| Garante per la protezione dei dati personali [v. Sanit: sistema informativoper le dipendenze e privacy Provvedimentodel 6 maggio 2009 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI NELLA riunione odierna, in presenza delprof. Francesco Pizzetti, presidente, del dott. Mauro Paissan e del dott.Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretariogenerale; Vista la richiesta di parere delMinistero del lavoro, della salute e delle politiche sociali; Visto l'art. 154, commi 4 e 5, del Codicein materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196); Vista la documentazione in atti; Viste le osservazioni dell'Ufficioformulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garanten. 1/2000; Relatore il dott. Giuseppe Fortunato; PREMESSO: Il Ministero del lavoro, della salute edelle politiche sociali ha chiesto il parere del Garante in ordine a uno schemadi decreto recante l'istituzione del sistema informativo per le dipendenze (diseguito indicato come SIND). Il decreto riguarda interventi sanitari esocio sanitari erogati da operatori del Servizio sanitario nazionalenell'ambito dell'assistenza rivolta alle persone dipendenti da sostanzestupefacenti o psicotrope o da alcool. Il presente parere si riferisce a unaversione dello schema che tiene conto di alcune osservazioni svolte nell'ambitodi incontri tecnici tenutisi presso questa Autorit. OSSERVA: 1. Le finalit del sistema Loschema di decreto prevede che il Sistema informativo nazionale dipendenze,istituito nell'ambito del Nuovo Sistema informativo sanitario (NSIS) presso ilMinistero del lavoro, della salute e delle politiche sociali, il sistema disupporto al conseguimento delle finalit definite nel decreto. Attraverso lesue funzionalit le Regioni e le Province autonome mettono a disposizione delpredetto NSIS informazioni relative a strutture, attivit e personale deiservizi delle dipendenze, al fine di consentirne un'adeguata analisi a livellonazionale e regionale. I dati oggetto dei flussi informativi, lemodalit di alimentazione del sistema informativo e le sue caratteristichetecniche sono specificati nel disciplinare tecnico allegato al decreto. Per assicurare il rispetto del principiodi finalit (art. 11, comma 1, lett. b) del Codice in materia di protezione deidati personali) necessario che le finalit per le quali i dati devono essereraccolti nel SIND e che si intendono perseguire mediante il sistema sianoindicate espressamente e in maniera esaustiva nell'articolato del decreto. Allo stato, invece, indicazioni circa lepossibili finalit cui preordinato il sistema sono contenute solo nelpreambolo e nel disciplinare tecnico allegato allo schema (parr. 1 e 3.5. disc.tecn.) e in maniera, peraltro, non esaustiva come pu dedursi dall'uso dellelocuzioni "fra l'altro"e "principali" cui,rispettivamente, si fa ricorso. 2. Dati non direttamente identificatividegli interessati
Il Ministero del lavoro, della salute e delle politichesociali, nonch le Regioni e le Province autonome possono trattare datipersonali sensibili, anche idonei a rivelare lo stato di salute, per finalitche rientrano nei compiti del Servizio sanitario nazionale. In particolare, possonoessere trattati dati per attivit di programmazione, gestione, controllo evalutazione dell'assistenza sanitaria (art. 85, comma 1, lett. b) del Codice)purch non direttamente identificativi degli interessati (art. 20, comma 3, delCodice; d.m. 12 dicembre 2007, n. 277, all. n. C-01; scheda 12 dello schematipo di regolamento per il trattamento dei dati sensibili e giudiziari delleregioni e delle province autonome approvato dal Garante con Per dare attuazione a tale cornicenormativa, lo schema di decreto precisa che il contesto dei dati trattatimediante il SIND costituito da "informazioni individuali ma nonnominative" (art. 2, comma 2,dello schema; par. 3.1 disc. tecn.). Inoltre, per garantire la nonidentificabilit diretta delle persone i cui dati sono trattati nell'ambito delSIND, a ciascun soggetto assegnato un codice univoco (cfr. art. 5, comma 3,dello schema). Tale misura stabilita in applicazione di quanto previsto daipredetti regolamenti, a norma dei quali i dati raccolti e comunicati dalleaziende sanitarie all'amministrazione regionale di riferimento sono privatidegli elementi identificativi diretti (come, ad esempio, il nome e il cognomedel paziente) subito dopo la loro acquisizione da parte della regione e aciascun soggetto assegnato, appunto, un codice univoco. Lo schema prevede anche, opportunamente,che il codice assegnato deve essere diverso da analogo codice utilizzato nellatrasmissione dei dati di altri sistemi informativi, per non consentirel'interconnessione con altre banche dati (art. 5, comma 3, dello schema). L'Autorit prende atto favorevolmente ditali previsioni e ritiene necessario, sul piano formale, sostituire, ovunquericorra, la locuzione "informazioni individuali ma non nominative" Inoltre, necessario completare legaranzie per gli interessati prevedendo, in conformit a quanto stabilito nellascheda 12 del regolamento citato, che le regioni e le province autonome che nondispongono di sistemi di codifica utilizzino solo dati anonimi (analogaintegrazione deve essere apportata nel preambolo laddove si riporta ilcontenuto della scheda 12). 3. L'accesso ai dati e il loro utilizzo Perassicurare il rispetto dei principi di proporzionalit e di indispensabilitnel trattamento dei dati sensibili lo schema deve essere integrato con miratedisposizioni che assicurino l'accesso selettivo alle informazioni conservatenel sistema ed il loro utilizzo proporzionato rispetto alle finalitperseguite. In particolare, si ritiene necessario: a) individuare specificamente,nell'articolato, le unit organizzative del ministero, delle regioni e delleprovince ai cui addetti consentito il trattamento delle informazioni delSIND, anche mediante l'indicazione delle specifiche attribuzioni ad esseassegnate (cfr., invece, il paragrafo 3.1 del disciplinare tecnico ove si fa riferimentogenericamente agli "uffici regionali preposti" b) specificare nell'articolato,piuttosto che nel disciplinare tecnico (cfr. par. 3.5), che il ministero puaccedere all'insieme delle informazioni raccolte nell'ambito del SIND, mentrele regioni e le province autonome possono trattare solo le informazioni da essestesse inserite; c) assicurare l'accesso selettivoalle informazioni, evitando, in particolare, la consultazione di dati riferitia singoli individui e favorire la rappresentazione aggregata delleinformazioni. A tale scopo lo schema potrebbe essere integrato con ledisposizioni che si suggeriscono o con altre di analogo tenore: "NelSIND sono raccolti e trattati solo i dati indispensabili per lo svolgimento dielaborazioni statistiche, ricerche, studi e analisi necessari per ilperseguimento delle finalit del presente decreto, con modalit e logiche diorganizzazione ed elaborazione delle informazioni dirette esclusivamente afornire una rappresentazione aggregata dei dati. Gli incaricati del trattamentopossono accedere ai dati registrati nel SIND soltanto per singole chiavi diricerca che non devono consentire, anche mediante operazioni diinterconnessione e raffronto, la consultazione, la selezione ol'estrazione di informazioni riferite a singoli individui o di elenchi dicodici identificativi. Le funzioni applicative del sistema non devonoconsentire la consultazione e l'analisi di informazioni che rendanoidentificabile l'interessato ai sensi dei codici di deontologia e di buonacondotta per i trattamenti di dati personali per scopi statistici o scientificidi cui agli allegati A3 e A4 del decreto legislativo 30 giugno 2003, n.196.". 4. Anonimato L'articolo 120 deltesto unico delle leggi in materia di tossicodipendenze (d.P.R. n. 309/1990)prevede che chiunque si sottoponga ad un programma terapeutico esocio-riabilitativo possa richiedere l'anonimato nei rapporti con i servizi egli altri presidi sanitari competenti. In tal caso, tali persone hanno dirittoa che la loro scheda sanitaria non contenga le generalit n altri dati chevalgano alla loro identificazione. L'Autorit prende atto che lo schema didecreto richiama espressamente il diritto all'anonimato (art. 5, comma 2, delloschema). Per assicurare il rispetto di tale diritto, peraltro, necessario chenel disciplinare tecnico cui la norma fa rinvio sia specificato che, in talicasi, non devono essere comunicati dati riferiti agli interessati, indicati nelflusso relativo all'attivit (par. 5.3. disc. tecn.), diversi da quellirelativi al codice regione, all'anno di nascita, al sesso e al tipo ditrattamento (par. 5.3.1 disc. tecn.). 5. Il principio di proporzionalit e iltrattamento di dati particolari 5.1. La particolare delicatezza dei datitrattati nell'ambito del SIND ne impone, come abbiamo gi sottolineato, unutilizzo proporzionato rispetto alle finalit perseguite. Si richiama,pertanto, l'attenzione delle amministrazioni interessate sulla necessit divalutare, in concreto, se le singole informazioni elencate nel disciplinaretecnico, oggetto di trattamento nel SIND, siano effettivamente pertinenti e noneccedenti nonch indispensabili rispetto alle finalit del decreto. 5.2. L'articolo 5 della legge 5 giugno1990, n. 135, in materia di lotta contro l'AIDS prevede che in caso diinfezioni da HIV l'operatore sanitario che ne viene a conoscenza deve adottareogni misura o accorgimento occorrente per la tutela dei diritti e delle libertfondamentali dell'interessato. Inoltre, la rilevazione statistica di taleinfezione deve essere effettuata con modalit che non consentanol'identificazione della persona e l'accertamento della sindrome consentito,nell'ambito di programmi epidemiologici, solo quando i campioni da analizzaresiano stati resi anonimi con assoluta impossibilit di pervenireall'identificazione delle persone interessate. In base a tale quadro normativo e allegaranzie previste, l'anonimato della persona obbligatorio per legge e non rimessoad una eventuale richiesta dell'interessato. Pertanto, poich le modalit ditrattamento dei dati previste dal decreto non forniscono garanzie adeguate adassicurare pienamente il rispetto dell'anonimato, non pu ritenersi, allostato, consentita la raccolta nell'ambito del SIND di informazioni personaliattinenti a tale infezione, e ogni previsione in tal senso dovr quindi essereespunta dal disciplinare tecnico allegato al decreto (par. 5.3.2; par. 5.3.5. "Codicefarmaco" n. 14, disc. tecn.). 5.3. Per rispettare il principio diproporzionalit nel trattamento dei dati si rimette alla ponderata valutazionedell'amministrazione l'opportunit di prevedere la raccolta nel SIND di soligruppi di patologie concomitanti con lo stato di dipendenza dell'interessato, enon delle singole patologie indicate nell'elenco dettagliato di cui aldizionario ICD-09-CM (par. 5.3.3. disc. tecn.), nonch di espungere dalloschema la rilevazione di comportamenti quali il "gioco d'azzardopatologico" e l'uso di "tecnologiedigitali" cha appaiono, conevidenza, eccedenti rispetto alle finalit del decreto il cui ambito diapplicazione la sola dipendenza da sostanze stupefacenti o da alcool anche inconformit a quanto previsto dalla normativa di settore (par. 5.3.5. "Codicesostanza, uso o comportamento"nn. 23 e 24, disc. tecn.; art. 2, comma 1, lett. c), d.P.R. n. 309/1990; art. 1dello schema). 5.4. Nell'individuare i soggetti daiquali le aziende sanitarie locali ricevono informazioni relative agliassistiti, il disciplinare tecnico fa riferimento anche all'autoritgiudiziaria relativamente a casi di adozione di provvedimenti giudiziari acarico degli interessati (par. 5.3.4. "Tipologia invio" 6. L'utilizzo del sistema e la sicurezzadei dati La particolare delicatezza dei dati trattati nell'ambito delSIND ne impone, come abbiamo gi detto, un utilizzo proporzionato rispetto allefinalit perseguite e rende, altres, necessaria una particolare attenzionealla sicurezza del sistema informatico utilizzato e, sul piano applicativo,all'integrit dei dati trasmessi, mediante l'adozione di misure di sicurezzacalibrate rispetto alle modalit di raccolta dei dati, conformi agli articoli22, 31 e ss. e all'Allegato B del Codice. In tal senso, necessario integrare loschema di decreto: a) perfezionando la disposizione cheprevede il ricorso a tecniche di cifratura dei dati sensibili (art. 5, comma 4)come segue: "I dati inviati dalle regioni e province autonome, giprivi degli elementi identificativi diretti, sono archiviati previa separazionedei dati sanitari dagli altri dati. I dati sanitari sono trattati con tecnichecrittografiche."; b) accrescendo la sicurezzadell'accesso al front-end webdell'applicazione (predisposto per l'accesso al di fuori del Sistemapubblico di connettivit) mediante l'adozione di un protocollo sicuro https c) prevedendo nel disciplinaretecnico di adottare adeguate misure per la distruzione sicura dei supporti dimemorizzazione dei dati sensibili, eventualmente indicandole (allegato B delCodice, regola 22; par. 3.2.1. disc. tecn.); d) prevedendo il tracciamento delleoperazioni di accesso al sistema dedicato alla memorizzazione dei dati (dataserver), specie quelle cheeventualmente possano avvenire al di fuori del contesto applicativo, cio ditutte quelle operazioni che possano avvenire mediante accesso diretto al database e per il rilevamento di eventuali anomalie (par. 3.2 "Caratteristicheinfrastrutturali"); e) in riferimento alle misure diregistrazione, autenticazione e accesso degli utenti e alla parola chiave,integrando lo schema con riferimento a tutte le indicazioni contenute nellaregola 5 dell'Allegato B del Codice, e in particolare a quelle che consiglianol'utilizzo di una parola chiave di almeno otto caratteri, se possibile, che noncontenga riferimenti agevolmente riconducibili all'incaricato (par. 3.3 "Abilitazionedegli utenti"). Il Garante richiama infine l'attenzione,sul piano formale, sulla necessit di prevedere nel preambolo il parere delGarante e di precisare se, come sembra, i flussi di dati previsti dal presente decreto siano destinati a sostituire quelli di cui al d.m. 20settembre 1997 citato nel medesimo preambolo. CI PREMESSO ILGARANTE: esprime parere favorevole sullo schema didecreto recante l'istituzione del sistema informativo per le dipendenze (SIND)a condizione che, nei termini di cui in premessa: a) siano indicate espressamente e inmaniera esaustiva nell'articolato del decreto le finalit per le quali i datisono raccolti nel SIND e che si intendono perseguire mediante il sistema (punto1); b) le parole "informazioniindividuali ma non nominative",ovunque ricorrano, siano sostituite con quelle, pi corrette, di "datipersonali non identificativi" (punto 2); c) sia previsto che le regioni e leprovince autonome che non dispongono di sistemi di codifica utilizzino solodati anonimi (punto 2); d) siano individuate specificamente,nell'articolato, le unit organizzative del ministero, delle regioni e delleprovince cui consentito il trattamento delle informazioni e i limiti entro iquali possono accedere ai dati raccolti mediante il SIND (punto 3); e) siano assicurati, mediantedisposizioni ad hoc, l'accessoselettivo ai dati e la rappresentazione aggregata delle informazioni (punto 3); f) siano specificati neldisciplinare tecnico i dati che devono essere comunicati nel caso di richiestadi anonimato da parte di un soggetto tossicodipendente (punto 4); g) siano effettuate le valutazionirichieste e siano adottate le modifiche al decreto in chiave di proporzionalitspecificamente indicate al punto 5; h) sia integrato lo schema conmirate disposizioni in materia di misure di sicurezza nel trattamento dei dati(punto 6). Roma, 6 maggio 2009
|