Trattamento dei dati personali attraverso un sistema "Rfid" di monitoraggio a distanza di pazienti portatori di defibrillatori cardiaci impiantabili attivi. Veriifica preliminare richiesta da Azienda Ospedaliera Spedali Civili di Brescia e Sorin CRM Sas

Trattamento dei dati personaliattraverso un sistema "Rfid" di monitoraggio a distanza di pazientiportatori di defibrillatori cardiaci impiantabili attivi. Veriifica preliminarerichiesta da Azienda Ospedaliera Spedali Civili di Brescia e Sorin CRM Sas

PROVVEDIMENTO DEL 29 NOVEMBRE 2012

Registro dei provvedimenti n. 370 del 29 novembre 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssaAugusta Iannini, vicepresidente, del dott.ssa Giovanna Bianchi Clerici, dellaprof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretariogenerale

Vistoil Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n.196), di seguito Codice;

Vistoil d.lg. 14 febbraio 1992 n. 507, recante attuazione della direttiva 90/385/CEEconcernente il ravvicinamento delle legislazioni degli Stati membri relative aidispositivi medici impiantabili attivi;

Vistala nota con la quale l'Azienda Ospedaliera Spedali Civili di Brescia e SorinCRM Sas hanno richiesto la verifica preliminare del Garante, ai sensi dell'art.17 del Codice, in relazione al trattamento dei dati personali che intendonoeffettuare attraverso un sistema "Rfid" di monitoraggio a distanza dipazienti portatori di defibrillatori cardiaci impiantabili attivi (nota 29marzo 2011 integrata a pi˘ riprese e da ultimo in data 9 marzo 2012);

Vistoil provvedimento generale del 9 marzo 2005, con il quale il Garante ha individuatospecifiche garanzie per l'uso delle c.d. "Etichette intelligenti"(Rfid);

Vistala documentazione in atti;

Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatorela dott.ssa Giovanna Bianchi Clerici;

PREMESSA

L'AziendaOspedaliera Spedali Civili di Brescia e la Sorin CRM Sas hanno richiesto laverifica preliminare del Garante, ai sensi dell'art. 17 del Codice, inrelazione al trattamento di dati che intendono effettuare attraverso un sistemaRfid di monitoraggio remoto che consente agli operatori sanitari di controllarea distanza i pazienti portatori di defibrillatori cardiaci impiantabili attivi.

Conriferimento alle finalit‡ che si intendono perseguire tramite il predettosistema chiamato "Remote Monitoring System" (di seguito RMS), Ë statorappresentato che il sistema Ë stato sviluppato dalla societ‡ Sorin CRM Sas,che produce e commercializza tecnologie mediche per la cardiochirurgia e per lacura di patologie cardiovascolari, per permettere agli operatori sanitari dieffettuare il controllo a distanza dei dati clinici registrati dal dispositivocardiaco impiantato nel paziente, per monitorare eventuali anomalie edeffettuare la defibrillazione, ove necessaria, senza bisogno che il paziente sisottoponga a visite ospedaliere.

Alriguardo, Ë stato precisato che il sistema di monitoraggio remoto non Ëdestinato a funzionare come un sistema di risposta di emergenza in quanto ilsuo scopo principale Ë quello di elaborare e rendere accessibili agli operatorisanitari i dati memorizzati dal defibrillatore, ogni volta lo considerino necessario,senza bisogno che il paziente venga sottoposto a visita.

Perquanto concerne le modalit‡ di funzionamento del sistema Ë stato illustrato chei dati registrati dal dispositivo impiantato sono inviati in modalit‡ wireless-tramite tecnologia Rfid- a un monitor installato a casa del paziente in dateed ad ore predeterminate dai medici preposti al controllo medicodell'interessato. I dati cosÏ ricevuti sono quindi trasferiti, attraverso lineatelefonica o GPRS, dal monitor ad un server centrale dove vengono memorizzatied elaborati per generare dei report (in formato PDF) consultabili eanalizzabili, attraverso un'interfaccia web, dai medesimi medici senza che ilpaziente debba recarsi presso la struttura sanitaria per la visita dicontrollo.

Nellarappresentazione delle modalit‡ di funzionamento del sistema Ë statoevidenziato che esso Ë composto dai seguenti elementi:

unmonitor (HM) situato a casa del paziente e costituito da un box elettronico ilquale, tramite una connessione in radio frequenza, consente collegarsi aldispositivo impiantato e trasferire automaticamente i dati grezzi memorizzatidall'impianto cardiaco al server centrale utilizzando la rete telefonicapubblica fissa o mobile;

ilback office (BO), costituito da un server centrale il quale, attraverso unapplicativo con un'interfaccia web resa disponibile dal sistema, consente aimedici di consultare ed esaminare i report contenenti i dati memorizzatidall'impianto cardiaco e di programmare "visite di controllo adistanza" ad intervalli prestabiliti, nonchÈ di pianificare "visitedi controllo su richiesta" del paziente;

ilback office analyzer (BA), costituito da diverse applicazioni software cheelaborano i dati grezzi ottenuti dall'impianto cardiaco generando i predettireport, consultabili attraverso l''interfaccia web, ovvero memorizzabili daimedici sui loro personal computer.

»stato precisato, altresÏ, che per il corretto funzionamento del sistema dimonitoraggio a distanza sono stati predisposti dei servizi di assistenzatecnica su tre livelli: il servizio di primo livello Ë volto a fornireassistenza per via telefonica ai pazienti e agli operatori sanitari cheutilizzano il sistema, il secondo e il terzo livello intervengono qualoral'assistenza di primo livello non sia in grado di risolvere telefonicamente iproblemi prospettati e si renda necessario un intervento sui sistemi, nonchÈper assicurare la manutenzione della rete e della infrastruttura tecnica delsistema.

OSSERVA

1. La radiotecnologia Rfid.

LaRadio Frequency Identification (Rfid) Ë un sistema che usa ondeelettromagnetiche per l'identificazione automatica di cose o persone. Ilsistema si compone generalmente di un Tag (cioË di un'etichetta costituita dauna memoria elettronica leggibile e talvolta scrivibile, nonchÈ da antenne) edi un lettore. I Tag Rfid possono contenere un codice identificativo o ancheulteriori informazioni. I lettori Rfid sono utilizzati per leggere leinformazioni contenute nei Tag.

Molteplicisono le soluzioni e le applicazioni basate sulla tecnologia Rfid utilizzabilinel settore sanitario, si pensi ai sistemi ideati per gli ospedali cheimpiegano i tag Rfid per tracciare le sacche di sangue o gli strumentiutilizzati nelle sale operatorie oppure ai sistemi che sono in grado diricordare al paziente l'assunzione di farmaci o di pasti particolari, nonchÈ diraccogliere dati clinici al fine di consentire il controllo a distanza dialcune funzioni vitali, ovvero la gestione di terapie e la somministrazione dimedicinali con maggiore precisione e sicurezza. Alcune di queste applicazioniperaltro combinano l'utilizzo della tecnologia Rfid con le tecniche di impiantodi microchip sottocutaneo su individui.

Conspecifico riferimento all'utilizzo di sistemi Rfid destinati all'impiantosottocutaneo, nel provvedimento generale del 9 marzo 2005, il Garante haprecisato che l'inserimento di microprocessori sottopelle, per l'evidentedelicatezza delle implicazioni che ne derivano sui diritti delle persone, rendenecessaria la predisposizione di particolari cautele (Provv. cit. del 9 marzo 2005).

Inconsiderazione dei potenziali rischi derivanti dall'utilizzo di questi sistemi,sia per la salute dei soggetti che si sottopongono all'impianto, sia per lasicurezza dei dati personali trattati, l'impiego di microchip sottocutaneo puÚessere ammesso solo in casi eccezionali, per comprovate e giustificate esigenzea tutela della salute delle persone, in stretta aderenza al principio diproporzionalit‡ (art. 11 del Codice) e nel rigoroso rispetto della dignit‡dell'interessato (art. 2, comma 1 del Codice), fatte salve le altre previsionidella normativa sulla protezione dei dati e le prescrizioni del provvedimentosopra citato (v. Provv. cit. del 9 marzo 2005).

2. L'istanza dell'Azienda Ospedaliera e della societ‡fornitrice del servizio RMS

L'AziendaOspedaliera Spedali Civili di Brescia e la Sorin CRM Sas hanno rappresentato aquesta Autorit‡ di voler attivare un sistema Rfid di monitoraggio remoto perconsentire agli operatori sanitari di controllare a distanza i pazientiportatori di defibrillatori cardiaci impiantabili attivi. Essi hanno, inparticolare, richiesto la verifica preliminare di questa Autorit‡, ai sensidell'art. 17 del Codice, in relazione al trattamento di dati personali esensibili che intendono effettuare attraverso il predetto sistema.

Inoltre,nel corso dell'istruttoria dell'istanza, Ë stata prodotta documentazionerelativa alle valutazioni di impatto sulla "privacy" dei pazientieffettuate dall'Azienda Ospedaliera e dalla Sorin CRM Sas, su richiestadell'Ufficio del Garante, in ordine all'impiego della tecnologia Rfid, conparticolare riferimento alla "descrizione della caratterizzazione dellaapplicazione Rfid", alla rappresentazione degli "obiettivi" edei "rischi per la vita privata" connessi all'utilizzo di dettaapplicazione, nonchÈ all'elencazione "dei (relativi) controlli e dellemisure attenuanti".

Inproposito, occorre dapprima precisare che il trattamento di dati personalioggetto dell'istanza proposta non rientra tra quelli da sottoporre allaverifica preliminare del Garante, non rinvenendosi -allo stato e sulla basedegli elementi forniti- una delle caratteristiche essenziali -di seguitoevidenziata- in presenza della quale occorre richiedere tale verificapreliminare ai sensi dell'art. 17 del Codice.

Invia generale il Codice prevede infatti che debba essere effettuata una verificapreliminare del Garante, anche a seguito di un interpello del titolare, conriferimento al trattamento dei dati personali -diversi da quelli sensibili egiudiziari- che presenta rischi specifici per i diritti e le libert‡fondamentali, nonchÈ per la dignit‡ dell'interessato, in relazione alla naturadei dati o alle modalit‡ del trattamento o agli effetti che puÚ determinare, alfine di consentire all'Autorit‡ di prescrivere, ove necessario, ulteriorimisure ed accorgimenti a garanzia dell'interessato (art. 17).

Percompletezza, si evidenzia, inoltre che, con specifico riferimento all'utilizzodi sistemi Rfid destinati all'impianto sottocutaneo, nel citato provvedimentogenerale del 9 marzo 2005, il Garante si Ë riservato di prescrivere ai titolaridel trattamento di sottoporre alla verifica preliminare dell'Autorit‡ talisistemi i quali, in quanto tali, presentano rischi specifici per i diritti, lelibert‡ fondamentali e la dignit‡ degli interessati.

Intale quadro, con riferimento all'ipotesi generale di cui all'art. 17 delCodice, si rileva che il trattamento di dati personali che l'AziendaOspedaliera Spedali Civili di Brescia e la Sorin CRM Sas intendono effettuaretramite il sistema Rfid descritto in premessa non deve essere sottoposto allaverifica preliminare del Garante, in quanto il trattamento dei dati personalisensibili (segnatamente, le informazioni cliniche registrate dall'impiantocardiaco e trasmessi mediante la tecnologia Rfid nel sistema RMS) Ë effettuatodalla struttura sanitaria per monitorare a distanza il paziente"impiantato". Tali informazioni facendo riferimento, tra l'altro, aparametri programmati, misurazioni ed episodi relativi allo scompenso cardiacosofferto dal paziente e alle terapie erogate dal dispositivo, sono idonee arivelare lo stato di salute dell'interessato (si pensi, ad esempio, adeventuali aritmie cardiache).

Comeprecisato dall'Autorit‡ nel citato provvedimento generale del 9 marzo 2005, ovele informazioni memorizzate nell'etichetta siano "sensibili" (art. 4,comma 1, lett. d) del Codice), i relativi trattamenti devono essere effettuatinell'osservanza dei presupposti e dei limiti stabiliti dal Codice per itrattamenti in ambito sanitario (artt. 22 e 2; Parte II, Titolo V del Codice),nonchÈ, ove prescritto, preventivamente autorizzati dal Garante (artt. 26 e76).

NonpuÚ tuttavia non rilevarsi che, come gi‡ sottolineato, i sistemi che utilizzanodispositivi Rfid destinati all'impianto sottocutaneo, sollevano, in quantotali, questioni estremamente delicate. Tali sistemi, infatti, ancor pi˘ ovecomportino il trattamento anche di dati sanitari, sono suscettibili di recaregravi pregiudizi agli interessati sia sotto il profilo della salute, sia sottoil profilo della sfera privata e della protezione dei dati dei soggetti che sisottopongono all'impianto, specie in relazione alla sicurezza e alladelicatezza delle informazioni trattate. Per tali ragioni, specifica e rigorosaattenzione deve essere prestata alla tutela dei diritti e delle libert‡fondamentali, nonchÈ della dignit‡ dell'interessato, sia nella fase dellarealizzazione, che nella fase dell'utilizzo di tali sistemi.

CiÚpremesso, ai sensi dell'art. 154, comma 1, lett. c) del Codice, il Garanteritiene opportuno prescrivere all'Azienda Ospedaliera Spedali Civili di Bresciae alla Sorin CRM Sas, le misure necessarie e opportune di seguito indicate, alfine di rendere il trattamento conforme alle disposizioni vigenti.

3. I dati trattati nel sistema RMS e i soggetticoinvolti nella gestione del sistema RMS

Sullabase di quanto risulta dalla documentazione in atti, le tipologie di datitrattati attraverso il sistema RMS comprendono:

Ä dati identificativi del paziente (nominativo, indirizzo, numerodi telefono, numero seriale del dispositivo, numero seriale del monitor) iquali sono registrati nel sistema, attraverso l'applicativo web, dai medicidell'Azienda Ospedaliera che hanno in cura il paziente cui Ë impiantato ildispositivo e sono modificabili soltanto da questi ultimi;

Ä dati clinici registrati dal defibrillatore i quali sonotrasmessi al monitor tramite tecnologia Rfid e da questo al server del sistemaRMS mediante la linea telefonica, quindi elaborati sotto forma di report dalleapplicazioni rese disponibili dal sistema e consultabili in sola lettura daipredetti operatori sanitari sempre mediante l'interfaccia web;

Ä dati di carattere tecnico relativi al funzionamento del sistema(es., stato della batteria del dispositivo, livelli di assorbimento di potenza)generati automaticamente dal Tag Rfid e dal monitor, i quali sono accessibilial fornitore e agli altri operatori cui sono affidati in outsourcing compiti dimanutenzione e di sicurezza del sistema.

Comerisulta in atti, l'Azienda Ospedaliera stipuler‡ con la Sorin CRM Sas uncontratto per la fornitura del servizio RMS sulla base di un modello standardpredisposto dalla societ‡ per essere sottoposto alla stipula delle strutturesanitarie che decidessero di avvalersi della fornitura del medesimo servizio.

Secondoil contratto standard, le attivit‡ poste in essere dalla societ‡ fornitrice delservizio consistono in:

Ä renderedisponibile alla struttura sanitaria il monitor per il periodo richiesto dallastessa;

Ä fornireassistenza telefonica al paziente per l'attivazione e il funzionamento delmonitor;

Ä fornirealla struttura sanitaria, tramite Internet, l'accesso al BO e agli applicativida questo resi disponibili, nonchË l'assistenza telefonica agli operatorisanitari per l'utilizzo del sistema;

Ä fornirei servizi di manutenzione collegati.

Inoltre,sulla base degli atti, la societ‡ fornitrice ha la facolt‡ di affidare asoggetti esterni "provvisti della necessaria competenza ed esperienzatecnica" (c.d. subappaltatori) alcune delle attivit‡ di manutenzione e disicurezza del sistema informandone preventivamente l'Azienda e impegnandosi agarantire i servizi forniti da questi ultimi i quali potranno avere accesso aidati del paziente soltanto per scopi operativi funzionali al servizio fornito.

Nellospecifico, al fine di assicurare il servizio RMS la Sorin CRM Sas si avvaledella collaborazione dei predetti soggetti esterni per effettuare:

Ä la trasmissione dei dati dall'abitazione del paziente al serverdel sistema RMS tramite la rete telefonica;

Ä l'assistenza telefonica ai pazienti ed agli operatori sanitari;

Ä il mantenimento e l'aggiornamento degli apparecchi di raccolta etrattamento dei dati dei pazienti;

Ä la crittografia e le altre misure di protezione dei dati durantetale trasmissione (es. attraverso firewalls) e l'accesso ai dati raccolti;

Ä il monitoraggio della performance e della qualit‡ del servizio.

4. Le finalit‡ del trattamento e la notificazione alGarante

Iltrattamento di dati personali effettuato attraverso il sistema RMS risultaperseguire finalit‡ di prevenzione, diagnosi e cura dell'interessato in quanto Ëpreposto a monitorare eventuali aritmie cardiache del paziente e ad effettuarela defibrillazione ove necessaria. In conformit‡ alle previsioni del Codiceesso puÚ essere pertanto effettuato esclusivamente da parte di soggettioperanti in ambito sanitario e con il consenso dell'interessato, previa idonea informativasul trattamento dei dati, anche in assenza dell'autorizzazione del Garante(artt. 13 e 76 del Codice).

Allaluce del principio di finalit‡, il trattamento di tali informazioni Ë pertantoconsentito soltanto nei limiti del rapporto di cura che lega la strutturasanitaria al paziente. Questa relazione di fiducia esclude tutti i terzi, ancheeventuali altri operatori sanitari, in relazione ai quali il paziente non abbiaespressamente acconsentito alla comunicazione dei suoi dati (v. infra par. 8).

Sullabase delle dichiarazioni in atti, l'Azienda Ospedaliera provveder‡ altresÏ anotificare preventivamente a questa Autorit‡ il trattamento effettuato tramiteil sistema RMS, in quanto esso rientra tra quelli soggetti all'obbligo dinotificazione. E' regola generale, infatti, che i trattamenti di dati idonei arivelare lo stato di salute trattati a fini di prestazione di servizi sanitariper via telematica relativi a banche di dati devono essere notificatipreventivamente al Garante (art. 37, comma 1, lett. b) del Codice). Inoltre iltrattamento in esame non rientra nelle ipotesi esonerate all'obbligo dinotificazione individuate dall'Autorit‡ con Provv. del 31 marzo 2004.

Alriguardo si osserva che la mancata o incompleta notificazione ai sensi degliartt. 37 e 38 del Codice Ë punita con la sanzione amministrativa previstadall'art. 163.

5. I ruoli dei soggetti coinvolti nella gestione delsistema RMS rispetto al trattamento dei dati personali

Inrelazione ai ruoli svolti dai soggetti coinvolti nel trattamento dei dati,secondo quanto dichiarato in atti, il sistema RMS verr‡ utilizzato dall'AziendaOspedaliera Spedali Civili di Brescia quale "titolare del trattamento"e la Sorin CRM Sas operer‡ in qualit‡ di "responsabile". » statoevidenziato, inoltre, che la societ‡ fornitrice intende proporre l'utilizzo delsistema di monitoraggio remoto anche ad altre strutture ed operatori sanitariitaliani i quali opereranno come "titolari del trattamento", mentrela societ‡ assumer‡ il ruolo di "responsabile".

Dall'esamedegli elementi in atti riguardanti i compiti svolti dai predetti soggetti,emerge che la Sorin CRM Sas non effettua alcuna attivit‡ di raccolta diretta deidati dei pazienti e che essa non ha accesso ai locali dell'Azienda Ospedaliera(non potendo quindi interloquire con le persone), ma Ë richiesta di trattare idati personali necessari a fini di manutenzione e di sicurezza del sistema perconto della struttura sanitaria. Sono invece gli operatori sanitaridell'Azienda Ospedaliera a raccogliere i dati identificativi dei pazientiimpiantati direttamente da questi ultimi e a crearne il relativo"profilo" nel sistema inserendo tali dati attraverso l'applicazioneweb.

Lecondizioni del servizio e le relative modalit‡ di trattamento dei dati sonotuttavia predeterminate dal fornitore essendo fissate nel contratto standardelaborato da questi per essere sottoposto alla stipula delle strutturesanitarie. Ciononostante, tale elemento non basta in se per concludere che lasociet‡ fornitrice del servizio RMS possa essere considerata titolare deltrattamento dei dati, nella misura in cui l'Azienda Ospedaliera accettiliberamente le clausole contrattuali e ha, di conseguenza, piena responsabilit‡al riguardo (1). Inoltre, dagli elementiin atti, risulta che la societ‡ fornitrice non puÚ utilizzare i dati deipazienti per fini diversi dall'adempimento degli obblighi assunti con ilcontratto nei confronti dell'Azienda Ospedaliera; quest'ultima, infatti, inqualit‡ di "titolare del trattamento", puÚ essa soltanto determinareinsieme alle relative modalit‡ (art. 28).

Risultain atti, poi, che la Sorin CRM Sas non Ë autorizzata a mettere a disposizione idati trattati a soggetti diversi dalla struttura sanitaria presso la quale Ë incura l'interessato. Essa gestisce, invece, le credenziali di autenticazione e iprofili di autorizzazione con riferimento ai soggetti abilitati all'accesso alsistema RMS.

Infine,qualora i pazienti non si avvalgano pi˘, per qualsiasi ragione, del servizioRMS collegato con il dispositivo impiantato (decesso, cambio dellastrumentazione, cessazione degli effetti del contratto con il fornitore),l'Azienda Ospedaliera Ë tenuta a rimuovere in modo permanente dal sistema idati corrispondenti ai menzionati pazienti e ad informarne il fornitore, unavolta completata tale operazione, cosicchÈ questi possa definitivamentecancellare i menzionati dati dai propri server e da ogni backup.

Intale quadro, pertanto, ai sensi degli artt. 4, comma 1, lett. f) e 28 delCodice, l'Azienda Ospedaliera si configura come "titolare deltrattamento" dei dati personali dei pazienti trattati attraverso ilsistema di monitoraggio a distanza. Inoltre, come Ë gi‡ stato rilevato, ai finidella liceit‡ del trattamento, Ë necessario che i pazienti acconsentanoesplicitamente, e previa idonea informativa, al trattamento dei loro datieffettuato dall'Azienda Ospedaliera attraverso l'utilizzo del servizio RMS(art. 76 del Codice).

LaSorin CRM Sas si configura invece come "responsabile del trattamento"dei dati finalizzato alla fornitura del servizio di monitoraggio a distanza(artt. 4 comma 1, lett. g) e 29 del Codice). In tale qualit‡, la societ‡fornitrice risulta essere stata formalmente designata dall'Azienda Ospedaliera,ai sensi dell'art. 29 del Codice, impegnandosi ad agire solo sulla base delleistruzioni fornite dalla struttura sanitaria e a trattare i dati personali soloentro i limiti e per gli scopi espressamente autorizzati dalla strutturasanitaria.

6. I terzi coinvolti nella fornitura del servizio dimonitoraggio a distanza

Comedetto, la Sorin CRM Sas ha dichiarato di avvalersi di diversi operatori esterni(c.d. subappaltatori), provvisti della necessaria competenza ed esperienzatecnica, ai quali intende delegare alcune delle attivit‡ di manutenzione e disicurezza del sistema informandone preventivamente l'Azienda al fine diconsentirle di designare tali soggetti quali "responsabili deltrattamento" dei dati personali. Secondo quanto dichiarato, tali operatoriesterni, i cui servizi la societ‡ si impegna a garantire, in particolare per ciÚche concerne "la loro conformit‡ ai loro impegni relativi alle performanceed alla qualit‡ del servizio", possono avere accesso ai dati del pazientesoltanto per scopi operativi funzionali al servizio fornito.

Inproposito, occorre richiamare le disposizioni del Codice in base alle qualitali soggetti, una volta designati "responsabili del trattamento", inconformit‡ all'art. 29, devono attenersi alle istruzioni impartite dall'AziendaOspedaliera, la quale Ë tenuta a vigilare sulla puntuale osservanza delleistruzioni impartite.

Pertanto,avuto riguardo alla delicatezza del trattamento dei dati effettuato mediante unimpianto sottocutaneo di microchip, al fine di assicurare che gli obblighi e leresponsabilit‡ derivanti dalla disciplina sulla protezione dei dati sianochiaramente attribuiti ai diversi soggetti che intervengono nel trattamento,occorre che la societ‡ fornitrice si impegni ad informare l'Azienda Ospedalierache intende avvalersi di terzi per l'esecuzione di alcune delle attivit‡effettuate per conto dell'Azienda e a sottoporre tale circostanza al previoaccordo di quest'ultima; a seguito dell'accordo dell'Azienda, la societ‡fornitrice poi deve stipulare con i suoi "subappaltatori" un accordoscritto che imponga a questi ultimi il rispetto degli stessi obblighi cui lasociet‡ stessa Ë vincolata in virt˘ della designazione a "responsabile deltrattamento" effettuata dall'Azienda Ospedaliera; la societ‡ fornitriceinfine deve inviare all'Azienda copia dei contratti conclusi con i proprisubappaltatori, impegnandosi, a sua volta, a tenere un elenco aggiornato ditali contratti.(2)

Inparticolare, al fine di consentire all'Azienda Ospedaliera di esercitare uneffettivo controllo sui dati personali trattati per suo conto dai predetti"responsabili del trattamento", in caso di esternalizzazione a terzidi alcune delle attivit‡ di manutenzione e sicurezza del sistema RMS, Ënecessario che l'Azienda sia a conoscenza delle principali modalit‡ diesecuzione dei servizi resi da tali operatori esterni, quali le specifichefunzioni cui sono addetti e le tipologie di dati cui hanno accesso, nonchÈ leprocedure adottate per garantire la sicurezza dei dati trattati. (3)

7. Informativa

Ilmodello di informativa e di consenso prodotto in atti risulta essere statopredisposto da Sorin CRM Sas ed allegato al contratto standard elaborato dallasociet‡.

Ilmodello di informativa esaminato precisa gli estremi indentificativi dellasociet‡ che fornisce il servizio RMS alla struttura sanitaria. Tuttavia essonon contiene una espressa indicazione circa il ruolo di"responsabile" svolto nel trattamento dei dati dalla Sorin CRM Sas, nÈdagli altri soggetti subappaltatori di cui la societ‡ si avvale per il fornireil servizio RMS. Nel descrivere le categorie di soggetti che possono avereaccesso ai dati dei pazienti, l'informativa si limita poi a menzionare"ogni altro subappaltatore per garantire il corretto funzionamento delservizio" senza indicarne gli estremi identificativi, evidenziandocomunque che "una lista completa dei soggetti (che possono avere accessoai dati dei pazienti) sar‡ a ä disposizione (del paziente) presso la strutturasanitaria", senza perÚ precisare le modalit‡ attraverso le quali gliinteressati possono conoscere in modo agevole tale elenco aggiornatocontenente i dati identificativi dei "responsabili del trattamento"(cfr. art. 13 del Codice).

Tenutoconto che secondo quanto risulta in atti, l'identit‡ dei soggetti che possonoavere accesso ai dati dei pazienti in qualit‡ di "responsabili deltrattamento" Ë suscettibile di mutare nel tempo, poichÈ come detto, ilfornitore puÚ affidare a terzi alcune attivit‡ necessarie per l'adempimento delcontratto con l'Azienda Ospedaliera (soggetti, che saranno ritualmentedesignati dall'Azienda stessa "responsabili" ai sensi dell'art. 29del Codice), Ë necessario che l'informativa fornisca agli interessati preciseindicazioni circa le modalit‡ attraverso le quali essi possono conoscere inmodo agevole l'elenco aggiornato di tali soggetti. CiÚ, a prescindere dallacircostanza che nel modello di informativa sia prevista l'indicazione di unmedico designato dalla struttura sanitaria quale responsabile per il riscontroall'interessato in caso di esercizio del diritto di accesso e degli altridiritti previsti dal Codice (artt. 9 e 13, comma 1, lett. f) del Codice)

»necessario altresÏ modificare l'indicazione relativa al tempo di attesa("fino a due (2) mesi") per la richiesta di accesso relativa ai daticlinici dell'interessato risalenti a pi˘ di cinque anni; ciÚ al fine di renderetale indicazione conforme al disposto del Codice che prevede un termine massimodi trenta giorni dal ricevimento della richiesta quando le operazioninecessarie per l'integrale riscontro all'interessato sono di particolarecomplessit‡ (art. 146, comma 3). Chiara evidenza deve infine essere datanel modello di informativa anche alle modalit‡ a disposizione del paziente perinterrompere il trasferimento al Sistema RMS dei dati registrati daldefibrillatore, nonchÈ per disattivare il funzionamento del sistema di Rfidconnesso al suo impianto.

8. Consenso

Inrelazione alle categorie di soggetti cui i dati personali dei pazienti possonoessere comunicati da parte della struttura sanitaria, si rileva che nelcontratto standard predisposto dalla societ‡, per essere sottoposto allastipula delle strutture sanitarie che si avvalgono della fornitura del servizioRMS e nel modello di informativa allegato viene precisato che, oltre ai medici"responsabili per le ä cure mediche relative all'impianto",possono, tra gli altri, avere accesso a questi dati "qualsiasi altroprofessionista del settore sanitario coinvolto nel garantire la continuit‡delle cure o nel determinare la miglior linea d'azione possibile", a menoche non sia indicato altrimenti dal paziente.

Alriguardo va osservato che in presenza di un trattamento di dati personali, ilnecessario consenso deve avere i requisiti previsti dal Codice (art. 23). Inparticolare, esso deve essere specifico ed espresso, non rilevando a tal fineil semplice comportamento concludente dell'interessato (art. 23, commi 1 e 3).Pertanto, la soluzione del silenzio-assenso (opt-out) per l'eventualeconsultazione dei dati sanitari dell'interessato da parte di medici nonappartenenti alla struttura sanitaria presso la quale Ë in cura l'interessato,quali autonomi titolari del trattamento, non soddisfa i requisiti delladisciplina sulla protezione dei dati (artt. 23 e 76, comma 1, lett. a) delCodice; v. anche art. art. 8 par. 2, lettera a) dir. 95/46/CE), ancorchÈ sitratti di medici coinvolti nella cura dell'interessato (es. il medico dimedicina generale, il cardiologo specialista).

»necessario, quindi, che l'eventuale messa a disposizione di dati clinicidell'interessato, registrati dal servizio RMS, a favore di altri operatorisanitari che abbiano in cura l'interessato, quali titolari autonomi deltrattamento, sia reso possibile soltanto a condizione che l'interessato stessovi abbia acconsentito espressamente e specificamente (ad esempio, sulla basedell'autorizzazione fornita di volta in volta dall'interessato attraverso la consegnadi una smart card mediante la quale sia reso possibile a singoli operatorisanitari, quali autonomi titolari, accedere al servizio RMS). (4)

Ilcontratto standard relativo al servizio RMS predisposto da Sorin CRM Sas e ilmodello di informativa e di consenso ad esso allegato vanno pertanto modificatiin conformit‡ a quanto sopra indicato.

9. Le garanzie in applicazione dei principi necessit‡,proporzionalit‡ e indispensabilit‡

Inottemperanza alle prescrizioni e alle garanzie individuate dall'Autorit‡ nelcitato provvedimento del 9 marzo 2005 sulle etichette intelligenti, i sistemidi Rfid devono essere configurati in modo tale da evitare l'utilizzo di datipersonali oppure, a seconda dei casi, l'identificabilit‡ degli interessati,quando non siano strettamente necessarie in relazione alla finalit‡ perseguita(art. 3 del Codice).

Conspecifico riferimento al sistema in esame, il trattamento di dati personali,anche sensibili, effettuato attraverso il sistema RMS, poichÈ persegueesclusivamente finalit‡ di prevenzione, diagnosi e cura dell'interessato, deveessere posto in essere in modo da limitare l'accesso dei diversi soggettiautorizzati alle sole informazioni indispensabili in funzione dei relativiruoli e delle esigenze di accesso e trattamento (art. 3, 11 e 22 del Codice).In particolare, l'accesso ai dati sanitari dell'interessato deve esserelimitato ai soli operatori sanitari dell'Azienda Ospedaliera che hanno in curail paziente e allo stesso interessato. La Sorin CRM Sas, invece, potr‡ trattareesclusivamente dati di carattere tecnico necessari ai fini della manutenzione edella sicurezza del sistema. Infine, gli operatori esterni responsabilidell'assistenza tecnica in favore dei medici e/o dei pazienti potranno avereaccesso ai dati identificativi dei pazienti ai soli fini di evadere lerichieste di assistenza tecnica avanzate dagli utenti.

Alriguardo, dall'esame degli elementi in atti, non risultano tuttavia poste inessere adeguate misure tecnico-organizzative volte ad garantire che la societ‡fornitrice del servizio e gli operatori esterni di cui questo si avvale nonpossano aver accesso ai dati clinici degli interessati. Peraltro, non puÚescludersi che tale eventualit‡ possa verificarsi anche per finalit‡operativo-gestionali quali la manutenzione e l'esercizio dei dispositivi pressol'abitazione del paziente o dei data-base memorizzati sul server centralizzato,specie in considerazione della circostanza che le chiavi di cifratura volte aproteggere i dati dei pazienti memorizzati nel server centralizzato sonogenerate e custodite dal fornitore e/o dagli operatori esterni che collaboranocon quest'ultimo per la prestazione del servizio. Inoltre, come Ë stato gi‡evidenziato, i c.d. subappaltatori del fornitore cui Ë affidata la gestione delservizio di assistenza tecnica devono poter accedere ai dati identificativi deipazienti, ivi incluso il numero seriale del defibrillatore e del monitorsituato a casa del paziente, nonchÈ ad altre informazioni di carattere tecnicorelative al funzionamento del sistema necessarie di assicurare ai medici e aglistessi pazienti il predetto supporto.

Inapplicazione dei principi di necessit‡, proporzionalit‡ e indispensabilit‡ neltrattamento dei dati (art. 3, 11 e 22 del Codice), si ritiene pertanto di doverprescrivere l'adozione dei seguenti accorgimenti tecnico-organizzativi:

Ä qualora,per specifici interventi posti in essere per esclusive necessit‡ di operativit‡e di sicurezza del sistema, si renda indispensabile l'accesso ai dati clinicidei pazienti da parte del fornitore o degli altri responsabili del trattamentodei dati, l'Azienda Ospedaliera dovr‡ essere tempestivamente informatadell'intervento effettuato;

Ä dovrannoessere registrate le operazioni effettuate dal fornitore del servizio o daglioperatori esterni coinvolti con l'indicazione delle utenze dalle quali sonostate effettuate, dell'eventuale utilizzo della chiave di decifratura e delleragioni che lo hanno determinato;

Ä lepredette registrazioni (access log) devono avere caratteristiche dicompletezza, inalterabilit‡ e possibilit‡ di verifica della loro integrit‡adeguate al raggiungimento dello scopo di verifica per cui sono richieste; atale fine, le registrazioni devono comprendere i riferimenti temporali e ladescrizione dell'evento che le ha generate e devono essere conservate per uncongruo periodo, non inferiore a sei mesi.

Infine,per evitare che i dati ai quali i soggetti autorizzati hanno accesso possanoessere utilizzati al di fuori del contesto clinico e/o operativo per usi nonconsentiti o non conformi alle finalit‡ della raccolta, si individua comemisura necessaria l'adozione di procedure informatiche volte a evitare la copiamassiva (download) di dati dal server centrale predisponendo opportuni alert inpresenza di anomalie. In tal quadro si ravvisa altresÏ la necessit‡ di adottaremeccanismi di controllo degli accessi che impediscano il verificarsi di accessimultipli ai dati personali dei pazienti riferibili alla medesima utenza.

10. Ulteriori garanzie a tutela degli interessati.

Dall'esamedegli atti risulta che il paziente stesso puÚ avere accesso ai dati registratidal defibrillatore impiantatogli attraverso il monitor situato nella suaabitazione. In proposito va rilevato che l'accesso dell'interessato deve essereconsentito nel rispetto delle cautele previste dall'art. 84 del Codice secondocui gli esercenti le professioni sanitarie e gli organismi sanitari possonocomunicare all'interessato informazioni inerenti al suo stato di salute per iltramite di un medico -individuato dallo stesso interessato o dal titolare- o diun esercente le professioni sanitarie, che nello svolgimento dei propri compitiintrattiene rapporti diretti con il paziente.(5)

Secondoquanto risulta dagli elementi in atti, con l'autorizzazione del medico ilpaziente puÚ avviare o interrompere il trasferimento dei dati registratidall'impianto tramite un bottone di cui Ë dotato il monitor collocato nellapropria abitazione ogni volta che lo ritenga necessario (ad esempio, in caso dimalore) in modo da inviarli direttamente ai medici della struttura sanitariapresso la quale Ë in cura.

Alriguardo, occorre rilevare che all'interessato deve essere riconosciuta lapossibilit‡ di ottenere in modo agevole la disattivazione del sistema RMS e,quindi, del funzionamento dall'etichetta Rfid contenuta nel dispositivoimpiantato (v. Provv. 9 marzo 2005, cit.)

Infine,al fine di consentire all'interessato il controllo dei propri dati personalitrattati da remoto mediante il dispositivo che gli Ë stato impiantato, occorreprevedere idonei accorgimenti per tenere traccia degli utenti abilitati chehanno avuto accesso al servizio RMS (ivi incluse ora e data dell'accesso), delcontenuto dei dati consultati e delle altre operazioni eventualmenteeffettuate. Tali informazioni devono essere fornite al paziente su suarichiesta.

11. Conservazione dei dati

Secondoquanto dichiarato in atti e indicato nel modello di informativa predisposto, idati dei pazienti trattati dal fornitore e/o dai suoi subappaltatori sarannoconservati in archivi situati all'interno del territorio dell'Unione europea. Semprein base a quanto dichiarato, i dati clinici di ciascun paziente sono conservatinel sistema RMS per un periodo di tempo non superiore a quello necessario agarantire l'adempimento degli obblighi di cura nei confronti del paziente e ilcorretto funzionamento del servizio di monitoraggio a distanza ad essocollegato (art. 11, comma 1, lett. e) del Codice). Tale periodo viene definitoper ogni paziente dalla struttura sanitaria nell'ambito del limite massimoindicato dal fornitore. A tal fine la struttura sanitaria verificher‡, anchemediante controlli periodici, che i dati conservati siano strettamentepertinenti, non eccedenti e indispensabili in relazione alle finalit‡ di curaperseguite .

Comerisulta in atti e in conformit‡ a quanto previsto dall'articolo 16 del Codice,in tutti i casi in cui i pazienti non utilizzino pi˘ il servizio RMS collegatocon il dispositivo, il fornitore Ë tenuto a cancellare i dati che li riguardanodal server e da ogni altro archivio in suo possesso, nonchÈ dal sistema dibackup, salvo che il mantenimento dei dati per un periodo ulteriore sianecessario per l'esercizio di un diritto in un procedimento giudiziario o perottemperare a specifici obblighi di legge.

Nessundato Ë conservato, invece, nel monitor fornito al paziente per trasmettere idati ricevuti dal defibrillatore, in quanto, in base alle dichiarazioni inatti, esso funziona come mero apparecchio trasmittente.

Sullabase delle dichiarazioni in atti, Ë previsto che i dati clinici dei pazientisiano cancellati entro cinque anni dalla loro raccolta, salvo che questi nonsiano indispensabili per l'esercizio di un diritto in sede giudiziaria o perottemperare ad uno specifico obbligo di legge.

12. Misure di sicurezza

PerciÚ che concerne il profilo della sicurezza dei dati trattati, dagli elementiin atti risulta che sono state adottate misure organizzative e predispostispecifici accorgimenti tecnici al fine di ridurre i rischi connessi al trattamentodei dati dei pazienti nell'ambito del sistema RMS. Si fa riferimento inparticolare a:

Ä sistemidi memorizzazione e archiviazione (file system o data-base system) con funzionicrittografiche avanzate basate su algoritmi robusti dei dati clinici dei pazientiregistrati nel server centrale inclusi i report elaborati sulla base dei datiraccolti dal dispositivo, di quelli registrati dagli operatori sanitariattraverso l'interfaccia web resa disponibile, nonchÈ di quelli gestiti dalsistema di backup;

Ä protocollidi comunicazione sicuri basati sull'utilizzo di standard crittografici per latrasmissione dei dati grezzi dal defibrillatore al monitor, per la trasmissioneelettronica dei dati grezzi raccolti dal defibrillatore al server centrale eper tutte le comunicazioni via Internet assicurate dal protocollo SSL basatosullo scambio di chiavi asimmetriche;

Ä idoneeprocedure per l'attribuzione dei profili di autorizzazione degli incaricati deltrattamento in funzione dei ruoli e delle esigenze di accesso e trattamento(es. procedure di autenticazione per l'accesso ai dati dei pazienti e proceduredi controllo per verificare che le richieste di accesso ai dati sianoeffettuate da utenti debitamente autorizzati);

Ä opportuniaccorgimenti (basati su tecnologie crittografiche) al fine di assicurarel'integrit‡ dei dati clinici trasmessi al server centrale e di garantirel'inalterabilit‡ dei medesimi dati;

Ä duplicazioneperiodica dei dati in un sito di emergenza in modo da prevenire perditeaccidentali dei medesimi

Ä procedurepreventive anti-intrusione quali firewall e intrusion detection systems (IDS) aprotezione del server centrale

Ä verificheperiodiche sulla qualit‡ e coerenza delle credenziali di autenticazione e deiprofili di autorizzazione assegnati agli incaricati del trattamento;

Ä sistemidi audit log per il controllo degli accessi al sistema e per il rilevamento dieventuali anomalie;

Ä misuredi sicurezza perimetrali quali la predisposizione di un'infrastruttura concaratteristiche idonee di robustezza e affidabilit‡.

Conspecifico riferimento al sistema di autenticazione e di autorizzazione adottatonei confronti degli operatori sanitari dell'Azienda Ospedaliera Ë statorappresentato che il fornitore, per ogni struttura sanitaria, configura nelsistema RMS un'utenza dotata del profilo di autorizzazione di amministratorelocale ("clinic account manager") che consente, in capo a un'unicafigura a ciÚ preposta dalla struttura sanitaria, di gestire le richieste diabilitazione e autorizzazione dei medici e degli altri operatori sanitari dellastruttura con la possibilit‡ di creare e gestire direttamente le utenze perl'accesso al sistema RMS. Al riguardo, va rilevato che per quantoconcerne le credenziali di autenticazione Ë necessario che la componenteriservata della credenziale (password) degli utenti del sistema RMS, operatorisanitari e non, sia composta da almeno otto caratteri in linea con quantoprevisto dalla regola n. 5 del Disciplinare tecnico di cui all'Allegato B) alCodice.

Insecondo luogo, al fine di incrementare il livello di sicurezza delle misureposte in essere per ridurre i rischi di accesso non autorizzato o ditrattamento non consentito o non conforme alle finalit‡ della raccolta, inconsiderazione della delicatezza dei dati resi consultabili agli operatorisanitari presso l'Azienda Ospedaliera per il monitoraggio clinico dei pazientiimpiantati e dei connessi rischi per la loro salute, Ë necessario che presso lastruttura sanitaria il "clinic account manager", il quale Ë il soggettopi˘ idoneo a controllare l'attivit‡ quotidiana degli utenti abilitati adaccedere al sistema, sia dotato di strumenti di gestione delle utenze cheprevedano la possibilit‡ di effettuare anche monitoraggi statistici degliaccessi con l'attivazione di sistemi di alert utili all'individuazione dianomalie sia con riferimento al funzionamento del sistema, sia con riferimentoall'accesso ai dati da parte delle utenze abilitate.

Interzo luogo, per consentire a ciascun operatore sanitario di controllare l'utilizzodel proprio account, Ë poi necessario che sia possibile visualizzare, nellaprima schermata successiva al collegamento al sistema RMS tramitel'applicazione web, le informazioni relative all'ultima sessione effettuata conle stesse credenziali (almeno con l'indicazione di data, ora e indirizzo direte da cui Ë stata effettuata la precedente connessione). Per accrescere laconsapevolezza del controllo, le stesse informazioni vanno riportate ancherelativamente alla sessione corrente.

Infine,il personale autorizzato presso la struttura sanitaria ad accedere al sistemaRMS e, in generale, il personale a vario titolo coinvolto nella manutenzione enella sicurezza del servizio deve essere adeguatamente edotto in ordine allefunzionalit‡ delle applicazioni rese disponibili dal sistema e alle correttemodalit‡ di utilizzo, in relazione agli aspetti concernenti il trattamento deidati personali.

TUTTO CIO' PREMESSO IL GARANTE

aisensi dell'art. 154, comma 1, lett. c) del Codice, prescrive all'Azienda OspedalieraSpedali Civili di Brescia e alla Sorin CRM Sas, in relazione al trattamento deidati personali che intendono effettuare attraverso un sistema "Rfid"denominato "Remote Monitoring System", per il monitoraggio a distanzadi pazienti portatori di defibrillatori cardiaci impiantabili attivi, le misurenecessarie e opportune indicate nei punti 6, 7, 8, 9, 10 e 12 delpresente provvedimento, al fine di rendere il predetto trattamento conformealle disposizioni vigenti in materia di protezione dei dati personali.

Disponeche il presente provvedimento sia pubblicato sul sito dell'Autorit‡www.garanteprivacy.it avuto riguardo alla rilevanza generale delle indicazioniin esso contenute che possono ritenersi utili per i titolari di analoghitrattamenti di dati personali effettuati in ambito sanitario.

Roma, 29 novembre 2012

Il presidente
Soro

Il relatore
Bianchi Clerici

Il segretario generale
Busia

NOTE

1)Cfr. Gruppo Art. 29, Parere 1/2010 sui concetti di "responsabile deltrattamento" e "incaricato del trattamento" adottato il 16febbraio 2010

2)V. le garanzie previste nella Decisione della Commissione europea n. 2010/87/UEdel 5 febbraio 2010 (specie clausole n. 5 e n. 11),con riferimento alle diverseipotesi di trasferimenti di dati personali posti in essere da un responsabiledel trattamento (soggetto importatore), stabilito in un paese terzo che nonassicura un livello di protezione adeguato, ad un altro responsabile deltrattamento, stabilito in un paese terzo che non assicura un livello diprotezione adeguato (c.d. subincaricato), sulla base di un apposito accordo(c.d. "subcontratto") stipulato tra i predetti soggetti. V. anchel'Autorizzazione del Garante del 27 maggio 2010e il 16 luglio 2009e Gruppo Art. 29, Documento di lavoro sul trattamento deidati personali relativi alla salute contenuti nelle cartelle clinicheelettroniche (CCE), 9 novembre 2005.