedalieri)”;

“Il Ministero ha effettuato tale richiesta per acquisire le informazioni e gli elementi che sarebbero stati poi necessari al gruppo di lavoro per la stesura del Regolamento previsto dall’art. 7, comma 2, della norma di Legge richiamata”;

“Il Ministero ha richiesto alle Regioni l’aggregazione di dati che le stesse trattano in virtù della nota Scheda n. 12 del Regolamento regionale per il trattamento di dati sensibili e giudiziari, seppure per finalità proprie di programmazione”. I dati hanno riguardato, in particolare, le informazioni indicate in una specifica tabella predisposta dal dicastero, trasmessa in atti;

con riferimento ai dati trattati per soddisfare la richiesta del Ministero, è stato precisato che “non sussistono dati identificativi diretti e che i dati sono pseudonimizzati alla fonte a mezzo dei noti meccanismi di cifratura applicati dalle Regioni” e che “il Ministero ha identificato criteri di aggregazione aderenti ad una soglia minima di frequenza per ogni combinazione pari a 3, anche in accordo all’art. 4, Allegato 1, delle “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 19 dicembre 2018”; ciò al fine di garantire l’impossibilità di identificazione, anche indiretta, delle persone fisiche con l’aggregazione dei dati sopra definita”;

da un punto operativo, il Ministero ha messo a disposizione delle regioni/Provincia autonoma coinvolte uno “specifico modello di analisi (tool)” per la fornitura di dati aggregati e anonimi, ciò al fine di garantire l’impossibilità di identificazione, anche indiretta, delle persone fisiche e che successivamente la Regione Lazio ha provveduto a cancellare i “report (…), e al fine di garantire la non replicabilità del trattamento”, (…) e il tool fornito dal Ministero”;

con riferimento al richiamato tool è stato altresì precisato che esso ha semplicemente “consentito un’aggregazione elementare; in termini informatici si tratta di una query che non fa uso di tecniche e strumenti di AI e machine learning”. Più nello specifico è stato rappresentato che:

“dall’aggregazione di dati non è discesa (né sarebbe potuta discendere) alcuna decisione riguardante la sfera pubblica e privata dei cittadini [...]”;

“il tool non era assolutamente in grado di definire una “decisione algoritmica”;

“non sussistono in alcun modo profili di discriminazione algoritmica, sia in ragione di quanto riportato nei due punti che precedono, sia perché la classificazione delle informazioni è stata definita dal Ministero per categorie molto ampie”;

infine, anche in ragione della stretta collaborazione con il Ministero della salute, la Regione Lazio ha dichiarato di “non essere legittimata (né onerata) ad operare un’autonoma valutazione d’impatto”.

2.1 Il procedimento sanzionatorio

A seguito del predetto riscontro, l’Ufficio, con atto n. XX del XX, con riferimento alle specifiche situazioni di illiceità in esso richiamate, ha notificato alla Regione Lazio, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). In particolare, l’Ufficio ha rilevato la sussistenza di elementi idonei a configurare da parte della Regione Lazio la violazione della normativa in materia di protezione dei dati personali in relazione al trattamento di dati personali relativi alla salute, seppur trattati in forma pseudonimizzata, in assenza di idonea base giuridica e quindi in violazione dei principi di liceità, correttezza e trasparenza e senza condurre una preventiva valutazione d’impatto (artt. 5, par. 1, lett. a), 6, 9 e 35 del Regolamento).

Con la nota del XX (prot. n. XX), la Regione Lazio ha fatto pervenire i propri scritti difensivi avanzando, contestualmente alle altre sette regioni/Provincia autonoma coinvolte nel trattamento in esame, un’istanza formale di audizione. 

Nelle proprie difese, la Regione Lazio, nel ribadire quanto già rappresentato in sede di istruttoria preliminare, ha evidenziato, in particolare che:

il Ministero ha chiesto alle regioni/Provincia autonoma “un set di dati aggregati ed anonimi contenenti informazioni di natura demografica (sesso, ampie classi d'età), di combinazioni di patologia e di consumo di risorse (costo complessivo per i diversi setting assistenziali di specialistica ambulatoriale, farmaceutica e ricoveri ospedalieri)”;

l’aggregazione e anonimizzazione dei dati si è basata su un algoritmo “funzionale all'analisi degli elementi necessari alle operazioni di definizione del modello predittivo (e non di esercizio dello stesso) da parte del Ministero”. Ciò al fine di avviare in via provvisoria “ln attesa dell'assenso del Garante della Privacy alla possibilità di interconnettere i flussi NSIS a livello nazionale”, l’acquisizione dei dati necessari per il progetto di stratificazione della popolazione, di competenza del Dicastero;

“l'elaborazione statistica [effettuata dalla Regione] non era correlata ad alcun profilo di rischio, ma era funzionale all'analisi e alla definizione dei requisiti del modello” senza contemplare l’utilizzo di logiche algoritmiche predittive e di machine learning;

semplicemente “la fase di generazione delle statistiche aggregate si è focalizzata sull'applicazione di ulteriori logiche deterministiche con lo scopo di ottenere una statistica descrittiva di quanto rilevato nella prima fase, garantendo contemporaneamente l'impossibilità diretta o indiretta di identificazione della persona fisica”; ciò attraverso la rilevazione presso “banche dati delle prestazioni (anagrafe, ricoveri ospedalieri, farmaceutica e specialistica ambulatoriale) o del registro delle esenzioni”, di dati in forma aggregata relativi alla prevalenza di specifiche malattie croniche (n. 65) della popolazione di riferimento.

Con specifico riferimento al presupposto di liceità dei trattamenti in esame, la Regione Lazio ha ribadito che “non ha compiuto le elaborazioni di dati personali oggetto di contestazione per finalità di programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, (…) non ha utilizzato i dati per alcuna finalità del proprio perimetro di Titolarità di trattamento”, essendosi limitata a dare seguito “all'iniziativa di cui alla richiamata nota del Ministero del XX nell'ottica di consentire al Dicastero di definire gli elementi utili per la definizione del patrimonio informativo minimo da interconnettere per lo sviluppo delle metodologie predittive relative all'evoluzione del fabbisogno di salute della popolazione”. Su tali basi, la Regione ha ritenuto che rispetto ai trattamenti in questione la titolarità debba essere riconosciuta in capo al Ministero della salute, e ha citato a supporto della propria tesi difensiva le “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”.

Conseguentemente, con riferimento all’obbligo di redigere la valutazione d’impatto, ai sensi dell’art. 35 del Regolamento, la Regione Lazio ha ritenuto che tale adempimento spettasse al Ministero della salute in quanto titolare dei trattamenti in esame.

In considerazione di quanto rappresentato, la Regione Lazio, in relazione agli elementi di cui all’art. 83, par. 2 del Regolamento, ha ritenuto che la condotta assunta non possa avere arrecato alcun danno fisico, materiale o morale agli interessati coinvolti, “ciò anche in relazione alla durata del trattamento che è stata estremamente limitata nel tempo ovvero è stata compiuta un’elaborazione singola cui non è stato dato alcun seguito” (art. 83, par. 2, lett. a) del Regolamento).

È stata rappresentata, inoltre, “la totale e incondizionata buona fede” della Regione Lazio che ha dato seguito ad una specifica richiesta del Ministero della salute nell’ambito dell’attività di collaborazione interistituzionale e ritenuto pertanto l’elaborazione di dati effettuata giuridicamente lecita. La Regione, sulla base del convincimento formatosi in ordine alla liceità del trattamento, ha rappresentato, quindi di non poter essere considerata responsabile di alcuna violazione né a titolo di colpa, né tanto meno a titolo di dolo (art. 83, par. 2, lett. b) del Regolamento).

Giusta la natura pseudonimizzata dai dati relativi alla salute trattati dalla Regione e la natura aggregata e anonima delle informazioni successivamente rese al Ministero, la Regione ha dichiarato inoltre che non vi è stata possibilità alcuna per il Ministero di reidentificare gli interessati (art. 83, par. 2, lett. c), d) e g) del Regolamento).

La Regione ha poi sottolineato di avere avuto, insieme alle altre regioni/Provincia autonoma coinvolte, una condotta estremamente trasparente e collaborativa nel dialogo con l’Autorità (art. 83, par. 2, lett. f) del Regolamento).

La Regione Lazio, nell’evidenziare che l’Autorità è venuta a conoscenza della condotta nell’ambito dei lavori del richiamato gruppo interistituzionale per l’adozione del regolamento ex art. 7 del d.l. n. 34 del 2020 e che non vi sono precedenti analoghi a carico della stessa, ha dichiarato di aver provveduto alla tempestiva cancellazione delle informazioni elaborate per rispondere alla richiesta del Ministero e del tool fornito da quest’ultimo (art. 83, par. 2, lett. i) del Regolamento).

Come richiesto nella memoria difensiva, il XX si è svolta l’audizione da remoto della Regione Lazio contestualmente a quella delle altre regioni/Provincia autonoma coinvolte nei trattamenti in esame. In sede di audizione, la Regione Lazio ha richiamato quanto rappresentato in un documento condiviso con i predetti enti denominato “’Appunto predisposto congiuntamente dalle Regioni in vista della partecipazione all’audizione del XX” acquisito agli atti. Successivamente, la Regione Lazio ha fatto pervenire, in data XX, ulteriori elementi contenuti in un documento datato XX, prot. XX.

In tale documento condiviso è stato sottolineato, in particolare, che l’aggregazione di dati operata su mandato del Ministero “non è correlata a profili di rischio” dei pazienti, e “il livello di offensività della condotta delle parti interessate, e soprattutto le conseguenze che da tale condotta, e quindi, da tale aggregazione discendono per gli interessati, sia nel senso di conseguenze dirette per ciascuno di essi sia nel senso di conseguenze in termini di politica sanitaria considerando l’aggregato statistico” è sostanzialmente nullo. Ciò in quanto l’impossibilità di reidentificazione degli interessati esclude che la condotta possa avere provocato conseguenze dirette su di essi e “l’insieme di dati aggregati e anonimizzati non è stato utilizzato dalle Regioni per alcuna attività di programmazione sanitaria (e affini) né pare (...) che lo stesso Ministero abbia utilizzato tali estrapolazioni per l’esercizio di modelli predittivi”.

È stato sottolineato, inoltre, come “le recenti modifiche normative apportate dalle disposizioni introdotte in sede di conversione del D.L. 139/2021, avranno indubbiamente un impatto sulle interazioni che intercorreranno tra le Regioni e le Province autonome e il Ministero. Si ritiene che la disposizione di cui al neo comma 1bis dell’art. 2sexies del D.lgs. 196/2003 (che per inciso, si ritiene non brilli per chiarezza espositiva), abbia introdotto un meccanismo di disciplina forte delle interazioni sopra citate prevendendo in capo al Ministero l’onere di definire con proprio decreto finalità e modalità dei trattamenti. Appare sorprendente la coincidenza temporale dell’approvazione di tale norma con l’avvenuta contestazione della fattispecie che nostro malgrado oggi ci occupa, considerando, altresì, che proprio questa tipologia di fattispecie sarà terreno elettivo dei decreti Ministeriali già citati”.

Nella integrazione delle proprie difese, trasmesse in data XX, la Regione Lazio ha dichiarato che:

nel Regolamento per il trattamento dei dati sensibili e giudiziari del 25 maggio 2006, n. 5, alla scheda n. 12 (versione redatta dalla Regione Lazio) “viene chiaramente individuata la finalità del trattamento e la correlata base giuridica. Segnatamente, nella scheda viene indicato che il trattamento in parola è effettuato per rispondere alla necessità «di valutare e confrontare (tra gruppi di popolazione o tra strutture) l'appropriatezza, l'efficacia e l'efficienza dell'assistenza erogata, anche con riferimento a specifiche patologie o problematiche sanitarie e anche attraverso la caratterizzazione dell'esposizione a fattori di rischio, la ricostruzione dei percorsi diagnostici, terapeutici e assistenziali e l'analisi e il confronto degli esiti di salute; per tali scopi la Regione ha necessità di effettuare, sulla base di dati privi di elementi identificativi diretti, l'elaborazione e l'interconnessione, con modalità informatizzate, di dati personali gestiti nell'ambito dei diversi archivi del Sistema Informativo Sanitario a livello regionale»;

“nella scheda sono indicate tra le "Fonti Normative Legislative" che fondano il trattamento, le: «Leggi regionali finanziarie e in materia sanitaria; Leggi regionali istitutive delle Agenzie, Enti regionali e Istituti scientifici regionali in ambito sanitario»”;

la “Legge Regionale n. 16/1999, recante "Istituzione dell'Agenzia di Sanità Pubblica della Regione Lazio" prevede all'articolo 6 che “«1. L'ASP svolge attività di supporto tecnico-scientifico all'assessorato regionale alla salvaguardia e cura della salute in materia di:

“b) progettazione, promozione e sviluppo di modelli organizzativo-gestionali   innovativi, anche su base sperimentale, orientati all'efficienza, all'efficacia e al miglioramento qualitativo dei servizi sanitari; [...

d) monitoraggio del processo di attuazione del piano sanitario regionale e dello stato di salute della popolazione;

e) analisi dell'impatto economico conseguente alla realizzazione degli obiettivi programmatici regionali nonché del rapporto costi-efficacia e costi-benefici anche al fine di un corretto dimensionamento del sistema tariffario e del riparto delle risorse finanziarie»”;

la successiva legge regionale n. 4/2013 ha poi previsto, “tra le altre cose, che le competenze dell'ASP venissero «trasferite, a partire dal 1° dicembre 2013 alla Giunta regionale ed al dipartimento di epidemiologia della ASL RM/E» (cfr. articolo 35, comma 1).

nello specifico alla competente Direzione della Regione “sono state attribuite le competenze in materia di «funzioni di sanità pubblica, programmi e progetti di studio e ricerca de/ SSR sulle materie di competenza”. Mentre, sono state attribuite al Dipartimento di Epidemiologia della ASL RM/E “complementari competenze in materia di «valutazione epidemiologica sullo stato di salute della popolazione, valutazione di esito, prestazione, qualità e rischio clinico, epidemiologia ambientale, occupazionale e sociale, programmi di ricerca del SSR sulle materie di competenza» (cfr. articolo 35, comma 4), prevedendo specifici obblighi di cooperazione e scambio dati tra le due realtà (cfr. commi 3 e 5 del medesimo articolo);

“Il Regolamento per il trattamento dei dati sensibili e giudiziari, dunque, non costituisce la base giuridica del trattamento svolto, ma individua per relationem le basi giuridiche del trattamento in conformità con l'articolo 3 della legge n. 241/1990. Nella scheda 12, dunque, sono analiticamente riassunte ed elencate le diverse e molteplici fonti normative in esecuzione delle quali la Regione ha acquisito, nell'ambito di vari trattamenti, i dati poi trasferiti al Ministero per le valutazioni predittive di interessa”.

“la Regione Lazio, già prima dell'adozione del D.L n. 34/2020, era legittimata a trattare i dati in questione per il monitoraggio e la valutazione dell'efficacia dei trattamenti sanitari erogati. Proprio in forza di tale pregressa e legittima attività, infatti, la Regione non ha avuto problemi a procedere, nei termini descritti dal Ministero, alla aggregazione e anonimizzazione dei dati”;

“Ne consegue inoltre che, contrariamente a quanto prospettato da Codesta Autorità, il trattamento in questione presenta una base giuridica risalente nel tempo e fino ad oggi mai posta in discussione”;

“la scheda 12 del Regolamento citato ricomprende anche il trattamento di dati in esame e, pertanto, legittimano l'attività di raccolta dei dati che sono poi stati trasferiti al Ministero nei termini e nelle modalità di cui al D.L. n. 34/2020 richiamato”;

A supporto della propria tesi difensiva, la Regione Lazio ha richiamato infine il parere reso dal Garante alla Provincia autonoma di Trento dell’8 maggio 2020 relativo alla medicina di iniziativa quale modello assistenziale del sistema sanitario provinciale (doc. web n. 9344635).

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dalla Regione nella documentazione in atti e nelle memorie difensive, si osserva preliminarmente che, ai sensi del Regolamento, i dati personali devono essere trattati in modo lecito, corretto e trasparente (art. 5, par. 1 lett. a) del Regolamento).

In tale quadro, vige un generale divieto di trattamento delle categorie particolari di dati di cui all’art. 9, par. 1, del Regolamento tra cui rilevano quelli relativi alla salute, salvo che non ricorra una delle deroghe di cui al par. 2 del medesimo articolo. Per ciò che qui rileva, si segnala, in particolare, la deroga di cui all’art. 9, par. 2 lett. g), in base alla quale tali categorie particolari di dati possono essere trattati se necessari “per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”.  In tale contesto si colloca l’art. 2-sexies del Codice, come di recente modificato dal d.l. n. 139 del 2021, richiamato in premessa.

In relazione all’obbligo di redigere la valutazione d’impatto, l’art. 35 del Regolamento dispone che, quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. A tal fine rilevano le Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679 - WP248rev.01 adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017.

Ciò premesso, alla luce del quadro normativo sopra richiamato, si confermano le valutazioni preliminari dell’Ufficio per le motivazioni di seguito riportate.

3.1 Titolarità e base giuridica del trattamento

Con specifico riferimento ai trattamenti in esame, si rileva che la Regione, al fine di rispondere alla richiesta del Ministero della salute, ha effettuato l’elaborazione e la successiva aggregazione di dati presenti nei sistemi informativi sanitari che detiene in qualità di titolare trattamento ex lege, in assenza di un idoneo presupposto giuridico (art. 4, n. 7 del Regolamento e Guidelines 07/2020 on the concepts of controller and processor in the GDPR, punto 21).

La circostanza che un soggetto terzo, nel caso in esame rappresentato dal Ministero della salute (cfr. art. 4, n. 10 del Regolamento), chieda a un titolare (Regione Lazio) di effettuare operazioni di trattamento su dati personali rispetto ai quali quest’ultimo è titolare, indicandone anche le modalità, non comporta infatti l’automatica attribuzione della titolarità in capo al richiedente, né tantomeno la perdita della titolarità da parte del soggetto che legittimamente detiene i dati. Spetta a quest’ultimo invero valutare la legittimità della richiesta e in particolare la sussistenza di una idonea base giuridica per effettuare le operazioni di trattamento richieste, tanto più che, nel caso di specie, le predette operazioni hanno riguardato dati sulla salute di tutta la popolazione assistita regionale attraverso l’uso di algoritmi.

Diversamente opinando, si determinerebbe il paradosso secondo cui chiunque richiedesse a un titolare di effettuare operazioni di trattamento sulle banche dati di quest’ultimo, ne diverrebbe automaticamente titolare.

La Regione Lazio, pertanto, per rispondere alla richiesta del Ministero della salute ha elaborato i dati personali di cui ha la disponibilità in qualità di titolare del trattamento. Secondo quanto dichiarato in atti, infatti, la Regione, al fine di dare seguito “all'iniziativa di cui alla richiamata nota del Ministero del XX” ha elaborato i dati personali presenti nei sistemi informativi regionali al di fuori delle “finalità di programmazione, gestione, controllo e valutazione dell'assistenza sanitaria” dalla stessa perseguite.

Tale attività risulta quindi priva di idonea base giuridica, atteso che il trattamento è stato effettuato al di fuori delle finalità legittimamente perseguibili da parte della Regione nell’ambito delle funzioni istituzionali ad essa attribuite e che la disciplina vigente all’epoca dei fatti in esame attribuisce al solo Ministero della salute il compito di trattare i dati personali raccolti nei sistemi informativi del Servizio sanitario nazionale, per lo sviluppo di metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione.

Si osserva, inoltre, che l’attuazione di quanto disposto nell’art. 7 del d.l. 34 del 2020 è demandata ad un decreto del Ministero della salute da adottarsi, tra l’altro, previo parere dell’Autorità, che, allo stato, non risulta ancora emanato (art. 7, comma 2, del d.l. 34 del 2020).

Merita altresì evidenziare che quando sono stati effettuati i trattamenti in questione da parte della Regione non risultava ancora vigente il comma 2-bis dell’art. 7 del d.l. 34 2020, introdotto con il richiamato d.l. 139 del 2021, in base al quale “Nelle more dell'adozione del decreto di cui al comma 2, il Ministero della salute avvia le attività relative alla classificazione delle patologie croniche presenti nella popolazione italiana, limitatamente alla costruzione di modelli analitici prodromici alla realizzazione del modello predittivo del fabbisogno di salute della popolazione, garantendo che gli interessati non siano direttamente identificabili”.

In merito all’individuazione della base giuridica del trattamento si rileva inoltre una contraddizione in relazione a quanto rappresentato dalla Regione Lazio nella documentazione in atti. La Regione, infatti, da un lato dichiara che il trattamento in esame è stato effettuato esclusivamente per consentire al Ministero di sviluppare il modello prototipale previsto dall’art. 7 del d.l. n. 34 del 2020 e, quindi, al di fuori delle “finalità del proprio perimetro di Titolarità di trattamento”, dall’altro riconduce la base giuridica di tali trattamenti a quanto previsto nella scheda n. 12 del Regolamento sul trattamento dei dati sensibili e giudiziari di titolarità della Regione, adottato il 25 maggio 2006 in attuazione dell’art. 20 del Codice all’epoca vigente (Attività di programmazione, gestione, controllo e valutazione dell'assistenza sanitaria).

Ciò rilevato, si rappresenta che la base giuridica dei trattamenti effettuati dalla Regione non può essere rinvenuta neanche nel regolamento per il trattamento dei dati sensibili e giudiziari per le seguenti principali motivazioni.

In primo luogo, si evidenzia che la predetta scheda n. 12 disciplina i trattamenti di dati anche relativi alla salute effettuati dalla Regione per attività diverse da quelle perseguite nel caso di specie, ovvero per finalità di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria.

Si rileva poi che subito dopo la piena applicazione del Regolamento europeo, il Garante ha rappresentato che tali atti, pur mantenendo la loro efficacia, possono disciplinare esclusivamente i trattamenti di dati personali ivi descritti che sono svolti dalle regioni/Provincia autonoma, in qualità di autonomi titolari del trattamento, per il perseguimento delle finalità alle stesse attribuite ed ivi indicate nell’ambito delle funzioni istituzionali di propria competenza (nota del Presidente Soro al Presidente del Consiglio dei Ministri del XX). Si ribadisce pertanto che i trattamenti di dati sulla salute, introdotti successivamente all’adozione dei predetti regolamenti, non possono trovare il loro presupposto giuridico in tali atti, ma in disposizioni successive che rispondano ai requisiti indicati dagli artt. 6 e 9 del Regolamento e dall’art. 2-sexies del Codice.

Pur riconoscendo l’intenzione della Regione di agire in un’ottica di leale collaborazione con il Dicastero di riferimento e quindi nella più assoluta buona fede, si osserva che la mera richiesta da parte del Ministero della salute di fornire dati aggregati estratti dai sistemi informativi sanitari regionali/provinciali non può considerarsi di per sé un presupposto idoneo a legittimare la consultazione, l’elaborazione dei dati e la loro successiva aggregazione da parte della Regione (cfr. Parere sullo schema di Direttiva del presidente dell’Istat recante Individuazione dei trattamenti dei dati personali di cui agli articoli 9 e 10 del regolamento (ue) 2016/679 nell’ambito del lavoro statistico alert-cov, ai sensi dell’art. 13 del d.l. n. 34 del 2020, provv. del 24 giugno 2021, doc web 9681795).

In altri termini, nonostante la richiesta sia pervenuta dal Ministero della salute per dar seguito ad una iniziativa legislativa che prevede il coinvolgimento anche delle regioni, la Regione Lazio, in qualità di titolare, sulla base dei principi di responsabilizzazione e di privacy by design, prima di procedere al trattamento, avrebbe dovuto verificare la sussistenza di un presupposto giuridico a tal fine idoneo. Ciò tenuto anche conto del fatto che la Regione partecipava al gruppo di lavoro volto proprio alla elaborazione del decreto attuativo che per legge avrebbe dovuto individuare i trattamenti di dati personali necessari per lo sviluppo di metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione, ivi inclusa l’elaborazione della versione prototipale del modello predittivo.

L’introduzione del comma 2-bis all’art.7 del 34 del 2020 conferma che anche i trattamenti effettuati dalle regioni/province autonome per contribuire allo sviluppo del predetto modello prototipale necessitassero di una specifica base normativa.

Con specifico riferimento a quanto rappresentato dalla Regione in merito al parere reso da questa Autorità alla Provincia autonoma di Trento in materia di medicina di iniziativa e di stratificazione della popolazione assistita, si osserva quanto segue.

Nel citato parere dell’8 maggio 2020, il Garante ha evidenziato che la disposizione elaborata dalla predetta Provincia presentava non poche criticità, in quanto volta a perseguire una pluralità di finalità (statistiche, di cura e amministrative), che si fondano su diversi presupposti di liceità, nonché ciascuna presidiata da diversi e specifici apparati di misure a tutela degli interessati, definite nelle discipline di riferimento. Ciò, in violazione dei principi di liceità, correttezza, limitazione della finalità, minimizzazione e sicurezza del Regolamento, in quanto si intendevano accomunare, senza le necessarie distinzioni, trattamenti effettuati per scopi statistici, finalità amministrative e di cura.

3.2 Valutazione di impatto.

Sulla base dell’erroneo presupposto di non essere titolare del trattamento, la Regione non ha quindi svolto rispetto ai trattamenti effettuati alcuna valutazione di impatto ai sensi dell’art. 35 del Regolamento, ritenendo in buona fede che tale compito spettasse al Ministero.

Alla luce della natura dei dati trattati e della numerosità dei soggetti interessati, il trattamento in esame rientra nei casi in cui il titolare del trattamento non può prescindere da una preventiva valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento e dei criteri individuati dal Gruppo art. 29 nelle Linee guida concernenti “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679, adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017. Nel caso in esame quindi il titolare avrebbe poi dovuto comprovare, sulla base di specifici indicatori (qualitativi, quantitativi), l’assenza di rischi di reidentificazione (cfr. provvedimento del Garante del 23 gennaio 2020, doc. web 9261093). La Regione, pertanto, in qualità di titolare dei dati oggetto di trattamento avrebbe dovuto condurre una valutazione di impatto ai sensi dell’art. 35 del Regolamento.

Si evidenzia, inoltre, che la circostanza che il trattamento dei dati in esame sia stato richiesto dal Ministero della salute, non può costituire una condizione esimente dall’obbligo di effettuare una valutazione di impatto, posto che la scelta di dar seguito alla richiesta del Ministero è stata operata dalla Regione che a tal fine ha elaborato i dati personali di cui è titolare.

Su tali basi, tenuto conto delle dichiarazioni raccolte nel corso dell'istruttoria - e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice "Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante"-, gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall'Ufficio con l'atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall'art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità dei trattamenti di dati personali effettuati dalla Regione Lazio in violazione dei principi di liceità, correttezza e trasparenza e senza condurre una preventiva valutazione d’impatto (artt. 5, par. 1, lett. a), 6, 9 e 35 del Regolamento).

Ciò premesso, tenuto conto che:

nonostante il trattamento ha avuto ad oggetto un’ingente mole di dati relativi alla salute, gli stessi sono stati comunicati al Ministero della salute in forma aggregata;

seppur la Regione ha mancato di verificare la sussistenza di una specifica base giuridica che legittimasse lo svolgimento delle operazioni di trattamento, essa ha agito, unitamente alle altre regioni/Provincia autonoma coinvolte, in buona fede e nell’ottica della più ampia collaborazione con il Ministero della Salute;

la novella del quadro normativo di riferimento dimostra l’intenzione del legislatore di coinvolgere le regioni/Provincia autonoma nello sviluppo delle metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione (art. 7, comma 2-bis del d.l. 34 del 2020);

i dati elaborati sono stati cancellati, cosi come il tool impiegato per l’estrazione e aggregazione degli stessi;

la Regione si è dimostrata collaborativa durante tutta la fase istruttoria e procedimentale;

non sono pervenuti reclami o segnalazioni al Garante sull'accaduto;
le circostanze del caso concreto inducono a qualificare lo stesso come "violazione minore", ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 20161679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento, ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per il mancato rispetto delle previsioni del Regolamento contenute negli artt. 5, par. 1, lett. a), 6, 9 e 35 del Regolamento.

Si rileva infine che ricorrono i presupposti di cui all'art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell'art. 57, par. l, lett. a) del Regolamento, dichiara l'illiceità del trattamento dei dati personali effettuato dalla Regione Lazio con sede legale in Via R. Raimondi Garibaldi 7 - 00145 Roma, C.F 80143490581, per la violazione del principio di liceità, correttezza e trasparenza del trattamento, di cui all’art. 5, par. 1, lett. a) del Regolamento e degli artt. 6, 9 e 35 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, ammonisce la predetta Regione, quale titolare del trattamento in questione, per aver violato gli artt. artt. 5, par. 1, lett. a), 6, 9 e 35 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 febbraio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Cerrina Feroni

IL VICE SEGRETARIO GENERALE
Filippi