Garante per la protezione
    dei dati personali


VEDI anche:  Newsletter del 26 giugno 2014

Parere del Garante su uno schema didecreto del Presidente del Consiglio dei ministri in materia di fascicolosanitario elettronico

PROVVEDIMENTO DEL 22 MAGGIO 2014

Registro dei provvedimenti
 n. 261 del 22 maggio 2014

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano edella dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia,segretario generale;

Vistala richiesta di parere della Presidenza del Consiglio dei ministri;

Vistol'articolo 154, comma 4, del Codice in materia di protezione dei dati personali(d.lgs. 30 giugno 2003, n. 196);

Vistala documentazione in atti;

Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatorela dott.ssa Bianchi Clerici;

PREMESSO

1. Premessa.

LaPresidenza del Consiglio dei ministri ha richiesto il parere del Garante su unoschema di decreto del Presidente del Consiglio dei ministri in materia difascicolo sanitario elettronico, adottato ai sensi dell'articolo 12, comma 7,del decreto-legge 18 ottobre 2012, n. 179, convertito dalla legge 17 dicembre2012, n. 221, e successive modificazioni, e dell'articolo 13, comma 2-quater,del decreto-legge 21 giugno 2013, n. 69, convertito dalla legge 9 agosto 2013,n. 98.

L'articolo12 del decreto-legge n. 179/2012 –successivamente modificato e integratodall'articolo 17 del predetto decreto-legge n. 69/2013- prevede l'istituzione,da parte delle regioni e delle province autonome, del fascicolo sanitarioelettronico (d'ora innanzi: FSE), definito dalla legge "l'insieme dei datie documenti digitali di tipo sanitario e socio-sanitario generati da eventiclinici presenti e trascorsi riguardanti l'assistito" (art. 12, comma 1,d.l. n. 179/2012).

IlFSE è istituito per corrispondere a tre tipi di finalità: 1) prevenzione,diagnosi, cura e riabilitazione; b)  studio e ricerca scientifica in campomedico, biomedico ed epidemiologico; c)  programmazione sanitaria,verifica delle qualità delle cure e valutazione dell'assistenza sanitaria (art.12, comma 2).

Ilcomma 7 dell'articolo 12 prevede che con uno o più decreti siano stabiliti: icontenuti del FSE e del dossier farmaceutico nonché i limiti di responsabilitàe i compiti dei soggetti che concorrono alla sua implementazione, i sistemi dicodifica dei dati, le garanzie e le misure di sicurezza da adottare neltrattamento dei dati personali nel rispetto dei diritti dell'assistito, lemodalità e i livelli diversificati di accesso al FSE, la definizione e lerelative modalità di attribuzione di un codice identificativo univocodell'assistito che non consenta l'identificazione diretta dell'interessato, icriteri per l'interoperabilità del FSE a livello regionale, nazionale edeuropeo, nel rispetto delle regole tecniche del sistema pubblico di connettività.

Coni previsti decreti si devono altresì disciplinare le modalità di accesso daparte del cittadino ai servizi sanitari on line, in forma protetta e riservata;le interfacce, i sistemi e le applicazioni software adottati devono assicurarepiena interoperabilità tra le soluzioni (art. 12, commi 2, ultimo periodo e6-bis).

Infinel'articolo 12 prevede che con il decreto di cui al comma 7 siano definitilivelli di accesso, modalità e logiche di organizzazione ed elaborazione deidati relativi alle finalità di ricerca scientifica e di programmazionesanitaria perseguite dalle regioni e dalle province autonome, nonché dalMinistero del lavoro e delle politiche sociali e dal Ministero della salute,nei limiti delle rispettive competenze attribuite dalla legge, senza l'utilizzodei dati identificativi degli assistiti presenti nel FSE e in conformità aiprincipi di proporzionalità, necessità e indispensabilità nel trattamento deidati personali (art. 12, comma 6).

RILEVATO

2. Il contenuto del regolamento.

Nellarelazione illustrativa si legge che l'odierno schema è il primo dei decretiattuativi previsti dall'articolo 12, allo scopo di consentire il concreto avviodella realizzazione del FSE. Esso definisce i contenuti del fascicolo, leresponsabilità e i compiti dei soggetti coinvolti, le garanzie e le misure disicurezza da adottare nel trattamento dei dati personali, le modalità e ilivelli diversificati di accesso al fascicolo in relazione alle specifichefinalità, i criteri di interoperabilità, nonché i contenuti informativi e lecodifiche del profilo sanitario sintetico e del referto di laboratorio,individuati quali primi contenuti da attivare a livello nazionale.

Ildecreto si compone di 30 articoli ed è strutturato in più capi, di cui il primoconcernente i principi generali, i successivi tre contenenti le disposizionispecifiche per le finalità sopra descritte -sinteticamente definite dalloschema, rispettivamente, "finalità di cura", "finalità diricerca" e "finalità di governo" (art. 2, comma 1, lett. d), e)ed f) dello schema)- e gli altri recanti regole tecniche e misure di sicurezza(capo V) e l'istituzione di un Tavolo tecnico di monitoraggio e indirizzo (capoVI), oltre alle disposizioni transitorie (capo VII). Al regolamento è allegatoun disciplinare tecnico.

Nelcapo I si disciplina il contenuto del FSE (nucleo minimo e dati integrativi),il profilo sanitario sintetico o "patient summary", che riassume lastoria clinica del paziente per un suo rapido inquadramento sanitario almomento del contatto con il SSN, il taccuino personale dell'assistito, iltrattamento di dati soggetti a maggior tutela di anonimato, le diverse forme diconsenso all'utilizzo dei dati, l'informativa e gli altri dirittidell'interessato, nonché le sue modalità di accesso al FSE (artt. 3-10).

Ilcapo II disciplina i trattamenti per finalità di cura, individuando neisoggetti del SSN e dei servizi socio-sanitari regionali che hanno in cural'assistito i titolari del trattamento di tutti i dati e documenti presenti nelFSE. Sono poi specificati le modalità di alimentazione del FSE e di accessoalle informazioni, consentito ai predetti soggetti previo consensodell'interessato, salvo i casi di emergenza (artt. 11-15).

Perquanto riguarda i trattamenti effettuati per finalità di ricerca (capo III)titolari del trattamento sono le regioni, le province autonome e il Ministerodella salute. Per tali finalità possono essere trattati i dati presenti neidocumenti individuati all'articolo 3, purché privati dei dati identificatividiretti dell'assistito. Sono espressamente individuati nello schema i datiesclusi dal trattamento (artt. 16 e 17).

Analoghedisposizioni reca il capo IV per i trattamenti effettuati per finalità digoverno, la cui titolarità è riconosciuta anche al Ministero del lavoro e dellepolitiche sociali, per le competenze attribuite dalla legge (artt. 19 e 20). Diparticolare importanza è la disciplina dell'accesso alle informazioni del FSEper finalità di governo e del relativo trattamento rispetto ai diversi soggettititolari del trattamento (art. 21).

Ilcapo V, infine, è dedicato alle regole tecniche e di sicurezza, secondo lespecifiche di cui all'allegato tecnico. In particolare, l'accesso ai daticontenuti nel FSE è consentito, per tutte le finalità previste, soloutilizzando le modalità e gli strumenti previsti dall'articolo 64 del codicedell'amministrazione digitale (d.lg. n. 82/2005) (art. 24, comma 2). Devonoessere adottati idonei accorgimenti per evitare il rischio di accessi abusivialle informazioni, anche ricorrendo a tecniche crittografiche (art. 24, comma4), e sono assicurati idonei sistemi di autenticazione e di autorizzazione,protocolli di comunicazione sicuri, criteri per la cifratura dei dati, latracciabilità degli accessi e delle operazioni, sistemi di audit log, proceduredi anonimizzazione degli elementi identificativi diretti (art. 24, comma 5),nonché sistemi di codifica dei dati che assicurino l'interoperabilità semanticanei diversi contesti regionali, nazionali ed europei (artt. 25 e 26).

RITENUTO

3. La partecipazione dell'Ufficio del Garante altavolo di lavoro presso il Ministero della salute.

Loschema di decreto (inizialmente di competenza ministeriale) è stato elaboratonell'ambito di un tavolo di lavoro istituito presso il Ministero della salute,cui ha partecipato anche l'Ufficio del Garante fin dalla sua costituzionerisalente al mese di gennaio 2013. Di tale collaborazione viene dato contoanche nella relazione illustrativa accompagnata al decreto.

Altavolo di lavoro hanno preso parte rappresentati di DigitPA, del Coordinamentodella commissione salute delle regioni (Conferenza delle Regioni e delleProvince Autonome), del Dipartimento per la digitalizzazione della PA el'innovazione tecnologica della Presidenza del Consiglio dei Ministri, nonchédi medici in rappresentazione della Federazione nazionale degli ordini deimedici chirurghi e degli odontoiatri (Fnomceo).

Iltesto dello schema di decreto elaborato dal tavolo è stato trasmesso allaPresidenza del Consiglio dei Ministri il 30 ottobre 2013 in quanto il decreto,ai sensi dell'articolo 13, comma 2-quater, del decreto-legge n. 69/2013, èstato ricondotto alla competenza della Presidenza.

Nelcorso delle riunioni del tavolo di lavoro l'Ufficio ha formulato numerosirilievi e ha fornito indicazioni volte a perfezionare il testo e a renderlopienamente conforme alla disciplina in materia di protezione dei datipersonali, indicazioni che sono state quasi integralmente accolte dalleamministrazioni interessate attraverso una nuova formulazione di numerosiarticoli.

Leindicazioni rese dall'Autorità hanno riguardato, in particolare, i seguentiaspetti:

a) inrelazione al contenuto del FSE, è stato modificato l'articolo 3 dello schema didecreto eliminando tra i dati c.d. "integrativi" del FSE la dizione"altri documenti rilevanti" in quanto generica; ulteriori documentida inserire nel FSE potranno essere individuati, eventualmente, solo con successivodecreto ministeriale, da emanarsi previo parere del Garante;

b) sonostate individuate con maggior precisione le modalità di acquisizione e diaggiornamento dei dati da parte del medico di medicina generale/pediatra dilibera scelta (MMG/PLS) per la compilazione del profilo sanitario sintetico opatient summary, anche in caso di variazione dei medici. Così, ad esempio, sonostati inseriti nel set minimo di dati del FSE anche quelli identificativi eanagrafici, che saranno direttamente acquisiti dal sistema attraverso leanagrafi sanitarie (art. 4 schema);

c)particolare attenzione è stata riservata alla disciplina del consensoall'utilizzo delle informazioni. Innanzitutto, sulla base dei rilievi formulatidall'Ufficio alcune informazioni di particolare delicatezza sono ora inseribilinel FSE solo con uno specifico consenso dell'interessato (sieropositività,interruzione volontaria di gravidanza, violenza sessuale, pedofilia, uso disostanze stupefacenti, parto in anonimato, attività dei consultori) (art. 6).Sono state, poi, meglio esplicitate le diverse fattispecie di consenso previstedall'articolo 12 del decreto-legge n. 179/2012 per l'utilizzo dei dati e leconseguenze di un loro mancato conferimento, distinguendo fra consensoall'alimentazione del FSE (in mancanza del quale il FSE rimane vuoto e, quindi,non accessibile né per finalità di cura, né per finalità di ricerca e digoverno) e consenso alla consultazione del FSE per finalità di cura, daesprimere successivamente al consenso all'alimentazione; in mancanza di taleconsenso il FSE (alimentato sulla base del primo consenso) potrà essereutilizzato solo per fini di governo e ricerca nel rispetto dei limiti stabilitidal quadro normativo vigente (cfr. art. 12, commi 3-bis e 5, d.l. 179/2012 eartt. 7 e 8 schema);

d) èstata evidenziata la differenza tra la mancata alimentazione del FSE conriferimento a uno specifico dato o documento e l'oscuramento di questi,disciplinando sia le modalità di esercizio di tali facoltà da partedell'interessato, sia le relative conseguenze (art.9);

e)l'accesso al FSE ai fini di alimentazione e verifica della correttezza dei datiè stato limitato ai soggetti del SSN e dei servizi socio-sanitari regionali(art. 13), in linea con il quadro normativo vigente. stato perfezionato ildisciplinare tecnico allegato allo schema nella parte relativa alla gestionedei privilegi (per evidenziare la necessità dell'abbinamento di tale gestionecon i contesti applicativi di esercizio dei ruoli) e prevedendo -anche da unpunto di vista tecnologico- l'accesso al FSE solo da parte del personaleabilitato che abbia effettivamente in cura il paziente e per il temponecessario allo svolgimento di tale attività (cfr. paragrafo 4.2 deldisciplinare tecnico);

f) perquanto riguarda le c.d. finalità di ricerca, nell'articolo 18 è stato inseritoil rinvio agli articoli 110 e 39 del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice") alfine di meglio individuare il quadro normativo in materia, ed è stato espunto,di converso, il riferimento al Ministero del lavoro in ragione dell'assenza incapo a tale dicastero di competenze istituzionali nel campo delle ricercamedica biomedica ed epidemiologica;

g) conspecifico riferimento al perseguimento delle finalità di governo da parte delMinistero del lavoro e delle politiche sociali, sono state inserite adeguategaranzie per il trattamento dei dati effettuato da tale dicastero, non essendoad esso applicabili le cautele individuate nella scheda n. 12 dell'allegato A)allo schema di regolamento per il trattamento dei dati sensibili e giudiziaridelle regioni (cfr. art. 21, comma 3, schema);

h) èstata perfezionata la disposizione dello schema che disciplina i "servizidi elaborazione di dati" per finalità di cura, prevedendone i necessarilimiti (art. 12, comma 2, schema). Si è convenuto sull'opportunità di rinviare,invece, l'individuazione di tali servizi nell'ambito del perseguimento dellefinalità di governo e di ricerca in un successivo decreto, da emanarsi ai sensidel comma 7 dell'art. 12 d.l. n. 179/2012, previo parere del Garante, essendosiriconosciuta la necessità di una maggiore riflessione sulla natura e lecaratteristiche di tali servizi.

i) alfine di scongiurare il rischio di accessi abusivi al FSE e di garantirel'esattezza e la continuità della fruibilità dei dati, lo schema è statointegrato prevedendo l'obbligo per il titolare del trattamento di avvisaretempestivamente il Garante nel caso in cui i dati trattati nell'ambito del FSEsubiscano violazioni (c.d."data breach": si pensi a attacchiinformatici, incendi o altre calamità, che possano comportare la perdita, ladistruzione o la diffusione indebita di dati ( (cfr. art. 24, comma 9, schema).

Perquanto sopra esposto e poiché lo schema recepisce pressoché integralmente leindicazioni rese dall'Ufficio del Garante in via di collaborazione al tavolo dilavoro, le disposizioni dello schema di regolamento in esame non presentanoprofili di criticità sotto il profilo della protezione dei dati personali e,pertanto, il Garante non ha osservazioni da formulare sull'articolato.

4. La segnalazione del Garante al Parlamento e alGoverno e il trattamento di dati per finalità "di ricerca" e "digoverno".

4.1.L'articolo 12 del decreto-legge n. 179 del 2012 –come già precisatosopra- è stato modificato e integrato dall'articolo 17 del decreto-legge n.69/2013. A dibattito parlamentare avviato per la conversione in legge delprovvedimento d'urgenza, il Garante ha segnalato al Parlamento e al Governoalcune criticità riscontrate nel decreto, anche in materia di fascicolosanitario elettronico.

L'articolo12, comma 6, del predetto decreto-legge n. 179/2012, nella sua formulazioneoriginaria, prevedeva che le Regioni e le Province autonome, il Ministero delLavoro e delle politiche sociali e il Ministero della Salute potesseroperseguire le finalità di studio e ricerca scientifica, nonché diprogrammazione sanitaria e monitoraggio loro assegnate ("finalità diricerca" e "finalità di governo" di cui all'art. 12, comma 2,lett. b) e c)) "senza l'utilizzo dei dati identificativi degli assistiti edei documenti clinici presenti nel FSE". Ciò, sul presupposto che per talifinalità, le quali non attengono alla cura della persona, fosse sufficienteutilizzare informazioni non identificative dei pazienti, in applicazione deiprincipi di necessità, proporzionalità e indispensabilità nel trattamento deidati personali, e senza che fossero in alcun modo presi in considerazionedocumenti clinici.

L'articolo17, comma 1, lett. e), del decreto–legge n. 69/2013 ha soppresso ilriferimento ai "documenti clinici", sicché la vigente disposizioneprevede che le predette finalità possano essere perseguite dai soggetti sopracitati "senza l'utilizzo di dati identificativi degli assistiti presentinel FSE". L'Autorità ha espresso forti perplessità su tale ampliamento delnovero dei dati oggetto di possibile trattamento (si pensi alle risultanzediagnostiche radiologiche o a quelle di analisi cliniche, ecc.) sul presuppostoche tali dati rappresentano un patrimonio informativo prezioso per glioperatori sanitari nel momento in cui devono fare una diagnosi o prestare lecure mediche richieste, ma sproporzionato per lo svolgimento delle attività diricerca scientifica o programmazione sanitaria.

IlGarante ha quindi segnalato la necessità di modificare la norma in modo daassicurare ai soggetti pubblici l'utilizzo delle sole informazioni veramenteutili e pertinenti per il perseguimento delle finalità loro assegnate, anchedemandando al regolamento di attuazione (ora d.P.C.M.) –che deve definirei contenuti del FSE- di individuare a suo tempo i "documentisanitari" utilizzabili per le ripetute finalità.
La norma non èstata modificata in Parlamento, ma il tavolo di lavoro ha convenuto nelprevedere tra i dati "espressamente esclusi dal trattamento" per ilraggiungimento delle attività di ricerca e di governo anche le "copie perimmagine su supporto informatico di documenti analogici; (le) informazioni nonstrutturate di tipo testuale; (le) informazioni non strutturate di tipografico, sia statiche (immagini) che dinamiche (video)" (cfr. artt. 17 e20). Tale precisazione tende a reintrodurre la garanzia relativa all'esclusionedei dati clinici dai trattamenti effettuati.

4.2.Ai sensi dell'articolo 21, comma 1, dello schema, l'accesso da parte delleregioni e delle province autonome alle informazioni del Fse per finalità digoverno deve avvenire con le modalità di cui alla scheda 12 dell'allegato Adello schema tipo di regolamento per i trattamenti di dati sensibili egiudiziari effettuati presso le regioni e province autonome, le aziendesanitarie, gli enti e agenzie regionali/provinciali e gli enti vigilati dalleregioni e province autonome (artt. 20 e 21 del Codice).

Alriguardo, si evidenzia la necessità di un coordinamento di quanto previstonella predetta scheda 12, circa le modalità con cui le regioni raccolgono idati sanitari a fini di governo, con le disposizioni di cui agli articoli 15,comma 25-bis, del decreto-legge 6 luglio 2012, n. 95, convertito dalla legge 7agosto 2012, n. 135, in materia di interconnessione dei sistemi informativi delSSN, e 35, comma 1, del decreto legislativo 23 giugno 2011, n. 118, in materiadi sistemi informativi della sanità. Tali articoli, infatti, prevedono che idati individuali presenti nei flussi informativi sanitari, già oggi acquisitiin modo univoco sulla base del codice fiscale dell'assistito, siano residisponibili per le attività di valutazione e monitoraggio del Serviziosanitario nazionale mediante apposito sistema di codifica in modo da tutelarel'identità dell'assistito.

4.3.Il trattamento dei dati per finalità di ricerca e di governo deve avveniresenza l'utilizzo dei dati identificativi degli assistiti presenti nel FSE (art.20, comma 1, schema).

Inrelazione a tale aspetto, anche a seguito dei rilievi formulati dall'Ufficio altavolo di lavoro, il Ministero della salute ha proposto di provvedereall'individuazione delle modalità di privazione dei dati identificativi degliassistiti dai dati presenti nel FSE nel decreto ministeriale da emanare inattuazione del predetto articolo 15, comma 25-bis, del decreto-legge n. 95 del2012, in relazione al quale è già avviata la collaborazione dell'Ufficio delGarante con l'amministrazione competente per il perfezionamento del relativoschema. Tale proposta appare condivisibile alla luce della necessaria omogeneitàdei sistemi di codifica dei dati nei flussi sanitari operanti nell'ambito delSSN.

5. Responsabile della protezione dei dati.

Neltavolo di lavoro si è fatto riferimento alla figura del "responsabiledella protezione dei dati". Al riguardo, pur condividendo la scelta di noninserire nel regolamento una disposizione che obblighi i titolari deltrattamento ad istituire tale figura, l'Autorità, in ragione della particolaredelicatezza delle informazioni trattate nell'ambito dell'FSE utilizzate per lemolteplici finalità previste dalla legge, auspica che ogni titolare coinvoltodall'applicazione del presente decreto individui al suo interno una figura diresponsabile della protezione dei dati che interloquisca con il Garante, anchein relazione ai casi di data breach previsti nell'articolo 24, comma 9 delloschema.

IL GARANTE

esprimeparere favorevole sullo schema di decreto del Presidente del Consiglio deiministri in materia di fascicolo sanitario elettronico, adottato ai sensidell'articolo 12, comma 7, del decreto-legge 18 ottobre 2012, n. 179,convertito dalla legge 17 dicembre 2012, n. 221, e successive modificazioni, edell'articolo 13, comma 2-quater, del decreto-legge 21 giugno 2013, n. 69,convertito dalla legge 9 agosto 2013, n. 98 (punto 3).

Roma, 22 maggio 2014

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia