Parere del Garante al Ministerodella salute in ordine a uno schema di decreto concernente: Modifiche al decreto del Ministro del lavoro, della salute e delle politiche sociali del 17 dicembre 2008, recante "Istituzione del sistema informativo per il monitoraggio dell'assistenza domiciliare"

PROVVEDIMENTO DEL 29MARZO 2012

Registro dei provvedimenti
n. 124 del 29 marzo 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale;

Vista la richiesta di parere del Ministero della salute;

Visto l'art. 154, comma 4 del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

1. Il Ministero della salute ha richiesto il parere del Garante inordine a uno schema di decreto del Ministro della salute concernente"Modifiche al decreto del Ministro del lavoro, della salute e delle politichesociali del 17 dicembre 2008, recante "Istituzione del sistema informativoper il monitoraggio dell'assistenza domiciliare" ".

L'odierno provvedimento mira a perfezionare - sotto il profilo delrispetto della normativa in materia di protezione dei dati personali – ilcitato decreto del 2008, che non era stato sottoposto al parere di questaAutorità.

Inoltre, le novelle apportate allo stesso decreto tengono contodell'impostazione di fondo sottesa allo schema di decreto del Ministro dellasalute recante "Istituzione del sistema informativo per il monitoraggiodell'assistenza erogata presso gli Hospice" - sul quale il Garante ha giàreso parere – e delle cautele, ivi previste, per garantire il dirittoalla protezione dei dati personali trattati per le finalità sancite dallostesso decreto.

RILEVATO

2. Il decreto ministeriale del 17 dicembre 2008 ha istituito,nell'ambito del Nuovo Sistema Informativo Sanitario (NSIS), il Sistemainformativo per il monitoraggio dell'assistenza domiciliare (infra: Sistema),finalizzato, appunto, alla raccolta delle informazioni relative ad interventi,procedure e attività sanitarie e socio-sanitarie erogate – da operatoriafferenti al Servizio sanitario nazionale - a persone presso il propriodomicilio.

Le novelle apportate dall'odierno provvedimento al citato decreto del2008 concernono, in particolare, i seguenti aspetti.

In ordine alle specifiche finalità cui è preordinato il Sistema,l'articolo 1, comma 1, lettera a), inserendo un comma 2-bis nell'articolo 2 deldecreto del 2008, prevede che il Sistema stesso è finalizzato a renderepossibili le analisi aggregate utili per il calcolo di indicatori, anche aifini della "verifica di cui all'articolo 3" dell'Intesa conclusa in sede di Conferenza Stato-Regioni il 23 marzo 2005 e pubblicatasulla Gazzetta Ufficiale del 7 maggio 2005, relativa al monitoraggio dellaspesa nell'àmbito del Nuovo Sistema Informativo Sanitario. Per le stessefinalità si autorizza l'interconnessione dei "contenuti informativi"del NSIS mediante il codice univoco dell'assistito di cui alla scheda 12 delloschema tipo di Regolamento per il trattamento dei dati sensibili e giudiziarieffettuat[o] dalle regioni e province autonome, con modalità tali da garantireil rispetto del diritto alla protezione dei dati personali degli interessati.

In relazione ai tipi di dati trasmessi al Sistema, la lettera c) delcomma 1 dell'articolo 1 dello schema di decreto, nel novellare l'articolo 3 delprovvedimento del 2008, precisa che il flusso informativo (come dettagliato neldisciplinare tecnico) riguarda dati relativi all'erogatore e dati nondirettamente identificativi dell'assistito.

In ordine al regime di consultabilità dei dati presenti nel Sistema,la lettera d) del comma 1 dell'articolo 1 dello schema di decreto, nelnovellare l'articolo 4, legittima l'accesso a tali dati, esclusivamente informa aggregata – al fine di consentire il monitoraggio delle prestazionierogate in regime di assistenza domiciliare – alle unità organizzativedelle regioni e delle province autonome competenti (come individuate daprovvedimenti regionali e provinciali) per effettuare analisi comparative inmateria di assistenza sanitaria domiciliare, nonché alle unità organizzativedella Direzione generale della programmazione sanitaria e della Direzionegenerale del sistema informativo e statistico sanitario del Ministero dellasalute competenti, come individuate dal decreto ministeriale di organizzazione.

In relazione alle modalità di realizzazione del flusso informativo, lalettera e) del comma 1 dell'articolo 1 dello schema di decreto, nel novellarel'articolo 5 del provvedimento del 2008, prevede che le trasmissioni al Sistemadevono avvenire secondo le modalità indicate nel disciplinare tecnico allegatoal decreto stesso e secondo le specifiche tecniche pubblicate sul sito internetdel Ministero. In particolare, si precisa che la trasmissione telematica deidati deve essere conforme alle relative regole tecniche del Sistema pubblico diconnettività (SPC) di cui agli articoli 72 e seguenti del Codicedell'amministrazione digitale (infra: CAD) e che, segnatamente, deve avveniremediante ricorso a un protocollo sicuro e all'autenticazione bilaterale frasistemi basata su certificati digitali emessi da un'autorità di certificazionedigitale.  Il comma 3-ter, aggiunto nel corpo dell'articolo 5, imponeperaltro alle regioni e alle province autonome, nonché al Ministero stesso, digarantire – ai fini della cooperazione applicativa - la conformità delleinfrastrutture alle regole dettate dal SPC. 

In ordine alle specifiche disposizioni sul trattamento dei datinell'ambito del Sistema, la lettera i) del comma 1 dell'articolo 1 dello schemadi provvedimento, nel novellare l'articolo 8 del decreto del 2008, precisa chenel Sistema sono raccolti e trattati unicamente i dati indispensabili inrapporto alle finalità cui è preordinato il decreto, con modalità e funzioniapplicative tali da fornire soltanto rappresentazioni aggregate dei dati. Glistessi incaricati del trattamento accedono ai dati presenti nel Sistemamediante chiavi di ricerca che non consentono di consultare dati riferibili asingoli individui o elenchi di codici identificativi. Il novellato comma 3dell'articolo 8 impone l'assegnazione di un codice univoco a ciascun soggetto,conformemente a quanto previsto dalla scheda 12 del citato schema tipo diRegolamento per il trattamento dei dati sensibili e giudiziari effettuato dalleregioni e province autonome. Si prevede peraltro che, qualora le regioni e leprovince autonome non dispongano di sistemi di codifica, coerenti con quantostabilito dallo schema tipo di regolamento, i dati siano inviati in formaanonima.

Come già osservato in sede di parere sullo schema di decreto delMinistro della salute  recante "Istituzione del sistema informativoper il monitoraggio dell'assistenza erogata presso gli Hospice" enell'ambito del parere sullo schema di decreto del Ministro della salute recante"Modifiche al decreto del Ministro del lavoro, della salute e dellepolitiche sociali del 17 dicembre 2008, pubblicato nella Gazzetta Ufficiale n.9 del 13 gennaio 2009, recante "Istituzione del sistema informativo per ilmonitoraggio delle prestazioni erogate nell'ambito dell'assistenza sanitaria inemergenza-urgenza" ", tale ultima disposizione va intesa conriferimento all'invio di dati – in forma anonima – dalle strutturesanitarie alle regioni o alle province autonome, analogamente a quanto dispostodalla scheda 12 dell'Allegato A) del suddetto schema tipo di Regolamento.

Ai sensi del novellato comma 4 dell'articolo 8, i dati trasmessi dalleregioni e dalle province autonome – già privati degli elementiidentificativi diretti - sono archiviati previa separazione dei dati sanitaridalle altre informazioni, precisandosi che i primi sono trattati con tecnichecrittografiche.

RITENUTO

3. Come già rilevato in premessa, l'odierno provvedimento mira amigliorare - sotto il profilo del rispetto della normativa in materia diprotezione dei dati personali – il citato decreto del 2008, tenendoperaltro conto dell'impostazione di fondo sottesa allo schema di decretoministeriale recante "Istituzione del sistema informativo per ilmonitoraggio dell'assistenza erogata presso gli Hospice".

Residuano tuttavia alcuni aspetti dell'odierno provvedimento chemeritano un perfezionamento.

3.1. Identificazione dell'assistito.
Lalettera c) del comma 1 dell'articolo 1 dello schema di decreto, sancisce –modificando l'alinea del comma 1 dell'articolo 3 del decreto del 2008 –il carattere  non direttamente identificativo dei dati trasmessi alSistema. Tuttavia, tra i dati elencati dallo stesso comma (nella sua parte nonmodificata), sono anche presenti dati relativi alle "caratteristicheanagrafiche dell'assistito" [lettera a)]. Tale ultima prescrizione sembraessere in contrasto con quanto sancito dall'alinea dello stesso comma epertanto, alla lettera a) del comma 1 dell'articolo 3 la parola:"anagrafiche" dovrebbe essere soppressa.

Conseguentemente, nel disciplinare tecnico, al ß 4 "Leinformazioni", la voce "Caratteristiche anagrafichedell'assistito", presente nella seconda tabella, e il riferimento ai"dati anagrafici del paziente", presente nel secondo capoverso"Tracciato 1 ", dovrebbero essere espunti.

3.2. Finalità del trattamento.
Nellalettera a) del novellato articolo 4 manca il riferimento (peraltro presente,invece, nel decreto sull'assistenza erogata presso gli Hospice) agli indicatoriutili alla verifica di cui all'articolo 3 della citata Intesa Stato-Regioni,quale parametro (peraltro richiamato dall'articolo 2, comma 2-bis, dello schemadi decreto) cui orientare le analisi comparative in materia di assistenzasanitaria domiciliare; finalità, questa, che, sola, legittima l'accesso ai datipresenti nel Sistema da parte delle competenti unità organizzative delleregioni e delle province autonome. Dal momento che tale omesso richiamo rischiadi privare della necessaria funzione selettiva la finalità che legittima iltrattamento di dati personali e che, del resto, esso non pare giustificatodalla diversità di materia dell'odierno provvedimento rispetto a quellorelativo all'assistenza erogata presso gli Hospice, all'articolo 1, comma 1,lettera d), capoverso "Art. 4", al comma 1, lettera a), dopo leparole: "assistenza sanitaria domiciliare", è opportuno che sianoaggiunte le seguenti: ", sulla base degli indicatori calcolati ai sensidell'articolo 2, comma 2-bis, primo periodo".

3.3. Tecniche crittografiche.
In ordine alle tecnichedi archiviazione, ricerca e accesso alle informazioni rese disponibili dalSistema stesso, nell'articolo 8 del decreto (come novellato), manca qualsiasi riferimento– presente, invece, peraltro, nel comma 5 dell'articolo 8 del decretosull'assistenza erogata presso gli Hospice - all'obbligo di trattare contecniche crittografiche i dati relativi alla patologia da cui è affettol'interessato, al fine di renderli temporaneamente inintelligibili anche a chi èautorizzato ad accedervi. Dal momento che neppure tale omesso richiamo paregiustificato dalla diversità di materia trattata, in considerazione dellaparticolare rilevanza della prescrizione omessa è necessario che all'articolo 8sia aggiunta una disposizione del tenore di quella appena descritta.

3.4. Modalità di archiviazione e di comunicazione dei dati.
Nelloschema di decreto manca ogni disciplina degli accorgimenti da adottare, agaranzia della sicurezza dei dati riguardanti le prestazioni erogate, qualorala loro archiviazione e relativa trasmissione avvenga presso il domiciliodell'assistito. E' pertanto opportuno che, all'interno dello schema di decreto,siano disciplinati tali aspetti, nell'osservanza di quanto sancito in propositodal Codice in materia di protezione dei dati personali e delle particolaricautele che tale fonte normativa prevede per il trattamento dei dati idonei arivelare lo stato di salute dell'interessato.

3.5. Disciplinare tecnico.
In relazione allemodifiche apportate al disciplinare tecnico, allegato al decreto, è possibileriscontrare taluni aspetti suscettibili di ulteriore perfezionamento, ai finidella piena conformità alla disciplina in materia di protezione dei dati personali.

3.5.a. In primo luogo, talune voci riportate nei tracciati 1 e 2appaiono eccedenti rispetto alle finalità cui il monitoraggio è preordinato e,soprattutto, suscettibili di identificare, sia pure indirettamente,l'interessato. Pertanto, la voce "stato civile" (pag. 6) deve essereespunta dal relativo tracciato; inoltre, la descrizione della voce"assistente non familiare convivente" (pag. 6) andrebbe precisataindicando soltanto la presenza o meno di tale figura ed escludendo, quindi, larilevazione di dati identificativi; analogamente, la descrizione delle vocirelative al "soggetto che richiede la presa in carico" (pag. 6) e al "tipo operatore" (descritta come voce tesa ad "identifica[re]l'operatore che ha effettuato l'accesso" – pag. 9), dovrebbe esseresostituita, rispettivamente, con un riferimento alla tipologia del soggettorichiedente la presa in carico e non alla sua identità (es.: medico di medicinagenerale, ospedale, familiare, ecc.) e con l'indicazione della categoriaprofessionale dell'operatore (ad es.: infermiere, assistente sociale, ecc.).

3.5.b. Inoltre, altre voci (si pensi alle seguenti: "patologiaprevalente"; "patologia concomitante", pagg. 7 e 10) rischianodi rivelare informazioni per le quali la legge impone particolari cautele (sipensi all'infezione da virus HIV) o dati comunque meritevoli di una tutelaparticolare. Pertanto, la disciplina di dettaglio che attuerà tali prescrizionidovrà escludere la rivelazione – sia pure in via indiretta – dellesuddette informazioni.  Parimenti, le voci "tipo prestazione"(pag. 9), "motivo della rivalutazione" (pag. 10) e "motivoconclusione dell'AD" (pag. 12) devono essere sviluppate, nella disciplinadi dettaglio, in modo tale da articolarsi in macro-categorie relative allevarie tipologie di interventi e di motivazioni.

IL GARANTE

esprime parere favorevole sullo schema di decreto del Ministro dellasalute concernente "Modifiche al decreto del Ministro del lavoro, dellasalute e  delle politiche sociali del 17 dicembre 2008, recante"Istituzione del sistema informativo per il monitoraggio dell'assistenzadomiciliare" ", con le seguenti condizioni:

a) nello schema di decreto sia inserita una disposizione cheall'articolo 3, comma 1, lettera a) del decreto del Ministro della salute del17 dicembre 2008, sopprima la parola: "anagrafiche" (punto 3.1);

b) all'articolo 1, comma 1, lettera c), capoverso "Art.4" dello schema di decreto, al comma 1, lettera a), dopo le parole:"assistenza sanitaria domiciliare", siano aggiunte le seguenti:", sulla base degli indicatori calcolati ai sensi dell'articolo 2, comma2-bis, primo periodo" (punto 3.2);

c) nello schema di decreto sia inserita una disposizione cheaggiunga all'articolo 8 del citato decreto del 2008 una disposizione del tenoredi quella di cui all'articolo 8, comma 5, dello schema di decreto ministerialerecante "Istituzione del sistema informativo per il monitoraggio dell'assistenzaerogata presso gli Hospice" (punto 3.3.);

d) all'interno dello schema di decreto siano disciplinati gliaccorgimenti da adottare, a garanzia della sicurezza dei dati riguardanti leprestazioni erogate, qualora la loro archiviazione e relativa trasmissioneavvenga presso il domicilio dell'assistito (punto 3.4.);

e) nel disciplinare tecnico, la voce "stato civile"(pag. 6) sia espunta dal relativo tracciato; inoltre, la descrizione della voce"assistente non familiare convivente" (pag. 6) sia precisataindicando soltanto la presenza o meno di tale figura ed escludendo, quindi, larilevazione di dati identificativi; analogamente, la descrizione delle vocirelative al "soggetto che richiede la presa in carico" (pag. 6) e al "tipo operatore" sia  sostituita, rispettivamente, con unriferimento alla tipologia del soggetto e non alla sua identità (es.: medico dimedicina generale, ospedale, familiare, ecc.) e con l'indicazione dellacategoria professionale dell'operatore (ad es.: infermiere, assistente sociale,ecc.) (punto 3.5.a.);

f) sempre nel disciplinare tecnico, nella parte non modificatadal presente schema, al ß 4 "Le informazioni", la voce"Caratteristiche anagrafiche dell'assistito", presente nella secondatabella, e il riferimento ai "dati anagrafici del paziente", presentenel secondo capoverso "Tracciato 1 ", siano espunti;

e con la seguente raccomandazione:

g) in sede di disciplina di dettaglio, valuti l'Amministrazionel'opportunità di sviluppare i riferimenti a voci quali: "patologiaprevalente" e "patologia concomitante" (pagg. 7 e 10) in manieratale da escludere la rivelazione – sia pure in via indiretta – didati cui la legge assicura una particolare protezione; e l'opportunità didescrivere le voci relative al "tipo prestazione" (pag. 9), al"motivo della rivalutazione" (pag. 10) e al "motivo conclusionedell'AD" (pag. 12) in modo tale da articolarsi in macro-categorie relativealle varie tipologie di interventi e di motivazioni (punto 3.5.b).

Roma, 29 marzo 2012

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
De Paoli