Parere su uno schema di decreto sulle modalità tecniche per la realizzazione dell'infrastruttura di rete di supporto all'organizzazione dell'attività libero professionale intramuraria

Parere su uno schema di decreto sullemodalità tecniche per la realizzazione dell'infrastruttura di rete di supportoall'organizzazione dell'attività libero professionale intramuraria

PROVVEDIMENTO DEL 14 FEBBRAIO 2012

Registro dei provvedimenti n. 63 del 14 febbraio 2012

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Nellariunione odierna, in presenza del dott. Antonello Soro, presidente, dellaprof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti edel dott. Giuseppe Busia, segretario generale;

Vistala richiesta di parere del Ministero della salute;

Vistol'art. 154 del Codice in materia di protezione dei dati personali (d.lgs. 30giugno 2003, n. 196);

Vistala documentazione in atti;

Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatoreil dott. Antonello Soro;

PREMESSO

IlMinistero della salute ha richiesto il parere del Garante in ordine a unoschema di decreto concernente la determinazione delle modalità tecniche per larealizzazione dell'infrastruttura di rete per il supporto all'organizzazionedell'attività libero professionale intramuraria, da adottare ai sensidell'articolo 1, comma 4, quarto periodo, lettera a-bis), della legge 3 agosto2007, n. 120.

Quest'ultimadisposizione prevede che le Regioni e Province autonome o, su disposizioneregionale, l'ente o l'azienda del Servizio Sanitario Nazionale, attivino, entroil 31 marzo 2013, una infrastruttura di rete per il collegamento in voce e indati tra l'ente o l'azienda del Servizio sanitario e le strutture eroganti leprestazioni di attività libero professionale intramuraria. In particolare, èprevisto che le modalità tecniche per la realizzazione della infrastruttura sianodeterminate, appunto, con decreto, di natura non regolamentare, del Ministrodella salute, previa intesa con la Conferenza permanente per i rapporti tra loStato, le regioni e le province autonome di Trento e di Bolzano, nel rispettodelle disposizioni contenute nel decreto legislativo 30 giugno 2003, n. 196,recante il Codice in materia di protezione dei dati personali (infra"Codice").

Ilprovvedimento si inquadra fra le iniziative volte ad assicurare il correttoesercizio dell'attività professionale intramuraria ed è finalizzato adindividuare i principi cui le regioni dovranno attenersi nella regolamentazionedella materia, in particolare per quanto riguarda le misure di sicurezza.

RILEVATO

1. L'infrastruttura di rete e i servizi offerti aiprofessionisti.

Lemodalità tecniche per la realizzazione dell'infrastruttura sono esplicitatenell'allegato 1 all'odierno schema di decreto che costituisce parte integrantedel medesimo (art. 1).

L'infrastrutturaè utilizzabile dal professionista per l'accesso al servizio di prenotazione,nonché per l'inserimento e la comunicazione all'azienda sanitaria competentedei dati richiesti dall'articolo 1, comma 4, della legge n. 120 del 2007 citata(impegno orario del sanitario, pazienti visitati, prestazioni, estremi deipagamenti) (punto 2.1.1 e 2.1.2).

Inparticolare, l'infrastruttura di rete per il collegamento in voce e in datiassicura l'accesso telefonico del professionista al sistema Centro Unificato diPrenotazione (infra "CUP") o ad altro analogo sistema dell'aziendasanitaria (punto 2.1). Ai fini dell'accesso del professionista al servizio diprenotazione si applicano le Linee guida nazionali del CUP (2.1.1).

Conriferimento ai servizi di inserimento e comunicazione dei dati, lo schemaprevede l'implementazione di procedure che mettano a disposizione deiprofessionisti servizi di agenda di accettazione e registrazione delleprestazioni, per la gestione, tra gli altri, dei dati delle prestazioni stesse(data di erogazione, codice prestazione, branca specialistica), nonché servizidi registrazione dei dati di pagamento secondo le modalità di cui alle Lineeguida nazionali del CUP (punto 2.1.2).

Inoltre,premesso che ai sensi dell'articolo 1, comma 4, della predetta legge n. 120 del2007, la disposizione regionale deve prevedere che l'espletamento dei serviziavvenga anche in raccordo con le modalità di realizzazione del fascicolosanitario elettronico (FSE), ai fini dell'accesso del professionista a talefascicolo, non ancora "operativo" a livello nazionale, lo schemarimanda a quanto sarà previsto dal regolamento che dovrà individuare, appunto,le modalità di attuazione del FSE ai sensi dell'articolo 12, comma 7, deldecreto legge 18 ottobre 2012, n. 179, convertito, con modificazioni dallalegge 17 dicembre 2012, n. 22 (punto 2.1.3).

2. La protezione dei dati personali.

Loschema di decreto individua, ai sensi del Codice, l'azienda sanitaria qualetitolare del trattamento dei dati personali effettuati in applicazione dellostesso; i professionisti sono i responsabili del trattamento e gli operatoridell'azienda, nonché i collaboratori dei professionisti sono incaricati deltrattamento.

Opportunamentelo schema di decreto specifica altresì che i trattamenti dei dati effettuatidall'azienda in applicazione del presente decreto sono ammessi esclusivamenteper assicurare il corretto esercizio dell'attività professionale (principio difinalità) e possono riguardare i soli dati personali necessari all'eserciziodell'attività libero-professionale intramuraria (punto 2.2).

L'Autoritàprende atto, peraltro, che l'odierno schema non richiede il trattamento di datisensibili e, in particolare, di dati idonei a rivelare lo stato di salute deipazienti. Anche alla luce di tale considerazione, le specifiche misure disicurezza che le aziende devono adottare, per espressa previsione del decreto (punto2.3. dell'allegato), appaiono adeguate, fermo restando in capo a tali soggettil'obbligo di rispettare in ogni caso la disciplina in materia diprotezione dei dati personali, anche sotto il profilo della sicurezza dei dati(Codice e relativo disciplinare tecnico di cui all'Allegato B) (punto 2.3).

CONSIDERATO

Ilparere è reso su di una versione dello schema di decreto che tiene conto degliapprofondimenti e delle indicazioni suggeriti dall'Ufficio del Garante aicompetenti uffici dell'Amministrazione interessata nel corso di una riunione edi contatti informali, volti a perfezionare il testo e a renderlo pienamenteconforme alla disciplina in materia di protezione dei dati personali.

Leosservazioni dell'Ufficio hanno riguardato, in particolare, la specificazionedelle finalità per cui è consentito il trattamento dei dati e il rispetto delprincipio di pertinenza e non eccedenza delle informazioni oggetto dicomunicazione, da parte dei professionisti, rispetto alle predette finalità,con la conseguente esclusione dei dati identificativi dei pazienti cheusufruiscono delle prestazioni in regime di libera professione intramuraria (inluogo dei quali l'attuale schema di decreto prevede la comunicazione del numeroidentificativo dell'accesso alla prestazione) e, quindi, di dati idonei arivelare lo stato di salute degli interessati.

Inconclusione, lo schema di decreto non presenta criticità sotto il profilo dellaprotezione dei dati personali e, pertanto, il Garante non ha osservazioni daformulare.

IL GARANTE

esprimeparere favorevole sullo schema di decreto concernente la determinazione dellemodalità tecniche per la realizzazione della infrastruttura di rete per ilsupporto all'organizzazione delle attività libero professionale intramuraria,da adottare ai sensi dell'articolo 1, comma 4, quarto periodo, lettera a-bis),della legge 3 agosto 2007, n. 120.

Roma, 14 febbraio 2013

Il presidente
Soro

Il relatore
Soro

Il segretario generale
Busia