Parere del Garante: modifiche al decreto del Ministro della salute recante "Istituzione del flusso informativo delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto, come modificato dal decreto del Ministero del lavoro, della salute e delle politiche sociali 13 novembre 2008"

Parere del Garante: modificheal decreto del Ministro della salute recante "Istituzione del flussoinformativo delle prestazioni farmaceutiche effettuate in distribuzione direttao per conto, come modificato dal decreto del Ministero del lavoro, della salutee delle politiche sociali 13 novembre 2008"

PROVVEDIMENTO DEL 11MAGGIO 2012

Registro dei provvedimenti n. 156 dell'11 maggio 2012

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti,presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. MauroPaissan e del dott. Giuseppe Fortunato, componenti e del dott. Daniele DePaoli, segretario generale;

Vista la richiesta di parere del Ministero della salute;

Visto l'art. 154, comma 4 del Codice in materia di protezione dei datipersonali (d.lgs. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO

1. Il Ministero della salute ha richiesto il parere del Garante inordine a uno schema di decreto del Ministro della salute concernente"Modifiche al decreto del Ministro della salute del 31 luglio 2007,pubblicato nella Gazzetta Ufficiale n. 229 del 2 ottobre 2007, recante"Istituzione del flusso informativo delle prestazioni farmaceuticheeffettuate in distribuzione diretta o per conto, come modificato dal decreto delMinistero del lavoro, della salute e delle politiche sociali 13 novembre2008" ".

L'odierno provvedimento mira a perfezionare - sotto il profilo delrispetto della normativa in materia di protezione dei dati personali – ilcitato decreto del 2007 (e le sue successive modificazioni) che non era statosottoposto al parere di questa Autorità.

Inoltre, le novelle apportate allo stesso decreto tengono contodell'impostazione di fondo sottesa allo schema di decreto del Ministro dellasalute recante "Istituzione del sistema informativo per il monitoraggiodell'assistenza erogata presso gli Hospice" - sul quale il Garante ha giàreso parere – e delle cautele, ivi previste, per garantire ildiritto alla protezione dei dati personali trattati per le finalità sancitedallo stesso decreto.

RILEVATO

2. Il decreto ministeriale del 31 luglio 2007 ha istituito,nell'ambito del Nuovo Sistema Informativo Sanitario (NSIS), la banca dati peril monitoraggio delle prestazioni farmaceutiche effettuate in distribuzionediretta o per conto (infra: Banca dati), la cui realizzazione e la cuigestione sono state affidate al Ministero della salute - Dipartimento dellaqualità - Direzione generale del Sistema informativo. La Banca dati èfinalizzata alla raccolta delle informazioni relative alle prestazionifarmaceutiche, destinate al consumo a domicilio, erogate: alla dimissione daricovero o da visita specialistica, limitatamente al primo ciclo terapeuticocompleto; ai pazienti cronici soggetti a piani terapeutici o presi in carico;ai pazienti in assistenza domiciliare, residenziale o semiresidenziale; daparte delle farmacie convenzionate, pubbliche o private, per conto delleAziende sanitarie locali. Concorre poi a precisare l'estensione della Bancadati l'articolo 1, comma 1, del decreto, alla cui stregua per"distribuzione diretta" deve intendersi la forma di erogazione deifarmaci al paziente, per il consumo al proprio domicilio, alternativa allatradizionale acquisizione degli stessi presso le farmacie, ai sensidell'articolo 8, comma 1, della legge 16 novembre 2001, n. 405. Sono pertantoricomprese nella distribuzione diretta – precisa ancora la disposizione -le erogazioni di farmaci ai pazienti, per il consumo al proprio domicilio,effettuate attraverso le strutture sanitarie. Sono altresì ricomprese nelladistribuzione diretta le erogazioni di farmaci agli assistiti, per il consumoal proprio domicilio, effettuate attraverso le farmacie ´per contoª delleAziende sanitarie locali sulla base di specifici accordi con le farmacieconvenzionate. Le novelle apportate dall'odierno provvedimento al citatodecreto del 2007 concernono, in particolare, i seguenti aspetti.

In ordine alle specifiche finalità cui è preordinata la Banca dati,l'articolo 1, comma 1, lettera a), inserendo un comma 2-bis nell'articolo 2 deldecreto del 2007, prevede che la Banca dati stessa è finalizzata a renderepossibili le analisi aggregate utili per il calcolo di indicatori, anche aifini della "verifica di cui all'articolo 3" dell'Intesa conclusa in sede di Conferenza Stato-Regioni il 23 marzo 2005 e pubblicatasulla Gazzetta Ufficiale del 7 maggio 2005, relativa al monitoraggio dellaspesa nell'ambito del Nuovo Sistema Informativo Sanitario. Per le stessefinalità si autorizza l'interconnessione dei "contenutiinformativi" del NSIS mediante il codice univoco dell'assistito di cuialla scheda 12 dello schema tipo di Regolamento per il trattamento dei datisensibili e giudiziari effettuat[o] dalle regioni e province autonome, conmodalità tali da garantire il rispetto del diritto alla protezione dei datipersonali degli interessati, sulla base di una disciplina specifica contenutain una disposizione di nuovo conio (art. 5-bis).

In relazione ai tipi di dati trasmessi alla Banca dati, la lettera b)del comma 1 dell'articolo 1 dello schema di decreto, nel novellare l'articolo 3del provvedimento del 2007, precisa che il flusso informativo (come dettagliatonel disciplinare tecnico) riguarda dati personali dell'assistito, nondirettamente identificativi.

In relazione alle modalità di realizzazione del flusso informativo iningresso nella Banca dati, la lettera c) del comma 1 dell'articolo 1 delloschema di decreto, nel novellare l'articolo 3, comma 5, del provvedimento del2007, prevede che le trasmissioni alla Banca dati devono avvenire in modalitàsicura, secondo le specifiche tecniche riportate nel disciplinare tecnicoallegato al decreto (e di quest'ultimo costituente parte integrante: All.1) enella documentazione tecnica disponibile sul sito internet del Ministero dellasalute. In riferimento alle modalità di realizzazione delle trasmissioni,l'articolo 4, comma 1, come novellato dalla lettera d) del comma 1dell'articolo 1 dell'odierno provvedimento, dispone che esse siano effettuatevia internet, secondo le modalità riportate nel disciplinare tecnico allegatoal decreto (All. 1) e nella documentazione tecnica disponibile sul sitointernet del Ministero della salute. In particolare, si precisa che latrasmissione telematica dei dati deve essere conforme alle relative regoletecniche del Sistema pubblico di connettività (SPC) di cui agli articoli 72 eseguenti del Codice dell'amministrazione digitale (infra: CAD) e che,segnatamente, deve avvenire mediante ricorso a un protocollo sicuro eall'autenticazione bilaterale fra sistemi basata su certificati digitali emessida un'autorità di certificazione ufficiale. Il comma 1-ter, aggiunto nelcorpo dell'articolo 4, impone peraltro alle regioni e alle province autonome,nonché al Ministero stesso, di garantire – ai fini della cooperazioneapplicativa - la conformità delle infrastrutture alle regole dettate dal SPC.

In ordine al regime di consultabilità dei dati presenti nel Sistema,la lettera f) del comma 1 dell'articolo 1 dello schema di decreto, nelnovellare l'articolo 5, legittima l'accesso a tali dati, esclusivamente informa aggregata – al fine di consentire il monitoraggio delle prestazionifarmaceutiche effettuate in distribuzione diretta o per conto – alle unitàorganizzative delle regioni e delle province autonome competenti (comeindividuate da provvedimenti regionali e provinciali) per effettuare analisicomparative in materia di assistenza farmaceutica, alle unità organizzativedella Direzione generale della programmazione sanitaria, della Direzionegenerale del sistema informativo e statistico sanitario e della Direzionegenerale dei dispositivi medici del Ministero della salute competenti, comeindividuate dal decreto ministeriale di organizzazione, nonché alle unitàorganizzative dell'Agenzia italiana del farmaco e del Ministero dell'economia edelle finanze, come individuate da specifici provvedimenti.

In ordine alle specifiche disposizioni sul trattamento dei datinell'ambito del Sistema, la lettera g) del comma 1 dell'articolo 1 dello schemadi provvedimento, nell'inserire, nel decreto del 2007, un articolo 5-bis rubricato"Trattamento dei dati", prevede, in particolare, che la riservatezzadei dati trattati nell'ambito della banca dati (così sembrerebbe doversiintendere il riferimento al "sistema") "ai sensi del decretolegislativo 30 giugno 2003, n. 196 ed, in particolare, dell'art. 34, comma 1,lettera h)", verrà garantita dalle procedure di sicurezza relative alsoftware e ai servizi telematici, in conformità alle regole tecniche di cuiall'articolo 71, comma 1-bis, del CAD.

Il comma 2 dell'articolo 5-bis precisa inoltre che nella Banca datisono raccolti e trattati unicamente i dati indispensabili in rapporto allefinalità cui è preordinato il decreto, con modalità e funzioni applicative talida fornire soltanto rappresentazioni aggregate dei dati. Gli stessi incaricatidel trattamento accedono ai dati presenti nella Banca dati mediante chiavi diricerca che non consentono di consultare dati riferibili a singoli individui oelenchi di codici identificativi. Il comma 3 dell'articolo 5-bis imponel'assegnazione di un codice univoco a ciascun soggetto, conformemente a quantoprevisto dalla scheda 12 del citato schema tipo di Regolamento per iltrattamento dei dati sensibili e giudiziari effettuato dalle regioni e provinceautonome. Si prevede peraltro che, qualora le regioni e le province autonomenon dispongano di sistemi di codifica, coerenti con quanto stabilito dalloschema tipo di regolamento, i dati siano inviati in forma anonima.

Come già osservato in sede di parere sullo schema di decreto delMinistro della salute recante "Istituzione del sistemainformativo per il monitoraggio dell'assistenza erogata presso gliHospice" e nell'ambito del parere sullo schema di decreto del Ministrodella salute recante "Modifiche al decreto del Ministrodel lavoro, della salute e delle politiche sociali del 17 dicembre 2008,pubblicato nella Gazzetta Ufficiale n. 9 del 13 gennaio 2009, recante"Istituzione del sistema informativo per il monitoraggio delle prestazionierogate nell'ambito dell'assistenza sanitaria in emergenza-urgenza" ",tale ultima disposizione va intesa con riferimento all'invio di dati – informa anonima – dalle strutture sanitarie alle regioni o alle provinceautonome, analogamente a quanto disposto dalla scheda 12 dell'Allegato A) delsuddetto schema tipo di Regolamento.Restano inoltre ferme, ovviamente, ledisposizioni normative che prevedono il rilascio di ricette che nonidentifichino l'interessato, a tutela di particolari condizioni che richiedonol'anonimato (vds., ad esempio, art. 120 del testo unico delle leggi in materiadi disciplina degli stupefacenti e sostanze psicotrope, prevenzione, cura eriabilitazione dei relativi stati di tossicodipendenza, di cui al d.P.R. 9ottobre 1990, n. 309 e successive modificazioni).

Ai sensi del comma 4 dell'articolo 5-bis, i dati trasmessi dalleregioni e dalle province autonome – già privati degli elementiidentificativi diretti - sono archiviati previa separazione dei dati sanitaridalle altre informazioni, precisandosi che i primi sono trattati con tecnichecrittografiche.

RITENUTO

3. Come già rilevato in premessa, l'odierno provvedimento mira amigliorare - sotto il profilo del rispetto della normativa in materia diprotezione dei dati personali – il citato decreto del 2007, tenendoperaltro conto dell'impostazione di fondo sottesa allo schema di decretoministeriale recante "Istituzione del sistema informativo per ilmonitoraggio dell'assistenza erogata presso gli Hospice".

Residuano tuttavia alcuni aspetti dell'odierno provvedimento chemeritano un perfezionamento.

3.1. Finalità del trattamento. Nella lettera a)del comma 1 del novellato articolo 5 manca il riferimento (peraltro presente,invece, nel decreto sull'assistenza erogata presso gli Hospice) agli indicatoriutili alla verifica di cui all'articolo 3 della citata Intesa Stato-Regioni,quale parametro (peraltro richiamato dall'articolo 2, comma 2-bis, dello schemadi decreto) cui orientare le analisi comparative in materia di assistenzafarmaceutica; finalità, questa, che, sola, legittima l'accesso ai dati presentinel Sistema da parte delle competenti unità organizzative delle regioni e delleprovince autonome. Dal momento che tale omesso richiamo rischia di privaredella necessaria funzione selettiva la finalità che legittima il trattamento didati personali e che, del resto, esso non pare giustificato dalla diversità dimateria dell'odierno provvedimento rispetto a quello relativo all'assistenzaerogata presso gli Hospice, all'articolo 1, comma 1, lettera f), capoverso"Art. 5", al comma 1, lettera a), dopo le parole: "assistenzafarmaceutica", è opportuno che siano aggiunte le seguenti: ", sullabase degli indicatori calcolati ai sensi dell'articolo 2, comma 2-bis, primo periodo".

3.2. Tecniche crittografiche. In ordine alle tecnichedi archiviazione, ricerca e accesso alle informazioni rese disponibili dalSistema stesso, nell'articolo 5-bis del decreto, manca qualsiasi riferimento –presente, invece, peraltro, nel comma 5 dell'articolo 8 del decretosull'assistenza erogata presso gli Hospice - all'obbligo di trattare contecniche crittografiche i dati relativi alla patologia da cui è affettol'interessato, al fine di renderli temporaneamente inintelligibili anche a chi èautorizzato ad accedervi. Dal momento che neppure tale omesso richiamo paregiustificato dalla diversità di materia trattata, in considerazione dellaparticolare rilevanza della prescrizione omessa è necessario che all'articolo5-bis sia aggiunta una disposizione del tenore di quella appena descritta.

3.3. Disciplinare tecnico. In relazione aldisciplinare tecnico, allegato al decreto, è possibile riscontrare taluniaspetti suscettibili di ulteriore perfezionamento, ai fini della pienaconformità alla disciplina in materia di protezione dei dati personali.

3.3.a. In primo luogo, la voce "data di nascita", riportatanel tracciato e nella parte descrittiva del paragrafo 2 (pagg. 6 e 14 del testocoordinato del decreto) appare eccedente rispetto alle finalità cui ilmonitoraggio è preordinato e, soprattutto, suscettibile di identificare, siapure indirettamente, l'interessato. Pertanto, essa dev'essere sostituita dallaseguente: "anno di nascita".

3.3.b. In relazione all'utilizzo di dati non identificativi dell'assistito,lo schema di decreto utilizza locuzioni e descrizioni non corrispondenti aquelle contenute nel decreto sull'assistenza erogata presso gli Hospice.Pertanto, al fine di rendere le espressioni utilizzate nell'odierno decretoomogenee a quelle, la locuzione "codice anonimo del cittadino"riportata nella parte descrittiva del paragrafo 2 (pag. 6 del testo coordinatodel decreto) deve essere sostituita dalla seguente "codice univocodell'assistito"; inoltre, la voce "identificativo assistito"(contenuta nel tracciato a pagina 14) deve essere, sia nel nomen, sia nelladescrizione, conformata a quella contenuta nel decreto Hospice, anche allastregua di quanto previsto agli articoli 3, comma 2, lettera f), deldecreto (come novellato dall'odierno provvedimento) e 5-bis.

3.3.c. Infine, alcune voci dei tracciati (si pensi alle seguenti:"codice esenzione"; "tipo di esenzione": pagina 14)rischiano di rivelare informazioni per le quali la legge impone particolaricautele (si pensi, in particolare, a ragioni, di ordine sanitario, chelegittimano l'esenzione dal pagamento del ticket, quale l'infezione da HIV ).Pertanto, la disciplina di dettaglio che attuerà tali prescrizioni dovràescludere la rivelazione – sia pure in via indiretta – dellesuddette informazioni.

IL GARANTE

esprime parere favorevole sullo schema di decreto del Ministro dellasalute concernente "Modifiche al decreto del Ministro della salute del 31luglio 2007, pubblicato nella Gazzetta Ufficiale n. 229 del 2 ottobre 2007,recante "Istituzione del flusso informativo delle prestazionifaramaceutiche effettuate in distribuzione diretta o per conto, come modificatodal decreto del Ministero del lavoro, della salute e delle politiche sociali 13novembre 2008" ", con le seguenti condizioni:

a) all'articolo 1, comma 1, lettera f), capoverso "Art.5", al comma 1, lettera a), dopo le parole: "assistenzafarmaceutica", è opportuno che siano aggiunte le seguenti: ",sulla base degli indicatori calcolati ai sensi dell'articolo 2, comma 2-bis,primo periodo" (punto 3.1);

b) nello schema di decreto sia inserita una disposizione cheaggiunga all'articolo 5-bis del citato decreto del 2007 una disposizione deltenore di quella di cui all'articolo 8, comma 5, dello schema di decretoministeriale recante "Istituzione del sistema informativo per ilmonitoraggio dell'assistenza erogata presso gli Hospice" (punto 3.2);

c) nel disciplinare tecnico, la voce "data dinascita" sia sostituita dalla seguente: "anno di nascita"(punto 3.3.a.), la locuzione "codice anonimo del cittadino"sia sostituita dalla seguente "codice univoco dell'assistito";inoltre, la voce "identificativo assistito" (contenuta neltracciato a pagina 14) sia, e nel nomen, e nella descrizione, conformataa quella contenuta nel decreto sull'assistenza erogata presso gli Hospice(punto 3.3.b);

e con la seguente raccomandazione:

d) in sede di disciplina di dettaglio, valuti l'Amministrazionel'opportunità di sviluppare i riferimenti a voci quali: "codiceesenzione"; "tipo di esenzione" in maniera tale da escluderela rivelazione – sia pure in via indiretta – di informazioniinerenti la vita sessuale, eventuali dipendenze o comunque dati cui la leggeassicura una particolare protezione (punto 3.3.c).

Roma, 11 maggio 2012

Il presidente
Pizzetti

Il relatore
Pizzetti

Il segretario generale
De Paoli