| Garante per la protezione dei dati personali Parere del Garante su uno schema didecreto in materia di consegna, da parte delle aziende sanitarie del Serviziosanitario nazionale, dei referti medici tramite web, posta elettronicacertificata e altre modalità digitali PROVVEDIMENTO DEL 6 DICEMBRE 2012 Registro dei provvedimenti n. 382 del 6 dicembre 2012 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale; Vistala richiesta di parere della Presidenza del Consiglio dei Ministri - Ministroper la pubblica amministrazione e la semplificazione; Visto l'articolo154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lg.30 giugno 2003, n. 196); Vistala documentazione in atti; Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; Relatoreil dott. Antonello Soro; PREMESSO: Connota del Capo dell'Ufficio legislativo del Ministro per la pubblicaamministrazione del 13 novembre u.s. é stato chiesto il parere del Garante inordine a uno schema di decreto del Presidente del Consiglio dei Ministri inmateria di consegna, da parte delle aziende sanitarie del Servizio sanitarionazionale, dei referti medici tramite web, posta elettronica certificata ealtre modalità digitali, nonché di effettuazione del pagamento delleprestazioni erogate. Loschema è adottato ai sensi dell'articolo 6, comma 2, lett. d), numeri 1) e 2),del decreto legge 13 maggio 2011, n. 70, convertito, con modificazioni, dallalegge 12 luglio 2011, n. 106, al fine di accelerare il processo di automazioneamministrativa e migliorare i servizi per i cittadini, riducendone i costiconnessi. Ai sensi della predetta norma, le aziende sanitarie devono,infatti, adottare, in linea con il decreto legislativo 7 marzo 2005, n. 82,recante il codice dell'amministrazione digitale (infra CAD), proceduretelematiche per consentire il pagamento delle prestazioni erogate, nonché laconsegna, tramite web, posta elettronica certificata o altre modalità digitali,dei referti medici, salvo il diritto dell'interessato di ottenere copiacartacea del referto. Le disposizioni attuative di tali previsioni sonoadottate, appunto, con l'odierno schema di d. P. C. M., previo parere delGarante. RILEVATO Loschema di decreto reca definizioni mutuate da altri pertinenti testi normativi.In particolare, il titolare del trattamento dei dati è definito in modocorrispondente all'articolo 4, comma 1, lett. f), del Codice in materia diprotezione dei dati personali (d. lg. 30 giugno 2003, n. 196, di seguito"Codice"); le definizioni di fascicolo sanitario elettronico e didomicilio digitale del cittadino recepiscono le indicazioni contenute nelrecentissimo decreto legge 18 ottobre 2012, n. 179, recante ulteriori misureurgenti per la crescita del Paese, ancora in fase di conversione in legge (art.2). Leaziende sanitarie devono rendere disponibile all'interessato il refertodigitale mediante una o più delle seguenti modalità, definite "servizi direfertazione on line": tramite web, posta elettronica, posta elettronicacertificata, supporto elettronico o fascicolo sanitario elettronico (art. 3,comma 1). Perquanto di più specifico interesse dell'Autorità, il decreto prevede che dopoaver informato l'interessato ai sensi dell'articolo 13 del Codice nonché sullecaratteristiche dei servizi di refertazione on line disponibili, l'aziendasanitaria – titolare del trattamento dei dati personali - acquisisce unautonomo e specifico consenso dell'interessato a trattare i suoi datipersonali, anche sanitari, permettendo la revoca dello stesso in qualsiasimomento (art. 5, comma 1); solo in seguito all'acquisizione del consensoesplicito dell'interessato sono attivati i servizi di refertazione on line(art. 3, comma 2). Medianterichiesta indirizzata all'azienda sanitaria, l'interessato può indicare unmedico attraverso il quale acquisire il referto digitale o una farmacia per ilritiro del referto secondo le modalità di cui al decreto del Ministro dellasalute 8 luglio 2011 (art. 5, comma 2). Fermerestando le misure di sicurezza previste dal Codice, si specifica poi chel'azienda sanitaria, per il trattamento dei dati personali necessario adassicurare i servizi di refertazione online, deve ottemperare ai requisiti disicurezza specificamente indicati nell'allegato A al decreto (art. 6). Taleallegato descrive le diverse modalità di consegna dei referti digitali, i serviziaggiuntivi resi dall'azienda sanitaria, nonché, appunto, le misure di sicurezzada adottare. Inparticolare, premesso che devono essere adottate tutte le misure di sicurezzaidonee a rispettare il divieto di diffusione dei dati sanitari ai sensi dell'art.22, comma 8, del Codice, le aziende sanitarie devono prevedere: misure contro irischi di accesso abusivo, furto o smarrimento dei supporti dei dati o deisistemi di elaborazione; sistemi di autenticazione, anche forte, per gliincaricati, "con utilizzo di caratteristiche biometriche nel caso deltrattamento di dati idonei a rivelare l'identità genetica dell'individuo";separazione fisica o logica dei dati; procedure di indisponibilità dei refertion line in ipotesi di potenziale rischio per la riservatezza. L'allegato Aprevede poi ulteriori misure specifiche per le diverse modalità di erogazionedel servizio di refertazione; ad esempio, per la consegna tramite supportoelettronico sono previste credenziali di sicurezza. Infine, è espressamenteprevisto il rinvio alle cautele e alle misure di sicurezza previste dal Garantenelle Linee guida in tema di referti on line del 19 novembre 2009, nonché Lineeguida in tema di fascicolo sanitario elettronico e di dossier sanitario del 16luglio 2009 (allegato A, premessa, nn. 1.5 e 4). Daultimo, lo schema prevede, in base all'articolo 5 del CAD, i pagamenti on linedelle prestazioni presso l'azienda sanitaria, che a tale scopo devono adottareprocedure telematiche per il controllo delle esenzioni per patologia e perreddito (art. 7). Nellarealizzazione dei servizi di refertazione e pagamento on line, le aziendesanitarie rilevano il giudizio dei cittadini in conformità con l'articolo 7 delCAD (art. 8) e con le Linee guida in tema di trattamento di dati per losvolgimento di indagini di customer satisfaction in ambito sanitario adottatedal Garante il 5 maggio 2011. CONSIDERATO 1.Il parere è reso su di una versione dello schema di decreto che tiene contodegli approfondimenti e delle indicazioni suggeriti dall'Ufficio del Garante aicompetenti uffici dell'Amministrazione interessata nel corso di una riunione edi contatti informali, volti a perfezionare il testo e a renderlo pienamenteconforme alla disciplina in materia di protezione dei dati personali. Leosservazioni dell'Ufficio hanno riguardato, in particolare: il coordinamentodelle disposizioni del decreto con la disciplina in materia di consenso altrattamento dei dati personali e di informativa all'interessato di cui alCodice; in ambito più strettamente sanitario, un più puntuale raccordocon la disciplina sul fascicolo sanitario elettronico, recentemente introdottadal decreto-legge 18 ottobre 2012, n. 174 e con quella riguardante la consegnadei referti tramite farmacie, di cui al decreto del Ministro della salute 8luglio 2011, sul cui schema il Garante ha reso parere; le modalità di fruizionedel servizio di refertazione on line; l'indicazione delle cautele e dellemisure di sicurezza da adottarsi a cura delle aziende sanitarie, anche inrelazione a quanto previsto dal Garante nelle Linee guida in tema di referti online; la necessità di riferirsi, nella descrizione dei pagamenti on line (art.7), non solo al sistema di controllo delle esenzioni per reddito, ma anche aquello delle esenzioni per patologia. Daquesto punto di vista, quindi, lo schema di regolamento non presenta, in lineagenerale, profili di criticità. Nondimeno,per conformarne pienamente il contenuto ai principi e alle garanzie in materiadi protezione dei dati personali, si ritiene necessario perfezionarneulteriormente il testo come di seguito indicato. 2.Lo schema di decreto non specifica se i servizi di refertazione on lineriguardino anche i referti recanti i risultati di accertamenti diagnosticirelativi ad infezione da HIV o quelli concernenti test genetici. Alriguardo si richiama l'attenzione sui limiti e sulle garanzie per iltrattamento dei dati in questione previsti dalla normativa di settore. Inparticolare, per quanto riguarda le analisi genetiche, la comunicazione dellarelativa refertazione deve essere accompagnata da una specifica consulenza(art. 12 Convenzione sui diritti dell'uomo e sulla biomedicina, fatta a Oviedoil 4 aprile 1997, ratificata e resa esecutiva dalla legge 28 marzo 2001, n.145; Autorizzazione del Garante al trattamento dei dati genetici 24 giugno2011, punto 5.1). Quanto invece agli accertamenti sull'HIV, l'articolo 5 dellalegge 5 giugno 1990, n. 135, prevede che l'operatore sanitario e ogni altrosoggetto che venga a conoscenza di un caso di AIDS, ovvero di un caso diinfezione da HIV, è tenuto a prestare la necessaria assistenza all'interessatoe ad adottare ogni misura o accorgimento occorrente per la tutela dei dirittidella persona, nonché della relativa dignità. Inproposito, il Garante, nelle Linee guida sui referti on line ha ritenuto, inparticolare, di escludere la possibilità di offrire i servizi di refertazioneon line nel caso di indagini genetiche, stante appunto la necessità diassicurare una consulenza appropriata nell'effettuazione di test genetici(punto 5 del provvedimento del Garante). Appare, pertanto, necessario che ildecreto chiarisca espressamente questi aspetti. 3.Si rende necessario, poi, un perfezionamento formale. Nell'allegato A aldecreto, in premessa, si prevede opportunamente l'obbligo per le aziende digarantire anche il rispetto delle misure indicate dal Garante nella materia.Poiché però non si tratta soltanto di misure di sicurezza, ma anche di altrecautele e garanzie, è opportuno perfezionare il rinvio come segue: "Inogni caso deve essere garantito il rispetto delle misure, anche di sicurezza,previste dal Garante per la protezione dei dati personali nel provvedimento del19 novembre 2009 recante "Linee guida in tema di referti on line, inparticolare per quanto riguarda il servizio di notifica via sms e ladesignazione del medico al ritiro del referto (punto 2)".Conseguentemente, il riferimento al rispetto di tali Linee guida è superfluo aipunti 1.5, lett. c), e 4, lett. e), del medesimo allegato A. TUTTO CIO' PREMESSO IL GARANTE: esprimeparere favorevole sullo schema di decreto del Presidente del Consiglio deiMinistri in materia di consegna, da parte delle Aziende sanitarie, dei refertimedici tramite web, posta elettronica certificata e altre modalità digitali,nonché di effettuazione del pagamento online delle prestazioni erogate, con leseguenti osservazioni: a) tenuto conto della normativa di settore e delle indicazioni rese dal Garantenel provvedimento recante Linee guida sui referti on line del 19 novembre 2009si espliciti nel decreto l'esclusione della refertazione on line relativa adanalisi genetiche, individuando al contempo limiti e garanzie per i refertirelativi ad accertamenti dell'HIV, ove questi siano previsti (punto 2); b)valuti l'amministrazione di apportare allo schema di decreto le modificheformali indicate al punto 3. Roma, 6 dicembre 2012
|