| Garante per la protezione dei dati personali Parere del Garante alMinistro della salute in ordine a uno schema di decreto recante "Modificheal decreto del Ministro del lavoro, della salute e delle politiche sociali del17 dicembre 2008, pubblicato nella Gazzetta Ufficiale n. 9 del 13 gennaio 2009,recante "Istituzione del sistema informativo per il monitoraggio delleprestazioni erogate nell'ambito dell'assistenza sanitaria inemergenza-urgenza" PROVVEDIMENTO DEL 21MARZO 2012 Registro dei provvedimenti n. 112 del 21marzo 2012 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale; Vista la richiesta di parere del Ministero della salute; Visto l'art. 154, comma 4 del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196); Vista la documentazione in atti; Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il prof. Francesco Pizzetti; PREMESSO 1. Il Ministero della salute ha richiesto il parere del Garante inordine a uno schema di decreto del Ministro della salute recante "Modificheal decreto del Ministro del lavoro, della salute e delle politiche sociali del17 dicembre 2008, pubblicato nella Gazzetta Ufficiale n. 9 del 13 gennaio 2009,recante "Istituzione del sistema informativo per il monitoraggio delleprestazioni erogate nell'ambito dell'assistenza sanitaria inemergenza-urgenza"". L'odierno provvedimento mira a perfezionare - sotto il profilo delrispetto della normativa in materia di protezione dei dati personali – ilcitato decreto del 2008, che non era stato sottoposto al parere di questaAutorità. Inoltre, le novelle apportate allo stesso decreto tengono contodell'impostazione di fondo sottesa allo schema di decreto del Ministro dellasalute recante "Istituzione del sistema informativo per il monitoraggiodell'assistenza erogata presso gli Hospice" - sul quale il Garante hagià reso parere – e delle cautele, ivi previste, per garantire il dirittoalla protezione dei dati personali trattati per le finalità sancite dallostesso decreto. RILEVATO 2. Il decreto ministeriale del 17 dicembre 2008 ha istituito,nell'ambito del Nuovo Sistema Informativo Sanitario (NSIS), il Sistemainformativo per il monitoraggio delle prestazioni erogate in emergenza-urgenza(infra: Sistema), finalizzato, appunto, alla raccolta delle informazionirelative alle prestazioni erogate - da parte sia del Sistema 118 sia deipresidi ospedalieri con riferimento alle attività del Pronto Soccorso -nell'ambito dell'assistenza sanitaria di emergenza-urgenza. Le novelle apportate dall'odierno provvedimento al citato decreto del2008 concernono, in particolare, i seguenti aspetti. In ordine alle specifiche finalità cui è preordinato il Sistema,l'articolo 1, comma 1, lettera a), inserendo un comma 2-bisnell'articolo 2 del decreto del 2008, prevede che il Sistema stesso èfinalizzato a rendere possibili le analisi aggregate utili per il calcolo diindicatori, anche ai fini della "verifica di cui all'articolo 3"dell'Intesa conclusa in sede di Conferenza Stato-Regioni il 23 marzo 2005e pubblicata sulla Gazzetta Ufficiale del 7 maggio 2005, relativa almonitoraggio della spesa nell'àmbito del Nuovo Sistema Informativo Sanitario.Per le stesse finalità si autorizza l'interconnessione dei "contenutiinformativi" del NSIS mediante il codice univoco dell'assistito di cuialla scheda 12 dello schema di Regolamento per il trattamento dei datisensibili e giudiziari effettuato dalle regioni e province autonome, conmodalità tali da garantire il rispetto del diritto alla protezione dei datipersonali degli interessati. In relazione ai tipi di dati trasmessi al Sistema, la lettera c) delcomma 1 dell'articolo 1 dello schema di decreto, nel novellare l'articolo 3 delprovvedimento del 2008, precisa che il flusso informativo (come dettagliato neldisciplinare tecnico) riguarda dati non direttamente identificatividell'interessato. In ordine al regime di consultabilità dei dati presentinel Sistema, la lettera d) del comma 1 dell'articolo 1 dello schema di decreto,nel novellare l'articolo 4, legittima l'accesso a tali dati, esclusivamente informa aggregata – al fine di consentire il monitoraggio delle prestazionierogate in emergenza-urgenza – alle unità organizzative delle regioni edelle province autonome competenti (come individuate da provvedimenti regionalie provinciali) per effettuare analisi comparative in materia di assistenzasanitaria di emergenza-urgenza, nonché alle unità organizzative della Direzionegenerale della programmazione sanitaria e della Direzione generale del sistemainformativo e statistico sanitario del Ministero della salute competenti, comeindividuate dal decreto ministeriale di organizzazione. In relazione alle modalità di realizzazione del flusso informativo, lalettera e) del comma 1 dell'articolo 1 dello schema di decreto, nel novellarel'articolo 5 del provvedimento del 2008, prevede che le trasmissioni al Sistemadevono avvenire secondo le modalità indicate nel disciplinare tecnico allegatoal decreto stesso e secondo le specifiche tecniche pubblicate sul sito internetdel Ministero. In particolare, si precisa che la trasmissione telematica deidati deve essere conforme alle relative regole tecniche del Sistema pubblico diconnettività (SPC) di cui agli articoli 72 e seguenti del Codicedell'amministrazione digitale (infra: CAD), e che, segnatamente, deve avveniremediante ricorso a un protocollo sicuro e all'autenticazione bilaterale frasistemi basata su certificati digitali emessi da un'autorità di certificazionedigitale. Il comma 3-ter, aggiunto nel corpo dell'articolo 5,impone peraltro alle regioni e alle province autonome, nonché al Ministerostesso, di garantire – ai fini della cooperazione applicativa - laconformità delle infrastrutture alle regole dettate dal SPC. In conseguenza dell'aggiunta di tali disposizioni – chespecificano alcuni presupposti essenziali della legittimità della realizzazionedel flusso informativo – la lettera h) sopprime l'articolo 8 del decreto,che rinvia[va] integralmente la disciplina delle modalità di alimentazione delSistema al disciplinare tecnico. In ordine alle specifiche disposizionisul trattamento dei dati nell'ambito del Sistema, la lettera i) del comma 1dell'articolo 1 dello schema di provvedimento, nel novellare l'articolo 9 deldecreto del 2008, precisa che nel Sistema sono raccolti e trattati unicamente idati indispensabili in rapporto alle finalità cui è preordinato il decreto, conmodalità e funzioni applicative tali da fornire soltanto rappresentazioniaggregate dei dati. Gli stessi incaricati del trattamento accedono ai datipresenti nel Sistema mediante chiavi di ricerca che non consentono diconsultare dati riferibili a singoli individui o elenchi di codiciidentificativi. Il novellato comma 3 dell'articolo 9 impone l'assegnazione diun codice univoco a ciascun soggetto, conformemente a quanto previsto dallascheda 12 del citato schema di Regolamento per il trattamento dei datisensibili e giudiziari effettuato dalle regioni e province autonome. Si prevedeperaltro che, qualora le regioni e le province autonome non dispongano disistemi di codifica, coerenti con quanto stabilito dallo schema tipo diregolamento, i dati siano inviati in forma anonima. Come già osservato in sede di parere sullo schema di decreto delMinistro della salute recante "Istituzione del sistemainformativo per il monitoraggio dell'assistenza erogata presso gliHospice", tale ultima disposizione va intesa con riferimento all'inviodi dati – in forma anonima – dalle strutture sanitarie alle regionio alle province autonome, analogamente a quanto disposto dalla scheda 12dell'Allegato A) del suddetto schema di Regolamento. Ai sensi del novellato comma 4 dell'articolo 9, i dati trasmessi dalleregioni e dalle province autonome – già privati degli elementiidentificativi diretti - sono archiviati previa separazione dei dati sanitaridalle altre informazioni, precisandosi che i primi sono trattati con tecnichecrittografiche. RITENUTO 3. Come già rilevato in premessa, l'odierno provvedimento mira amigliorare - sotto il profilo del rispetto della normativa in materia diprotezione dei dati personali – il citato decreto del 2008, tenendoperaltro conto dell'impostazione di fondo sottesa allo schema di decretoministeriale recante "Istituzione del sistema informativo per ilmonitoraggio dell'assistenza erogata presso gli Hospice". Residuano tuttavia alcuni aspetti dell'odierno provvedimento chemeritano un perfezionamento. 3.1. Identificazione dell'assistito.
3.2. Finalità del trattamento.
3.3. Tecniche crittografiche. In ordine alle tecnichedi archiviazione, ricerca e accesso alle informazioni rese disponibili dalSistema stesso, nell'articolo 9 del decreto (come novellato), manca qualsiasiriferimento – presente, invece, peraltro, nel comma 5 dell'articolo 8 deldecreto sull'assistenza erogata presso gli Hospice - all'obbligo di trattarecon tecniche crittografiche i dati relativi alla patologia da cui è affettol'interessato, al fine di renderli temporaneamente inintelligibili anche a chi èautorizzato ad accedervi. Dal momento che neppure tale omessorichiamo pare giustificato dalla diversità di materia trattata, inconsiderazione della particolare rilevanza della prescrizione omessa ènecessario che all'articolo 9 sia aggiunta una disposizione del tenore diquella appena descritta. 3.4. Disciplinare tecnico. In relazione allemodifiche apportate al disciplinare tecnico, allegato al decreto, è possibileriscontrare taluni aspetti suscettibili di ulteriore perfezionamento, ai finidella piena conformità alla disciplina in materia di protezione dei datipersonali. 3.4.a. In primo luogo, talune voci riportate nei tracciati 118 epronto soccorso appaiono non pertinenti rispetto alle finalità cui ilmonitoraggio è preordinato e, soprattutto, suscettibili di identificare, siapure indirettamente, l'interessato. Pertanto, voci quali il mese di nascita(alle pagine 8 e 12) e il numero progressivo del ricovero (alla pagina 11)devono essere espunte dai rispettivi tracciati. Analoghe considerazioni valgonoin relazione all'identificativo della chiamata (alla pagina 6), almeno qualora,in sede applicativa, i dati di dettaglio del campo possano rendereidentificabile l'interessato, ad esempio mediante il riferimento al numero ditelefono. 3.4.b. Inoltre, altre voci dei tracciati (si pensi alla "dinamicariscontrata": pagina 7; al "codice esenzione": pagina12; alla "patologia riscontrata": pagina 9) rischiano dirivelare informazioni per le quali la legge impone particolari cautele (sipensi all'infezione da virus HIV o lo stato di tossicodipendenza oalcooldipendenza: dati presenti nell'allegato al decreto del 2008) o daticomunque attinenti la sfera più intima della persona (si pensi alle circostanzerelative alla violenza sessuale subita dal paziente: informazione, anch'essa,presente nell'allegato al decreto del 2008). Pertanto, la disciplina didettaglio che attuerà tali prescrizioni dovrà escludere la rivelazione –sia pure in via indiretta – delle suddette informazioni. IL GARANTE esprime parere favorevole sullo schema di decreto del Ministro dellasalute recante "Modifiche al decreto del Ministro del lavoro, dellasalute e delle politiche sociali del 17 dicembre 2008, pubblicato nellaGazzetta Ufficiale n. 9 del 13 gennaio 2009, recante "Istituzione delsistema informativo per il monitoraggio delle prestazioni erogate nell'ambitodell'assistenza sanitaria in emergenza-urgenza" ", con leseguenti condizioni: a) nello schema di decreto sia inserita una disposizione che sopprimale lettere d) e i) del comma 1 dell'articolo 3 del decreto del Ministro dellasalute del 17 dicembre 2008 (punto 3.1); b) all'articolo 1, comma 1, lettera d), capoverso "Art.4", al comma 1, lettera a), dopo le parole: "emergenza-urgenza",si aggiungano le seguenti: ", sulla base degli indicatori calcolati aisensi dell'articolo 2, comma 2-bis, primo periodo" (punto 3.2); c) all'articolo 9 del citato decreto del 2008 sia aggiunta unadisposizione del tenore di quella di cui all'articolo 8, comma 5, dello schemadi decreto ministeriale recante "Istituzione del sistema informativoper il monitoraggio dell'assistenza erogata presso gli Hospice" (punto3.3.); d) nell'allegato tecnico allo schema di decreto, siano espuntedai relativi tracciati le voci inerenti il mese di nascita (alle pagine 8 e 12)e il numero progressivo del ricovero (alla pagina 11), nonché l'identificativodella chiamata (alla pagina 6) qualora in sede applicativa, i dati di dettagliodi quest'ultimo campo possano rendere identificabile l'interessato (punto3.4.a.); e con la seguente raccomandazione: e) in sede di disciplina di dettaglio, valuti l'Amministrazionel'opportunità di sviluppare i riferimenti a voci quali: "dinamicariscontrata" (pagina 7); "codice esenzione" (pagina12); "patologia riscontrata" (pagina 9) in maniera tale daescludere la rivelazione – sia pure in via indiretta – diinformazioni inerenti la vita sessuale, eventuali dipendenze o comunque daticui la legge assicura una particolare protezione (punto 3.4.b). Roma, 21 marzo 2012
|