g-docweb-display Portlet

Provvedimento del 24 febbraio 2022 [9752299]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9752299]

Provvedimento del 24 febbraio 2022

Registro dei provvedimenti
n. 67 del 24 febbraio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, l’avv. Guido Scorza, componente e il dott. Claudio Filippi, vice segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il decreto legge 19 maggio 2020, n. 34 legge, convertito con modificazioni in legge 17 luglio 2020, n. 77, e, in particolare, l’art. 7 relativo alle metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione;

VISTO il Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all’esercizio dei poteri demandati al Garante per la protezione dei dati personali, approvato con deliberazione del n. 98 del 4/4/2019, pubblicato in G.U. n. 106 dell’8/5/2019 e in www.gpdp.it, doc. web n. 9107633 (di seguito “Regolamento del Garante n. 1/2019”);

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

Relatore il prof. Pasquale Stanzione;

PREMESSO

1. Premessa

Il decreto legge 19 maggio 2020, n. 34, convertito con modificazioni in legge 17 luglio 2020, n. 77, ha previsto che il Ministero della salute, nell'ambito dei compiti e delle funzioni istituzionali in materia di prevenzione, diagnosi, cura e riabilitazione delle malattie, nonché di programmazione tecnico sanitaria di rilievo nazionale e indirizzo, coordinamento, monitoraggio dell'attività tecnico sanitaria regionale, possa trattare, ai sensi dell'articolo 2-sexies, comma 2, lettera v) del Codice, i dati personali anche relativi alla salute, degli assistiti, raccolti nei sistemi informativi del Servizio sanitario nazionale, per lo sviluppo di metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione (art. 7, comma 1).

Con decreto del Ministro della salute, di natura non regolamentare, previo parere del Garante, è previsto che siano individuati i dati personali, anche inerenti alle categorie particolari, che possono essere trattati a tal fine, le operazioni eseguibili, le modalità di acquisizione dei dati dai sistemi informativi dei soggetti che li detengono e le misure appropriate e specifiche per tutelare i diritti degli interessati, nonché i tempi di conservazione dei dati trattati (art. 7, comma 2).

Per lo sviluppo della suddetta metodologia e per la predisposizione del previsto parere, il Ministero della salute ha istituito un gruppo interistituzionale, volto all’elaborazione della versione prototipale del modello predittivo, idoneo a valutare il fabbisogno della popolazione italiana, attraverso la profilazione del rischio sanitario individuale e la successiva stratificazione per classi di morbilità della stessa, cui sono state invitate a partecipare anche otto regioni (Lazio, Emilia-Romagna, Lombardia, Piemonte, Puglia, Toscana e Veneto e alla Provincia Autonoma di Bolzano) nonché il Garante in qualità di uditore.

Con riferimento al trattamento dei dati in esame, si richiamano le recenti modifiche apportate dal d.l. 8 ottobre 2021, n. 139, convertito con modificazione in legge 3 dicembre 2021, n. 205, all’art. 2 sexies del Codice e al citato art. 7 del decreto legge n. 34 del 2020. In particolare, con il predetto intervento normativo è stato previsto che i dati personali relativi alla salute, privati di elementi identificativi diretti, possano essere trattati dal Ministero della salute e da altri enti tra cui le regioni/province autonome, relativamente ai propri assistiti, anche mediante l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, ivi incluso il Fascicolo sanitario elettronico, aventi finalità compatibili con quelle sottese al trattamento, con le modalità e per le finalità che saranno stabilite con decreto del Ministro della salute, che dovrà essere adottato previo parere del Garante e nel rispetto di quanto previsto dal Regolamento, dal Codice, dal Codice dell'amministrazione digitale e dalle linee guida dell'Agenzia per l'Italia digitale in materia di interoperabilità (art. 2-sexies, comma 1-bis).

Con la legge di conversione del decreto legge n. 139 del 2021, è stata, inoltre modificata la disposizione relativa alle metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione, con l’introduzione, in particolare, all’art.7 del d.l. 34 del 2020, di una disposizione- in vigore, quindi dall’8 dicembre 2021-, secondo cui, nelle more dell'adozione del richiamato decreto, il Ministero della salute può avviare le attività relative alla classificazione delle patologie croniche presenti nella popolazione italiana, limitatamente alla costruzione di modelli analitici prodromici alla realizzazione del modello predittivo del fabbisogno di salute della popolazione, garantendo che gli interessati non siano direttamente identificabili (art. 7, comma 2 bis).

2. L’attività istruttoria

In relazione all’attività svolta dal richiamato gruppo interistituzionale, l’Ufficio ha richiesto informazioni al Ministero della salute, al fine di valutare la conformità alla disciplina vigente in materia di protezione dei dati personali delle attività in corso per la realizzazione della suddetta versione prototipale del modello predittivo (nota del XX, prot. n. XX). In particolare, l’Ufficio ha chiesto elementi in merito ai dati personali che le predette regioni/Provincia autonoma hanno fornito al Ministero ai fini dello sviluppo del predetto modello prototipale, con specifico riferimento alla base giuridica e ai ruoli assunti da parte dei soggetti a vario titolo coinvolti nel trattamento.

Al riguardo, il Ministero ha rappresentato di aver “recepito esclusivamente elaborati statistici già aggregati da (…) otto Regioni italiane” (tra cui la Provincia autonoma di Bolzano), che “hanno agito quali autonomi titolari del trattamento, nell’ambito di proprie attività istituzionali, che prevedono l’interconnessione e la successiva aggregazione per scopi di ricerca scientifica, nonché di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria” (nota del XX, prot. n. XX).

In relazione a quanto rappresentato dal Ministero della salute, l’Ufficio ha avviato un’istruttoria preliminare nei confronti delle predette regioni, ivi compresa la Provincia autonoma di Bolzano, con particolare riferimento ai trattamenti dalle stesse effettuati nell’ambito delle attività promosse dal Ministero della salute per la realizzazione della suddetta versione prototipale del modello predittivo (nota del XX, prot. n. XX).

La Provincia autonoma di Bolzano, come ciascuna delle regioni coinvolte nell’attività istruttoria dell’Ufficio, ha inviato un documento strutturato in modo unitario che evidenzia l’“apporto coordinato ed omogeneo delle sette Regioni e della Provincia autonoma di Bolzano, seppure calato all’interno del singolo contesto regionale/provinciale” al citato progetto ministeriale.

In particolare, la Provincia autonoma di Bolzano, in riscontro alla richiamata richiesta di informazioni dell’Ufficio, ha rappresentato - ai sensi dell’art. 168 del Codice- quanto segue:

il Ministero della salute ha avviato un’attività di collaborazione con le citate regioni/Provincia autonoma al fine di realizzare un primo test metodologico volto a definire una versione prototipale del modello predittivo previsto dall’art. 7 del richiamato d.l. n. 34 del 2020;

già dalla fine del 2018, infatti, il Ministero della Salute aveva avviato “le attività previste dal progetto denominato PON GOV Resilienza "Analisi dei fattori di produzione per resilienza e sviluppo del SSN”, con l'obiettivo di costruire un modello previsionale di supporto alla valutazione di interventi di politica sanitaria”;

a tale fine, il Ministero della Salute ha coinvolto i richiamati enti nel “processo di definizione dei criteri alla base del futuro sistema di stratificazione, ritenendo che lo sviluppo dei necessari algoritmi non potesse che essere il frutto della ricognizione degli attuali sistemi in uso a livello regionale/provinciale, della loro validazione a livello nazionale e della conseguente sintesi e integrazione”;

“la Provincia autonoma di Bolzano ha partecipato – insieme alle altre sette regioni- a vari gruppi di lavoro, istituiti dal Ministero, con l’intento di individuare, con la condivisione dell’Autorità Garante per la protezione dei dati personali, elementi utili per la definizione del patrimonio informativo minimo da interconnettere per lo sviluppo delle metodologie predittive relative all’evoluzione del fabbisogno di salute della popolazione”;

“nell’ottica di test pilota, il Ministero ha richiesto alle sette regioni suindicate e a codesta Provincia autonoma un’estrazione dai propri flussi informativi - con tracciato e denominazione dei campi predeterminati dal Ministero stesso - consistente in elaborati statistici aggregati ed anonimi contenenti informazioni di natura demografica (sesso, classe d’età), di gruppi nosologici e di consumo di risorse (costo complessivo per i diversi setting assistenziali di specialistica ambulatoriale, farmaceutica e ricoveri ospedalieri)”;

“Il Ministero ha effettuato tale richiesta per acquisire le informazioni e gli elementi che sarebbero stati poi necessari al gruppo di lavoro per la stesura del Regolamento previsto dall’art. 7, comma 2, della norma di Legge richiamata”;

“Il Ministero ha richiesto l’aggregazione di dati seppure per finalità proprie di programmazione alle sette regioni -in virtù della nota Scheda n. 12 dei Regolamenti regionali per il trattamento di dati sensibili e giudiziari - e alla Provincia Autonoma di Bolzano – ai sensi del decreto del Presidente della Giunta provinciale 16 giugno 1994, n. 21 e successive modifiche, recante il “Regolamento per la disciplina dell'esercizio del diritto di accesso ai documenti amministrativi e del trattamento dei dati personali”, contenente l’elenco dei trattamenti di competenza della Provincia Autonoma di Bolzano”. I dati hanno riguardato, in particolare, le informazioni indicate in una specifica tabella predisposta dal dicastero, trasmessa in atti;

con riferimento ai dati trattati per soddisfare la richiesta del Ministero, è stato precisato che “non sussistono dati identificativi diretti e che i dati sono pseudonimizzati alla fonte a mezzo dei noti meccanismi di cifratura applicati dalle Regioni e dalla Provincia Autonoma di Bolzano” e che “il Ministero ha identificato criteri di aggregazione aderenti ad una soglia minima di frequenza per ogni combinazione pari a 3, anche in accordo all’art. 4, Allegato 1, delle “Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica pubblicate ai sensi dell’art. 20, comma 4, del d.lgs. 10 agosto 2018, n. 101 - 19 dicembre 2018”; ciò al fine di garantire l’impossibilità di identificazione, anche indiretta, delle persone fisiche con l’aggregazione dei dati sopra definita”;

da un punto operativo, il Ministero ha messo a disposizione delle Regioni coinvolte e della Provincia Autonoma di Bolzano uno “specifico modello di analisi (tool)” per la fornitura di dati aggregati e anonimi, ciò al fine di garantire l’impossibilità di identificazione, anche indiretta, delle persone fisiche e che successivamente la Provincia Autonoma di Bolzano ha provveduto a cancellare i “report (…), al fine di garantire la non replicabilità del trattamento”, (…) e il tool fornito dal Ministero”;

con riferimento al richiamato tool è stato altresì precisato che esso ha semplicemente “consentito un’aggregazione elementare; in termini informatici si tratta di una query che non fa uso di tecniche e strumenti di Artificial Intelligence (AI) e machine learning”. Più nello specifico è stato rappresentato che:

“dall’aggregazione di dati non è discesa (né sarebbe potuta discendere) alcuna decisione riguardante la sfera pubblica e privata dei cittadini [...]”;

“il tool non era assolutamente in grado di definire una “decisione algoritmica”;

“non sussistono in alcun modo profili di discriminazione algoritmica, sia in ragione di quanto riportato nei due punti che precedono, sia perché la classificazione delle informazioni è stata definita dal Ministero per categorie molto ampie”;

infine, anche in ragione della stretta collaborazione con il Ministero della salute, la Provincia Autonoma di Bolzano ha dichiarato di “non essere legittimata (né onerata) ad operare un’autonoma valutazione d’impatto”.

2.1 Il procedimento sanzionatorio

A seguito del predetto riscontro, l’Ufficio, con atto n. XX del XX, con riferimento alle specifiche situazioni di illiceità in esso richiamate, ha notificato alla Provincia Autonoma di Bolzano, ai sensi dell’art. 166, comma 5, del Codice, l’avvio del procedimento per l’adozione dei provvedimenti di cui all’articolo 58, paragrafo 2, del Regolamento, invitando il predetto titolare a produrre al Garante scritti difensivi o documenti ovvero a chiedere di essere sentito dall’Autorità (art. 166, commi 6 e 7, del Codice; nonché art. 18, comma 1, dalla legge n. 689 del 24/11/1981). In particolare, l’Ufficio ha rilevato la sussistenza di elementi idonei a configurare da parte della Provincia Autonoma di Bolzano la violazione della normativa in materia di protezione dei dati personali in relazione al trattamento di dati personali relativi alla salute, seppur trattati in forma pseudonimizzata, in assenza di idonea base giuridica e quindi in violazione dei principi di liceità, correttezza e trasparenza e senza condurre una preventiva valutazione d’impatto (artt. 5, par. 1, lett. a), 6, 9 e 35 del Regolamento).

Con la nota del XX, la Provincia Autonoma di Bolzano ha fatto pervenire i propri scritti difensivi avanzando, contestualmente alle altre sette regioni coinvolte nel trattamento in esame, un’istanza formale di audizione. 

Nelle proprie difese, la Provincia Autonoma di Bolzano, nel ribadire quanto già rappresentato in sede di istruttoria preliminare, ha evidenziato, in particolare che:

il Ministero ha chiesto alle Regioni e alla Provincia autonoma di Bolzano “un set di dati aggregati ed anonimi contenenti informazioni di natura demografica (sesso, ampie classi d'età), di combinazioni di patologia e di consumo di risorse (costo complessivo per i diversi setting assistenziali di specialistica ambulatoriale, farmaceutica e ricoveri ospedalieri)”;

l’aggregazione e anonimizzazione dei dati si è basata su un algoritmo “funzionale all'analisi degli elementi necessari alle operazioni di definizione del modello predittivo (e non di esercizio dello stesso) da parte del Ministero”. Ciò al fine di avviare in via provvisoria “ln attesa dell'assenso del Garante della Privacy alla possibilità di interconnettere i flussi NSIS a livello nazionale”, l’acquisizione dei dati necessari per il progetto di stratificazione della popolazione, di competenza del Dicastero;

“l'elaborazione statistica [effettuata dalla Provincia Autonoma di Bolzano] non era correlata ad alcun profilo di rischio, ma era funzionale all'analisi e alla definizione dei requisiti del modello” senza contemplare l’utilizzo di logiche algoritmiche predittive e di machine learning;

semplicemente “la fase di generazione delle statistiche aggregate si è focalizzata sull'applicazione di ulteriori logiche deterministiche con lo scopo di ottenere una statistica descrittiva di quanto rilevato nella prima fase, garantendo contemporaneamente l'impossibilità diretta o indiretta di identificazione della persona fisica”; ciò attraverso la rilevazione presso “banche dati delle prestazioni (anagrafe, ricoveri ospedalieri, farmaceutica e specialistica ambulatoriale) o del registro delle esenzioni”, di dati in forma aggregata relativi alla prevalenza di specifiche malattie croniche (n. 65) della popolazione di riferimento.

Con specifico riferimento al presupposto di liceità dei trattamenti in esame, la Provincia Autonoma di Bolzano ha ribadito che “non ha compiuto le elaborazioni di dati personali oggetto di contestazione per finalità di programmazione, gestione, controllo e valutazione dell'assistenza sanitaria, (…) non ha utilizzato i dati per alcuna finalità del proprio perimetro di Titolarità di trattamento”, essendosi limitata a dare seguito “all'iniziativa di cui alla richiamata nota del Ministero del XX nell'ottica di consentire al Dicastero di definire gli elementi utili per la definizione del patrimonio informativo minimo da interconnettere per lo sviluppo delle metodologie predittive relative all'evoluzione del fabbisogno di salute della popolazione”. Su tali basi, la Provincia Autonoma di Bolzano ha ritenuto che rispetto ai trattamenti in questione la titolarità debba essere riconosciuta in capo al Ministero della salute, e ha citato a supporto della propria tesi difensiva le “Guidelines 07/2020 on the concepts of controller and processor in the GDPR”.

Conseguentemente, con riferimento all’obbligo di redigere la valutazione d’impatto, ai sensi dell’art. 35 del Regolamento, la Provincia Autonoma di Bolzano ha ritenuto che tale adempimento spettasse al Ministero della salute in quanto titolare dei trattamenti in esame.

In considerazione di quanto rappresentato, la Provincia Autonoma di Bolzano, in relazione agli elementi di cui all’art. 83, par. 2 del Regolamento, ha ritenuto che la condotta assunta non possa avere arrecato alcun danno fisico, materiale o morale agli interessati coinvolti, “ciò anche in relazione alla durata del trattamento che è stata estremamente limitata nel tempo ovvero è stata compiuta un’elaborazione singola cui non è stato dato alcun seguito” (art. 83, par. 2, lett. a) del Regolamento).

È stata rappresentata, inoltre, “la totale e incondizionata buona fede” della Provincia Autonoma di Bolzano che ha dato seguito ad una specifica richiesta del Ministero della salute nell’ambito dell’attività di collaborazione interistituzionale e ritenuto pertanto l’elaborazione di dati effettuata giuridicamente lecita. La Provincia Autonoma di Bolzano, sulla base del convincimento formatosi in ordine alla liceità del trattamento, ha rappresentato, quindi di non poter essere considerata responsabile di alcuna violazione né a titolo di colpa, né tanto meno a titolo di dolo (art. 83, par. 2, lett. b) del Regolamento).

Giusta la natura pseudonimizzata dai dati relativi alla salute trattati dalla Provincia Autonoma di Bolzano e la natura aggregata e anonima delle informazioni successivamente rese al Ministero, la Provincia Autonoma di Bolzano ha dichiarato inoltre che non vi è stata possibilità alcuna per il Ministero di reidentificare gli interessati (art. 83, par. 2, lett. c), d) e g) del Regolamento).

La Provincia Autonoma di Bolzano ha poi sottolineato di avere avuto, insieme alle altre regioni coinvolte, una condotta estremamente trasparente e collaborativa nel dialogo con l’Autorità (art. 83, par. 2, lett. f) del Regolamento).

La Provincia Autonoma di Bolzano, nell’evidenziare che l’Autorità è venuta a conoscenza della condotta nell’ambito dei lavori del richiamato gruppo interistituzionale per l’adozione del regolamento ex art. 7 del d.l. n. 34 del 2020 e che non vi sono precedenti analoghi a carico della stessa, ha dichiarato di aver provveduto alla tempestiva cancellazione delle informazioni elaborate per rispondere alla richiesta del Ministero e del tool fornito da quest’ultimo (art. 83, par. 2, lett. i) del Regolamento).

Come richiesto nella memoria difensiva, il XX, si è svolta l’audizione da remoto della Provincia Autonoma di Bolzano contestualmente a quella delle altre regioni coinvolte nei trattamenti in esame. In sede di audizione, la Provincia Autonoma di Bolzano ha richiamato quanto rappresentato in un documento condiviso con i predetti enti denominato “’Appunto predisposto congiuntamente dalle Regioni in vista della partecipazione all’audizione del XX” acquisito agli atti.

In tale documento condiviso è stato sottolineato, in particolare, che l’aggregazione di dati operata su mandato del Ministero “non è correlata a profili di rischio” dei pazienti, e “il livello di offensività della condotta delle parti interessate, e soprattutto le conseguenze che da tale condotta, e quindi, da tale aggregazione discendono per gli interessati, sia nel senso di conseguenze dirette per ciascuno di essi sia nel senso di conseguenze in termini di politica sanitaria considerando l’aggregato statistico” è sostanzialmente nullo. Ciò in quanto l’impossibilità di reidentificazione degli interessati esclude che la condotta possa avere provocato conseguenze dirette su di essi e “l’insieme di dati aggregati e anonimizzati non è stato utilizzato dalle Regioni per alcuna attività di programmazione sanitaria (e affini) né pare (...) che lo stesso Ministero abbia utilizzato tali estrapolazioni per l’esercizio di modelli predittivi”.

È stato sottolineato, inoltre, come “le recenti modifiche normative apportate dalle disposizioni introdotte in sede di conversione del D.L. 139/2021, avranno indubbiamente un impatto sulle interazioni che intercorreranno tra le Regioni e le Province autonome e il Ministero. Si ritiene che la disposizione di cui al neo comma 1bis dell’art. 2sexies del D.lgs. 196/2003 (che per inciso, si ritiene non brilli per chiarezza espositiva), abbia introdotto un meccanismo di disciplina forte delle interazioni sopra citate prevendendo in capo al Ministero l’onere di definire con proprio decreto finalità e modalità dei trattamenti. Appare sorprendente la coincidenza temporale dell’approvazione di tale norma con l’avvenuta contestazione della fattispecie che nostro malgrado oggi ci occupa, considerando, altresì, che proprio questa tipologia di fattispecie sarà terreno elettivo dei decreti Ministeriali già citati”.

3. Esito dell’attività istruttoria

Preso atto di quanto rappresentato dalla Provincia Autonoma di Bolzano nella documentazione in atti e nelle memorie difensive, si osserva preliminarmente che, ai sensi del Regolamento, i dati personali devono essere trattati in modo lecito, corretto e trasparente (art. 5, par. 1 lett. a) del Regolamento).

In tale quadro, vige un generale divieto di trattamento delle categorie particolari di dati di cui all’art. 9, par. 1, del Regolamento tra cui rilevano quelli relativi alla salute, salvo che non ricorra una delle deroghe di cui al par. 2 del medesimo articolo. Per ciò che qui rileva, si segnala, in particolare, la deroga di cui all’art. 9, par. 2 lett. g), in base alla quale tali categorie particolari di dati possono essere trattati se necessari “per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”.  In tale contesto si colloca l’art. 2-sexies del Codice, come di recente modificato dal d.l. 139 del 2021, richiamato in premessa.

In relazione all’obbligo di redigere la valutazione d’impatto, l’art. 35 del Regolamento dispone che, quando un tipo di trattamento, allorché prevede in particolare l'uso di nuove tecnologie, considerati la natura, l'oggetto, il contesto e le finalità del trattamento, può presentare un rischio elevato per i diritti e le libertà delle persone fisiche, il titolare del trattamento deve effettuare, prima di procedere al trattamento, una valutazione dell'impatto dei trattamenti previsti sulla protezione dei dati personali. A tal fine rilevano le Linee-guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento "possa presentare un rischio elevato" ai sensi del regolamento 2016/679 - WP248rev.01 adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017.

Ciò premesso, alla luce del quadro normativo sopra richiamato, si confermano le valutazioni preliminari dell’Ufficio per le motivazioni di seguito riportate.

3.1 Titolarità e base giuridica del trattamento

Con specifico riferimento ai trattamenti in esame, si rileva che la Provincia Autonoma di Bolzano, al fine di rispondere alla richiesta del Ministero della salute, ha effettuato l’elaborazione e la successiva aggregazione di dati presenti nei sistemi informativi sanitari che detiene in qualità di titolare trattamento ex lege, in assenza di un idoneo presupposto giuridico (art. 4, n. 7 del Regolamento e Guidelines 07/2020 on the concepts of controller and processor in the GDPR, punto 21).

La circostanza che un soggetto terzo, nel caso in esame rappresentato dal Ministero della salute (cfr. art. 4, n. 10 del Regolamento), chieda a un titolare (Provincia Autonoma di Bolzano) di effettuare operazioni di trattamento su dati personali rispetto ai quali quest’ultimo è titolare, indicandone anche le modalità, non comporta infatti l’automatica attribuzione della titolarità in capo al richiedente, né tantomeno la perdita della titolarità da parte del soggetto che legittimamente detiene i dati. Spetta a quest’ultimo invero valutare la legittimità della richiesta e in particolare la sussistenza di una idonea base giuridica per effettuare le operazioni di trattamento richieste, tanto più che, nel caso di specie, le predette operazioni hanno riguardato dati sulla salute di tutta la popolazione assistita regionale attraverso l’uso di algoritmi.

Diversamente opinando, si determinerebbe il paradosso secondo cui chiunque richiedesse a un titolare di effettuare operazioni di trattamento sulle banche dati di quest’ultimo, ne diverrebbe automaticamente titolare.

La Provincia Autonoma di Bolzano, pertanto, per rispondere alla richiesta del Ministero della salute ha elaborato i dati personali di cui ha la disponibilità in qualità di titolare del trattamento. Secondo quanto dichiarato in atti, infatti, la Provincia Autonoma di Bolzano, al fine di dare seguito “all'iniziativa di cui alla richiamata nota del Ministero del XX” ha elaborato i dati personali presenti nei sistemi informativi provinciali al di fuori delle “finalità di programmazione, gestione, controllo e valutazione dell'assistenza sanitaria” dalla stessa perseguite.

Tale attività risulta quindi priva di idonea base giuridica, atteso che il trattamento è stato effettuato al di fuori delle finalità legittimamente perseguibili da parte della Provincia Autonoma di Bolzano nell’ambito delle funzioni istituzionali ad essa attribuite e che la disciplina vigente all’epoca dei fatti in esame attribuisce al solo Ministero della salute il compito di trattare i dati personali raccolti nei sistemi informativi del Servizio sanitario nazionale, per lo sviluppo di metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione.

Si osserva, inoltre, che l’attuazione di quanto disposto nell’art. 7 del d.l. 34 del 2020 è demandata ad un decreto del Ministero della salute da adottarsi, tra l’altro, previo parere dell’Autorità, che, allo stato, non risulta ancora emanato (art. 7, comma 2, del d.l. 34 del 2020).

Merita altresì evidenziare che quando sono stati effettuati i trattamenti in questione da parte della Provincia Autonoma di Bolzano non risultava ancora vigente il comma 2-bis dell’art. 7 del d.l. 34 2020, introdotto con il richiamato d.l. 139 del 2021, in base al quale “Nelle more dell'adozione del decreto di cui al comma 2, il Ministero della salute avvia le attività relative alla classificazione delle patologie croniche presenti nella popolazione italiana, limitatamente alla costruzione di modelli analitici prodromici alla realizzazione del modello predittivo del fabbisogno di salute della popolazione, garantendo che gli interessati non siano direttamente identificabili”.

In merito all’individuazione della base giuridica del trattamento si ribadisce, in via generale, che la base giuridica dei trattamenti effettuati dalla Regione non può essere rinvenuta neanche nel regolamento per il trattamento dei dati sensibili e giudiziari per le seguenti principali motivazioni.

In primo luogo, si evidenzia che la richiamata scheda n. 12 disciplina i trattamenti di dati anche relativi alla salute effettuati dalla Regione per attività diverse da quelle perseguite nel caso di specie, ovvero per finalità di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria.

Si rileva poi che subito dopo la piena applicazione del Regolamento europeo, il Garante ha rappresentato che tali atti, pur mantenendo la loro efficacia, possono disciplinare esclusivamente i trattamenti di dati personali ivi descritti che sono svolti dalle regioni/Provincia autonoma, in qualità di autonomi titolari del trattamento, per il perseguimento delle finalità alle stesse attribuite ed ivi indicate nell’ambito delle funzioni istituzionali di propria competenza (nota del Presidente Soro al Presidente del Consiglio dei Ministri del XX). Si ribadisce pertanto che i trattamenti di dati sulla salute, introdotti successivamente all’adozione dei predetti regolamenti, non possono trovare il loro presupposto giuridico in tali atti, ma in disposizioni successive che rispondano ai requisiti indicati dagli artt. 6 e 9 del Regolamento e dall’art. 2-sexies del Codice.Pur riconoscendo l’intenzione della Regione di agire in un’ottica di leale collaborazione con il Dicastero di riferimento e quindi nella più assoluta buona fede, si osserva che la mera richiesta da parte del Ministero della salute di fornire dati aggregati estratti dai sistemi informativi sanitari regionali/provinciali non può considerarsi di per sé un presupposto idoneo a legittimare la consultazione, l’elaborazione dei dati e la loro successiva aggregazione da parte della Regione (cfr. Parere sullo schema di Direttiva del presidente dell’Istat recante Individuazione dei trattamenti dei dati personali di cui agli articoli 9 e 10 del regolamento (ue) 2016/679 nell’ambito del lavoro statistico alert-cov, ai sensi dell’art. 13 del d.l. n. 34 del 2020, provv. del 24 giugno 2021, doc web 9681795).

Pur riconoscendo l’intenzione della Provincia Autonoma di Bolzano di agire in un’ottica di leale collaborazione con il Dicastero di riferimento e quindi nella più assoluta buona fede, si osserva che la mera richiesta da parte del Ministero della salute di fornire dati aggregati estratti dai sistemi informativi sanitari provinciali non può considerarsi di per sé un presupposto idoneo a legittimare la consultazione, l’elaborazione dei dati e la loro successiva aggregazione da parte della Provincia Autonoma di Bolzano (cfr. Parere sullo schema di Direttiva del presidente dell’Istat recante Individuazione dei trattamenti dei dati personali di cui agli articoli 9 e 10 del regolamento (ue) 2016/679 nell’ambito del lavoro statistico alert-cov, ai sensi dell’art. 13 del d.l. n. 34 del 2020, provv. del 24 giugno 2021, doc web 9681795).

In altri termini, nonostante la richiesta sia pervenuta dal Ministero della salute per dar seguito ad una iniziativa legislativa che prevede il coinvolgimento anche delle regioni/province, la Provincia Autonoma di Bolzano, in qualità di titolare, sulla base dei principi di responsabilizzazione e di privacy by design, prima di procedere al trattamento, avrebbe dovuto verificare la sussistenza di un presupposto giuridico a tal fine idoneo. Ciò tenuto anche conto del fatto che la Provincia Autonoma di Bolzano partecipava al gruppo di lavoro volto proprio alla elaborazione del decreto attuativo che per legge avrebbe dovuto individuare i trattamenti di dati personali necessari per lo sviluppo di metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione, ivi inclusa l’elaborazione della versione prototipale del modello predittivo.

L’introduzione del comma 2-bis all’art.7 del 34 del 2020 conferma che anche i trattamenti effettuati dalle regioni/province per contribuire allo sviluppo del predetto modello prototipale necessitassero di una specifica base normativa.

3.2 Valutazione di impatto.

Sulla base dell’erroneo presupposto di non essere titolare del trattamento, la Provincia Autonoma di Bolzano non ha quindi svolto rispetto ai trattamenti effettuati alcuna valutazione di impatto ai sensi dell’art. 35 del Regolamento, ritenendo in buona fede che tale compito spettasse al Ministero.

Alla luce della natura dei dati trattati e della numerosità dei soggetti interessati, il trattamento in esame rientra nei casi in cui il titolare del trattamento non può prescindere da una preventiva valutazione d’impatto sulla protezione dei dati, ai sensi dell’art. 35 del Regolamento e dei criteri individuati dal Gruppo art. 29 nelle Linee guida concernenti “Linee guida in materia di valutazione d'impatto sulla protezione dei dati e determinazione della possibilità che il trattamento "possa presentare un rischio elevato" ai fini del regolamento (UE) 2016/679, adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017. Nel caso in esame quindi il titolare avrebbe poi dovuto comprovare, sulla base di specifici indicatori (qualitativi, quantitativi), l’assenza di rischi di reidentificazione (cfr. provvedimento del Garante del 23 gennaio 2020, doc. web 9261093). La Provincia Autonoma di Bolzano, pertanto, in qualità di titolare dei dati oggetto di trattamento avrebbe dovuto condurre una valutazione di impatto ai sensi dell’art. 35 del Regolamento.

Si evidenzia, inoltre, che la circostanza che il trattamento dei dati in esame sia stato richiesto dal Ministero della salute, non può costituire una condizione esimente dall’obbligo di effettuare una valutazione di impatto, posto che la scelta di dar seguito alla richiesta del Ministero è stata operata dalla Provincia Autonoma di Bolzano che a tal fine ha elaborato i dati personali di cui è titolare.

Su tali basi, tenuto conto delle dichiarazioni raccolte nel corso dell'istruttoria - e considerato che, salvo che il fatto non costituisca più grave reato, chiunque, in un procedimento dinanzi al Garante, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi ne risponde ai sensi dell'art. 168 del Codice "Falsità nelle dichiarazioni al Garante e interruzione dell'esecuzione dei compiti o dell'esercizio dei poteri del Garante"-, gli elementi forniti dal titolare del trattamento nelle memorie difensive non consentono di superare i rilievi notificati dall'Ufficio con l'atto di avvio del procedimento, non ricorrendo, peraltro, alcuno dei casi previsti dall'art. 11 del Regolamento del Garante n. 1/2019.

Per tali ragioni, si confermano le valutazioni preliminari dell'Ufficio e si rileva l'illiceità dei trattamenti di dati personali effettuati dalla Provincia Autonoma di Bolzano in violazione dei principi di liceità, correttezza e trasparenza e senza condurre una preventiva valutazione d’impatto (artt. 5, par. 1, lett. a), 6, 9 e 35 del Regolamento).

Ciò premesso, tenuto conto che:

nonostante il trattamento ha avuto ad oggetto un’ingente mole di dati relativi alla salute, gli stessi sono stati comunicati al Ministero della salute in forma aggregata;

seppur la Provincia Autonoma di Bolzano ha mancato di verificare la sussistenza di una specifica base giuridica che legittimasse lo svolgimento delle operazioni di trattamento, essa ha agito, unitamente alle altre regioni coinvolte, in buona fede e nell’ottica della più ampia collaborazione con il Ministero della Salute;

la novella del quadro normativo di riferimento dimostra l’intenzione del legislatore di coinvolgere le regioni/province nello sviluppo delle metodologie predittive dell'evoluzione del fabbisogno di salute della popolazione (art. 7, comma 2-bis del d.l. 34 del 2020);

i dati elaborati sono stati cancellati, cosi come il tool impiegato per l’estrazione e aggregazione degli stessi;

la Provincia Autonoma di Bolzano si è dimostrata collaborativa durante tutta la fase istruttoria e procedimentale;

non sono pervenuti reclami o segnalazioni al Garante sull'accaduto;

le circostanze del caso concreto inducono a qualificare lo stesso come "violazione minore", ai sensi del considerando 148 del Regolamento e delle Linee guida WP 253, riguardanti l'applicazione e la previsione delle sanzioni amministrative pecuniarie ai fini del Regolamento (UE) n. 20161679.

Si ritiene, pertanto, relativamente al caso in esame, che sia sufficiente ammonire il titolare del trattamento, ai sensi degli artt. 58, par. 2, lett. b), e 83, par. 2, del Regolamento, per il mancato rispetto delle previsioni del Regolamento contenute negli artt. 5, par. 1, lett. a), 6, 9 e 35 del Regolamento.

Si rileva infine che ricorrono i presupposti di cui all'art. 17 del regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

TUTTO CIO’ PREMESSO IL GARANTE

a) ai sensi dell'art. 57, par. l, lett. a) del Regolamento, dichiara l'illiceità del trattamento dei dati personali effettuato dalla Provincia Autonoma di Bolzano con sede legale in via Canonico Michael Gamper 1, 39100 Bolzano, C.F 00390090215, per la violazione del principio di liceità, correttezza e trasparenza del trattamento, di cui all’art. 5, par. 1, lett. a) del Regolamento e degli artt. 6, 9 e 35 del Regolamento, nei termini di cui in motivazione;

b) ai sensi dell'art. 58, par. 2, lett. b) del Regolamento, ammonisce la Provincia Autonoma di Bolzano, quale titolare del trattamento in questione, per aver violato gli artt. artt. 5, par. 1, lett. a), 6, 9 e 35 del Regolamento, come sopra descritto;

c) ritiene che ricorrano i presupposti di cui all'art. 17 del Regolamento n. 1/2019 concernente le procedure interne aventi rilevanza esterna, finalizzate allo svolgimento dei compiti e all'esercizio dei poteri demandati al Garante.

Ai sensi dell’art. 78 del Regolamento, degli artt. 152 del Codice e 10 del d.lgs. n. 150/2011, avverso il presente provvedimento è possibile proporre ricorso dinnanzi all’Autorità giudiziaria ordinaria, a pena di inammissibilità, entro trenta giorni dalla data di comunicazione del provvedimento stesso ovvero entro sessanta giorni se il ricorrente risiede all’estero.

Roma, 24 febbraio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Stanzione

IL VICE SEGRETARIO GENERALE
Filippi