Garante per la protezione
    dei dati personali


Trattamento di dati personali contenuti nel Registro Italiano di Dialisi e Trapianto

PROVVEDIMENTO DEL 16 GENNAIO 2014

Registro dei provvedimenti
 n. 16 del 16 gennaio 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Indata odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssaAugusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici,della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia,segretario generale;

Vistigli atti degli accertamenti ispettivi effettuati d'ufficio presso la SocietàItaliana di Nefrologia con sede in Roma, Viale dell'Università n. 11, nonchépresso gli altri soggetti di cui la Società si avvale per l'alimentazione e lagestione del c.d. Registro italiano di dialisi e trapianto;

Vistale richieste di informazioni in atti;

Vistala documentazione inviata dalla Società italiana di nefrologia in risposta allepredette richieste di informazioni;

Vistala nota inviata dalla Società ad integrazione degli elementi prodottinell'ambito degli approfondimenti ispettivi in data 18 dicembre 2013successivamente integrata in data 8 gennaio 2014;

Vistigli atti d'Ufficio;

Vistigli artt. 13, 23, 106, 107 e 110 del Codice in materia di protezione dei datipersonali (d.lg. 30 giugno 2003, n. 196; di seguito "Codice");

Vistele osservazioni formulate dal segretario generale ai sensi dell'art. 15 delregolamento del Garante n. 1/2000;

Relatorela dott.ssa Giovanna Bianchi Clerici;

PREMESSO

Sonostati effettuati d'ufficio degli accertamenti ispettivi presso la SocietàItaliana di Nefrologia (SIN), associazione medico-scientifica senza scopo dilucro che promuove la disciplina della nefrologia, anche attraverso l'esame, lostudio e la discussione di problemi ad essa inerenti. Nel corso di taliaccertamenti, è stato accertato che il c.d. Registro Italiano di Dialisi eTrapianto (RIDT) è stato istituito su iniziativa della SIN nel 1996 attraversola raccolta di dati aggregati presso i c.d. Registri regionali/provinciali didialisi e trapianto (RR). A decorrere dall'anno 2003, il RIDT vieneimplementato con dati clinici disaggregati (riferiti a ciascun paziente coninsufficienza renale cronica in trattamento sostitutivo della funzione renalepresso i centri dialisi territoriali) non direttamente identificativi acquisitiannualmente dalla SIN presso i RR, sulla base della collaborazione volontariadei responsabili dei singoli RR. Ciò, senza che gli interessati siano aconoscenza della trasmissione dei dati che li riguardano alla SIN, la qualeritiene erroneamente, in proposito, di acquisire soltanto dati"anonimi" dai rispettivi RR. In particolare, tali dati consistono inun codice univoco regionale, non direttamente identificativo, associato ad unaserie di dati clinici riferiti ai singoli pazienti.

Alriguardo, è stato verificato che ai fini dell'alimentazione del RIDT, iresponsabili dei singoli RR, avvalendosi, in taluni casi, della collaborazionedi referenti tecnici, inviano mediante una web application -gestita da unasocietà esterna che fornisce alla SIN il supporto tecnologico per ilfunzionamento del RIDT- alcuni file contenenti una serie di dati cliniciestrapolati dal proprio registro regionale/provinciale (fatta eccezione peralcune regioni/province autonome che sono in grado di fornire soltanto datiaggregati o che non forniscono dati). Nello specifico, secondo quanto emersodagli approfondimenti ispettivi, ogni anno, per ciascun paziente con insufficienzarenale cronica (che nel corso dell'anno di riferimento ha iniziato, o haproseguito, una terapia renale sostitutiva), la SIN è destinataria dell'interoinsieme dei dati che popolano il RIDT, a partire quindi da quelli riferiti alladata del primo trattamento dialitico effettuato dall'interessato, ivi inclusequindi anche le informazioni relative agli anni precedenti a quello diriferimento.

Perciò che concerne il dettaglio delle informazioni raccolte presso i RR, dallerisultanze ispettive è stato verificato che i file inviati dai responsabili deisingoli registri sono associabili tra loro mediante una chiave univocacostituita dal codice che identifica la regione/provincia autonoma presso cuiinsiste il RR e dal codice che in ciascun registro regionale/provincialeidentifica il paziente cui i dati si riferiscono. In particolare, tali filecontengono dati disaggregati anagrafici (codice univoco del paziente, codicedella regione/provincia autonoma, data di nascita del paziente, sesso, codicerelativo alla nefropatia di base, data della prima dialisi, data eventuale didecesso, codice relativo alla causa del decesso), relativi ai trattamentidialitici effettuati (data di inizio trattamento, codice relativo allatipologia di trattamento, codice relativo alla sede del trattamento), nonchériguardanti le patologie correlate alla malattia renale cronica e i risultatidegli esami clinici compiuti (valore dell'emoglobina all'inizio della dialisi,ultimo valore di emoglobina, data dell'ultimo valore di emoglobina). Č emerso,inoltre, che i dati sanitari contenuti nei predetti file sono indicizzati sullabase delle c.d. "tabelle di transcodifica" pubblicate sul sitoInternet della SIN.

Perciò che concerne l'ambito di comunicazione dei dati, è emerso che la SIN non èautorizzata a consultare direttamente i dati dei pazienti censiti nei singoliRR e che il RIDT è costituito soltanto dai dati inviati annualmente dairesponsabili dei singoli RR. In particolare è stato accertato che, nell'ambitodella SIN, hanno facoltà di accesso ai dati raccolti dal RIDT soltanto ilcoordinatore, il segretario e i membri del comitato scientifico del Registrosia per esigenze di controllo dell'operato della società esterna che forniscealla SIN il supporto tecnico per la gestione del RIDT, sia per definire leanalisi e le elaborazioni statistiche necessarie per le attività scientificheed epidemiologiche svolte dall'associazione sull'insufficienza renale cronicanel nostro paese.

Allaluce delle informazioni acquisite presso la SIN, l'Ufficio procedeva quindi adeffettuare ulteriori accertamenti ispettivi sia nei riguardi della predettasocietà esterna che collabora con la SIN per il controllo della trasmissionedei dati provenienti dai RR e la gestione del sito Internet dell'associazione(webmaster), sia nei confronti del collaboratore esterno che svolge annualmenteper la SIN l'analisi e l'elaborazione statistico-epidemiologica dei datiraccolti (data manager), al fine di verificare, per i profili di protezione deidati personali, i rapporti intercorrenti tra i predetti soggetti nelle attivitàdi implementazione e di funzionamento del RIDT.

Nelcorso dei predetti accertamenti è stato riscontrato che la SIN ha concluso uncontratto di prestazione di servizi con la società esterna di cui si avvale perla gestione tecnica del RIDT. In particolare, in base a quanto pattuito, talesocietà svolge, per conto della SIN, compiti di verifica del rispetto dellescadenze concordate con i responsabili regionali per l'alimentazione annualedel RIDT, nonché di raccolta, verifica e trasmissione al data manager dei datiacquisiti. Ciò, tramite la loro memorizzazione su un supporto ottico (CD/DVD) osu una pen drive. La predetta società trasmette altresì, ogni anno, per contodella SIN, all'Associazione nefrologica europea-Associazione europea di dialisie trapianto (ERA-EDTA) alcuni dei dati clinici disaggregati dei pazienti intrattamento dialitico raccolti presso i RR per le attività di ricerca e dianalisi epidemiologica in ambito sovranazionale svolte da tale associazionenell'ambito del Registro europeo di dialisi e trapianto (Registro europeo). Lasocietà infine cura la gestione tecnica del sito Internet della SIN su cuivengono pubblicati annualmente dati aggregati sulla prevalenza e l'incidenza dellamalattia renale cronica in Italia e sulla sua evoluzione nel tempo. In taleambito, essa amministra altresì le procedure di autenticazione per l'accessoall'area riservata del sito della SIN nella quale vengono memorizzati i datitrasmessi al RIDT dai responsabili dei singoli RR.

Pergli specifici profili di protezione dei dati personali, sulla base delladocumentazione acquisita in sede ispettiva, è stato accertato che ilrappresentante legale della predetta società è stato designato per iscritto dallaSIN come "incaricato del trattamento dei dati", poiché, secondo ledichiarazioni rese nella stessa sede, è la medesima persona fisica che curapersonalmente lo svolgimento delle predette attività per conto della SIN.

Perciò che concerne le modalità di raccolta dei dati presso i RR, è statoverificato che i file contenenti i dati estrapolati dai RR vengono inviati alrappresentante legale della società (upload) tramite l'area riservata del sitoInternet della SIN (mediante l'inserimento di credenziali di autenticazionecomposte da username e password). In particolare, i file vengono inviati inchiaro in formato compresso (zip) utilizzando una connessione non protetta(protocollo http). I file ivi registrati, una volta verificati, vengonoaccorpati e consegnati al data manager per le successive analisi edelaborazioni statistico-epidemiologiche. In conformità alle istruzioniimpartite per iscritto dalla SIN e riportate nell'atto di incarico, tali filenon vengono conservati dal web master: il medesimo incaricato provvede infattia cancellarli annualmente dopo averli consegnati al data manager.

Riguardoalle modalità di trasmissione dei dati all'ERA-EDTA, per conto della SIN, èstato accertato che, invece, i file contenenti tali dati vengono criptati medianteun sistema a chiave asimmetrica adottato dall'associazione destinataria esuccessivamente inviati all'ERA-EDTA tramite e-mail. In alternativa è previstala possibilità di trasmettere all'ERA-EDTA, sempre tramite posta elettronica, imedesimi file in formato excel o access protetti con password.

Nell'ambitodegli stessi accertamenti ispettivi è stato altresì accertato che la personafisica che collabora con la SIN come data manager, è stata designatadall'associazione quale "incaricato del trattamento dei dati" conriferimento alle analisi e alle elaborazioni statistiche a fini epidemiologicicompiute sulla base delle indicazioni del comitato scientifico della stessaassociazione. In particolare, tali attività sono finalizzate alla realizzazioneper conto della SIN di rapporti annuali contenenti dati aggregati sulla prevalenzae l'incidenza della malattia renale cronica in Italia e sulla sua evoluzionenel tempo, che vengono presentati e discussi in occasione del Congresso annualedella SIN e pubblicati sul sito Internet dell'associazione. Tali dati aggregatisono forniti dal data manager anche all'ERA-EDTA al fine di consentire a dettaassociazione di verificare la congruenza di quelli acquisiti sempre dalla SIN,ma in forma disaggregata.

Sullabase delle dichiarazioni rese, è emerso che le attività di analisi edelaborazione statistico-epidemiologica effettuate dal data manager nonincludono i codici univoci regionali riferiti ai pazienti censiti in ciascunregistro regionale/provinciale in quanto l'identificazione dell'interessato nonè necessaria a questo fine. Inoltre, una volta completate le predette attività,sulla base delle istruzioni fornite per iscritto dalla SIN nell'atto diincarico, il data manager provvede a cancellare dai propri sistemi informaticii file contenenti i dati estrapolati dai RR.

Riguardoalla trasmissione alla SIN dei dati estratti dai singoli RR, è stato verificatoche l'associazione ritiene che tali dati siano "anonimi", comerisulta dal verbale delle operazioni compiute e dall'ulteriore documentazionein atti. Soltanto nel giugno del 2009, l'associazione ha predisposto unapposito modulo di informativa e di raccolta del consenso al trattamento deidati personali e fornito al riguardo specifiche indicazioni ai responsabili deiRR affinché tale modulo venisse sottoposto agli interessati. Ciò, in quanto erastata prospettata allora una collaborazione con il Centro Nazionale per iTrapianti (CNT) -istituito presso l'Istituto Superiore di Sanità dall'art. 8della l. 1° aprile 1999, n. 91- che prevedeva l'acquisizione dai RR dei dati dipazienti in trattamento dialitico corredati dal codice fiscale degliinteressati a cura dello stesso Centro. A tal fine era stato concluso unapposito accordo di collaborazione con il CNT; accordo che, alla data degliaccertamenti ispettivi, non è risultato essere operativo.

Dalledichiarazioni rese e dalla documentazione acquisita a seguito degliaccertamenti sopra descritti, è risultato, inoltre, che i RR si collocano inautonomi e distinti contesti normativi e organizzativi rispetto al RIDT epresentano differenti caratteristiche e modalità di funzionamento. Comeindicato anche nel verbale delle operazioni compiute, i soggetti pubblici o gliorganismi sanitari pubblici presso cui sono istituiti i RR o che ne curano ilfunzionamento (osservatori epidemiologici, centri trapianti regionali, aziendeospedaliere, ecc.), si configurano come autonomi titolari del trattamento deidati presenti nei rispettivi RR anche per ciò che concerne la comunicazionealla SIN di alcuni di questi dati per l'alimentazione del RIDT e, tramite lastessa associazione, del Registro europeo.

Allaluce delle suddette risultanze ispettive, l'Ufficio ha pertanto ritenutonecessario acquisire ulteriori informazioni presso le regioni/provincieautonome in cui operano i rispettivi RR. Sono state richieste informazioni conparticolare riferimento ai presupposti giuridici che legittimerebbero laraccolta di dati personali, anche sensibili, dei pazienti in trattamentodialitico sostitutivo della funzione renale presso i centri dialisiterritoriali per l'implementazione dei medesimi registri, nonché per lasuccessiva comunicazione alla SIN di alcuni di questi dati al finedell'alimentazione del RIDT.

Inrelazione ai presupposti giuridici che legittimerebbero il trattamento di talidati per l'implementazione dei RR, sulla base degli approfondimenti effettuati,è stato riscontrato che i RR sono stati istituiti da ciascuna regione/provinciaautonoma, in tempi distinti e con atti eterogenei (leggi, delibere ed altriatti amministrativi regionali/provinciali) alcuni dei quali sono residisponibili sul sito Internet dell'associazione. Seppure i RR siano organizzatie disciplinati diversamente presso ciascuna regione/provincia autonoma, inlinea generale, è emerso che nei RR vengono raccolti dati direttamenteidentificativi (anagrafici e clinici) di pazienti in trattamento sostitutivorenale dai centri di dialisi territoriali, mediante strumenti elettronici eprocedure tecniche a ciò dedicate. Con riferimento alle finalità perseguite,risulta che i RR sono principalmente volti a perseguire scopi scientifici e, inparticolare, scopi di ricerca scientifica in campo epidemiologico. In alcuneregioni/province autonome, i dati raccolti presso i medesimi registri sonoutilizzati anche per finalità amministrative da parte di organi o entistrumentali delle rispettive amministrazioni regionali/provinciali e, inparticolare, per finalità di programmazione, gestione, controllo e valutazionedell'assistenza sanitaria. Inoltre, è stato appurato che soltanto presso taluniRR sono utilizzati degli appositi moduli per l'informativa e/o la raccolta delconsenso degli interessati a cura dei centri dialisi territoriali in cui vienemenzionata anche la comunicazione alla SIN di alcuni dei dati censiti nelregistro di riferimento per l'alimentazione del RIDT e del Registro europeo.Infine, per ciò che concerne la generazione del codice univoco attribuito aciascun paziente censito nel rispettivo registro regionale/provinciale risultache le modalità di codifica variano presso ciascun ente di riferimento e chetali procedure non sono a conoscenza della SIN.

OSSERVA

1. Il trattamento dei dati personali effettuatodalla SIN.

Sullabase delle risultanze ispettive il trattamento di dati personali e sanitaririferiti a pazienti nefropatici cronici in trattamento sostitutivo dellafunzione renale, effettuato dalla SIN per la realizzazione del RIDT, risultaessere preordinato a perseguire esclusivi scopi di ricerca scientifica in campoepidemiologico. Il Registro, in particolare, è volto a consentireall'associazione di effettuare analisi ed elaborazioni statistiche sull'entitàe la rilevanza dell'insufficienza renale cronica in ambito nazionale perfinalità di studio e ricerca scientifica epidemiologica e di assicurare ilnecessario supporto informativo per le medesime attività condotte in ambitosovranazionale.

Perperseguire tali finalità è possibile raccogliere e trattare dati personali e,in particolare, dati attinenti alla salute, a condizione che, di regola, vengafornita una previa e idonea informativa ai pazienti interessati e richiestoloro uno specifico consenso (artt. 106, 107 e 110 del Codice, v. ancheautorizzazione generale n. 2/2013 al trattamento dei dati sulla salute e sullavita sessuale, Provv. 12 dicembre 2013, punto1.2.). L'adempimento dell'obbligo di raccogliere il consenso dei pazientiinteressati non è richiesto solo in casi residuali, allorché ricorranoparticolari condizioni (quali la previsione dello specifico trattamento in unadisposizione di legge, anche regionale, o l'essere inserito in un programma diricerca biomedica o sanitaria, oppure quando non è possibile, a causa diparticolari ragioni, informare gli interessati e il programma di ricerca èoggetto di parere favorevole del competente comitato etico ed è, altresì,autorizzato dal Garante; v. art. 110 del Codice). 

2. Profili di criticità.

Diseguito sono illustrati i profili di criticità, emersi a seguito dei descrittiaccertamenti ispettivi e dall'esame della documentazione in atti, in relazioneal trattamento da parte della SIN dei dati riferiti a pazienti in trattamentodialitico per l'alimentazione del RIDT e del Registro europeo. Tali profilisono sinteticamente riconducibili ai seguenti elementi: la natura dei datitrattati, l'informativa e il consenso dei pazienti interessati, le misure disicurezza adottate. Parallelamente, vengono evidenziate nel proseguo le misureopportune e quelle necessarie al fine di conformare il trattamento in esame aiprincipi di protezione dei dati personali, nonché di assicurare il correttoadempimento dei relativi obblighi da parte della SIN a tutela dei diritti deipazienti interessati.

2.1 Natura dei dati

Nelcorso degli accertamenti effettuati è stato riscontrato che la SIN ritiene chele specifiche modalità di raccolta dei dati adottate renderebbero"anonimi" i dati oggetto di trattamento nell'ambito del RIDT e dellasuccessiva trasmissione al Registro europeo. Tuttavia, diversamente da quantoritenuto dall'associazione, le informazioni cliniche riferite ai singolipazienti censiti nei singoli RR, essendo collegate ad un codice univoco -cheperaltro è lo stesso codice attribuito a ciascuno di questi nell'ambito delrispettivo registro regionale/provinciale- sono da ritenere dati personaliidonei a rivelare lo stato salute degli interessati (art. 4, comma 1, lett. d)del Codice). Ciò, in quanto, anche in presenza di tale accorgimento e benché lemodalità di codifica adottate nell'ambito dei singoli RR non siano conosciutedalla SIN, è comunque possibile isolare tutte le informazioni riguardanti unsingolo individuo nel RIDT, ed è, quindi, possibile identificare gliinteressati, sia pure indirettamente, mediante il collegamento con altreinformazioni nella disponibilità della SIN o di terzi (cfr. art. 4, comma 1, lett.b) del Codice; considerando 26, direttiva 95/46/Ce; Gruppo Art. 29, Parere n.4/2007 - Wp 136 sulla definizione di dato personale).

Diconseguenza, la raccolta dei predetti dati presso i RR e le successiveoperazioni di trattamento effettuate sui medesimi dati da parte della SIN perl'alimentazione del RIDT e del Registro europeo configurano un trattamento didati personali e sensibili al quale è applicabile la sopra citata disciplinadel Codice sul trattamento dei dati sanitari per scopi di ricerca scientificain campo medico, biomedico e epidemiologico (artt. 106, 107 e 110 eautorizzazione del Garante n. 2/2013 cit.).

Alriguardo, occorre evidenziare che la SIN, con nota del 18 dicembre 2013, adintegrazione degli elementi prodotti nell'ambito dei sopra descrittiaccertamenti ispettivi, ha fornito alcune precisazioni in ordine a vari aspettidel trattamento dei dati che, sulla base di quanto emerso all'esito deipredetti accertamenti, intende modificare per il futuro ai finidell'alimentazione del RIDT e del Registro europeo.
In particolare, inrelazione al contenuto delle informazioni da raccogliere presso i RR,l'associazione ha prodotto un nuovo tracciato record sulla base del quale verràestrapolato ogni anno un insieme ridotto di informazioni censite nei predettiregistri rispetto a quello riscontrato in sede ispettiva. Inoltre, la SIN hadichiarato che "in attesa" che il RIDT "venga eventualmentedisciplinato a livello normativo" sulla base delle disposizioni chesaranno introdotte in attuazione della nuova disciplina legislativa materia diregistri di patologia e sistemi di sorveglianza (art. 12, commi 11 e 13, deld.l. 18 dicembre 2012 n. 179 convertito, con modificazioni, dall'art. 1, comma1, l. 17 dicembre 2012, n. 221), essa intende adottare per il futuro specificheprocedure finalizzate a rendere "anonimi" i dati sanitari raccoltidal RIDT presso i RR in modo da "non consentire un'identificabilità degliinteressati con l'impiego di mezzi ragionevoli", nonché da"escludere" l'applicabilità delle disposizioni in materia ditrattamento di dati personali.

Taliprocedure che la SIN ha dichiarato di voler introdurre per il futuro consistononell'impegnare i responsabili dei RR, tramite la sottoscrizione di un appositomodulo, a rispettare le seguenti procedure "di anonimizzazione" primadell'invio dei dati alla SIN:

€eliminare dai file contenenti i dati disaggregati estrapolati dai RR non solo idati identificativi del paziente (quali nome, cognome, codice fiscale, numerodi tessera sanitaria o di documento) ma anche il codice univocamente associatoal paziente presso il registro regionale/provinciale di riferimento;

€utilizzare come chiave di associazione di questi file un codice non basato suelementi riconducibili all'identità paziente (quale un numero progressivo o uncodice casuale);

€ riportare al quindicesimo giorno del mese il valore del campo"giorno" in tutte le date (quali data di nascita, eventuale decesso,inizio trattamento sostitutivo, eventuale cambio trattamento).

Rispettoa quanto prospettato, pur prendendo positivamente atto dei miglioramenti che laSIN intende apportare alle modalità di trattamento, in ottemperanza alprincipio di necessità dei dati trattati (art. 3 del Codice), si evidenziatuttavia che le procedure proposte dall'associazione non possono ritenersiidonee a rendere impossibile l'identificazione delle persone interessate e,quindi, tali da poter considerare "anonimi", sulla base delladisciplina sulla protezione dei dati personali, le informazioni raccolte pressoi RR (cfr. art. 4, comma 1, lett. n) del Codice).

Occorreinfatti rilevare che il nuovo tracciato record proposto, seppure ridottorispetto a quello riscontrato in sede ispettiva, si compone di un'ampia varietàdi campi, taluni dei quali rappresentati da valori continui (ad es. peso oaltezza), il cui numero di combinazioni possibili può superare la popolazionedei pazienti censiti nel RIDT. Non vi è dunque garanzia che specifichecombinazioni di valori degli attributi non siano univoche all'interno dellostesso registro regionale/provinciale, con la conseguenza che i pazienti a cuitali specifiche combinazioni si riferiscono risulterebbero distinguibili datutti gli altri e dunque potrebbero essere indirettamente identificabili daglistessi soggetti che prendono parte all'alimentazione e alla gestione delregistro o da terzi mediante il collegamento con altre informazioni.

Intale ipotesi i pur apprezzabili accorgimenti consistenti nell'attribuzione alpaziente di un codice identificativo generato su base progressiva o casualepresso i RR (in luogo dell'identificativo univoco utilizzato all'interno delregistro regionale) e l'armonizzazione dei valori del campo "data"per gli eventi di "nascita", "decesso" e "cambio ditrattamento" (accorgimento quest'ultimo equivalente alla riduzione digranularità del dato temporale dalla scala dei giorni alla scala dei mesi), nonsono di per sé ancora sufficienti a rendere impossibile l'identificazione dellepersone interessate. L'elevato numero di combinazioni dei valori degli altriattributi, infatti, non impedisce la possibilità di isolare l'insieme dei datiriferiti ad un singolo paziente all'interno del registro, anche se perl'identificativo del paziente o per gli identificativi temporali si sia provvedutoa ridurne il livello di dettaglio.

Pertanto,qualora gli scopi di ricerca scientifica in campo epidemiologico perseguitimediante il RIDT possono essere utilmente raggiunti dalla SIN anche attraversol'utilizzo di dati effettivamente "anonimi" (art. 4, comma 1, lett.n) del Codice), il Garante ritiene necessario prescrivere all'associazione, inqualità di titolare del trattamento, ai sensi degli artt. 143, comma 1, lett.b) e 154, comma 1, lett. c), del Codice, i seguenti accorgimenti checonsentirebbero nel caso in esame di poter ritenere realmente"anonimi" i dati trattati per l'alimentazione del RIDT e del Registroeuropeo:

€ porrein essere ulteriori misure volte ad escludere il rischio che tali singolaritàpossano verificarsi, introducendo regole e meccanismi (quali ad esempio laprevisione di valori discreti degli attributi in luogo di valori continui, comeintervalli di valori al posto dei valori puntuali, ovvero l'introduzione, ovepossibile, di valori binari, quali vero/falso, al posto di attributi a valorimultipli, ecc.) che garantiscano l'estrapolazione dai RR e la successivatrasmissione al RIDT unicamente di record le cui combinazioni di valori degliattributi siano riferiti ad un numero di pazienti pari o superiore a tre unità.A tal fine, si potrà procedere mediante la riduzione del numero di combinazionidi valori possibili degli attributi indicati nel tracciato record, in modo taleda assicurare che nei dati comunicati alla SIN non ci siano posizioni dipazienti che presentino combinazioni di valori degli attributi in numeroinferiore alle tre unità, scartando pertanto quelle posizioni legate acombinazioni rare di valori di attributi che siano riferite a meno di trepazienti;

€ conriferimento all'attribuzione al paziente di un codice identificativo generatosu base progressiva o casuale presso i RR, adottare meccanismi che garantiscanoche, nella trasmissione annuale dei dati alla SIN, non sia attribuito lo stessocodice allo stesso paziente.

Ipredetti accorgimenti, in considerazione delle specifiche finalità e del particolarecontesto del trattamento (quali l'ampiezza campionaria e la disponibilità diinformazioni ausiliarie pubblicamente disponibili) possono ritenersi tali dascongiurare, allo stato, nel caso concreto in esame, la possibilità diidentificare gli interessati tenendo conto dei mezzi ragionevolmenteutilizzabili dal titolare del trattamento o da terzi soggetti.

2.2 Informativa e consenso

Conriferimento ai dati personali, anche sensibili, che risultano essere statiestrapolati dai RR per l'alimentazione del RIDT e del Registro europeo, sirileva che il trattamento effettuato dalla SIN, in qualità di autonomo edistinto titolare, in mancanza di ulteriori presupposti legittimanti, non puòritenersi lecito senza che sia stata previamente fornita agli interessatil'informativa e acquisito il loro specifico consenso, anche per ciò cheriguarda l'esercizio del diritto di accesso e degli altri diritti previstidagli artt. 7 e 8 del Codice (artt. 13, 23, 106, 107 e 110 del Codice).

Inrelazione ai trattamenti effettuati dalla SIN -come sopra rilevato- non è statafornita agli interessati alcuna informativa e non è stato acquisito unospecifico consenso circa l'acquisizione dai RR di alcuni dei dati che liriguardano. Nell'ambito dell'istruttoria, è emerso infatti che la SIN non haverificato se tali adempimenti fossero stati posti in essere, per suo conto,presso i RR ad opera dei soggetti o degli organismi sanitari pubblici titolaridel relativo trattamento dei dati. Secondo quanto emerso nell'ambito degliapprofondimenti tutt'ora in corso presso i singoli RR, inoltre, soltanto alcunititolari del trattamento dei dati hanno disposto l'utilizzo presso i centridialisi territoriali di riferimento di appositi moduli per l'informativa e/o laraccolta del consenso degli interessati per il trattamento dei dati voltoall'implementazione dei rispettivi RR nei quali sono fornite indicazionirelative anche alla comunicazione alla SIN di alcuni dei dati censisti nelregistro regionale per l'alimentazione del RIDT e del Registro europeo.

Alriguardo, con riferimento ai fondamenti giuridici legittimanti i pregressitrattamenti dei dati personali, anche sensibili, di pazienti in trattamentodialitico sostitutivo della funzione renale che sono stati effettuati dalla SINper l'alimentazione del RIDT e del Registro europeo, sulla base dellerisultanze in atti, si rileva la sussistenza dei presupposti per avviare unautonomo procedimento volto a contestare alla SIN le violazioni delledisposizioni di cui agli artt. 13, 23 e 110 del Codice, sanzionate dagli artt.161 e 162, comma 2-bis, del Codice.

Semprein relazione agli adempimenti in materia di informativa e di consenso altrattamento dei dati, la SIN ha dichiarato, da ultimo, nella nota del 18dicembre sopra citata, di aver, in ogni caso, individuato per il futuro unaprocedura che consiste nel coinvolgere i titolari del trattamento dei RR nelrendere presso i centri dialisi territoriali, per conto della SIN,l'informativa ai pazienti con insufficienza renale cronica in trattamentosostitutivo della funzione renale e nel raccogliere una loro specificamanifestazione di volontà con riferimento alla comunicazione alla SIN di alcunidei dati che li riguardano per l'alimentazione del RIDT e del Registro europeo.Al riguardo, la SIN ha specificato di aver "suggerito" airesponsabili dei RR "di sottoporre ai pazienti una nuova modulistica diinformativa e consenso" predisposta dalla stessa associazione "cheogni ambito regionale potrà adattare alle proprie esigenze Š in considerazioneanche delle diverse operatività dei RR".

Talemodello di informativa e di raccolta del consenso al trattamento dei dati recatutti gli elementi previsi dal Codice e deve, quindi, in linea generale,ritenersi idoneo per i profili di protezione dei dati personali (art. 13 e 23)ad eccezione dell'indicazione relativa alla natura "anonima" del daticomunicati alla SIN per l'alimentazione del RIDT e del Registro europeo.

Comesopra rilevato, infatti, le procedure che la SIN ha previsto di adottare per ilfuturo in modo da non consentire l'identificabilità degli interessati conl'impiego di mezzi ragionevoli, non sono idonee a rendere effettivamente"anonimi" i dati oggetto di trattamento. Di conseguenza, la predettaindicazione riportata nel modello di informativa predisposto dall'associazione,risultando erronea, non consente ai pazienti interessati di esprimere unavolontà pienamente consapevole circa la comunicazione alla SIN dei dati che liriguardano.

IlGarante ritiene pertanto necessario prescrivere all'associazione ai sensi degliartt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, le seguentimisure al fine di rendere conforme alla disciplina sulla protezione dei datipersonali il trattamento dei dati da essa effettuato, in qualità di titolaredel trattamento, per l'alimentazione del RIDT e del Registro europeo:

€riformulare il modello di informativa predisposto espungendo l'indicazionerelativa alla "forma anonima" dei dati oggetto di comunicazione allaSIN per l'implementazione del RIDT e del Registro europeo;

€distribuire il predetto modello di informativa ai responsabili dei RR chepartecipano all'alimentazione del RIDT, affinché possa essere utilizzato pressoi centri dialisi territoriali di riferimento, anche quale integrazionedell'informativa già resa agli interessati, fermi restando gli eventualiopportuni adattamenti da apportare al medesimo modello in relazione allespecificità dei trattamenti effettuati in ciascun ambito regionale/provinciale;

€acquisire i dati trasmessi dai responsabili dei RR previa verifica, anche acampione, che presso i centri dialisi territoriali sia stata resa un'idoneainformativa ai pazienti in trattamento dialitico e sia stato acquisito unvalido consenso circa la comunicazione dei dati che li riguardano alla SIN e daquesta all'ERA-EDTA.

Ciò,sempre che gli scopi di ricerca scientifica in campo epidemiologico perseguitimediante il RIDT non possano essere raggiunti dalla SIN mediante ladisponibilità di dati effettivamente "anonimi", raccolti presso i RRsulla base degli specifici accorgimenti oggetto delle prescrizioni indicate nelpar. 2.1. del presente provvedimento; circostanza questa che escluderebbel'applicabilità delle disposizioni in materia di protezione dei dati personali,ivi compresi, gli adempimenti relativi agli obblighi di informativa e diraccolta del consenso dei pazienti interessati illustrati nel presenteparagrafo (artt. 13, 23, 106, 107 e 110 del Codice).

2.3 Misure di sicurezza

Perquanto riguarda le modalità di raccolta dei dati presso i RR, la SIN hadichiarato nella nota da ultimo inviata a quest'Ufficio che intende mantenerel'attuale modalità di raccolta dei dati con l'invio con cadenza annuale daparte dei RR di tutto il database storico (riferito ai dati censiti dai RRanche negli anni precedenti), avvalendosi a tal fine del supporto tecnico diuna società esterna.

Inrelazione a tale profilo, la SIN ha fornito, tra gli elementi integrativiprodotti all'esito degli accertamenti ispettivi, una nuova designazione periscritto della società esterna quale "responsabile del trattamento deidati" che reca specifiche istruzioni sulle modalità di trattamento deglistessi ivi compresi i profili relativi alla sicurezza. In particolare, inconformità a tali istruzioni la ditta ha l'obbligo di "verificare"che i dati raccolti presso i RR soddisfino "i requisiti di anonimitàrichiesti" e, in caso contrario, di cancellarli "dandone avviso a chili ha inviati".

Anchecon riferimento all'attività di elaborazione dei dati effettuata dal datamanager per il RIDT, la SIN ha prodotto un nuovo modello di designazione quale"incaricato del trattamento" ai sensi dell'art. 30 del Codice,fornendo specifiche istruzioni per iscritto circa le modalità di trattamentodei dati. Uno specifico modello di designazione è stato altresì predispostodalla SIN per il coordinatore, il segretario e i componenti del ComitatoScientifico del RIDT corredato anch'esso da specifiche istruzioni per iscrittoalle quali attenersi (art. 30 del Codice).

Inproposito, in considerazione degli specifici accorgimenti oggetto dellaprescrizioni indicate nel par. 2.1 del presente provvedimento, volti ascongiurare la possibilità di identificare gli interessati, tenendo conto deimezzi ragionevolmente utilizzabili dal titolare del trattamento o da terzi,nell'ipotesi in cui la disponibilità di dati effettivamente "anonimi"consenta all'associazione di realizzare gli scopi di ricerca scientificaperseguiti mediante il RIDT, il Garante ritiene di prescrivere alla SIN aisensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codiceche la verifica circa il carattere effettivamente anonimo dei dati acquisitidai RR, dovrà essere condotta alla luce delle predette indicazioni contenutenel par. 2.1 del presente provvedimento e dovrà essere volta, in particolare, acontrollare la corretta adozione degli accorgimenti ivi prescritti.

Conspecifico riferimento alle modalità di invio alla SIN dei dati estrapolati daiRR, nella sopra menzionata nota del 18 dicembre 2013, la SIN ha altresìprecisato che i dati saranno raccolti presso i RR tramite "un sistemasicuro di upload diretto sul sito della SIN con opportuni accorgimenti e nelrispetto delle normative vigenti (in alcuni casi è prevista anche la possibilitàdi invio tramite PEC con applicazione di programmi di cifratura dei datitrasmessi)".

Alriguardo, per garantire un adeguato livello di sicurezza, il Garante ritiene diprescrivere nei confronti della SIN specifiche misure ai sensi degli artt. 143,comma 1, lett. b) e 154, comma 1, lett. c), del Codice al fine di rendereconforme alla disciplina sulla protezione dei dati personali il trattamento deidati da essa effettuato, in qualità di titolare del trattamento, perl'alimentazione del RIDT e del Registro europeo. Tali specifiche misureconsistono nell'utilizzo di protocolli o canali sicuri (quali ad es. HTTPS/SSLo HTTPS/TLS, FTPS o SFTP, utilizzando certificati digitali erogati dacertificatori qualificati, ovvero collegamento VPN) oppure impiegare di sistemidi cifratura dei dati inviati attraverso canali non sicuri (quali la postaelettronica certificata o protocolli HTTP/FTP). I medesimi accorgimenti devonoessere adottati dalla SIN anche nella trasmissione dei dati all'ERA-EDTA perl'implementazione del Registro europeo, dovendo ritenersi l'utilizzo della modalitàdi invio tramite posta elettronica dei file in formato excel o access protetticon password -attualmente prevista in via alternativa dalla stessa ERA-EDTA-non idonea a garantire un adeguato livello di sicurezza dei dati. Ciò, sempreche la SIN non possa raggiungere gli scopi di ricerca epidemiologica perseguitimediante il RIDT adottando gli accorgimenti di cui al par. 2.1 del presenteprovvedimento, i quali essendo idonei a rendere effettivamente "anonimi"i dati trattati escluderebbero l'applicabilità delle diposizioni in materia diprotezione dei dati personali, ivi compresi, gli obblighi in materia di sicurezza.

TUTTO CIO' PREMESSO IL GARANTE

a)rilevata l'illiceità del trattamento effettuato dalla Società Italiana diNefrologia (SIN) per l'alimentazione del RIDT e del Registro europeo, in qualitàdi titolare del trattamento, in mancanza dell'informativa e del consenso deipazienti interessati (artt. 13, 23, 106, 107 e 110 del Codice), vieta, ai sensidegli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice,all'associazione medesima di effettuare per il futuro ulteriori trattamenti didati personali anche attinenti alla salute, salvo che la SIN non adotti lemisure opportune oppure, in via alternativa, le misure necessarie che vengonoindicate di seguito;

b) alfine di poter ritenere realmente "anonimi" i dati trattati edescludere quindi l'applicabilità delle disposizioni in materia di protezionedei dati personali, ivi compreso l'adempimento degli obblighi in materia diinformativa, consenso e misure di sicurezza, il Garante prescrive alla SIN, aisensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice,quali misure opportune, di:

i. porrein essere regole e meccanismi (quali ad esempio la previsione di valoridiscreti degli attributi in luogo di valori continui, come intervalli di valorial posto dei valori puntuali, ovvero l'introduzione, ove possibile, di valoribinari, quali vero/falso, al posto di attributi a valori multipli, ecc.) chegarantiscano l'invio al RIDT da parte dei RR unicamente di record le cuicombinazioni di valori degli attributi siano riferiti ad un numero di pazientipari o superiore a tre unità (procedendo mediante la riduzione del numero dicombinazioni di valori possibili degli attributi indicati nel tracciato record,in modo tale da assicurare che nei dati comunicati alla SIN non ci sianoposizioni di pazienti che presentino combinazioni di valori degli attributi innumero inferiore alle tre unità, scartando pertanto quelle posizioni legate acombinazioni rare di valori di attributi che siano riferite a meno di tre pazienti);

ii. conriferimento all'attribuzione a ciascun paziente interessato di un codiceidentificativo generato su base progressiva o casuale presso i RR, adottaremeccanismi che garantiscano che, nella trasmissione annuale dei dati alla SIN,non sia attribuito lo stesso codice allo stesso paziente;

iii.verificare che i dati acquisiti dai responsabili dei RR siano effettivamente"anonimi", alla luce delle indicazioni contenute nel par. 2.1 delpresente provvedimento e, nell'ambito della predetta verifica, controllare, inparticolare, la corretta adozione degli accorgimenti di cui alle precedenti lett.i) e ii).

c)qualora invece gli scopi di ricerca epidemiologica perseguiti mediante il RIDTnon possano essere realizzati mediante l'utilizzo di dati realmente"anonimi", in conformità agli accorgimenti sopra indicati, al fine direndere conforme alla disciplina sulla protezione dei dati personali iltrattamento dei dati da essa effettuato, in qualità di titolare deltrattamento, per l'alimentazione del RIDT e del Registro europeo, prescrivealla SIN, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c),del Codice, in alternativa agli accorgimenti opportuni di cui al precedentepunto b), le seguenti misure necessarie:

i.riformulare il modello di informativa predisposto espungendo l'indicazionerelativa alla "forma anonima" dei dati oggetto di comunicazioneall'associazione per l'implementazione del RIDT e del Registro europeo;

ii.distribuire il predetto modello di informativa ai responsabili dei RR chepartecipano all'alimentazione del RIDT, affinché possa essere utilizzato pressoi centri dialisi territoriali di riferimento, anche quale integrazionedell'informativa già resa agli interessati, fermi restando gli eventualiopportuni adattamenti da apportare al medesimo modello in relazione allespecificità dei trattamenti effettuati in ciascun ambito regionale/provinciale;

iii.acquisire i dati trasmessi dai responsabili dei RR previa verifica, anche acampione, che presso i centri dialisi territoriali sia stata resa un'idoneainformativa ai pazienti in trattamento dialitico e sia stato acquisito unvalido consenso circa la comunicazione dei dati che li riguardano alla SIN e daquesta all'ERA-EDTA;

iv. conspecifico riferimento alle misure adottate per garantire la sicurezza nellatrasmissione dei dati alla SIN e all'ERA-EDTA, utilizzare protocolli o canalisicuri (quali ad es. HTTPS/SSL o HTTPS/TLS, FTPS o SFTP, utilizzandocertificati digitali erogati da certificatori qualificati, ovvero collegamentoVPN), oppure impiegare di sistemi di cifratura dei dati inviati attraversocanali non sicuri (quali la posta elettronica certificata o protocolliHTTP/FTP);

d) aisensi dell'art. 157 del Codice, prescrive alla SIN di dare riscontro a questaAutorità delle misure assunte o che si intendono assumere circa l'avvenutaadozione delle prescrizioni di cui alle lettere b) o c) del presenteprovvedimento entro il 30 giugno 2014.

L'Autoritàinoltre si riserva di verificare con distinti ed autonomi procedimenti laliceità dei trattamenti di dati personali identificativi (anagrafici e clinici)effettuati presso i singoli RR per l'alimentazione e il funzionamento deirispettivi registri, al termine degli approfondimenti che sono in corso disvolgimento presso le regioni e le provincie autonome in cui tali registri sonooperativi con particolare riferimento ai presupposti legittimanti i relativitrattamenti (artt. 13, 23, 20, 85, 107 e 110 del Codice).

Ai sensidegli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presenteprovvedimento può essere proposta opposizione all'Autorità giudiziariaordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha laresidenza il titolare del trattamento dei dati, entro il termine di trentagiorni dalla data di comunicazione del provvedimento stesso, ovvero di sessantagiorni se il ricorrente risiede all'estero.

Roma, 16 gennaio 2014

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia