Garante per la protezione
    dei dati personali


Il trattamento dei dati sensibili coinvolti nel flusso informativo relativo alla istituzione presso l'ISPELS del registro nazionale dei casi di mesotelioma asbesto-correlati, deve ritenersi compreso tra le attività di rilevante interesse pubblico rientranti nei compiti del servizio sanitario nazionale, individuate dall'art. 17 del d.lg. n. 135/1999.

Roma, 27 ottobre 1999        

Ministero della sanità        
Dipartimento della prevenzione        
Ufficio VII        
Roma        

OGGETTO: Art. 36, comma 3, d.lg. 15 agosto 1991, n. 277. Schema di regolamento del Presidente del Consiglio dei Ministri, su proposta dei Ministri del lavoro e della previdenza sociale e della sanità per determinare il modello e le modalità di tenuta del registro dei casi di mesotelioma-asbesto correlati.

Parere ai sensi dell'art. 31, comma 2, della legge n. 675/1996.

Con la nota sopraindicata è stato chiesto a questa Autorità di esprimere un parere ai sensi dell'art. 31, comma 2, della legge n. 675/1996, relativamente allo schema di regolamento in oggetto.

Lo schema è stato predisposto in attuazione dell'art. 36, comma 3, del d.lg. 15 agosto 1991, n. 277, per determinare il modello e le modalità di tenuta del registro dei casi di mesotelioma-asbesto correlati, nonché le modalità di trasmissione di documenti.

1. Il Garante osserva preliminarmente che a decorrere dall'8 maggio 1999 il trattamento dei dati sensibili da parte dei soggetti pubblici è disciplinato non più sulla base del regime transitorio di cui all'art. 41, comma 5, della legge n. 675/1996, bensì secondo le regole e gli adempimenti previsti dall'art. 22, commi 3 e 3bis della legge medesima, come modificati dall'art. 5 del decreto legislativo 11 maggio 1999, n. 135.

In particolare, tale decreto ha individuato alcune rilevanti finalità di interesse pubblico per il cui perseguimento è consentito il trattamento dei dati sensibili da parte dei soggetti pubblici anche nei casi in cui non sussista una espressa disposizione di legge nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite.

Il decreto, introducendo il comma 3 bis nell'art. 22, ha infatti previsto che i soggetti pubblici, nei casi in cui è specificata la finalità di rilevante interesse pubblico, ma non sono individuati i tipi di dati e le operazioni eseguibili, possono, in alternativa ad una integrazione legislativa, "identificare e rendere pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi, aggiornando tale identificazione periodicamente".

Al riguardo, si osserva che il trattamento dei dati sensibili coinvolti nel flusso informativo relativo alla istituzione presso l'ISPELS del registro nazionale dei casi di mesotelioma asbesto-correlati, deve ritenersi compreso tra le attività di rilevante interesse pubblico rientranti nei compiti del servizio sanitario nazionale, individuate dall'art. 17 del d.lg. n. 135/1999. In particolare, il trattamento appare rientrare tra le attività concernenti "il monitoraggio epidemiologico, ivi compresi la sorveglianza della emergenza o riemergenza delle malattie, e degli eventi avversi nelle vaccinazioni, i registri di patologia e la gestione della profilassi internazionale" e le attività concernenti "l'applicazione della normativa in materia di igiene e sicurezza nei luoghi di lavoro e di sicurezza e salute della popolazione"

(art. 17, comma 1, lett. e) ed f) d.lg. n. 135).

Per quanto riguarda la concreta disciplina dello specifico trattamento di dati in esame, codesto Ministero può operare un rinvio all'apposito decreto del Ministro della sanità previsto dal d.lg. n. 282/1999 (art. 2, comma 1).

Resta peraltro ferma la possibilità di avvalersi anche dello schema di regolamento in esame, che costituisce una fonte idonea ad operare l'illustrata ricognizione in quanto ha comunque natura regolamentare ai sensi dell'art. 17, comma 3, della legge 23 agosto 1988, n. 400. Avvalendosi, ove ritenuto opportuno, anche del presente schema, codesta amministrazione dovrà quindi precisare la portata dei trattamenti consentiti e disciplinare il flusso di informazioni relative ai casi di mesotelioma asbesto correlati (nonché le modalità di trasmissione della documentazione clinica all'ISPELS da parte degli organi del servizio sanitario nazionale e degli istituti previdenziali assicurativi pubblici e privati), nell'osservanza dei criteri di essenzialità, pertinenza, compatibilità tra le finalità perseguite e di selettività nella comunicazione dei dati, già affermati dalla legge n. 675 e ora ribaditi per i dati sensibili dagli artt. 1-5 del d.lg. n. 135/1999.

Sempre con riferimento allo schema in esame, il Garante formula inoltre le seguenti osservazioni.

Già nel parere del 19 dicembre 1998 sullo schema di decreto del Ministro della sanità recante il regolamento di individuazione delle malattie croniche e invalidanti che danno diritto ad una esenzione, questa Autorità, oltre ad aver formulato alcune riserve circa il sistema di codici utilizzato per l'identificazione delle patologie (in quanto "facilmente associabili alle malattie ad essi corrispondenti"), ha rilevato come non fosse stata presa in considerazione la necessità di rendere non identificabili i soggetti affetti dalle patologie stesse.

Nel medesimo spirito si condivide lo schema nella parte in cui prevede, conformemente al principio contenuto nell'art. 4, comma 5, del d.lg. n. 135/1999, che la scheda di notifica (all. 1, previsto dall'art. 3 dello schema) si articoli in quattro distinte sezioni in cui le informazioni anagrafiche verrebbero annotate separatamente rispetto a quelle sanitarie.

Tuttavia, si ritiene necessario considerare con maggiore attenzione i seguenti profili:

• è necessario prevedere che la sezione anagrafica e le altre sezioni siano gestite in archivi disgiunti, con conseguente successiva individuazione dei servizi autorizzati a procedere alla ricongiunzione dei dati contenuti nelle distinte sezioni, per il tempo e nei modi strettamente necessari per il risultato della ricerca. Naturalmente la previsione circa la gestione in archivi disgiunti deve estendersi ai COR (centri operativi regionali - art. 2 dello schema) e allo stesso ISPELS al quale le informazioni relative ai casi di mesotelioma vengono trasmesse.

In proposito, considerate le perplessità già manifestate circa la facilità con cui è possibile "decodificare" il sistema di codici riportati nella Classificazione internazionale delle malattie, si richiama l'attenzione sulla necessità del rispetto, per maggiore garanzia di riservatezza, del decreto legislativo n. 135/1999, nella parte in cui ha stabilito che i dati anagrafici devono essere conservati separatamente da quelli sanitari che, invece, se contenuti in elenchi, registri o banche dati devono essere trattati con "tecniche di cifratura o codici identificativi che consentano di identificare gli interessati solo in caso di necessità" (art. 3, commi 4 e 5, d.lg. n. 135/1999);

• all'art. 5, comma 3, è opportuno precisare che la trasmissione annuale alle regioni dei dati di sintesi relativi alle risultanze del registro in questione, può essere effettuata esclusivamente in forma anonima (art. 23, comma 4, legge n. 675/1996).

3. Per quanto attiene poi al riferimento alla tenuta del registro in questione "in conformità alle norme di cui alla legge 31 dicembre 1996, n. 675, concernente la tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali", richiamato nell'art. 5, comma 1, dello schema in esame, si ritiene opportuno ricordare che in tema di sicurezza nel trattamento dei dati personali è intervenuta una specifica disciplina regolamentare adottata ai sensi dell'art. 15, comma 2, della legge n. 675/1996.

Più precisamente, per effetto della pubblicazione in Gazzetta Ufficiale (G.U. n. 216 del 14 settembre 1999) del d.P.R. 28 luglio 1999 n. 318, recante norme per l'individuazione delle misure minime di sicurezza per il trattamento dei dati personali, chiunque tratti dati personali dovrà adottare le misure individuate nel medesimo regolamento entro il termine di sei mesi dalla data della sua entrata in vigore (art. 41, comma 3, l. n. 675/1996).

In particolare, si richiama l'attenzione sulle disposizioni dell'art. 5 ("accesso ai dati particolari") che prevedono, per l'accesso alle operazioni di trattamento dei dati di cui agli articoli 22 e 24 della legge n. 675/1996, specifiche autorizzazioni rilasciate agli incaricati del trattamento o della manutenzione da parte del titolare o, se designato, del responsabile.

Al riguardo, si ritiene necessario, quindi, quanto meno un riferimento, nel suddetto art. 5, comma 1, dello schema in esame, agli obblighi previsti dalle disposizioni in materia di sicurezza (art. 15 della legge n. 675/1996 e d.P.R. n. 318/1999). Appare inoltre opportuno ampliare la gamma delle misure adottabili con un ulteriore riferimento a nuovi sistemi che si rendessero disponibili in base al progresso tecnologico.

4. Si ritiene altresì opportuno richiamare l'attenzione sulla assoluta necessità che l'ISPESL e i COR (centri operativi regionali) individuino al loro interno i soggetti "responsabili" e "incaricati" del trattamento ai sensi degli artt. 8 e 19 della legge n. 675/1996.

5. Nel pregare infine l'Amministrazione di dare atto nel preambolo dell'avvenuta consultazione ai sensi dell'art. 31, comma 2, della legge n. 675/1996, il Garante resta a disposizione per ogni ulteriore collaborazione o chiarimento.

IL PRESIDENTE