Parere del Garante su uno schema di decreto del Ministro della salute concernente "Modifiche al decreto del Ministro del lavoro, della salute e delle politiche sociali recante "Istituzione della banca dati finalizzata alla rilevazione delle prestazioni residenziali e semiresidenziali""

Parere del Garante suuno schema di decreto del Ministro della salute concernente "Modifiche aldecreto del Ministro del lavoro, della salute e delle politiche sociali recante "Istituzione della banca dati finalizzata alla rilevazione delle prestazioni residenziali esemiresidenziali""

PROVVEDIMENTO DEL 17APRILE 2012

Registro dei provvedimenti n. 151 del 17aprile 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale;

Vista la richiesta di parere del Ministero della salute;

Visto l'art. 154, comma 4 del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO

1. Il Ministero della salute ha richiesto il parere del Garante inordine a uno schema di decreto del Ministro della salute concernente "Modificheal decreto del Ministro del lavoro, della salute e delle politiche socialidel 17 dicembre 2008, pubblicato nella Gazzetta Ufficiale n. 6 del 9 gennaio2009, recante "Istituzione della banca dati finalizzata allarilevazione delle prestazioni residenziali e semiresidenziali" ".

L'odierno provvedimento mira a perfezionare - sotto il profilo delrispetto della normativa in materia di protezione dei dati personali – ilcitato decreto del 2008, che non era stato sottoposto al parere di questaAutorità.

Inoltre, le novelle apportate allo stesso decreto tengono contodell'impostazione di fondo sottesa allo schema di decreto del Ministro dellasalute recante "Istituzione del sistema informativo per il monitoraggiodell'assistenza erogata presso gli Hospice" - sul quale il Garante hagià reso parere – e delle cautele, ivipreviste, per garantire il diritto alla protezione dei dati personali trattatiper le finalità sancite dallo stesso decreto.

RILEVATO

2. Il decreto ministeriale del 17 dicembre 2008 ha istituito,nell'ambito del Nuovo Sistema Informativo Sanitario (NSIS), la "banca datiper il monitoraggio delle prestazioni residenziali e semiresidenziali peranziani o persone non autosufficienti in condizioni di cronicità e/o relativastabilizzazione delle condizioni cliniche" (infra: "Bancadati"), realizzata e gestita dal Ministero del lavoro, della salute edelle politiche sociali - Dipartimento della qualità - Direzione generale delSistema Informativo dell'ex Ministero della salute. Tale banca dati è finalizzataalla raccolta delle informazioni relative al "complesso integrato diinterventi, procedure e attività sanitarie e socio-sanitarie" erogate adanziani o persone non autosufficienti in condizioni di cronicità e/o relativastabilizzazione delle condizioni cliniche, nell'ambito di unità organizzative"di risposta assistenziale di carattere residenziale e/osemiresidenziale".

Le novelle apportate dall'odierno provvedimento al citato decreto del2008 concernono, in particolare, i seguenti aspetti.

In ordine alle specifiche finalità cui è preordinata la Banca dati,l'articolo 1, comma 1, lettera a), inserendo un comma 2-bis nell'articolo 2 deldecreto del 2008, prevede che la banca dati stessa è finalizzata a renderepossibili le analisi aggregate utili per il calcolo di indicatori, anche aifini della "verifica di cui all'articolo 3" dell'Intesa conclusa in sede di Conferenza Stato-Regioni il 23 marzo 2005 e pubblicatasulla Gazzetta Ufficiale del 7 maggio 2005, relativa al monitoraggio dellaspesa nell'àmbito del Nuovo Sistema Informativo Sanitario. Per le stessefinalità si autorizza l'interconnessione dei "contenuti informativi"del NSIS mediante il codice univoco dell'assistito di cui alla scheda 12 delloschema tipo di Regolamento per il trattamento dei dati sensibili e giudiziarieffettuat[o] dalle regioni e province autonome, con modalità tali da garantireil rispetto del diritto alla protezione dei dati personali degli interessati.

In relazione ai tipi di dati trasmessi alla Banca dati, la lettera c)del comma 1 dell'articolo 1 dello schema di decreto, nel novellare l'articolo 3del provvedimento del 2008, precisa che il flusso informativo (come dettagliatonel disciplinare tecnico) riguarda dati relativi all'erogatore e dati nondirettamente identificativi dell'assistito.

In ordine al regime di consultabilità dei dati presenti nella Bancadati, la lettera d) del comma 1 dell'articolo 1 dello schema di decreto, nelnovellare l'articolo 4, legittima l'accesso a tali dati, esclusivamente informa aggregata – al fine di consentire il monitoraggio delle prestazionierogate in regime residenziale o semiresidenziale – alle unitàorganizzative delle regioni e delle province autonome competenti (comeindividuate da provvedimenti regionali e provinciali) per effettuare analisicomparative in materia di assistenza sanitaria domiciliare, nonché alle unitàorganizzative della Direzione generale della programmazione sanitaria e dellaDirezione generale del sistema informativo e statistico sanitario del Ministerodella salute competenti, come individuate dal decreto ministeriale diorganizzazione.

In relazione alle modalità di realizzazione del flusso informativo, lalettera e) del comma 1 dell'articolo 1 dello schema di decreto, nel novellarel'articolo 5 del provvedimento del 2008, prevede che le trasmissioni alla Bancadati devono avvenire secondo le modalità indicate nel disciplinare tecnicoallegato al decreto stesso e secondo le specifiche tecniche pubblicate sul sitointernet del Ministero della salute. In particolare, si precisa che latrasmissione telematica dei dati deve essere conforme alle relative regoletecniche del Sistema pubblico di connettività (SPC) di cui agli articoli 72 eseguenti del Codice dell'amministrazione digitale (infra: CAD) e che,segnatamente, deve avvenire mediante ricorso a un protocollo sicuro eall'autenticazione bilaterale fra sistemi basata su certificati digitali emessida un'autorità di certificazione digitale. Il comma 3-ter, aggiunto nelcorpo dell'articolo 5, impone peraltro alle regioni e alle province autonome,nonché al Ministero stesso, di garantire – ai fini della cooperazioneapplicativa - la conformità delle infrastrutture alle regole dettate dal SPC.

In ordine alle specifiche disposizioni sul trattamento dei datinell'ambito della Banca dati, la lettera k) del comma 1 dell'articolo 1 delloschema di provvedimento, nel novellare l'articolo 9 del decreto del 2008,precisa che nel sistema sono raccolti e trattati unicamente i datiindispensabili in rapporto alle finalità cui è preordinato il decreto, conmodalità e funzioni applicative tali da fornire soltanto rappresentazioniaggregate dei dati. Gli stessi incaricati del trattamento accedono ai datipresenti nella Banca dati mediante chiavi di ricerca che non consentono diconsultare dati riferibili a singoli individui o elenchi di codiciidentificativi. Il novellato comma 3 dell'articolo 9 impone l'assegnazione diun codice univoco a ciascun soggetto, conformemente a quanto previsto dallascheda 12 del citato schema tipo di Regolamento per il trattamento dei datisensibili e giudiziari effettuato dalle regioni e province autonome. Si prevedeperaltro che, qualora le regioni e le province autonome non dispongano disistemi di codifica, coerenti con quanto stabilito dallo schema tipo diregolamento, i dati siano inviati in forma anonima.

Come già osservato in sede di parere sullo schema di decreto delMinistro della salute recante "Istituzione del sistema informativo per ilmonitoraggio dell'assistenza erogata presso gli Hospice", nell'ambito delparere sullo schema di decreto del Ministro della salute recante"Modifiche al decreto del Ministro del lavoro, della salute e dellepolitiche sociali del 17 dicembre 2008, pubblicato nella Gazzetta Ufficiale n.9 del 13 gennaio 2009, recante "Istituzione del sistema informativo per ilmonitoraggio delle prestazioni erogate nell'ambito dell'assistenza sanitaria inemergenza-urgenza, nonchè in relazione allo schema di decreto del Ministrodella salute concernente "Modifiche al decreto del Ministro del lavoro,della salute e delle politiche sociali del 17 dicembre 2008, recante"Istituzione del sistema informativo per il monitoraggio dell'assistenzadomiciliare", tale ultima disposizione va intesa con riferimento all'inviodi dati – in forma anonima – dalle strutture sanitarie alle regionio alle province autonome, analogamente a quanto disposto dalla scheda 12dell'Allegato A) del suddetto schema tipo di Regolamento.

Ai sensi del novellato comma 4 dell'articolo 9, i dati trasmessi dalleregioni e dalle province autonome – già privati degli elementiidentificativi diretti - sono archiviati previa separazione dei dati sanitaridalle altre informazioni, precisandosi che i primi sono trattati con tecnichecrittografiche.

RITENUTO

3. Come già rilevato in premessa, l'odierno provvedimento mira amigliorare - sotto il profilo del rispetto della normativa in materia diprotezione dei dati personali – il citato decreto del 2008, tenendoperaltro conto dell'impostazione di fondo sottesa allo schema di decretoministeriale recante "Istituzione del sistema informativo per ilmonitoraggio dell'assistenza erogata presso gli Hospice".

Residuano tuttavia alcuni aspetti dell'odierno provvedimento chemeritano un perfezionamento.

3.1. Identificazione dell'assistito. Lalettera c) del comma 1 dell'articolo 1 dello schema di decreto, sancisce –modificando l'alinea del comma 1 dell'articolo 3 del decreto del 2008 –il carattere non direttamente identificativo dei dati trasmessi allaBanca dati. Tuttavia, tra i dati elencati dallo stesso comma (nella sua partenon modificata), sono anche presenti dati necessari all'identificazionedell'assistito, tra i quali i "dati anagrafici della persona"[lettera b)]. Tale ultima prescrizione appare in contrasto con quanto sancitodall'alinea dello stesso comma e pertanto, alla lettera b) del comma 1dell'articolo 3 la parola: "anagrafici" dovrebbe essere soppressa.

Conseguentemente, nel disciplinare tecnico, al ß 3.1"Alimentazione del sistema informativo", il riferimento ai "datianagrafici dell'assistito", presente nel secondo capoverso "Tracciato1 " e nell'intestazione dello stesso "Tracciato 1", dovrebbeessere sostituito dal seguente: "dati dell'assistito".

3.2. Finalità del trattamento.

Nella lettera a) del novellato articolo 4 manca il riferimento(peraltro presente, invece, nel decreto sull'assistenza erogata presso gliHospice) agli indicatori utili alla verifica di cui all'articolo 3 della citataIntesa Stato-Regioni, quale parametro (peraltro richiamato dall'articolo 2,comma 2-bis, dello schema di decreto) cui orientare le analisi comparative inmateria di prestazioni residenziali o semiresidenziali; finalità, questa, che,sola, legittima l'accesso ai dati presenti nella Banca dati da parte dellecompetenti unità organizzative delle regioni e delle province autonome. Dalmomento che tale omesso richiamo rischia di privare della necessaria funzioneselettiva la finalità che legittima il trattamento di dati personali e che, delresto, esso non pare giustificato dalla diversità di materia dell'odiernoprovvedimento rispetto a quello relativo all'assistenza erogata presso gliHospice, all'articolo 1, comma 1, lettera d), capoverso "Art. 4", alcomma 1, lettera a), dopo le parole: "e semiresidenziale", èopportuno che siano aggiunte le seguenti: ", sulla base degli indicatoricalcolati ai sensi dell'articolo 2, comma 2-bis, primo periodo".

3.3. Tecniche crittografiche. Inordine alle tecniche di archiviazione, ricerca e accesso alle informazioni resedisponibili dalla Banca dati stessa, nell'articolo 9 del decreto (comenovellato), manca qualsiasi riferimento – presente, invece, peraltro, nelcomma 5 dell'articolo 8 del decreto sull'assistenza erogata presso gli Hospice- all'obbligo di trattare con tecniche crittografiche i dati relativi allapatologia da cui è affetto l'interessato, al fine di renderli temporaneamenteinintelligibili anche a chi è autorizzato ad accedervi. Dal momento che neppuretale omesso richiamo pare giustificato dalla diversità di materia trattata, inconsiderazione della particolare rilevanza della prescrizione omessa ènecessario che all'articolo 9 sia aggiunta una disposizione del tenore diquella appena descritta.

3.4. Disciplinare tecnico. Inrelazione alle modifiche apportate al disciplinare tecnico, allegato aldecreto, è possibile riscontrare taluni aspetti suscettibili di ulterioreperfezionamento, ai fini della piena conformità alla disciplina in materia diprotezione dei dati personali.

3.4.a. In primo luogo, talune voci riportate nei tracciati 1 e 2appaiono eccedenti rispetto alle finalità cui il monitoraggio è preordinato e,soprattutto, suscettibili di identificare, sia pure indirettamente,l'interessato. Pertanto, le voci "stato civile" e "titolo distudio" (pag. 6) devono essere espunte dal relativo tracciato. Inoltre, ladescrizione della voce "iniziativa richiesta di inserimento"(descritta come voce tesa ad "specifica[re] il soggetto da cui è partita l'iniziativadi richiesta di inserimento all'interno delle strttura in cui è erogata laprestazione" – pag. 7) va sostituita con l'indicazione dellacategoria del soggetto richiedente l'inserimento (es.: medico, assistentesociale, familiare, ecc.).

3.4.b. Inoltre, altre voci (si pensi alle seguenti: "tipoprestazione" (pag. 6), "motivazione della richiesta" e"tipologia di dimissione" (pag. 7)) rischiano di rivelareinformazioni per le quali la legge impone particolari cautele o dati comunquemeritevoli di una tutela particolare. Pertanto, tali riferimenti devono esseresviluppati, nella disciplina di dettaglio, in modo tale da articolarsi inmacro-categorie relative alle varie tipologie di prestazioni, di motivazioni edi esiti che evitino un eccessivo livello di dettaglio non necessario ai finidell'attuazione del decreto.

IL GARANTE

esprime parere favorevole sullo schema di decreto del Ministro dellasalute concernente "Modifiche al decreto del Ministro del lavoro, dellasalute e delle politiche sociali del 17 dicembre 2008, pubblicato nellaGazzetta Ufficiale n. 6 del 9 gennaio 2009, recante "Istituzionedella banca dati finalizzata alla rilevazione delle prestazioni residenziali esemiresidenziali" ", con le seguenti condizioni:

a) nello schema di decreto si preveda la soppressione, allalettera b) del comma 1 dell'articolo 3 del decreto del 17 dicembre 2008, dellaparola: "anagrafici" (punto 3.1);

b) all'articolo 1, comma 1, lettera d), capoverso "Art.4" dello schema di decreto, al comma 1, lettera a), dopo le parole:"e semiresidenziale", siano aggiunte le seguenti: ", sulla basedegli indicatori calcolati ai sensi dell'articolo 2, comma 2-bis, primoperiodo" (punto 3.2);

c) nello schema di decreto sia inserita una norma che aggiunga,all'articolo 9 del citato decreto del 2008, una disposizione del tenore diquella di cui all'articolo 8, comma 5, dello schema di decreto ministerialerecante "Istituzione del sistema informativo per il monitoraggiodell'assistenza erogata presso gli Hospice" (punto 3.3.);

d) nel disciplinare tecnico, le voci "stato civile" e"titolo di studio" (pag. 6) siano espunte dal relativo tracciato e ladescrizione della voce "iniziativa richiesta di inserimento" (pag.7)sia sostituita con l'indicazione della categoria del soggetto richiedentel'inserimento (es.: medico, assistente sociale, familiare, ecc.) (punto3.4.a.);

e) sempre nel disciplinare tecnico, nella parte non modificatadal presente schema, al ß 3.1 "Alimentazione del sistemainformativo", il riferimento ai "dati anagraficidell'assistito", presente nel secondo capoverso "Tracciato 1 " enell'intestazione dello stesso "Tracciato 1", sia sostituito dalseguente: "dati dell'assistito" (3.1);

e con la seguente raccomandazione:

f) in sede di disciplina di dettaglio, valuti l'Amministrazionel'opportunità di sviluppare i riferimenti a voci quali: ""tipoprestazione" (pag. 6), "motivazione della richiesta" e"tipologia di dimissione" (pag. 7)) articolandoli in macro-categorierelative alle varie tipologie prestazioni, di motivazioni e di esiti cheevitino un eccessivo livello di dettaglio non necessario ai finidell'attuazione del decreto (punto 3.4.b).

Roma, 17 aprile 2012

Il presidente
Pizzetti

Il relatore
Paissan

Il segretario generale
De Paoli