Parere del Garante europeo della protezione dei dati (GEPD) sulla proposta di Direttiva del Parlamento europeo e del Consiglio relativa alle norme di qualità e sicurezza degli organi umani destinati ai trapianti

GARANTE EUROPEO
DELLA PROTEZIONE DATI PERSONALI

Parere del garante europeo della protezione dei dati sulla proposta di Direttiva del Parlamento europeo e del Consiglio

relativa alle norme di qualità e sicurezza degli organi umani destinati ai trapianti

(Pubblicato sulla GUUE n. C 192 del 15.8.2009)

IL GARANTE EUROPEO DELLA PROTEZIONE DEI DATI,

visto il trattato che istituisce la Comunità europea, in particolare l'articolo 286,

vista la carta dei diritti fondamentali dell'Unione europea, in particolare l'articolo 8,

vista la direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati,

visto il regolamento (CE) n. 45/2001 del Parlamento europeo e del Consiglio, del 18 dicembre 2000, concernente la tutela delle persone fisiche in relazione al trattamento dei dati personali da parte delle istituzioni e degli organismi comunitari, nonché la libera circolazione di tali dati, in particolare l'articolo 41,

vista la richiesta di parere a norma dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001 trasmessa al GEPD l'8 dicembre 2008,

HA ADOTTATO IL SEGUENTE PARERE:

I. INTRODUZIONE

La proposta di direttiva relativa alle norme di qualità e sicurezza degli organi umani destinati ai trapianti

1. L'8 dicembre 2008 la Commissione ha adottato la proposta di direttiva del Parlamento europeo e del Consiglio relativa alle norme di qualità e sicurezza degli organi umani destinati ai trapianti (in prosieguo: «la proposta») ⁽¹⁾. La proposta è stata trasmessa dalla Commissione al GEPD per consultazione, a norma dell'articolo 28, paragrafo 2, del regolamento (CE) n. 45/2001.

2. La proposta è intesa a garantire un alto livello di qualità e di sicurezza degli organi umani destinati al trapianto, al fine di assicurare un alto livello di tutela della salute umana. In particolare la proposta:

— Definisce i requisiti fondamentali di qualità e sicurezza ai quali devono conformarsi i sistemi di trapianto degli Stati membri e prevede l'istituzione o la designazione di un'autorità nazionale competente per garantire la conformità a tali requisiti. A tal fine saranno istituiti in tutti i paesi programmi nazionali di qualità per il reperimento e trasporto degli organi umani, compreso — tra l'altro — un sistema per la segnalazione di eventi avversi e reazioni avverse gravi nonché un meccanismo che garantisca la tracciabilità di tutti gli organi, dal donatore al ricevente e viceversa.

— Prevede la protezione dei donatori e dei riceventi. In particolare per quanto riguarda i donatori viventi, la proposta contiene misure per la valutazione dello stato di salute del donatore e l'informazione esauriente sui rischi della donazione, l'introduzione di registri dei donatori viventi nonché misure per garantire il carattere volontario e altruista della donazione di organi da parte di donatori viventi.

— Facilita la cooperazione tra Stati membri e gli scambi transfrontalieri di organi (anche tra Stati membri e Paesi terzi), standardizzando la raccolta di informazioni relative alle caratteristiche dell'organo e istituendo un meccanismo per la trasmissione delle informazioni.

3. L'attuazione del sistema proposto per la donazione e il trapianto di organi richiede il trattamento di dati personali relativi alla salute dei donatori degli organi e di coloro che li ricevono da parte delle organizzazioni autorizzate e degli operatori sanitari dei diversi Stati membri. Tali dati sono considerati sensibili e sono soggetti alle norme di protezione dei dati più rigorose di cui all'articolo 8 della direttiva 95/46/CE, riguardante categorie particolari di dati.

4. In particolare, i dati dei donatori sono trattati dagli organismi di reperimento che effettuano la caratterizzazione di organi e donatori e decidono pertanto se l'organo in esame è adeguato per il trapianto (un elenco di tali dati figura nell'allegato della proposta). I dati dei riceventi (pazienti) sono trattati nei centri per i trapianti in cui si svolge effettivamente l'operazione. Benché i dati del donatore non siano comunicati al ricevente (e viceversa), è necessario che le competenti autorità nazionali mantengano la piena tracciabilità dell'organo dal donatore al ricevente (e viceversa), cosa che dovrebbe essere possibile anche in caso di scambio transfrontaliero di organi.

Consultazione del GEPD

5. Il GEPD accoglie con soddisfazione il fatto di essere stato consultato e il riferimento a tale consultazione figurante nel preambolo della proposta, in conformità dell'articolo 28 del regolamento (CE) n. 45/2001.

6. La proposta comporterà progressi per le procedure di donazione e trapianto di organi, con l'obiettivo finale di aumentare la disponibilità di organi e far diminuire la mortalità dei pazienti in lista d'attesa. Integra il quadro legislativo vigente per quanto riguarda l'uso di materiali biologici

di origine umana. ⁽²⁾ Può inoltre essere considerata parte dell'approccio globale della CE verso la definizione di vari tipi di standard comuni per la prestazione di servizi di assistenza sanitaria negli Stati membri, con l'obiettivo principale di promuovere la disponibilità transfrontaliera di questi servizi in tutta Europa. ⁽³⁾ Come già dichiarato nel suo parere sui diritti dei pazienti nell'ambito dell'assistenza sanitaria transfrontaliera, il GEPD sostiene questo approccio. Torna tuttavia a sottolineare l'esigenza di un approccio adeguatamente coordinato e uniforme per la protezione dei dati nell'ambito delle varie iniziative connesse all'assistenza sanitaria. ⁽⁴⁾

7. La proposta ha già preso in considerazione le esigenze in materia di protezione dei dati sia per i donatori di organi che per i riceventi. L'elemento più importante è l'esigenza di mantenere riservata l'identità dei donatori e dei riceventi (considerando 11 e 16, articoli 10 e 17). Alcuni riferimenti generali alla protezione dei dati figurano inoltre in alcune parti della proposta (considerando 17, articoli 16, 4, paragrafo 3, lettera a), 15, paragrafo 3) e 19, paragrafo 1, lettera a), allegato); vi sono anche riferimenti specifici all'esigenza di cooperare con le autorità nazionali preposte alla protezione dei dati. (articoli 18, lettera f) e 20, paragrafo 2).

8. Il GEPD si compiace delle disposizioni succitate. Tiene tuttavia a esprimere le sue preoccupazioni per alcune delle disposizioni che non sono chiaramente definite o elaborate, con conseguenti ambiguità che potrebbero pregiudicare l'attuazione uniforme della proposta da parte degli Stati membri.

9. In particolare l'uso talvolta contraddittorio dei concetti di «tracciabilità degli organi» e «anonimato dei donatori e dei riceventi» è un aspetto che richiede ulteriori chiarimenti e precisazioni. In questo contesto dovrebbe essere maggiormente sottolineata l'esigenza di adottare misure di sicurezza più incisive per la protezione dei dati dei donatori e dei riceventi a livello di Stati membri, di garantire un più alto livello di protezione dei dati nei vari paesi europei, nonché di assicurare la protezione dei dati nello scambio transfrontaliero di organi (all'interno e all'esterno dell'Europa).

10. Il presente parere elaborerà ulteriormente i temi succitati, al fine di migliorare le attuali disposizioni della proposta in materia protezione dei dati, in termini sia di chiarezza che di coerenza.

II. PRECISAZIONE DEI CONCETTI DI TRACCIABILITÀ E DI ANONIMATO

L'applicabilità della direttiva 95/46/CE

11. Ai sensi dell'articolo 2, lettera a) della direttiva 95/46/CE sulla protezione dei dati personali si intende per «dati personali»: «qualsiasi informazione concernente una persona fisica identificata o identificabile; si considera identificabile la persona che può essere identificata, direttamente o indirettamente, in particolare mediante riferimento ad un numero di identificazione o ad uno o più elementi specifici caratteristici della sua identità fisica, fisiologica, psichica, economica, culturale o sociale.»

12. I materiali biologici di origine umana, quali organi, tessuti, cellule o sangue, possono essere definiti come materiale che può essere estratto dal corpo umano. È discutibile se questi materiali in quanto tali possano essere considerati dati personali. E' tuttavia indiscusso che tali materiali possono essere usati come fonti di informazioni personali sulla persona a cui appartengono. I materiali biologici sono spesso sottoposti a trattamento al fine di ricavare tali informazioni. E anche se non si persegue tale scopo, i materiali biologici sono spesso accompagnati da informazioni che ne sono ricavate. In queste situazioni si applicano le norme della direttiva 95/46/CE. (5) Ossia nella misura in cui il materiale biologico appartiene a una persona (fisica) identificata o identificabile.

13. Il considerando 26 della direttiva 95/46/CE spiega come determinare se una persona è identificabile: «è opportuno prendere in considerazione l'insieme dei mezzi che possono essere ragionevolmente utilizzati dal responsabile del trattamento o da altri per identificare detta persona».

Lo stesso considerando spiega inoltre che le norme della direttiva 95/46/CE non si applicano se le informazioni si riferiscono a una persona che non è più identificabile: tali dati sono considerati anonimi.

14. Nella raccomandazione (2006) 4, il Consiglio d'Europa ha affrontato la questione specifica dell'identificabilità dei materiali biologici, facendo una distinzione tra materiali biologici identificabili e non identificabili. (6)

15. In base alla raccomandazione, per materiale biologico identificabile si intende «il materiale biologico che, da solo o in combinazione con dati associati, permette l'identificazione degli interessati, direttamente o ricorrendo a un codice» (7).

In quest'ultimo caso chi usa materiale biologico può avere accesso al codice («materiali codificati») o non avere accesso a questo codice che è sotto il controllo di parti terze («materiali collegati anonimizzati »). Nel parere 4/2007 sul concetto di dati personali, il gruppo dell'articolo 29 ha fatto ricorso alla nozione di «dati pseudonimizzati con sistema tracciabile» per descrivere informazioni su persone identificabili indirettamente che possono ancora essere usate per risalire alle persone e identificarle in condizioni definite in precedenza ⁽⁸⁾. I dati codificati con chiave sono indicati a titolo di esempio; in questo caso i dati personali sono contrassegnati da un codice, mentre la chiave che crea la corrispondenza tra il codice e i comuni identificatori è tenuta separata. Se i codici usati sono unici per ogni persona specifica, l'identificazione è possibile mediante la chiave applicata per la codificazione.

16. La raccomandazione fa anche riferimento al materiale biologico non identificabile (o «materiale anonimizzato non collegato») per indicare «il materiale biologico che, da solo o in combinazione con dati associati, non permette, compiendo sforzi ragionevoli, l'identificazione degli interessati^»(⁹⁾. Si tratterebbe effettivamente di dati anonimi secondo la definizione data dalla direttiva 95/46/CE.

17. Da quanto precede consegue che la direttiva 95/46/CE si applica alla raccolta, alla conservazione e alla lavorazione di organi identificabili e alla successiva estrazione di informazioni da tali organi, per il tempo durante il quale rimane possibile, tenendo debitamente conto di tutti i mezzi che con ogni probabilità sono ragionevolmente usati, identificare l'interessato. Come si dimostrerà, la tracciabilità permanente di organi come prevista nella direttiva proposta manterrà identificabili le persone per tutta la durata del processo.

Tracciabilità ovvero anonimato degli organi umani

18. La tracciabilità del materiale biologico è la possibilità di risalire alla persona alla quale appartiene e quindi di identificarla. In altre parole, ogniqualvolta è possibile risalire alla persona cui appartiene il materiale biologico, in modo diretto o indiretto, quest'ultimo può essere considerato identificabile e viceversa. I concetti di «tracciabilità» e «identificabilità» sono pertanto in linea di massima strettamente interconnessi. La tracciabilità e l'anonimato dei dati non possono invece essere presenti simultaneamente, in quanto si tratta di concetti contrapposti. Se una determinata informazione è realmente anonima, non è possibile identificare e rintracciare le persone.

19. Nel contesto della proposta in oggetto, la tracciabilità è un requisito obbligatorio da definire nell'ambito dei programmi nazionali di qualità degli Stati membri in un duplice senso, ossia per i donatori e per i riceventi. Ciò significa che, benché le informazioni sui donatori e i riceventi siano mantenute riservate, le informazioni riguardanti gli organi sono identificabili. Il concetto è anche incluso nella definizione di tracciabilità contenuta nell'articolo 3 della proposta: «la possibilità di localizzare ed identificare l'organo, in qualunque fase del processo che va dalla donazione al trapianto o all'eliminazione, da parte di un'autorità competente che sia autorizzata, nelle circostanze specificate nella presente direttiva, a identificare il donatore e l'organismo di reperimento, identificare i riceventi nel centro di trapianto, localizzare ed identificare tutte le informazioni pertinenti non personali relative ai prodotti e ai materiali che entrano in contatto con tale organo.»

20. Inoltre l'articolo 10, paragrafo 1 della proposta, riguardante la tracciabilità, dispone che «Gli Stati membri provvedono affinché sia garantita la tracciabilità dal donatore al ricevente e viceversa di tutti gli organi reperiti e assegnati sul loro territorio, in modo da salvaguardare la salute dei donatori e dei riceventi.» Il paragrafo 3 dello stesso articolo prevede che «Gli Stati membri provvedono affinché: a) l'autorità competente o gli altri organismi che intervengono nel processo che va dalla donazione al trapianto o all'eliminazione conservino i dati necessari per garantire la tracciabilità in tutte le fasi di tale processo, in conformità ai programmi nazionali di qualità; b) i dati richiesti ai fini della completa tracciabilità sono conservati almeno per i 30 anni successivi alla donazione. I dati possono essere conservati in forma elettronica.»

21. Benché il processo della tracciabilità sia soggetto a misure di applicazione (cfr. articolo 25 della proposta), un sistema di identificazione indiretta dei donatori e dei riceventi sembra la soluzione più probabile, in quanto segue (o è per lo meno interoperabile con) la direttiva 2004/23/CE ⁽¹⁰⁾ sui tessuti e le cellule e con il codice d'identificazione europeo ivi previsto ⁽¹¹⁾. In un caso del genere il trattamento dei dati relativi ai donatori e ai riceventi nel contesto della proposta riguarderebbe materiali biologici collegati anonimizzati o, nella terminologia della protezione dei dati, dati pseudonimizzati con sistema tracciabile (si veda il precedente punto 15) ai quali si applica la direttiva 95/46/CE.

22. Si rileva tuttavia che, nonostante gli obblighi chiari in materia di tracciabilità e identificabilità, in alcune parti della proposta ricorre il termine «anonimato» o «dati anonimi» riferito ai dati del donatore e del ricevente. Come risulta dai punti precedenti, questa situazione è contraddittoria e dà luogo a grande confusione. ⁽¹²⁾

23. In particolare, l'articolo 10, paragrafo 2 della proposta, che impone l'obbligo di un sistema di identificazione dei donatori, recita: «Gli Stati membri provvedono affinché sia messo in atto un sistema di identificazione dei donatori che permetta di identificare ciascuna donazione e ciascun organo ad essa associato. Il sistema prescelto è concepito in modo da non raccogliere, trattare o utilizzare dati personali o raccoglierne, trattarne e utilizzarne il meno possibile.

Occorre in particolare ricorrere alla possibilità di pseudonimi o all'anonimato delle persone» ⁽¹³⁾. Il GEPD ritiene che i termini sottolineati in questo particolare paragrafo siano in conflitto con il concetto di tracciabilità in quanto non è possibile disporre di dati tracciabili e identificabili se i donatori e i riceventi sono resi anonimi. Va inoltre rilevato che questo paragrafo si riferisce all'identificazione del donatore mentre quella del ricevente (anch'esso parte del processo) non è affatto menzionata.

24. Questa contraddizione è anche più vistosa nell'articolo 17 sull'anonimato dei donatori e dei riceventi che recita: «Gli Stati membri adottano le misure necessarie affinché tutti i dati personali dei donatori e dei riceventi trattati nell'ambito della presente direttiva siano resi anonimi, in modo da impedire l'identificazione dei donatori o dei riceventi.» Questo articolo è del tutto in contrasto con gli articoli della proposta riguardanti la tracciabilità.

Riservatezza invece di anonimato

25. Il GEPD parte dall'assunto che il termine anonimato sia effettivamente usato per sottolineare l'esigenza di una maggiore riservatezza ⁽¹⁴⁾ dei dati del donatore e del ricevente, nel senso che l'informazione deve essere accessibile solo a coloro che sono autorizzati ad accedervi. Il GEPD suppone che con il termine «anonimizzazione» si intenda più specificamente una soluzione che implica un sistema di identificazione indiretta dei donatori e dei riceventi ⁽¹⁵⁾ , come si può anche desumere dal modo in cui tale termine è usato nella direttiva 2004/23/CE sui tessuti e le cellule. Come si è detto sopra, «anonimato» non è comunque il termine corretto da utilizzare.

26. Un esempio del modo in cui la protezione dei dati e la tracciabilità possono essere trattati in una procedura di trapianto figura nel protocollo addizionale alla Convenzione del Consiglio d'Europa sui diritti dell'uomo e la biomedicina ⁽¹⁶⁾. In quel contesto, invece del concetto di anonimato si usa quello di riservatezza. In particolare, l'articolo 23, paragrafo 1 del protocollo prevede che tutti i dati personali riguardanti la persona da cui sono stati prelevati organi o tessuti e quelli riguardanti il ricevente sono considerati riservati. Tali dati possono essere raccolti, trattati e comunicati solo nel rispetto delle norme in materia di segreto professionale e protezione dei dati personali. Il paragrafo 2 dello stesso articolo prevede che le disposizioni del paragrafo 1 sono interpretate facendo salve le disposizioni che permettono, con le debite salvaguardie, la raccolta, il trattamento e la comunicazione delle necessarie informazioni sulla persona da cui sono stati prelevati organi o tessuti o sul ricevente/sui riceventi di organi e tessuti nella misura in cui ciò è richiesto per fini medici, compresa la tracciabilità, come previsto dall'articolo 3 del protocollo.

27. Sulla base di quanto precede, il GEPD raccomanda di modificare la formulazione di alcune parti della proposta per evitare ambiguità ed esprimere in modo esplicito che i dati non sono anonimi, ma dovrebbero essere trattati secondo norme rigorose di riservatezza e sicurezza. Più in particolare il GEPD raccomanda le seguenti modifiche:

— nel considerando 16, ultima frase: «In conformità alla Carta e per tenere in debito conto la Convenzione sui diritti dell'uomo e la biomedicina, i programmi di trapianto di organi devono basarsi sui principi della donazione volontaria e non remunerata, dell'altruismo del donatore e della solidarietà tra il donatore e il ricevente, garantendo contemporaneamente che siano poste in essere norme di riservatezza e misure di sicurezza rigorose a protezione dei dati personali del donatore e del ricevente.»;

— all'articolo 10, paragrafo 2: «Gli Stati membri provvedono affinché sia messo in atto un sistema di identificazione dei donatori e dei riceventi che permetta di identificare ciascuna donazione e ciascun organo ad essa associato. Il sistema prescelto è concepito in modo da raccogliere, trattare e utilizzare il meno possibile di dati personali, ricorrendo in particolare a metodi di pseudonimizzazione, e per la sicurezza di tali dati sono poste in essere le necessarie misure tecniche e organizzative.»;

— l'articolo 17 in quanto tale potrebbe essere soppresso e il suo contenuto (in termini di esigenze di riservatezza) incorporato in un nuovo paragrafo dell'articolo 16 relativo a «Protezione dei dati personali, riservatezza e sicurezza del trattamento» (cfr. punto 36).

28. Il GEPD suggerisce inoltre, come si vedrà più avanti nel presente parere, di precisare meglio l'esigenza di una maggiore protezione dei dati del donatore e del ricevente per mezzo di rigorose misure di sicurezza da applicare a livello sia nazionale che transfrontaliero.

III. ENFASI SULLE MISURE NAZIONALI DI PROTEZIONE DEI DATI

Esigenze e requisiti basilari in materia di sicurezza

29. Secondo quanto stabilisce la proposta, il trattamento dei dati personali dei donatori e dei riceventi si svolge principalmente a livello nazionale, ossia nei centri nazionali per il reperimento e i trapianti. È ancora a questo livello che si tiene il registro dei donatori viventi. Benchè il meccanismo di tracciabilità non sia stato ancora definito, è prevedibile che le attività di codificazione si svolgano a loro volta a livello nazionale anche nel caso in cui venga utilizzato un sistema europeo di codifica, dal momento che l'identificazione di donatori e riceventi è possibile soltanto tramite le autorità nazionali competenti.

30. È perciò della massima importanza attuare una politica di sicurezza dell'informazione basata su misure di sicurezza rigorose e solide a livello dei servizi nazionali responsabili, soprattutto al fine di soddisfare i requisiti di riservatezza per donatori e riceventi previsti dalla proposta, nonché salvaguardare l'integrità ⁽¹⁷⁾, l'attendibilità ⁽¹⁸⁾ e la disponibilità ⁽¹⁹⁾ di tali dati. A tale riguardo, la politica di sicurezza dell'informazione dovrebbe contemplare elementi di sicurezza fisica e logica incentrandosi, tra l'altro, sul controllo dell’inserimento dei dati, l'accesso, la registrazione, il trasferimento e la comunicazione nonché sul controllo dei supporti di memorizzazione e dello stoccaggio.

31. Per quanto concerne la riservatezza, i dati medici dei riceventi ⁽²⁰⁾ e i dati utilizzati per la caratterizzazione dei donatori e il monitoraggio [anche in relazione ai «donatori marginali» ⁽²¹⁾] possono rivelare su di loro informazioni personali sensibili che ne possono anche compromettere

la vita sociale, professionale e/o personale. La protezione dei dati di identificazione dei donatori è ancor più importante nei casi in cui i donatori viventi o le persone che abbiano acconsentito a donare uno o più organi dopo la morte potrebbero diventare vittima del traffico di organi e tessuti umani qualora tali informazioni fossero divulgate.

Anche l'integrità dei dati riguardanti gli organi è determinante perché anche un solo errore nelle informazioni trasferite potrebbe mettere in pericolo di vita il ricevente. Ciò vale anche per l'accuratezza dei dati relativi alla salute dei donatori prima del trapianto, essendo essi utilizzati per valutare l'idoneità al trapianto di un organo. Quanto all'attendibilità, essendo così numerose le organizzazioni coinvolte nel sistema di donazione e trapianti nel suo insieme, dovrebbe esistere un modo per cui tutte le entità interessate siano consapevoli delle proprie azioni e possano assumersene la responsabilità, ad esempio nel caso in cui i dati d’identificazione del donatore fossero comunicati a persone non autorizzate o i dati medici relativi agli organi non fossero accurati. Infine, siccome l'intero sistema è basato sul trasferimento dei dati relativi agli organi e sul meccanismo di tracciabilità dal donatore al ricevente, tali dati dovrebbero essere immediatamente a disposizione delle persone autorizzate quando richiesti (altrimenti la non disponibilità comprometterebbe il corretto funzionamento del sistema).

32. A questo proposito, bisognerebbe istituire adeguati meccanismi di autorizzazione, conformi a specifiche politiche di controllo dell'accesso, sia per le banche dati nazionali che per gli scambi transfrontalieri di organi. Tali politiche dovrebbero essere definite in primo luogo a livello organizzativo, specie con riguardo alle procedure di identificazione dei donatori e dei riceventi (ad es. chi ha accesso a quali informazioni e in quali circostanze). In questo modo saranno stabiliti i diritti di accesso, unitamente a scenari di accesso in cui possono essere esercitati tali diritti (ad es. le circostanze e la procedura per la comunicazione dei dati all'autorità competente da parte dell'organismo di reperimento, gli — eventuali — casi in cui l'identità del donatore deve essere comunicata al ricevente e le relative procedure, ecc.).

Ai fini dell'efficacia delle politiche le persone che intervengono nel trattamento dovrebbero essere vincolate da regole specifiche di riservatezza.

33. Una volta definite, tali politiche potranno essere attuate a livello tecnico, ossia in termini di controllo dell'accesso degli utenti a sistemi e applicazioni secondo i diritti di accesso prestabiliti. A tal fine possono essere impiegate tecnologie collaudate quali la cifratura e i certificati digitali ⁽²²⁾ (sulla base, ad es., di schemi di infrastrutture di certificazione a chiave pubblica ⁽²³⁾. Si possono applicare anche meccanismi di autenticazione in base al ruolo per restringere i diritti di accesso degli utenti in base al loro ruolo (ad es. solo i dottori dovrebbero essere in grado di modificare i dati medici di riceventi e donatori nelle banche dati nazionali).

34. Il controllo dell'accesso dovrebbe essere integrato da possibilità di registrazione delle azioni degli utenti (ad es. l'accesso in lettura e in scrittura ai dati medici), specie in caso di utilizzo di sistemi elettronici. Si dovrebbero inoltre predisporre misure di sicurezza fisica e logica per garantire la piena operatività delle banche dati dei donatori e degli organi quali elemento centrale del sistema di donazione e trapianti proposto. La disponibilità dei dati dovrebbe essere considerata un principio fondamentale del sistema. A tale riguardo la politica di sicurezza dell'informazione dovrebbe basarsi su una corretta analisi e valutazione del rischio e includere anche elementi quali gli incidenti e la gestione della continuità operativa. Tutti questi elementi dovrebbero essere mantenuti e migliorati con periodiche attività di controllo e revisione. Anche le verifiche indipendenti possono

rendere più efficace e migliore il sistema, con particolare attenzione alle pratiche di pseudonimizzazione, tracciabilità e trasferimento dati.

35. Il GEPD vorrebbe una maggiore enfasi sulla necessità di tali misure nell'ambito della direttiva proposta.

Rafforzamento delle disposizioni della proposta in materia di sicurezza

36. L'articolo 16 della proposta relativo a «Protezione dei dati personali, riservatezza e sicurezza del trattamento» stabilisce che «Gli Stati membri provvedono affinché il diritto fondamentale alla protezione dei dati personali sia tutelato pienamente ed efficacemente in tutte le attività di trapianto di organi, in conformità alle disposizioni comunitarie relative alla protezione dei dati personali, come la direttiva 95/46/CE, in particolare l'articolo 8, paragrafo 3, e gli articoli 16, 17 e 28, paragrafo 2.» Il GEPD raccomanda di aggiungere a questo articolo un secondo paragrafo in cui siano descritti i principi fondamentali per garantire la sicurezza a livello degli Stati membri, compreso almeno un riferimento ai seguenti punti:

— Si dovrebbe predisporre una politica di sicurezza dell'informazione che dia attuazione a misure tecniche e organizzative per garantire la riservatezza, l'integrità, l'attendibilità e la disponibilità dei dati personali di donatori e riceventi.

— Si dovrebbe definire un'apposita politica di riservatezza e controllo dell'accesso da applicare in tutti gli Stati membri, che precisi i diritti di accesso, i ruoli e le responsabilità di tutte le parti coinvolte (donatore, organismo di reperimento, centro trapianti, ricevente, autorità nazionale competente, autorità transfrontaliera competente) in tutto il processo di tracciabilità. Occorre predisporre specifiche garanzie di riservatezza dei dati per le persone che intervengono nel trattamento, specie se non vincolate dall'obbligo del segreto medico (ad es. codici di condotta in materia di riservatezza e misure incentrate sulla sensibilizzazione).

— Bisognerebbe precisare la necessità di affrontare la questione dei meccanismi di sicurezza (quali cifratura e certificati digitali) nell'ambito delle banche dati nazionali. Con particolare riguardo ai registri dei donatori, bisognerebbe applicare il principio della «tutela della vita privata fin dalla fase di progettazione» («privacy by design») affinché tutti i necessari requisiti di sicurezza siano inclusi già nelle fasi iniziali di attuazione di tali applicazioni.

— Bisognerebbe inoltre istituire procedure per tutelare il diritto di donatori e riceventi alla protezione dei loro dati, specie i diritti di accesso e rettifica, nonché il diritto all'informazione. Sarebbe inoltre opportuno prestare particolare attenzione ai casi dei donatori che intendono revocare il proprio consenso o non sono accettati (a seguito della caratterizzazione di organi e donatori) come donatori. Per questi casi sarebbe opportuno stabilire un'apposita procedura e un termine specifico per la conservazione dei loro dati.

— La politica di sicurezza dell'informazione dovrebbe altresì prevedere misure intese a garantire l'integrità e l'ininterrotta disponibilità dei dati. La funzione della valutazione del rischio ai fini della sicurezza dell'informazione dovrebbe essere completata prevedendo elementi relativi alla gestione degli incidenti e della continuità operativa.

— Le politiche di sicurezza dell'informazione dovrebbero essere sottoposte a regolare controllo e revisione, comprese verifiche indipendenti.

37. Il GEPD raccomanda che le suddette indicazioni siano inserite nell'articolo 16 e poi ulteriormente specificate tra le misure di applicazione dell'articolo 25, in particolare al paragrafo 1, lettere a), b) e c).

IV. GARANZIE RELATIVE AGLI SCAMBI TRANSFRONTALIERI DI ORGANI

Armonizzazione della sicurezza in tutti gli Stati membri

38. Lo scambio transfrontaliero di organi comporterà praticamente sempre il trattamento di dati personali dato che, anche se codificati, gli organi restano (indirettamente) identificabili tramite le autorità nazionali competenti.

39. Il GEPD si è già espresso riguardo alle esigenze di sicurezza per la protezione dei dati personali nell'ambito dell'assistenza sanitaria transfrontaliera in Europa, sottolineando — tra l'altro — la necessità di armonizzare le politiche di sicurezza dell'informazione tra gli Stati membri al fine di raggiungere un livello di protezione dei dati appropriato ⁽²⁴⁾. Egli raccomanda che tale indicazione sia menzionata anche nell'attuale proposta e più in particolare nel considerando 17, in cui è fatto riferimento alla disposizione della direttiva 95/46/CE sulla sicurezza del trattamento.

Istituzione del sistema di tracciabilità

40. In questo caso particolare un parametro rilevante per la sicurezza transfrontaliera dei dati è il meccanismo di tracciabilità che dovrà essere istituito. A tal fine, oltre alle misure di sicurezza applicate a livello nazionale, si dovrebbe prestare particolare attenzione alle possibilità di pseudonimizzazione di cui avvalersi per identificare i donatori e i riceventi (ad es. tipo di codificazione, possibilità di doppia codificazione, ecc.) e al mantenimento dell'interoperabilità con il sistema di identificazione dei tessuti e delle cellule.

41. Il GEPD raccomanda di introdurre al riguardo, nell'articolo 25 della proposta di direttiva relativo alle misure di applicazione, un riferimento specifico recante modifica del paragrafo 1, lettera b) nel modo seguente: «procedure che assicurano la completa tracciabilità degli organi, comprese prescrizioni di etichettatura, salvaguardando al contempo la riservatezza dei dati di donatori e riceventi in tutto il processo di tracciabilità e mantenendo l'interoperabilità con il sistema di identificazione dei tessuti e delle cellule.»

Scambi di organi con paesi terzi

42. Le esigenze di sicurezza sono ancora più importanti quando i dati vengono scambiati con paesi terzi che non riescono sempre a garantire un livello di protezione dei dati adeguato. Agli articoli 25 e 26 la direttiva 95/46/CE stabilisce un regime specifico per il trasferimento di dati personali verso paesi terzi. Il GEPD è consapevole del fatto che gli obblighi in materia di protezione dei dati non dovrebbero ostacolare il rapido ed efficace trasferimento di organi, che è una necessità per il sistema di donazione degli organi ma spesso anche una questione di vita o di morte. Bisognerebbe pertanto esplorare le possibilità di autorizzare i trasferimenti anche quando nel paese terzo in questione manchi in generale un livello di protezione dei dati adeguato. Si dovrebbe tener conto del fatto che, a causa del carattere indiretto dell'identificazione delle persone fisiche a livello transfrontaliero, unitamente al fatto che la vigilanza globale sul sistema spetta alle autorità nazionali competenti, i rischi inerenti sono molto probabilmente inferiori a quelli che si presentano a livello nazionale ⁽²⁵⁾.

43. A tal fine, il GEPD ritiene che l'autorità competente, responsabile dell'autorizzazione di tali trasferimenti, si debba consultare con l'autorità nazionale preposta alla protezione dei dati per mettere a punto, alla luce delle possibili deroghe di cui all'articolo 26 della direttiva 95/46/CE, la struttura necessaria per il trasferimento sicuro, ma anche rapido ed efficace, dei dati relativi agli organi verso e da paesi terzi. Il GEPD raccomanda di introdurre un riferimento al riguardo nell'articolo 21 sugli scambi di organi con i paesi terzi oppure nel corrispondente considerando 15.

Misure di applicazione

44. Come osservazione finale, il GEPD esorta il legislatore a provvedere affinché, per quanto riguarda l'articolo 25, in tutti i casi in cui vengano prese in considerazione misure di applicazione che pregiudicano la protezione e la sicurezza dei dati, siano consultate tutte le parti interessate, compreso il GEPD e il Gruppo dell'articolo 29.

V. CONCLUSIONI

45. Il GEPD ha preso atto dell'iniziativa di garantire standard elevati di qualità e sicurezza degli organi umani destinati ai trapianti, che può essere considerata parte dell'approccio globale della CE verso la definizione di standard comuni per promuovere la disponibilità transfrontaliera di servizi di

assistenza sanitaria in tutta Europa.

46. La proposta ha già preso in considerazione le esigenze di protezione dei dati sia per i donatori di organi che per i riceventi, con particolare riguardo alla prescrizione intesa a mantenere la riservatezza circa l'identità. Il GEPD si rammarica tuttavia che alcune disposizioni siano vaghe, ambigue o generiche e raccomanda perciò una serie di modifiche per rendere più incisivo il contenuto della proposta in materia di protezione dei dati.

47. In primo luogo, il GEPD rileva la contraddizione esistente tra il concetto di tracciabilità e quello di anonimato presenti nella proposta. Raccomanda, a questo proposito, specifiche modifiche di carattere linguistico in alcune parti della proposta (considerando 16, articolo 10, paragrafo 2 e articolo 17) allo scopo di evitare le ambiguità ed esprimere in modo esplicito che i dati non sono anonimi, ma dovrebbero essere trattati secondo norme rigorose di riservatezza e sicurezza.

48. Raccomanda inoltre di porre più enfasi sulla necessità di adottare rigorose misure di sicurezza a livello nazionale. Si potrebbe a tal fine aggiungere un secondo paragrafo all'articolo 16, che illustri i principi basilari intesi a garantire la sicurezza a livello di Stati membri e li precisi ulteriormente nell'ambito delle misure di applicazione previste all'articolo 25, paragrafo 1. Tra i principi di sicurezza proposti figurano:

a) l'adozione di una politica di sicurezza dell'informazione per garantire la riservatezza, l'integrità, l'attendibilità e la disponibilità dei dati personali dei donatori e dei riceventi;

b) la definizione di un'apposita politica di riservatezza e controllo dell'accesso unitamente a garanzie di riservatezza dei dati per le persone che intervengono nel trattamento;

c) l'esame dei meccanismi di sicurezza delle banche dati nazionali, che siano basati sul principio della «tutela della vita privata fin dalla fase di progettazione»;

d) l'istituzione di procedure per tutelare il diritto di donatori e riceventi alla protezione dei dati, specie i diritti di accesso e rettifica nonché il diritto all'informazione, prestando particolare attenzione ai casi dei donatori che intendono revocare il proprio consenso o non sono accettati come donatori;

e) l'adozione di misure per garantire l'integrità e l'ininterrotta disponibilità dei dati;

f) la garanzia di controllo sistematico e verifiche indipendenti delle politiche di sicurezza in atto.

49. In merito allo scambio transfrontaliero di organi il GEPD raccomanda che nel considerando 17 della proposta si menzioni la necessità di armonizzare le politiche di sicurezza dell'informazione tra gli Stati membri. Si dovrebbe inoltre prestare particolare attenzione alle possibilità di pseudonimizzazione di cui avvalersi per identificare donatori e riceventi e al mantenimento dell'interoperabilità con il sistema di identificazione dei tessuti e delle cellule. Il GEPD raccomanda di introdurre un riferimento specifico al riguardo nell'articolo 25, paragrafo 1, lettera b) della proposta.

50. Quanto agli scambi di organi con paesi terzi, il GEPD raccomanda di precisare all'articolo 21 o nel corrispondente considerando 15 della proposta che l'autorità competente si consulti con l'autorità nazionale preposta alla protezione dei dati onde mettere a punto la struttura necessaria per un trasferimento sicuro, ma anche rapido ed efficace, dei dati relativi agli organi verso e da paesi terzi.

51. Infine, il GEPD raccomanda che in tutti i casi in cui vengano prese in considerazione misure di applicazione che pregiudicano la protezione e la sicurezza dei dati siano consultate tutte le parti interessate, compreso il GEPD stesso e il Gruppo dell'articolo 29.

Fatto a Bruxelles, il 5 marzo 2009.

Peter HUSTINX

Garante europeo della protezione dei dati

NOTE

(1) COM(2008) 818 definitivo.

(2) Tale quadro legislativo comprende le direttive 2002/98/CE, 2004/33/CE, 2005/61/CE e 2005/62/CE per il sangue e gli emoprodotti e le direttive 2004/23/CE, 2006/17/CE e 2006/86/CE per i tessuti e le cellule umani.

(3 ) Si veda anche la proposta di direttiva del Parlamento europeo e del Consiglio concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera, COM(2008) 414 definitivo.

(4) Parere del GEPD del 2 dicembre 2008 sulla proposta di direttiva concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera.

(5) Gruppo dell'articolo 29 (per la tutela delle persone con riguardo al trattamento dei dati personali), parere 4/2007 sul concetto di dati personali, pag. 9.

(6) Raccomandazione Rec(2006) 4 del Comitato dei ministri del Consiglio d'Europa agli Stati membri relativa alla ricerca sul materiale biologico di origine umana.

(7) Articolo 3, punto i) della raccomandazione Rec(2006) 4.

(8) Gruppo dell'articolo 29 (per la tutela delle persone con riguardo al trattamento dei dati personali), parere 4/2007, pag. 18.

(9) Articolo 3, punto ii) della raccomandazione Rec(2006) 4.

(10) Poiché i donatori di organi sono spesso donatori di tessuti, è necessario rintracciare e segnalare qualsiasi reazione avversa imprevista anche nel sistema di vigilanza sui tessuti ed è quindi richiesta l'interoperabilità con il metodo di identificazione indiretta usato in tale sistema. Cfr. direttiva 2004/23/CE del Parlamento europeo e del Consiglio del 31 marzo 2004 sulla definizione di norme di qualità e di sicurezza per la donazione, l'approvvigionamento, il controllo, la lavorazione, la conservazione, lo stoccaggio e la distribuzione di tessuti e cellule umani, GU L 102/48 del 7.4.2004 e direttiva 2006/86/CE della Commissione del 24 ottobre 2006 che attua la direttiva 2004/23/CE del Parlamento europeo e del Consiglio per quanto riguarda le prescrizioni in tema di rintracciabilità, la notifica di reazioni ed eventi avversi gravi e determinate prescrizioni tecniche per la codifica, la lavorazione, la conservazione, lo stoccaggio e la distribuzione di tessuti e cellule umani, GU L294/32 del 25.10.2006.

(11) Questo codice contiene un numero di identificazione unico per ciascuna donazione che, assieme all'istituto dei tessuti e all'identificazione del prodotto, consente di risalire ai donatori e ai riceventi. In particolare, ai sensi dell'articolo 10 della direttiva 2006/86/CE, «un codice unico europeo d’identificazione viene attribuito a tutti i materiali donati all’istituto dei tessuti, al fine di garantire un’adeguata identificazione del donatore e la rintracciabilità di tutti i materiali donati, nonché di fornire informazioni sulle caratteristiche e proprietà fondamentali dei tessuti e cellule.» Come indicato nell'allegato VII di tale direttiva, il codice consta di due parti: a) identificazione della donazione, con un numero unico d’identificazione della donazione e dell'istituto dei tessuti e b) identificazione del prodotto, che comprende il codice del prodotto, il numero specifico della sottopartita e la data di scadenza.

(12) La stessa osservazione è anche stata fatta dal GEPD nei suoi commenti del 19 settembre 2006 relativi alla consultazione pubblica sulle future azioni dell'UE nel settore della donazione e del trapianto di organi.

(13) Le sottolineature non figurano nell'originale.

(14) Assicurare che l'informazione sia accessibile solo a coloro che sono autorizzati ad accedervi (definizione ISO, http://www.wikipedia.org).

(15) Il termine «anonimizzazione», a seconda del contesto in cui è applicato, è talvolta riferito a dati indirettamente identificabili, come avviene per le statistiche. Ciò non è tuttavia corretto dal punto di

vista della protezione dei dati, come il GEPD ha spiegato nei suoi pareri sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo alle statistiche comunitarie della sanità pubblica e della salute e sicurezza sul luogo di lavoro [COM(2007) 46 definitivo] e sulla proposta di regolamento del Parlamento europeo e del Consiglio relativo alle statistiche europee [COM(2007) 625 definitivo].

(16) Consiglio d'Europa, Protocollo addizionale alla Convenzione sui diritti dell'uomo e la biomedicina relativo al trapianto di organi e di tessuti di origine umana, Strasburgo, 24 gennaio 2002, cfr. http:// conventions.coe.int/Treaty/ITA/v3DefaultITA.asp per il documento di ratifica. Si veda anche Consiglio d'Europa, Convenzione per la protezione dei diritti dell'uomo e della dignità dell'essere umano riguardo all'applicazione della biologia e della medicina: Convenzione sui diritti dell'uomo e sulla biomedicina, Oviedo, 4 aprile 1997,

cfr.http://conventions.coe.int/Treaty/ITA/v3DefaultITA.asp per il documento di ratifica.

(17) Il fatto di garantire che i dati siano «integri» o completi: condizione in cui i dati restano identici nelle varie operazioni (quali trasferimento, stoccaggio o estrazione), conservazione dei dati per il fine cui sono destinati o, relativamente alle operazioni specificate, aspettativa a priori della qualità dei dati. Più semplicemente, l'integrità dei dati è la garanzia che i dati siano coerenti e corretti (fonte: http:// www.wikipedia.org); il fatto di garantire che le informazioni possano essere accessibili o modificabili solo da parte delle persone autorizzate (fonte: http://searchdatacenter.techtarget.com).

(18) Responsabilità di rispondere delle proprie azioni; non disconoscibilità: il fatto di garantire che i dati siano stati inviati e ricevuti dalle parti che sostengono di averli inviati e ricevuti; garanzia che una parte di una controversia non possa disconoscere o contestare la validità di una dichiarazione (fonte: http://www.wikipedia.org).

(19) Il grado di accessibilità immediata dei dati (fonte: http://www.pcmag. com).

(20) Occorre rilevare che il semplice fatto che un organo sia trapiantato in un ricevente costituisce un dato personale sensibile riguardante la salute della persona in questione.

(21) Donatori potenziali che non sono candidati donatori ideali, ma potrebbero essere presi in considerazione in particolari circostanze, ad es. per riceventi anziani. Cfr.: documento di lavoro dei servizi della Commissione che accompagna la proposta di direttiva del Parlamento europeo e del Consiglio relativa alle norme di qualità e sicurezza degli organi umani destinati ai trapianti e la comunicazione della Commissione «Piano di azione per la donazione e il trapianto di organi (2009-2015): rafforzare la cooperazione tra gli Stati membri», valutazione di impatto, 8.12.2008.

(22) Equivalente elettronico di una carta d'identità che autentica l'autore di una firma digitale (fonte: http://www.ffiec.gov/ffiecinfobase/booklets/e_banking/ebanking_04_appx_b_glossary.html).

(23) Un'infrastruttura di certificazione a chiave pubblica (PKI) è un insieme di hardware, software, persone, politiche e procedure necessario per creare, gestire, conservare, distribuire e revocare certificati digitali (fonte: http://www.wikipedia.org).

(24) Parere del GEPD del 2 dicembre 2008 sulla proposta di direttiva concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera.

(25) Cfr. parere n. 4/2007 del Gruppo dell'articolo 29, pag. 18, sui dati pseudonimizzati e codificati.