Sistema informativo per lasalute mentale: trattamento di dati sanitari e sensibili

PROVVEDIMENTO DEL 6 MAGGIO2009

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Mauro Paissan e del dott.Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretariogenerale;

Vista la richiesta di parere delMinistero del lavoro, della salute e delle politiche sociali;

Visto l'art. 154, commi 4 e 5, del Codicein materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficioformulate dal segretario generale ai sensi dell'art. 15 del regolamento delGarante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO:

Il Ministero del lavoro, della salute edelle politiche sociali ha chiesto il parere del Garante in ordine a uno schemadi decreto recante l'istituzione del sistema informativo per la salute mentale(di seguito indicato come SISM).

Il decreto riguarda interventi sanitari esocio sanitari erogati da operatori del Sistema sanitario nazionale nell'ambitodell'assistenza rivolta alle persone con problemi psichiatrici e alle lorofamiglie.

Il presente parere si riferisce a unaversione dello schema che tiene conto di alcune osservazioni svolte nell'ambitodi incontri tecnici tenutisi presso questa Autorità.

OSSERVA:

1. Premessa.
Lo schema didecreto concerne l'istituzione, nell'ambito del Nuovo sistema sanitarionazionale, di un sistema informativo analogo, per struttura e funzionamento, aquello concernente interventi sociosanitari in favore di persone dipendenti dasostanze stupefacenti o psicotrope o da alcool (SIND), anch'esso sottoposto al parere del Garante. In conseguenza di tale omogeneitàdi materia, il presente parere riguarda profili analoghi a quelli esaminati dalGarante con riferimento allo schema istitutivo del SIND, ferme restando lenecessarie indicazioni su taluni aspetti specifici del provvedimento in esame.

2. Le finalità del sistema.
Loschema di decreto prevede che il Sistema informativo salute mentale, istituitonell'ambito del Nuovo Sistema informativo sanitario (NSIS) presso il Ministerodel lavoro, della salute e delle politiche sociali, è il sistema di supporto alconseguimento delle finalità definite nel decreto. Attraverso le suefunzionalità le regioni e le province autonome mettono a disposizione delministero informazioni relative a strutture, attività e personale dei servizisulla salute mentale, al fine di consentirne un'adeguata analisi a livellonazionale e regionale.

I dati oggetto dei flussi informativi, lemodalità di alimentazione del sistema informativo e le sue caratteristichetecniche sono specificati nel disciplinare tecnico allegato al decreto.

Per assicurare il rispetto del principiodi finalità (art. 11, comma 1, lett. b) del Codice in materia di protezione deidati personali) è necessario che le finalità per le quali i dati devono essereraccolti nel SISM e che si intendono perseguire mediante il sistema siano indicateespressamente e in maniera esaustiva nell'articolato del decreto.

Allo stato, invece, indicazioni circa lepossibili finalità cui è preordinato il sistema sono contenute solo nelpreambolo e nel disciplinare tecnico allegato allo schema (parr. 1 e 3.5. disc.tecn.) e in maniera, peraltro, non esaustiva come può dedursi dall'uso dellelocuzioni "fra l'altro"e "principali" cui,rispettivamente, si fa ricorso. 

3. Dati non direttamente identificatividegli interessati.
Il Ministero del lavoro, della salute e dellepolitiche sociali, nonché le Regioni e le Province autonome possono trattaredati personali sensibili, anche idonei a rivelare lo stato di salute, perfinalità che rientrano nei compiti del Servizio sanitario nazionale. Inparticolare, possono essere trattati dati per attività di programmazione,gestione, controllo e valutazione dell'assistenza sanitaria (art. 85, comma 1,lett. b) del Codice) purché non direttamente identificativi degli interessati(art. 20, comma 3, del Codice; d.m. 12 dicembre 2007, n. 277, all. n. C-01;scheda 12 dello schema tipo di regolamento per il trattamento dei datisensibili e giudiziari delle regioni e delle province autonome approvato dalGarante con parere del 13 aprile 2007).

Per dare attuazione a tale cornice normativa,lo schema di decreto precisa che il contesto dei dati trattati mediante il SISMè costituito da "informazioni individuali ma non nominative" (art. 2, comma 2, dello schema).

Per garantire la non identificabilitàdiretta delle persone i cui dati sono trattati nell'ambito nel SISM, ènecessario che lo schema di decreto sia integrato con la previsione di garanzieper gli interessati analoghe a quelle contenute nello schema relativo al SIND,in particolare per quanto riguarda l'attribuzione a ciascun soggetto di uncodice univoco che non consenta interconnessione con altre banche dati (cfr.art. 5, comma 3, e par. 5.3.1. "ID cittadino" dello schema sul SIND; art. 5 e parr. 4.3.1. e4.3.2. "ID cittadino"dello schema sul SISM).

Anche per il SISM, peraltro, taligaranzie devono essere completate prevedendo, in conformità a quanto stabilitonella scheda 12 del regolamento citato, che le regioni e le province autonomeche non dispongono di sistemi di codifica utilizzino solo dati anonimi (analogaintegrazione deve essere apportata nel preambolo laddove si riporta ilcontenuto della scheda 12).

Infine, sul piano formale, è opportunosostituire, ovunque ricorrano, la locuzione "informazioni individualima non nominative" o locuzionidi analogo tenore (par. 3.1 disc. tecn.) con quella, più corretta, di "datipersonali non identificativi"(art. 4, comma 1, lett. c) del Codice).

4. L'accesso ai dati e il loro utilizzo.
Perassicurare il rispetto dei principi di proporzionalità e di indispensabilitànel trattamento dei dati sensibili lo schema deve essere integrato con miratedisposizioni che assicurino l'accesso selettivo alle informazioni conservatenel sistema ed il loro utilizzo proporzionato rispetto alle finalitàperseguite.

In particolare, si ritiene necessario:

a) individuare specificamente,nell'articolato, le unità organizzative del ministero, delle regioni e delleprovince ai cui addetti è consentito il trattamento delle informazioni delSISM, anche mediante l'indicazione delle specifiche attribuzioni ad esseassegnate (cfr., invece, il paragrafo 3.1 del disciplinare tecnico ove si fariferimento genericamente agli "uffici regionali preposti" e "agli uffici del livello nazionale");

b) specificare nell'articolato,piuttosto che nel disciplinare tecnico (cfr. par. 3.5), che il ministero puòaccedere all'insieme delle informazioni raccolte nell'ambito del SISM, mentrele regioni e le province autonome possono trattare solo le informazioni da essestesse inserite;

c) assicurare l'accesso selettivoalle informazioni, evitando, in particolare, la consultazione di dati riferitia singoli individui e favorire la rappresentazione aggregata delleinformazioni. A tale scopo lo schema potrebbe essere integrato con ledisposizioni che si suggeriscono o con altre di analogo tenore: "NelSISM sono raccolti e trattati solo i dati indispensabili per lo svolgimento dielaborazioni statistiche, ricerche, studi e analisi necessari per ilperseguimento delle finalità del presente decreto, con modalità e logiche diorganizzazione ed elaborazione delle informazioni dirette esclusivamente afornire una rappresentazione aggregata dei dati. Gli incaricati del trattamentopossono accedere ai dati registrati nel SISM soltanto per singole chiavi diricerca che non devono consentire, anche mediante operazioni diinterconnessione e raffronto,  la consultazione, la selezione ol'estrazione di informazioni riferite a singoli individui o di elenchi dicodici identificativi. Le funzioni applicative del sistema non devonoconsentire la consultazione e l'analisi di informazioni che rendanoidentificabile l'interessato ai sensi dei codici di deontologia e di buonacondotta per i trattamenti di dati personali per scopi statistici o scientificidi cui agli allagati A3 ed A4 del decreto legislativo 30 giugno 2003, n.196.".

5. Il principio di proporzionalità e iltrattamento di dati particolari.
La qualità dei dati.

5.1. La particolare delicatezza dei datitrattati nell'ambito del SISM ne impone, come abbiamo già sottolineato, unutilizzo proporzionato rispetto alle finalità perseguite. Si richiama,pertanto, l'attenzione delle amministrazioni interessate sulla necessità divalutare, in concreto, se le singole informazioni elencate nel disciplinaretecnico, oggetto di trattamento nel SISM, siano effettivamente pertinenti e noneccedenti nonché indispensabili rispetto alle finalità del decreto.

5.2. In tale quadro, l'Autorità ritienecomunque necessario che siano espunti dal novero dei dati oggetto di raccoltanel SISM e quindi dall'articolato tecnico, ovunque ricorrano, le informazionirelative al "n° scheda"(che identifica la scheda del paziente o cartella clinica territoriale) e al "comunedi residenza" dei pazienti,trattandosi, con evidenza, di dati che, sebbene non direttamente identificatividelle persone, potrebbero rendere agevolmente identificabili gli interessati,specialmente in piccoli contesti locali.

Analoga esigenza si pone per leinformazioni relative all'"origine geografica del cittadino", di notevole delicatezza in quanto potrebbero essereidonee a rivelare l'origine etnica delle persone (art. 4, comma 1, lett. d) delCodice), anche in considerazione del fatto che lo schema già prevede laraccolta di dati relativi alla cittadinanza e allo stato estero di residenza,se straniero, dell'assistito.

Infine, si richiama l'attenzionedell'amministrazione sull'opportunità di sostituire nel disciplinare tecnico ilriferimento allo stato di "pensionato" e di "invalido" (par. 4.3.1. "Condizione professionale" n. 05 e n. 06) con quello, unico e  più neutro,di "economicamente non attivo" come prevede lo schema relativo al SIND (par. 5.3.1. "Codiceoccupazione" n. 06) e diintegrare il disciplinare tecnico con misure concernenti la verifica dellaqualità dei dati, in conformità a quanto previsto nello schema sul SIND (cfrpar. 4 del disciplinare allegato allo schema sul SIND).

6. L'utilizzo del sistema e la sicurezzadei dati.
La particolare delicatezza dei dati trattati nell'ambito delSIND ne impone, come abbiamo già detto, un utilizzo proporzionato rispetto allefinalità perseguite e rende, altresì, necessaria una particolare attenzionealla sicurezza del sistema informatico utilizzato e, sul piano applicativo,all'integrità dei dati trasmessi, mediante l'adozione di misure di sicurezzacalibrate rispetto alle modalità di raccolta dei dati, conformi agli articoli22, 31 e ss. e all'Allegato B del Codice.

In tal senso, è necessario integrare loschema di decreto:

a) perfezionando la disposizione cheprevede il ricorso a tecniche di cifratura dei dati sensibili (art. 5, comma 4)come segue: "I dati inviati dalle regioni e province autonome, giàprivi degli elementi identificativi diretti, sono archiviati previa separazionedei dati sanitari dagli altri dati. I dati sanitari sono trattati con tecnichecrittografiche.";

b) accrescendo la sicurezzadell'accesso al front-end webdell'applicazione  (predisposto per l'accesso al di fuori del Sistemapubblico di connettività) mediante l'adozione di un protocollo sicuro https con autenticazione bilaterale (mutualauthentication) basata sucertificati digitali emessi da una autorità di certificazione ufficiale;

c) prevedendo nel disciplinaretecnico di adottare adeguate misure per la distruzione sicura dei supporti dimemorizzazione dei dati sensibili, eventualmente indicandole (allegato B del Codice, regola 22; par. 3.2.1. disc.tecn.);

d) prevedendo il tracciamento delleoperazioni di accesso al sistema dedicato alla memorizzazione dei dati (dataserver), specie quelle cheeventualmente possano avvenire al di fuori del contesto applicativo, cioè ditutte quelle operazioni che possano avvenire mediante accesso diretto al database e per il rilevamento di eventuali anomalie (par. 3.2 "Caratteristicheinfrastrutturali");

e) in riferimento alle misure di registrazione,autenticazione e accesso degli utenti e alla parola chiave, integrando loschema con riferimento a tutte le indicazioni contenute nella regola 5 dell'Allegato B del Codice, e in particolare a quelle checonsigliano l'utilizzo di una parola chiave di almeno otto caratteri, sepossibile, che non contenga riferimenti agevolmente riconducibiliall'incaricato (par. 3.3 "Abilitazione degli utenti").

Il Garante richiama, infine, l'attenzione,sul piano formale, sulla necessità di prevedere nel preambolo il parere delGarante.

CIO' PREMESSO IL GARANTE:

esprime parere favorevole sullo schema didecreto recante l'istituzione del sistema informativo salute mentale (SISM) acondizione che, nei termini di cui in premessa:

a) siano indicate espressamente e inmaniera esaustiva nell'articolato del decreto le finalità per le quali i datisono raccolti nel SISM e che si intendono perseguire mediante il sistema (punto2);

b) siano previste garanzie per gliinteressati in particolare per quanto riguarda l'attribuzione a ciascunassistito di un codice univoco ed esclusivo e sia stabilito che le regioni e leprovince autonome che non dispongono di sistemi di codifica utilizzino solodati anonimi (punto 3);

c) le parole "informazioniindividuali ma non nominative"o altre simili locuzioni, ovunque ricorrano, siano sostituite con quelle, piùcorrette, di "dati personali non identificativi" (punto 3);

d) siano individuate specificamente,nell'articolato, le unità organizzative del ministero, delle regioni e delleprovince cui è consentito il trattamento delle informazioni e i limiti entro iquali possono accedere ai dati raccolti mediante il SISM (punto 4);

e) siano assicurati, mediantedisposizioni ad hoc, l'accesso selettivo ai dati e la rappresentazioneaggregata delle informazioni (punto 4);

f) siano effettuate le valutazionirichieste e siano adottate le modifiche al decreto in chiave di proporzionalitàdel trattamento e di qualità dei dati specificamente indicate al punto 5;

g) sia integrato lo schema conmirate disposizioni in materia di misure di sicurezza nel trattamento dei dati(punto 6).

Roma, 6 maggio 2009