Registro dei provvedimenti
n. 657 del 17 dicembre 2015
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;
Vista la richiesta di parere del Ministero della salute;
Visto l'articolo 154, comma 4, del Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito: Codice);
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore la dott.ssa Giovanna Bianchi Clerici;
PREMESSO
1. Il Ministero della salute ha richiesto il parere del Garante in ordine a uno schema di decreto volto ad istituire il sistema informativo per il Monitoraggio della Rete di Assistenza (infra "Sistema MRA"), nell'ambito del nuovo sistema informativo sanitario (NSIS), finalizzato al censimento e all'aggiornamento in tempo reale delle informazioni relative alle caratteristiche delle strutture della rete di offerta sanitaria, allo scopo di costituire un'unica anagrafe di riferimento a livello nazionale.
Le caratteristiche del sistema informativo, l'ambito di rilevazione, il contenuto informativo e le modalità di trasmissione al NSIS dei dati relativi alle strutture della rete di offerta, la cui rilevazione è effettuata attraverso il Sistema MRA, sono descritte nel Disciplinare tecnico allegato, parte integrante del decreto in oggetto.
RILEVATO
2. La realizzazione e la gestione del Sistema MRA è affidata alla Direzione generale della digitalizzazione, del sistema informativo sanitario e della statistica del Ministero della salute (art. 1, comma 1).
Il Sistema MRA si applicherà alla rilevazione delle aziende sanitarie locali; delle strutture di ricovero autorizzate all'esercizio dell'attività sanitaria; delle strutture territoriali accreditate e farmacie pubbliche e private convenzionate con il Sistema sanitario nazionale (infra "SSN") e che erogano prestazioni afferenti ai Livelli essenziali di assistenza (infra "LEA") di prevenzione e distrettuale; delle strutture territoriali autorizzate all'esercizio dell'attività sanitaria e non accreditate; dei medici di medicina generale e dei pediatri di libera scelta convenzionati con il SSN (art. 1, comma 4).
Come già detto, lo scopo del Sistema MRA è il censimento e l'aggiornamento in tempo reale delle informazioni relative alle caratteristiche delle strutture della rete di offerta sanitaria appena elencate. Le informazioni così raccolte costituiscono l'unica anagrafe di riferimento per tutti i livelli nazionali; per ogni scambio informativo, riguardante le strutture della rete, tra i livelli nazionali e gli altri Stati membri dell'Unione europea, i livelli nazionali e il livello regionale o tra le diverse Regioni e Province autonome (salvo quanto previsto nell'ambito dell'Anagrafe nazionale degli assistiti – ANA) utilizzati ai fini dell'allineamento dell'archivio dei codici fiscali con quello degli assistiti, e per disporre le codifiche relative al prontuario farmaceutico nazionale e al nomenclatore delle prestazioni specialistiche ambulatoriali; per gli elenchi delle unità sanitarie locali, delle aziende ospedaliere e delle strutture di erogazione dei servizi sanitari e per gli elenchi degli enti e delle aziende del SSN utilizzati per la rilevazione dei dati del personale degli enti ed aziende del SSN (art. 2).
A tali fini, il Sistema MRA rileverà pertanto i dati relativi al "titolare" (ovvero il soggetto giuridico o la persona fisica, fra quelli summenzionati, che eroga prestazioni sanitarie); ai "centri di responsabilità" (ovvero le articolazioni interne dell'organizzazione alle quali è attribuita la responsabilità di gestione di risorse umane, tecniche o finanziarie, incluse tutte le strutture che erogano prestazioni sanitarie con responsabilità diretta o tramite centri di responsabilità subordinati); ai "punti fisici" (ovvero la collocazione geografica dell'immobile in cui è situato il punto di erogazione di prestazioni sanitarie); alla tipologia di attività svolte (risultante dall'associazione di queste entità e individuata dai "descrittori che le identificano e caratterizzano; ai posti letto delle strutture di ricovero autorizzate all'esercizio dell'attività sanitaria e delle strutture territoriali accreditate che erogano prestazioni afferenti ai LEA. Il disciplinare tecnico specifica con maggiore dettaglio caratteristiche e modalità dei flussi in ingresso nel Sistema MRA (art. 3).
La piena funzionalità del monitoraggio della rete di offerta sanitaria mediante il sistema MRA consente la consultazione delle informazioni rese disponibili, in forma analitica ed aggregata, al fine di perseguire le proprie finalità istituzionali alle unità organizzative: delle Regioni e delle Province autonome competenti con riferimento ai dati sia del proprio territorio che di altre Regioni e Province autonome; del Ministero della salute; del Ministero dell'economia e delle finanze; dell'Agenzia nazionale per i servizi sanitari regionali (AGENAS); dell'ISTAT.
I dati del Sistema MRA potranno essere inoltre messi a disposizione di soggetti appositamente autorizzati dalla Direzione generale della digitalizzazione per funzioni di specifica competenza ed ai cittadini sul sito internet dello stesso Ministero al fine di garantire il diritto all'informazione sulle strutture eroganti prestazioni sanitarie (art. 4).
Ai fini dell'alimentazione del Sistema MRA, ogni Regione e provincia autonoma individua un referente responsabile.
La trasmissione telematica dei dati al sistema avviene secondo le modalità e le procedure indicate nel disciplinare tecnico e comunque in conformità alle regole tecniche del Sistema pubblico di connettività (infra "SPC") previsto nel Codice dell'amministrazione digitale, in particolare attraverso l'utilizzo di un protocollo sicuro e dell'autenticazione bilaterale fra sistemi. Quindi, ai fini della cooperazione applicativa, Regioni, Province autonome ed il Ministero della salute garantiscono la conformità delle proprie infrastrutture alle regole dettate dal SPC.
La riservatezza dei dati ai sensi del Codice sarà garantita dalle procedure di sicurezza relative al software ed ai servizi telematici, in conformità alle regole tecniche del CAD.
RITENUTO
3. Esaminato lo schema di decreto trasmesso, il Garante segnala l'esigenza di apportare allo stesso alcune modifiche e integrazioni volte a conformarne pienamente i contenuti ai principi e alle garanzie in materia di protezione dei dati personali.
3.1. L'articolo 2 dello schema di decreto concerne le finalità del sistema informativo MRA.
In proposito, si segnala la necessità di coordinare tale disposizione con l'articolo 5, comma 4, del d.m. 5 dicembre 2006, citato nelle premesse, recante la "Variazione dei modelli di rilevazione dei dati delle attività gestionali delle strutture sanitarie", che prevede la rilevazione dei dati anagrafici delle strutture sanitarie da parte delle Regioni e delle Provincie autonome. Non è chiaro, infatti, se il flusso dei dati descritto dallo schema in esame intenda sostituire detta rilevazione, come prevede l'articolo 5 del citato decreto del 2006.
Inoltre, in relazione all'articolo 2, commi 4 e 5, va chiarito se il sistema MRA- per la parte relativa ai medici di medicina generale e ai pediatri di libera scelta, di cui all'art. 1, comma 4, lett. d) dello schema- subentra agli elenchi dei "medici prescrittori" di cui al d.m. 22 luglio 2005 e non solo agli elenchi enumerati al comma 4 dello stesso articolo 2 (che non menziona appunto i medici di medicina generale e ai pediatri di libera scelta). Ciò, anche alla luce del comma 6 dell'articolo 6 dello schema, la cui portata andrebbe meglio chiarita (salvo ritenere che la persistente vigenza del d.m. 22 luglio 2005 sia subordinata alla effettiva operatività- "messa a regime"- del sistema MRA in tutte le Regioni).
3.2. L'articolo 3 disciplina i flussi in ingresso nel Sistema Informativo MRA.
In relazione ai commi 4 e 6 della norma, occorre chiarire i ruoli e le responsabilità delle regioni e delle provincie autonome, da un lato, e del Ministero della salute dall'altro, rispetto al flusso delle informazioni che riguardano i medici di medicina generale e i pediatri di libera scelta (cfr. l'art. 1, comma 4, lett. d) dello schema).
Sotto questo profilo, con riguardo in particolare a quanto previsto al comma 6, si richiama l'attenzione dell'Amministrazione sulla necessità di coordinare il presente schema con quello in materia di Anagrafe nazionale degli assistiti (ANA) –pure trasmesso al Garante per il parere- per quanto riguarda i dati dei medici di medicina generale e dei pediatri di libera scelta, che non sembrano coincidere (cfr. paragrafo 6.1 del disciplinare tecnico del presente schema e all. B, par. 2, dello schema di decreto ANA).
3.3. L'articolo 4 concerne l'accesso ai dati.
In merito a tale disposizione, si ritiene necessario indicare le specifiche finalità istituzionali per le quali è consentito, ai vari soggetti indicati al comma 1, l'accesso al sistema MRA, almeno con riferimento al trattamento di dati personali (come quelli dei medici).
Inoltre, in relazione al comma 2 dell'articolo 4, occorre chiarire se la prevista messa a disposizione dei dati contenuti nel sistema MRA a soggetti terzi autorizzati dal Ministero, riguardi anche dati personali (ad esempio quelli dei medici) e in tal caso circoscrivere l'oggetto della comunicazione nel rispetto dei principi di pertinenza e non eccedenza (cfr. punto 3.4.).
3.4. Sempre all'articolo 4, il comma 3 concerne la messa a disposizione on line dei dati del sistema MRA sul sito Internet del Ministero della salute, al fine di garantire il diritto all'informazione "sulle strutture" eroganti prestazioni sanitarie.
La norma non sembra fare riferimento a dati personali (come ad esempio quelli dei medici di medicina generale e dei pediatri di libera scelta); è forse il caso di chiarire espressamente tale aspetto. Ove, invece si intenda pubblicare anche dati dei medici, va chiarito, innanzitutto, se con tale modalità di diffusione si intendano perseguire anche le finalità di assistenza sanitaria transfrontaliera richiamate nelle premesse (dir. 2011/24/UE e d.lgs. n. 38/2014). Inoltre, occorre precisare quali dati personali sarebbero resi disponibili sul sito, nel rispetto dei principi di pertinenza e non eccedenza. A tal proposito si osserva che, per esempio, potrebbe non essere giustificata la pubblicazione sul sito del codice fiscale del medico alla luce di detti principi, anche in ragione dei rischi di furto d'identità (cfr. sul punto le Linee guida in materia di pubblicazione di atti e trasparenza, par. 9a della I parte, e il Provvedimento del Garante del 16 luglio 2009 in materia di "Pubblica amministrazione: dirigenza e assenze e presenze del personale", doc. web n. 1639950). Circa la pertinenza della raccolta stessa del codice fiscale si veda il punto 3.6..
Nel caso in cui tale pubblicazione abbia ad oggetto anche i dati personali dei medici di medicina generale e dei pediatri di libera scelta, occorre precisare finalità e limiti dell'eventuale riutilizzo degli stessi, in conformità alla disciplina sulla protezione dei dati e alla normativa di recepimento della disciplina europea in materia di riutilizzo dell'informazione del settore pubblico (cfr. d.lgs. 24 gennaio 2006, n. 36 e successive modificazioni e integrazioni).
3.5. L'articolo 5, comma 2, concerne i tempi e le modalità di trasmissione.
In proposito, occorre precisare che il referente dovrà essere scelto, designato e avere responsabilità rispetto al trattamento dei dati personali in conformità all'articolo 29 del Codice (responsabile del trattamento dei dati personali).
Inoltre, il comma 7 della disposizione appare generico e inidoneo a garantire adeguati livelli di sicurezza dei dati. Occorre, quindi, richiamare nell'articolo le misure di sicurezza indicate nel disciplinare tecnico.
3.6. In merito al disciplinare tecnico, occorre valutare la pertinenza e non eccedenza della raccolta dell'informazione relativa al codice fiscale dei medici di medicina generale e dei pediatri di libera scelta, anche alla luce del quadro normativo comunitario (assistenza transfrontaliera), atteso che nei campi con i quali si procede all'alimentazione del sistema MRA figurano anche altri dati (meno significativi dal punto di vista del loro contenuto informativo), che consentono comunque l'univoca individuazione dei predetti soggetti (es. codice identificativo del titolare).
3.7. Infine, per quanto riguarda gli aspetti tecnici e della sicurezza dei dati si osserva quanto segue:
a) lo schema e/o il disciplinare vanno integrati con l'indicazione dei tempi di conservazione dei dati personali, trascorsi i quali i dati sono cancellati o resi anonimi;
b) riguardo ai file di log è prevista la registrazione degli accessi (par. 3.1 del disciplinare tecnico), ma occorre individuare le informazioni in essi contenute (a titolo esemplificativo e non esaustivo: il soggetto- codice identificativo- che ha effettuato l'accesso, la data e l'ora dell'accesso, l'operazione effettuata) e i tempi di conservazione dei file di log al termine dei quali i log sono cancellati. Occorre specificare, inoltre, che i file di log devono possedere caratteristiche di integrità e inalterabilità, devono essere protetti con idonee misure contro ogni uso improprio, devono essere accessibili a personale opportunamente incaricato e autorizzato e i dati contenuti devono essere trattati in forma aggregata.
IL GARANTE
esprime parere nei termini di cui in motivazione sullo schema di decreto del Ministro della salute volto ad istituire il sistema informativo per il Monitoraggio della Rete di Assistenza (MRA), con la seguente condizione: allo schema siano apportate le modifiche e integrazioni indicate ai punti da 3.1. a 3.7..
Roma, 17 dicembre 2015
IL PRESIDENTE
Soro
IL RELATORE
Bianchi Clerici
IL SEGRETARIO GENERALE
Busia