Registro dei provvedimenti n. 178 del 26 marzo
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale; Vista la richiesta di parere del Ministero della salute; Visto l'articolo 11, comma 4, del decreto legislativo 4 marzo 2014, n. 38; Visti gli articoli 15, comma 25-bis, del decreto legge 6 luglio 2012, n. 95, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 135, e 35 del decreto legislativo 23 giugno 2011, n. 118; Visto l'articolo 17, comma 3, della legge 23 agosto 1988, n. 400; Visti gli articoli 20, comma 2, 21, comma 2, e 154, comma 1, lett. g), e 4, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196, di seguito "Codice"); Vista la documentazione in atti; Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore la prof.ssa Licia Califano; PREMESSO 1. Il Ministero della salute–Direzione generale della programmazione sanitaria ha richiesto il parere del Garante in ordine ad uno schema di decreto ministeriale, avente natura regolamentare, recante modifiche ed integrazioni al decreto del Ministro della sanità 27 ottobre 2000, n. 380, concernente l'aggiornamento della disciplina del flusso informativo sui dimessi dagli istituti di ricovero pubblici e privati. Secondo l'attuale formulazione dell'articolo 1, comma 1, dello schema, il decreto è volto ad "adeguare il contenuto informativo delle schede di dimissione ospedaliera alle esigenze di monitoraggio, valutazione e pianificazione della programmazione sanitaria, anche in considerazione degli orientamenti definiti dalla normativa dell'Unione Europea". Il riferimento è alla direttiva 2011/24/UE, concernente l'applicazione dei diritti dei pazienti relativi all'assistenza sanitaria transfrontaliera, nonché alla direttiva 2012/52/UE, comportante misure destinate ad agevolare il riconoscimento delle ricette mediche emesse in un altro stato membro, entrambe attuate dal decreto legislativo 4 marzo 2014, n. 38. In particolare, l'articolo 11, comma 4, di tale decreto stabilisce che "al fine di dare piena attuazione al principio di mutua assistenza e cooperazione tra Stati in materia di assistenza sanitaria transfrontaliera [e alle pertinenti disposizioni del decreto medesimo, cioè gli articoli 4, 5 e 9, comma 6, lettera c)] il Ministero della salute, in osservanza dell'articolo 15, comma 25-bis, del decreto-legge 6 luglio 2012, n. 95, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 135, attraverso la revisione del flusso informativo relativo alle schede di dimissione ospedaliera (SDO), promuove un sistema di monitoraggio delle attività e delle reti assistenziali che permetta la rilevazione degli standard di qualità e di sicurezza della rete ospedaliera e dei volumi e degli esiti delle cure erogate dai prestatori di assistenza sanitaria, persone giuridiche e/o persone fisiche, affinché questi siano conformi agli standard e agli orientamenti di qualità e di sicurezza definiti dalla legislazione vigente e dalla normativa dell'Unione europea.". RILEVATO 2. Il testo si compone di dieci articoli, in gran parte modificativi del decreto 27 ottobre 2000, n. 380 (di seguito "d.m. 380"), e di un disciplinare tecnico (allegato A) -recante le modalità di trasmissione dei dati relativi al sistema informativo sui dimessi dagli istituti di cura pubblici e privati al Nuovo Sistema Informativo Sanitario (NSIS) e il dettaglio dei contenuti delle schede di dimissione ospedaliera (SDO) da trasmettere- che fa parte integrante del decreto e intende sostituire integralmente il disciplinare tecnico allegato al d.m. 380. Sullo schema di decreto poi approvato nel 2000 il Garante ha reso parere in data 4 ottobre 1999, vale a dire nel periodo di vigenza della legge n. 675 del 1996 e del decreto legislativo n. 135 del 1999. Le osservazioni rese a suo tempo, pertanto, non potevano tenere in considerazione le ulteriori e più elevate garanzie introdotte in materia di trattamenti di dati sensibili e giudiziari dal Codice. In considerazione di ciò, il Garante richiama l'attenzione dell'Amministrazione interessata sull'opportunità di una rivisitazione generale del d.m 380, anche in relazione all'esigenza di un aggiornamento dei riferimenti alla normativa in materia di protezione dei dati personali ivi contenuti e alle relative garanzie (cfr., ad esempio, artt. 2, comma 1, e 3, comma 6, d.m. 380). CONSIDERATO 3. L'importanza della materia e la delicatezza dei trattamenti. Il Garante riconnette particolare importanza al provvedimento in esame per le implicazioni che ne possono derivare sotto il profilo della tutela della riservatezza e della protezione dei dati personali, in quanto riguarda il trattamento di dati sensibili e, in particolare, di quelli idonei a rivelare lo stato di salute degli assistiti, come pure -benché in misura minore- di dati giudiziari. In ragione di ciò, lo schema di decreto è stato elaborato dal Ministero della salute all'esito di riunioni e interlocuzioni avute con l'Ufficio del Garante, modificando e integrando l'originaria formulazione di alcuni articoli in coerenza con i rilievi e le osservazioni formulati durante il tavolo tecnico. Nei predetti incontri l'ufficio ha sottolineato la particolare delicatezza della materia disciplinata dallo schema, anche perché talune informazioni contenute nelle SDO sono oggetto di un flusso informativo fra le Regioni, le Province autonome e il Ministero della salute destinato ad essere interconnesso con numerosi altri sistemi informativi nell'ambito del Nuovo sistema informativo sanitario (NSIS). Per tali aspetti, peraltro, la materia trova separata disciplina –anche se coordinata con quella qui in esame- in uno schema di regolamento sull'interconnessione dei sistemi informativi sanitari, sul quale il Garante ha espresso il prescritto parere. Ciò premesso, nell'adottare il presente parere ai sensi degli articoli 20, 21 e 22 del Codice, l'Autorità richiama l'attenzione di tutte le amministrazioni interessate sull'esigenza che le disposizioni del decreto siano interpretate e applicate nel pieno rispetto dei principi e della normativa posti a tutela della riservatezza e del diritto alla protezione dei dati personali e segnatamente del Codice e, in particolare, dei principi di necessità e finalità del trattamento, nonché di pertinenza, non eccedenza e indispensabilità dei dati trattati (artt. 3, 11, 22 e 26 del Codice). L'articolato in esame recepisce alcune delle indicazioni rese dall'Autorità. Nondimeno, in ragione della complessità della materia e dello stretto collegamento del decreto in esame con le disposizioni contenute nello schema di regolamento concernente l'interconnessione dei sistemi informativi appena citato, resta l'esigenza di apportare al testo alcuni perfezionamenti, nei termini di seguito descritti. 4. I riferimenti normativi e il potere regolamentare. Nel preambolo dello schema di decreto sono individuati i riferimenti normativi in materia e, in particolare, quelli che giustificano l'adozione del regolamento. Come già detto sopra, lo schema di decreto concerne il trattamento di dati sensibili e, in particolare, di quelli idonei a rivelare lo stato di salute dei dimessi dagli istituti di ricovero pubblici e privati, come pure -benché in misura minore- di dati giudiziari (cfr. art. 2, comma 1, lett. a), cpv. n. 17 e disc. tecn. "Tracciato B", campo: "provenienza del paziente – descrizione: 09 carcere"), aspetto quest'ultimo innovativo rispetto a quanto previsto dal regolamento sui trattamenti di dati sensibili e giudiziari del Ministero della salute (d.m. 12 dicembre 2007, n. 277). In proposito, preme evidenziare come l'opportuna indicazione nel preambolo degli articoli 20 e 22 del Codice vada integrata con la menzione dell'articolo 21, atteso che il trattamento disciplinato dallo schema concerne, appunto, anche dati giudiziari, nonchè dell'articolo 26 in quanto il medesimo trattamento riguarda anche gli istituti di ricovero privati. Tra i riferimenti normativi, indicati nel preambolo, vanno menzionati anche l'articolo 15, comma 25-bis, del decreto legge 6 luglio 2012, n. 95, convertito, con modificazioni, dalla legge 7 agosto 2012, n. 135 (alla cui osservanza l'articolo 11, comma 4, del d. lgs. n. 38 del 2014 subordina l'adeguamento del contenuto informativo delle SDO oggetto dello schema di decreto in esame) e l'articolo 35 del decreto legislativo 23 giugno 2011, n. 118 (cui rinvia, a sua volta, il predetto art. 15, comma 25-bis). L'articolo 15, comma 25-bis, prevede che ai fini della attivazione dei programmi nazionali di valutazione sull'applicazione delle norme per l'equilibrio del settore sanitario e di governo della spesa farmaceutica, il Ministero della salute provvede alla modifica ed integrazione di tutti i sistemi informativi del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato, ed alla interconnessione a livello nazionale di tutti i flussi informativi su base individuale. Il complesso delle informazioni e dei dati individuali così ottenuti è reso disponibile per le attività di valutazione esclusivamente in forma "anonimizzata" ai sensi dell'articolo 35 del decreto legislativo n. 118 del 2011. Il richiamo nel preambolo delle predette disposizioni si rende necessario, dal momento che lo schema non si limita ad integrare il contenuto delle SDO, ma concerne anche il relativo flusso informativo (cfr. art. 4) e (seppure con norma di mero rinvio) l'interconnessione del sistema informativo delle SDO nell'ambito dell'NSIS, come si vedrà meglio nel prosieguo (cfr. art. 6). Peraltro, l'articolo 35 citato riveste particolare importanza ai fini della predisposizione delle cautele a tutela della riservatezza degli assistiti, in quanto stabilisce che per i sistemi informativi e statistici della sanità, tra cui figura il sistema informativo delle SDO, vengano adottate procedure di "anonimizzazione" dei dati individuali, già oggi acquisiti in modo univoco sulla base del codice fiscale dell'assistito, con la trasformazione del codice fiscale in codice "anonimo", in modo da tutelare l'identità dell'assistito nel procedimento di elaborazione dei dati; solo una volta anonimizzati i dati possono essere utilizzati per le previste finalità. 5. L'oggetto del regolamento e le finalità del trattamento dei dati. L'articolo 1 dello schema è volto a individuare le finalità del decreto (rectius: l'oggetto) e quelle del trattamento dei dati, che sarebbero rappresentate: a) per il decreto, dall'adeguamento del "contenuto informativo della SDO alle esigenze di monitoraggio, valutazione e pianificazione della programmazione sanitaria, anche in considerazione degli orientamenti definiti dalla normativa dell'Unione europea" (comma 1); b) per il trattamento dei dati, dall'esigenza di supportare i "processi di valutazione, programmazione, gestione e controllo della attività sanitaria, nonché consentire una rilevazione sistematica a scopi epidemiologici" (comma 2). 5.1. L'articolo 1, comma 1, dello schema deve essere integrato in quanto non rispecchia l'effettivo oggetto del decreto. Il provvedimento, infatti, come abbiamo detto, non si limita ad integrare le informazioni relative alla SDO (art. 2), ma disciplina anche il relativo flusso informativo (art. 4) ed altri aspetti. 5.2. La norma sulle finalità del trattamento è stata introdotta sulla base delle indicazioni dell'Ufficio del Garante, che ha richiesto di individuare puntualmente le specifiche finalità del trattamento dei dati effettuato in applicazione del decreto. Nondimeno, la previsione richiede alcuni perfezionamenti, in quanto le finalità appaiono troppo generiche (oltre che poco chiare: v. in particolare le locuzioni "pianificazione della programmazione" e "in considerazione degli orientamenti definiti dalla normativa dell'Unione europea"). Premesso che appare opportuno configurare la disposizione normativa quale novella del d.m. 380 e non come norma del presente regolamento, l'Autorità ritiene necessario che essa sia rimodulata in stretta aderenza al quadro normativo applicabile. In tal senso, si suggerisce di perfezionarla riconducendola alle finalità individuate all'articolo 11, comma 4, del decreto legislativo n. 38 del 2014 ("monitoraggio delle attività e delle reti assistenziali che permetta la rilevazione degli standard di qualità e di sicurezza della rete ospedaliera e dei volumi e degli esiti delle cure erogate dai prestatori di assistenza sanitaria, persone giuridiche o persone fisiche, affinché questi siano conformi agli standard e agli orientamenti di qualità e di sicurezza definiti dalla legislazione vigente e dalla normativa dell'Unione europea"), tenendo conto anche di quelle indicate nel preambolo e negli articoli 4 e 5 del decreto 28 dicembre 1991, che ha istituito la scheda di dimissione ospedaliera (rispettivamente, necessità di disporre del flusso "quale supporto ai processi di valutazione, programmazione, gestione e controllo dell'attività ospedaliera, nonché quale rilevazione sistematica di carattere epidemiologico"; finalità di "rilevazione statistica dei ricoverati negli istituti di cura"; necessità di disciplinare il flusso ai fini dello "sviluppo di un sistema di valutazione dell'attività ospedaliera e (di) disporre di una rilevazione epidemiologica sistematica sulla popolazione dei dimessi dagli ospedali per acuti"). Ciò, anche in coerenza con gli "obiettivi" del sistema informativo SDO individuati al paragrafo 3.4 del disciplinare tecnico ("Servizi di analisi"). In ogni caso, la locuzione "attività sanitaria", di cui al comma 2 dell'articolo 1 dello schema, appare troppo ampia e va sostituita con quella più pertinente di "attività ospedaliera". 5.3. Inoltre, è necessario integrare lo schema (e non solo il preambolo) con l'espressa indicazione delle finalità di rilevante interesse pubblico perseguite con riferimento ai trattamenti di dati sensibili e giudiziari oggetto del decreto. In tal senso rilevano, innanzitutto, la finalità di "programmazione, gestione, controllo e valutazione dell'assistenza sanitaria" (individuata all'articolo 85, comma 1, lett. b), del Codice), nonché le finalità relative ai trattamenti effettuati per scopi statistici dai soggetti pubblici che fanno parte del SISTAN e ai trattamenti effettuati per scopi scientifici (art. 98, comma 1, lett. b) e c) del Codice). 6. Le informazioni contenute nelle SDO: la pertinenza e non eccedenza dei dati. In relazione a quanto previsto all'articolo 1, comma 1, l'articolo 2 dello schema opera l'integrazione e l'aggiornamento delle informazioni contenute nella SDO, attraverso l'introduzione di alcune modifiche all'articolo 1 del d.m. 380. Premesso che la scheda di dimissione ospedaliera si compone di due sezioni (l'una che contiene le "informazioni anagrafiche" e l'altra che reca altre informazioni) lo schema integra la prima con il "numero progressivo scheda SDO della puerpera" e la seconda con numerose altre informazioni, cui corrispondono altrettanti campi con le relative codifiche (cfr. in particolare il "Tracciato A" e il Tracciato B" del disciplinare tecnico). Nel corso degli incontri con i rappresentanti del Ministero, l'Ufficio del Garante ha richiamato l'attenzione dell'Amministrazione sulla necessità di rispettare rigorosamente i principi di necessità, indispensabilità, pertinenza e non eccedenza dei dati oggetto di trattamento in relazione alle finalità perseguite (artt. 3, 11,22 e 26 del Codice). E' stato quindi chiesto di giustificare in maniera puntuale ogni specifica esigenza di raccolta e di utilizzo di dati personali. Al riguardo, ad esempio, il Ministero della salute ha precisato che l'informazione concernente il "livello di istruzione" è richiesta per il calcolo degli indici di diseguaglianza; il "comune di residenza" non include il codice di avviamento postale (come si evince anche dal disciplinare tecnico allegato allo schema) che renderebbe facilmente identificabile l'interessato. Per altre informazioni, pure oggetto di richiesta di approfondimento sotto questo profilo (come ad esempio la data di nascita completa, il comune di nascita, lo stato civile), non è stata invece fornita una giustificazione esaustiva della necessità del trattamento. Ciò premesso, si ritiene necessario che l'Amministrazione verifichi ulteriormente e in maniera conclusiva la pertinenza, non eccedenza, e indispensabilità (con riferimento ai dati sensibili) delle informazioni da inserire nella SDO, rispetto alle finalità legittimamente perseguibili in applicazione del regolamento in esame, modificando, eventualmente, all'esito di tale valutazione il contenuto della scheda. 7. Le informazioni contenute nelle SDO: il codice identificativo del paziente e le necessarie cautele. Fra le informazioni inserite nella sezione prima della SDO vi è anche il "codice identificativo del paziente", cui corrisponde, secondo quanto specificato nel disciplinare tecnico allegato: il codice fiscale, il codice TEAM, il codice ENI, il codice STP. Come già rilevato sopra, la delicatezza della materia in esame, che si riferisce a dati "particolarmente sensibili" quali sono quelli idonei a rivelare lo stato di salute delle persone, impone il rigoroso rispetto, innanzitutto, del principio di necessità, a norma del quale i sistemi informativi sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi in modo da escluderne il trattamento quando le finalità siano ugualmente perseguibili mediante rispettivamente, dati anonimi, o modalità che permettano di identificare l'interessato solo in caso di necessità (art. 3 del Codice). Inoltre, il Codice stabilisce che i dati sensibili e giudiziari siano trattati solo se indispensabili, nonché -se contenuti in elenchi, registri o banche dati gestiti con l'ausilio di mezzi elettronici- con tecniche di cifratura o codici identificativi che consentano di identificare gli interessati solo in caso di necessità (art. 22). I profili richiamati sono divenuti ancora più stringenti a seguito dell'entrata in vigore (successiva al d.m. 380) del già menzionato articolo 35 del decreto legislativo n 118 del 2011 il quale, ai fini di miglioramento dei sistemi informativi e statistici della sanità e di più efficace utilizzo, in termini di monitoraggio, dell'organizzazione dei livelli di assistenza, dispone l'"anonimizzazione" dei dati individuali presenti nei flussi informativi della sanità proprio per esigenze di protezione dei dati personali. La disposizione prevede, infatti, che siano adottate procedure di "anonimizzazione" dei dati "già oggi acquisiti in modo univoco sulla base del codice fiscale dell'assistito, con la trasformazione del codice fiscale in codice anonimo, mediante apposito algoritmo biunivoco, in modo da tutelare l'identità dell'assistito nel procedimento di elaborazione dei dati" e prevede altresì che "solo una volta anonimizzati i dati possono essere utilizzati per le previste finalità". La previsione sopra menzionata non contempla alcuna deroga per il flusso informativo SDO e conferma di ciò si rinviene nell'articolo 11, comma 4, del decreto legislativo n. 38 del 2014 (che il presente schema intende attuare), laddove richiama l'osservanza dell'articolo 15, comma 25-bis del decreto-legge. n. 95/2012 (convertito dalla legge n. 135/2012), il quale mira ad assicurare che lo svolgimento delle funzioni di valutazione degli esiti delle prestazioni assistenziali e delle procedure medico-chirurgiche sia effettuato con dati resi disponibili esclusivamente "in forma anonima", in conformità a quanto prevede la legge (e ai sensi, appunto, dell'articolo 35) e in linea con i principi di necessità, pertinenza e non eccedenza ed indispensabilità dei dati trattati e delle operazioni eseguite sugli stessi (artt. 3, 11 e 22 del Codice). Va poi considerato che nello schema di regolamento in materia di interconnessione dei sistemi informativi, cui si è fatto cenno in apertura del presente parere, il trattamento del "codice identificativo dell'assistito" (corrispondente al "codice identificativo del paziente" oggetto del presente schema) può avvenire, per qualunque flusso informativo interconnesso (ivi compreso, quindi, quello relativo alle SDO) solo previa sostituzione con un "codice univoco" oppure, in specifici casi e solo in via transitoria, con particolari tecniche di cifratura che comunque non consentano di identificare direttamente l'interessato, nelle forme e secondo le procedure ivi previste. A tali previsioni fa del resto riferimento l'articolo 6 dello schema in esame attraverso il rinvio alle basi normative del regolamento in questione, il cui schema – come già rilevato- è stato recentemente oggetto di parere da parte del Garante. Tutto ciò premesso, si ritiene necessario che l'articolo 6 dello schema sia perfezionato e integrato in conformità alle garanzie appena descritte. L'osservazione può essere recepita sostituendo l'articolo con il seguente: "Art. 6 (Interconnessione e codice cifrato) 1. In osservanza di quanto previsto dall'articolo 11, comma 4, del decreto legislativo 4 marzo 2014, n. 38, al flusso informativo relativo alle schede di dimissioni ospedaliera si applicano le procedure per l'interconnessione dei sistemi informativi nell'ambito del Nuovo sistema informativo sanitario individuate ai sensi dell'articolo 15, comma 25-bis del decreto-legge 6 luglio 2012, n. 95, convertito dalla legge 7 agosto 2012, n. 135. 2. Nelle more dell'applicazione delle procedure di cui al comma 1, le regioni trasmettono al Ministero della salute ai sensi dell'articolo 3 del decreto del Ministro della sanità 27 ottobre 2000, n. 380, il tracciato anagrafico di cui al disciplinare tecnico allegato al presente decreto (Tracciato A) sostituendo al codice identificativo del paziente un codice cifrato ottenuto applicando al medesimo codice identificativo un algoritmo asimmetrico, a chiave pubblica nota, definito dalla Direzione generale del sistema informativo e statistico sanitario del Ministero della salute.". 8. Le informazioni contenute nelle SDO: l'identificativo del chirurgo e dell'anestesista. L'articolo 5 dello schema prevede che le informazioni sui chirurghi e gli anestesisti degli interventi principali e secondari (cfr. art. 3, comma 1, lett. a), nn. 30-quinquies, 30-sexies, 34 e 35) siano "raccolte ed elaborate per le esigenze della programmazione sanitaria, in particolare il monitoraggio e valutazione degli interventi sanitari, compresi i loro esiti, la definizione degli standard di qualità, l'efficacia e l'efficienza, il monitoraggio del rischio clinico per garantire la sicurezza del paziente, nonché per ottemperare alle previsioni di cui al decreto legislativo 4 marzo 2014, n. 38.". Le informazioni cui la norma si riferisce (e cioè gli identificativi dei chirurghi e degli anestesisti degli interventi principali e secondari) sono indicate nel disciplinare tecnico allegato allo schema di decreto: si tratta, in realtà, del codice fiscale dei menzionati soggetti (cfr.: Tracciato B). A seguito dei rilievi formulati dall'Ufficio del Garante alla luce del principio di non eccedenza dei dati in relazione alle finalità perseguite, il Ministero della salute ha inserito nello schema di decreto la disposizione di cui all'articolo 5 sopra indicata e ha introdotto nel disciplinare tecnico il paragrafo 5.2, rubricato "Specifiche disposizioni per il trattamento dei dati identificativi del chirurgo e dell'anestesista". Il paragrafo 5.2 dispone che il Ministero della salute, mediante procedure automatiche, procede alla verifica di validità dei codici identificativi, attraverso uno scambio informativo con il servizio fornito dal sistema Tessera Sanitaria e alla sostituzione degli stessi con i corrispettivi codici univoci, generati mediante cifratura per mezzo di un algoritmo asimmetrico definito dal Ministero medesimo. Si prevede, poi, che i codici univoci così ottenuti siano utilizzati come unici elementi identificativi dei citati soggetti nel corso di tutti i successivi trattamenti operati sul NSIS, ad eccezione, però di quelli effettuati per le finalità di cui al ripetuto articolo 5 dello schema, per i quali sarebbe ammessa la decifratura di tali codici univoci. Tali previsioni non sono in linea con le indicazioni rese dall'Ufficio del Garante e si pongono in contrasto con la normativa in materia di protezione dei dati personali, segnatamente con i principi di finalità, necessità e non eccedenza dei dati rispetto agli scopi perseguiti. Dalle prime interlocuzioni avute dall'ufficio con i rappresentanti del Ministero della salute, è emerso che la raccolta "in chiaro" dei dati in questione (mediante cioè il codice fiscale) - dai quali si possono facilmente identificare gli interessati - sarebbe imposta dalla necessità anche di ottemperare a quanto richiesto dall'articolo 11, comma 4, del d.lg. n. 38 del 2014 e dalla normativa europea che quest'ultima previsione intende attuare (segnatamente la direttiva 2011/24/UE). Nel prosieguo dell'istruttoria con rappresentanti del predetto Ministero e dell'Agenzia nazionale per i servizi sanitari regionali (Agenas), è emerso peraltro, come, per le finalità in discorso, non sarebbe necessario trattare i codici fiscali dei professionisti, in quanto ciò che occorre è riferire i volumi delle attività svolte (anche in diverse strutture) a ciascun individuo, per particolari procedure medico-chirurgiche per le quali la qualità dipenda, appunto, dai volumi di attività effettuati dai singoli. Conferma di quanto precede si rinviene nel quadro normativo in materia di definizione e utilizzo degli indicatori di efficienza e qualità del SSN (cfr. art. 1, comma 169, l. 30 dicembre 2004, n. 311; artt. 2, comma 2, 10 e 14 d. lg. n. 502 del 1992). Come pure, conferma di tale assunto si rinviene nello schema di regolamento recante la definizione degli standard qualitativi, strutturali, tecnologici e quantitativi relativi all'assistenza ospedaliera (in attuazione dell'art. 15, comma 13, lett. c), d. l. 6 luglio 2012, n. 95 convertito, con modificazioni, dalla l. 7 agosto 2012, n. 135, che richiama il predetto art. 1, comma 169, l. n. 311/2004), attualmente all'esame del Ministero dell'economia e delle finanze per l'acquisizione del concerto, come riferito dal Ministero della salute. Ciò premesso, all'esito delle risultanze istruttorie e alla luce di una lettura del quadro normativo vigente correttamente "orientata" rispetto alla direttiva 2011/24/UE, non sembra a questa Autorità che emerga la necessità, per gli uffici del Ministero, di trattare i dati dei medici e degli anestesisti "in chiaro". Al contrario, si ritiene che le finalità previste dall'articolo 11, comma 4, citato possano essere perseguite dal Ministero con modalità che non consentano l'identificazione dell'interessato; ciò assicurerebbe il rispetto della direttiva 95/46/CE sulla tutela delle persone rispetto al trattamento dei dati personali, richiamata peraltro dalla stessa direttiva europea (art. 2 direttiva 2011/24/UE) in attuazione della quale è stato adottato il d.lg. n. 38 del 2014, alle finalità del quale il Ministero riconduce il trattamento dei dati in questione. Non possono sottacersi, del resto, le criticità che una diversa soluzione potrebbe presentare anche sotto altri profili – per quanto non di stretta competenza di questa Autorità – specie per ciò che concerne la tutela dei lavoratori, atteso che la valutazione professionale dei singoli professionisti è estranea alle finalità perseguite dalla direttiva e dal decreto legislativo sopra menzionati e può essere legittimamente perseguita nel rispetto di uno specifico quadro di principi, regole e garanzie previsto dalle pertinenti disposizioni di riferimento (cfr. art. 15 d. lgs. 30 dicembre 1992 n. 502). Ulteriori perplessità attengono, peraltro, al rispetto del principio di uguaglianza, poiché i medici chirurghi e gli anestesisti si troverebbero ad essere i soli professionisti "monitorati" rispetto ad altre categorie di professionisti sanitari. Naturalmente, è importante sottolineare che le osservazioni che precedono non pregiudicano quanto consentito alle regioni e al Ministero in sede di controlli di qualità e, con riferimento a quest'ultimo, nell'esercizio del suo potere alta vigilanza in base alla normativa di settore (cfr. artt. 8-octies e 10 d.lg. n. 502/1992). In conclusione, lo schema di regolamento deve essere integrato con una previsione normativa con la quale –in analogia a quanto previsto per il trattamento del codice identificativo del paziente (cfr. punto 7)- si preveda che le Regioni adottino accorgimenti e misure volte a sostituire il codice identificativo con un codice univoco a livello nazionale, non reversibile che non consenta al Ministero della salute di individuare l'interessato. Conseguentemente, deve essere interamente riformulato il paragrafo 5.2. del disciplinare tecnico, in termini coerenti (l'attuale par. 5.2. prevede, invece, che sia il Ministero a procedere alla sostituzione del codice identificativo, dopo aver ricevuto "in chiaro" i dati identificativi dei professionisti sanitari dalle regioni). 9. Il flusso informativo. 9.1. L'articolo 4, comma 1, lett. a), dello schema modifica il comma 3 dell'articolo 3 del d.m. 380 in base al quale le regioni e le province autonome inviano al Ministero della salute buona parte delle informazioni contenute nella SDO, quale "debito informativo" nei confronti del livello centrale. Poiché il flusso SDO è destinato ad essere interconnesso con gli altri flussi previsti nell'ambito del NSIS, l'Autorità richiama l'attenzione dell'Amministrazione sulla necessità che i dati oggetto di trasmissione siano conformi, nel loro contenuto informativo, ai dati contenuti negli altri flussi. Va considerato, al riguardo, che i decreti del Ministero della salute che individuano le informazioni presenti in tali altri flussi, non contemplano la "data di nascita" completa dell'assistito, ma il solo anno, se l'età è superiore all'anno compiuto, o il mese e l'anno, se l'età è inferiore all'anno compiuto, né il "comune di nascita", trattandosi di informazioni che renderebbero agevolmente identificabile l'interessato (cfr., a titolo esemplificativo, il d.m. 11 giugno 2010 sul sistema informativo nazionale per le dipendenze, il d.m. 17 dicembre 2008 sul sistema informativo per il monitoraggio delle prestazioni erogate nell'ambito dell'assistenza sanitaria in emergenza-urgenza, il d.m. 31 luglio 2007 sul flusso informativo delle prestazioni farmaceutiche effettuate in distribuzione diretta o per conto). Pertanto, si ritiene che non siano pertinenti e indispensabili, nei termini appena descritti, e debbano essere espunte dal flusso informativo SDO le informazioni riferite alla "data di nascita" completa e al "comune di nascita" del paziente. In luogo della prima, potranno essere trasmessi al Ministero il solo anno di nascita per gli assistiti con età superiore all'anno compiuto, e il mese e l'anno per gli assistiti con età inferiore all'anno compiuto. E' quindi necessario che all'articolo 4, comma 1, lett. a), capoverso, dello schema siano apportate le conseguenti modifiche. 9.2. Secondo quanto previsto dall'articolo 3, comma 6, del d.m. 380, le due sezioni della SDO ("A sezione prima" recanti i dati anagrafici e "B sezione seconda" relativa agli altri dati, compresi i dati sensibili), sono gestite in archivi disgiunti. Da informazioni assunte dagli uffici del Ministero si evince che il relativo flusso dei dati avviene in modo separato, nel senso che i dati sono trasmessi dalle regioni e province autonome al Ministero della salute secondo tracciati distinti. Di questa cautela si ritiene necessario dare evidenza nello schema, integrando in tal senso l'articolo 4. Sull'argomento, si vedano anche le indicazioni riferite al paragrafo 5 del disciplinare tecnico (punto 11.2 del parere). Inoltre, si segnala la necessità di circoscrivere le esigenze del SSN che possono giustificare la "ricongiunzione" dei dati relativi al ricovero (sezione seconda) con quelli anagrafici (sezione prima), eventualmente integrando l'art. 3, comma 6, del d.m. 380. 9.3. Infine, il comma 1, lett. b), dell'articolo 4, intende sostituire il comma 4 dell'articolo 3 del d.m. 380, concernente i termini entro cui le regioni e le province autonome trasmettono le informazioni al Ministero della salute. In proposito, per una maggiore chiarezza espositiva, si suggerisce di sostituire le parole: "inviano le schede di dimissione ospedaliera contenenti le sole informazioni di cui al comma 3" con le seguenti: "inviano le informazioni di cui al comma 3". 10. L'aggiornamento delle SDO. L'articolo 2, comma 1, lett. b), dello schema di decreto intende integrare l'articolo 1 del d.m. 380 mediante una previsione volta a disciplinare le modalità di aggiornamento delle regole di definizione, compilazione e codifica delle informazioni contenute nella SDO, nonché di individuazione delle informazioni rilevate dalla stessa, che costituiscono debito informativo ai sensi dell'articolo 3, comma 3, del d.m. 380. In proposito, si osserva come, a ben vedere, anche alla luce di altre disposizioni del regolamento (cfr. segnatamente l'art. 3) e del disciplinare tecnico, l'aggiornamento delle regole in discorso presenta importanti implicazioni sul contenuto informativo delle SDO, che inducono ad affrontare la questione con particolare cautela. Per comprendere appieno la delicatezza della questione, basti pensare che lo schema di decreto ha esteso il trattamento dei dati anche a quelli giudiziari mediante l'aggiunta di una nuova modalità di descrizione (il codice 09=carcere) del campo 17 ("provenienza del paziente"), introdotta nel disciplinare tecnico allegato allo schema. Ne consegue che l'aggiornamento delle regole di definizione, compilazione o codifica potrebbe comportare la raccolta di ulteriori informazioni di carattere sensibile o giudiziario, con la conseguente necessità di rispettare quanto previsto dagli articoli 20 e 21 del Codice, che prevedono il ricorso alla fonte regolamentare per l'individuazione dei dati oggetto di trattamento. Si pensi ancora che -ove fosse confermata la disposizione dell'articolo 2, comma 1, lett. b) dello schema- il decreto di rango non regolamentare ivi previsto potrebbe introdurre come oggetto del debito informativo le stesse generalità dell'assistito (cognome e nome del paziente). Del resto, la scelta della valenza regolamentare della fonte è stata fatta in sede di adozione del d.m. n. 380, atteso che l'articolo 3, comma 3, del d.m. 380- che individua il debito informativo- ha natura regolamentare. E non potrebbe essere diversamente, ove si consideri che lo schema di decreto detta una serie di regole generali ed astratte che tutte le regioni sono chiamate a rispettare, concernenti il contenuto (sintetico e analitico) della SDO, la struttura, la comunicazione delle informazioni (il flusso informativo) dalle regioni e province autonome al Ministero della salute, l'interconnessione del flusso SDO con gli altri sistemi informativi del Servizio sanitario nazionale. Si tratta, pertanto, di una disciplina generale, astratta e innovativa, che richiede la natura regolamentare del decreto. Tutto ciò premesso, si ritiene che l'individuazione delle informazioni rilevate dalla SDO, che costituiscono debito informativo (e che, quindi, in definitiva, sono oggetto di comunicazione tra soggetti pubblici, quali le regioni, le province autonome e il Ministero della salute), vada effettuata mediante fonte di rango regolamentare, anche ai sensi degli articoli 20 e 21 del Codice, a meno che non si resti nell'ambito delle informazioni già individuate nello schema di decreto e nel relativo disciplinare e quindi si voglia solo escludere dal debito informativo alcune informazioni, atteso che lo schema di decreto prevede che tutte le informazioni oggetto di trasmissione dalle regioni e province autonome al Ministero costituiscano debito informativo. Per altro verso, si ritiene che alla fonte non regolamentare possa essere rimesso il compito di dettare le sole istruzioni per la compilazione e per la codifica, le cui regole siano già state definite (o aggiornate) con atto regolamentare, al fine di assicurare che con essa ci si limiti a disciplinare aspetti di mera specificazione e di dettaglio di previsioni già recate (o aggiornate) dall'atto regolamentare, e non si finisca per individuare i dati oggetto di trattamento. Ne consegue, quindi, la necessità di una riformulazione del comma 1, lett. b), dell'articolo 2 dello schema che tenga conto delle predette osservazioni. In ogni caso, preziose indicazioni potranno provenire in proposito dal Consiglio di Stato, al quale il presente schema va sottoposto per l'acquisizione del parere di rito. 11. Il disciplinare tecnico. Lo schema di decreto reca in allegato un disciplinare tecnico che fa parte integrante dello stesso, nel quale sono descritte le modalità di trasmissione dei dati all'NSIS e il dettaglio dei contenuti informativi da trasmettere, nonché le misure di sicurezza da adottare a protezione dei dati e del sistema. Seppure la versione attuale del disciplinare tenga conto di alcune osservazioni formulate dall'Ufficio del Garante nei lavori preliminari, questa Autorità richiama l'attenzione dell'Amministrazione sull'opportunità che ad esso sia data una configurazione il più possibile conforme all'allegato tecnico del regolamento in materia di interconnessione dei sistemi informativi, ovviamente per le parti applicabili, recentemente oggetto di parere da parte del Garante. In ogni caso, si reputano necessarie le seguenti mirate modifiche. 11.1. In analogia a quanto previsto nello schema di regolamento sull'interconnessione dei sistemi informativi, è opportuno richiedere il ricorso a strumenti di autenticazione forte per gli utenti del sistema che effettuano trattamenti particolarmente delicati. Nella versione dello schema all'esame, il paragrafo 3.2. è stato già integrato con riferimento agli accessi a dati sensibili riferiti a singoli individui e può essere ulteriormente perfezionato rispetto a soggetti cui sono attribuite le funzioni di amministratore di sistema. Inoltre, sempre in analogia a quanto previsto nello schema di regolamento sull'interconnessione, si segnala la necessità di circoscrivere i casi in cui è consentito a utenti del sistema opportunamente incaricati di accedere ai dati riferiti a singoli dimessi dagli istituti di ricovero. 11.2 Al paragrafo 5, le parole da "i dati inviati" sino a "successiva sezione 5.1." devono essere sostituite dalle seguenti: "Le regioni e le province autonome inviano i dati di cui all'articolo 3 comma 3 del decreto [vale a dire del d.m. 380] al Ministero della salute, esclusivamente in modalità elettronica, in due tracciati distinti, di seguito indicati: TRACCIATO A – che contiene le informazioni di carattere anagrafico; TRACCIATO B – che contiene le informazioni relative al ricovero. I dati anagrafici e sanitari sono, quindi, archiviati separatamente e i dati sanitari sono trattati con tecniche crittografiche. Le informazioni di dettaglio contenute nei due tracciati sono indicate nelle tabelle di cui alla successiva sezione 5.1.". 11.3. Al fine di evitare equivoci interpretativi, è opportuno distinguere nel disciplinare la figura dell'amministratore di sistema da altri soggetti che svolgono in realtà funzioni diverse, come l'amministrazione degli utenti del sistema o delle applicazioni, per i quali è opportuno utilizzare un termine differente (ad esempio: "amministratore degli utenti" o "amministratore dell'applicazione"). IL GARANTE ai sensi degli articoli 20, comma 2, 21, comma 2, e 154, comma 1, lett. g), e 4, del Codice, esprime parere favorevole sullo schema di decreto, avente natura regolamentare, recante modifiche ed integrazioni al decreto del Ministro della sanità 27 ottobre 2000, n. 380, concernente l'aggiornamento della disciplina del flusso informativo sui dimessi dagli istituti di ricovero pubblici e privati, con le seguenti condizioni: a) il preambolo dello schema sia integrato con i riferimenti indicati al punto 4; b) l'articolo 1, comma 1, relativo all'oggetto del decreto sia integrato nei termini di cui in motivazione (punto 5.1.); c) la norma sulle finalità del trattamento sia perfezionata nei termini di cui in motivazione e auspicabilmente configurata quale novella del d.m. n. 380 del 2000 (punto 5.2.); d) lo schema sia integrato con l'espressa indicazione delle finalità di rilevante interesse pubblico perseguite, indicate al punto 5.3.; e) l'Amministrazione verifichi ulteriormente e in maniera conclusiva la pertinenza, non eccedenza, e indispensabilità (con riferimento ai dati sensibili) delle informazioni da inserire nella SDO, modificando, eventualmente, all'esito di tale valutazione il contenuto della scheda (punto 6); f) l'articolo 2, comma 1, lett. b), capoverso, sia riformulato tenendo conto delle indicazioni rese al punto 10; g) all'articolo 4, comma 1, lett. a), capoverso, dal flusso informativo SDO siano espunte le informazioni riferite alla "data di nascita" completa e al "comune di nascita" del paziente e, in luogo della prima, siano inserite le seguenti: il solo anno di nascita per gli assistiti con età superiore all'anno compiuto, e il mese e l'anno per gli assistiti con età inferiore all'anno compiuto (punto 9.1.); h) l'articolo 4 dello schema sia integrato con la previsione espressa che le due sezioni della SDO sono trasmesse dalle regioni e province autonome al Ministero della salute secondo tracciati distinti e circoscrivendo le esigenze del SSN che possono giustificare la "ricongiunzione" dei dati contenuti nelle predette due sezioni (punto 9.2); i) all'articolo 4, comma 1, lett. b), le parole: "inviano le schede di dimissione ospedaliera contenenti le sole informazioni di cui al comma 3" siano sostituite con le seguenti: "inviano le informazioni di cui al comma 3" (punto 9.3); j) l'articolo 5 sia integrato con una disposizione che preveda l'obbligo per le regioni di adottare accorgimenti e misure volte a sostituire il codice identificativo del chirurgo e dell'anestesista con un codice univoco a livello nazionale, non reversibile nei termini di cui in motivazione, adeguando conseguentemente, in termini coerenti, il paragrafo 5.2. del disciplinare tecnico (punto 8); k) l'articolo 6 dello schema sia sostituito con il seguente: "Art. 6 (Interconnessione e codice cifrato) 1. In osservanza di quanto previsto dall'articolo 11, comma 4, del decreto legislativo 4 marzo 2014, n. 38, al flusso informativo relativo alle schede di dimissioni ospedaliera si applicano le procedure per l'interconnessione dei sistemi informativi nell'ambito del Nuovo sistema informativo sanitario individuate ai sensi dell'articolo 15, comma 25-bis del decreto-legge 6 luglio 2012, n. 95, convertito dalla legge 7 agosto 2012, n. 135. 2. Nelle more dell'applicazione delle procedure di cui al comma 1, le regioni trasmettono al Ministero della salute ai sensi dell'articolo 3 del decreto del Ministro della sanità 27 ottobre 2000, n. 380, il tracciato anagrafico di cui al disciplinare tecnico allegato al presente decreto (tracciato A) sostituendo al codice identificativo del paziente un codice cifrato ottenuto applicando al medesimo codice identificativo un algoritmo asimmetrico, a chiave pubblica nota, definito dalla Direzione generale del sistema informativo e statistico sanitario del Ministero della salute." (punto 7); l) al disciplinare tecnico sia data una configurazione il più possibile conforme all'allegato tecnico del regolamento in materia di interconnessione dei sistemi informativi, per le parti applicabili, e siano apportate le modifiche e integrazioni indicate (punto 8, per il paragrafo 5.2 del disciplinare, e punto 11).
Roma, 26 marzo 2015
IL PRESIDENTE SORO
IL RELATORE CALIFANO
IL SEGRETARIO GENERALE BUSIA
FONTE LEGGE SULLA PRIVACY