Key4biz

Sanità digitale. Soro (Garante Privacy): ‘Registri tumori, persone a rischio senza garanzie su protezione dati’

Antonello Soro

Pubblichiamo l’intervento dell’Audizione del Presidente del Garante per la protezione dei dati personali, Antonello Soro, nell’ambito dell’esame delle proposte di legge recanti “Istituzione e disciplina del Registro nazionale e dei registri regionali dei tumori” presso la Commissione Affari sociali della Camera dei Deputati (8 marzo 2016).

  1. Il contesto di riferimento

Ringrazio la Commissione per l’opportunità offertami di trattare un aspetto così rilevante della digitalizzazione della sanità.

E’ fuori discussione che questa trasformazione vada incoraggiata, in quanto ineludibile fattore di sviluppo e modernizzazione del Paese, oltre che di miglioramento dell’efficienza della sanità.

Ma vorrei sottolineare, in via preliminare, che questo processo va anche governato con molta attenzione, in quanto coinvolge categorie di dati personali (c.d. ipersensibili) tra le più delicate e, per questo, meritevoli di quella tutela rafforzata che il nostro ordinamento loro assegna.

I dati sanitari, se illecitamente trattati o – come avvenuto più volte – addirittura “rubati”, sono infatti suscettibili di esporre l’interessato a forme di discriminazione rese possibili, appunto, soltanto dalla conoscenza di aspetti così intimi quali quelli “idonei a rivelare lo stato di salute dell’interessato”.

La perdita, la sottrazione, l’alterazione, l’abuso di un dato sanitario rende vulnerabili banche dati essenziali e, insieme, viola quanto di più intimo e privato vi è nella persona: ne tocca la dignità.

Ma soprattutto, la vulnerabilità del dato sanitario e, quindi, la suscettibilità di alterazione o modificazione, rischia – come abbiamo sottolineato anche rispetto al FSE – di determinare errori diagnostici o terapeutici, con conseguenze anche letali.

Per questo, nel processo di trasferimento della sanità nella dimensione digitale la frammentazione, l’assenza di un piano organico di sicurezza e la disomogeneità che hanno caratterizzato, purtroppo, l’informatizzazione della p.a. nel nostro Paese (con gravi rischi anche in termini di cybersecurity), sono ancora più pericolose che in ogni altro settore.

La carente sicurezza dei dati può rappresentare, in altri termini, una causa di malasanità.

E la protezione dei dati personali, per converso, rappresenta un fattore determinante di efficienza sanitaria.

Come detto, la legge accorda a questi dati una tutela rafforzata, che si articola, in particolare, negli obblighi di:

– conservazione separata da ogni altro dato,

– cifratura e conservazione in modo da rendere tali dati inintellegibili anche ai soggetti legittimati;

– notificazione al Garante al verificarsi di alcune condizioni;

– nel criterio del “pari rango” per l’ostensione di tali dati nel procedimento amministrativo e nel divieto assoluto di pubblicazione da parte delle p.a., persino in materia di trasparenza;

– nella possibilità di trattare tali dati, da parte di soggetti pubblici, solo per fini di rilevante interesse pubblico, tra i quali appunto la ricerca scientifica.

Il tema dei registri di patologia è stato, peraltro, portato più volte all’attenzione del Garante, al fine di tracciare l’equilibrio migliore tra esigenze di analisi epidemiologica (che in ultima analisi significa diritto alla salute) e diritto alla protezione dei dati personali dei pazienti.

Già nella scorsa legislatura fummo sentiti in audizione sulle norme istitutive dei registri di tumori ed altre patologie e diversi sono stati gli interventi su leggi regionali che ne disciplinavano la gestione.

In seguito all’istituzione del fascicolo sanitario elettronico, dei sistemi di sorveglianza e dei registri sanitari abbiamo in particolare reso parere, lo scorso 23 luglio, sul dPCM attuativo di tale norma del decreto-legge. (Annunciato un anno prima in sede di risposta del Governo su un atto di sindacato ispettivo).

In tale parere si sottolineava, tra l’altro, l’anomalia della procedura seguita nell’attuazione della disciplina legislativa, dal momento che il d.P.C.M. (per la cui adozione non è previsto un termine) veniva proposto in consultazione quando ancora non era stato redatto lo schema di regolamento che avrebbe dovuto individuare le garanzie per la protezione dei dati personali trattati nei registi, nonostante il termine per la sua adozione (fissato in 18 mesi dalla data di entrata in vigore del decreto-legge) fosse ampiamente scaduto.

Nel merito, si formulavano inoltre diverse osservazioni, volte

– a estendere le garanzie per i dati personali dei pazienti anche ai registri già istituiti;

– a meglio delineare i profili inerenti la titolarità del trattamento rispetto agli enti di livello nazionale;

– a precisare le condizioni, tassative e specifiche, che legittimano la decodifica delle generalità dell’interessato, nell’ambito di un sistema di codifica reversibile;

– a prevedere che i trattamenti per fini statistici riguardino dati resi anonimi in modo (invece) irreversibile;

– a specificare l’ambito del trattamento per fini di cura riferibile ai centri di riferimento regionale;

– a introdurre l’obbligo di comunicazione al Garante nel caso di data breach.

A quanto consta, al momento la situazione resta invariata: non risultano infatti adottati né il citato dPCM sul cui schema ci siamo espressi, né il regolamento che peraltro, ai nostri fini, assume un rilievo essenziale in quanto tenuto a delineare le garanzie fondamentali per la protezione dei dati trattati nei registri:

– dai presupposti, soggettivi e oggettivi, di legittimazione all’accesso ai registri (secondo il sistema dell’accesso selettivo a livelli diversificati)

– alle categorie di dati suscettibili di consultazione,

– alle misure di sicurezza da adottare per scongiurare ogni tipo di trattamento illecito.

La materia su cui intervengono le proposte di legge non è, dunque, del tutto carente di disciplina (almeno legislativa), sebbene ciò che manca sia, al momento, proprio la normativa regolamentare di attuazione, relativamente agli aspetti più delicati, attinenti appunto alle garanzie per la riservatezza dei pazienti.

Tale essendo il contesto normativo su cui si incide, valuterà ovviamente codesta Commissione l’opportunità di introdurre una nuova (per quanto più organica e specifica) disciplina in materia, anche in rapporto al rischio che ciò rinvii ulteriormente l’effettiva attivazione dei registri.

Si potrebbero, per altro verso, anche apportare alla disciplina vigente le modifiche opportune per migliorare l’efficienza dei registri dei tumori e la loro sicurezza sotto il profilo della protezione dati, conferendo loro maggiore specificità e inserendoli, tuttavia, all’interno di un quadro normativo più organico per il miglioramento della prevenzione, della ricerca e delle terapie oncologiche, come previsto dalle proposte di legge.

Attraverso una disciplina transitoria che consenta di applicare le nuove disposizioni ai registri esistenti, in particolare, si potrebbe migliorare la qualità, la garanzia e la sicurezza dei dati trattati, valorizzando anche le esperienze già maturate nel settore.

Indubbiamente la clausola d’invarianza finanziaria prevista in pressoché tutte le proposte di legge, se confermata, dev’essere applicata in maniera tale da non compromettere, in ogni caso, gli standard di sicurezza del trattamento e degli stessi dati.

  1. Le proposte di legge

Le proposte di legge in esame, pur con le peculiarità proprie di ciascuna, prevedono, quale elemento comune, l’istituzione di un Registro nazionale e di registri regionali dei tumori, con atti su cui il Garante dovrà pronunciarsi, per le parti di competenza.

Sul punto si segnala che la previsione espressa del parere è limitata, nell’AC 3115, agli atti istitutivi dei registri regionali e non compare, invece, per il Registro nazionale, pur evincendosi dal Codice per la protezione dei dati personali.

Si prevede invece, correttamente, il parere conforme del Garante sul regolamento che preveda i tipi di dati trattabili e di operazioni eseguibili (oltre che i criteri di legittimazione soggettiva e oggettiva all’accesso, le misure di sicurezza dei dati per i registri nazionale e regionali, nonché le modalità per l’esercizio, da parte dell’interessato, dei propri diritti e, in particolare, del diritto di opporsi al trattamento per fini legittimi (aspetti essenziali considerando, tra l’altro, che riguardano anche dati di pazienti oncologici minorenni).

Dal momento che, però, tale regolamento statale non disciplina, almeno nell’AC 3115, anche i tipi di dati e di operazioni eseguibili nell’ambito dei registri regionali, tale aspetto andrebbe disciplinato nell’ambito degli atti istitutivi di tali registri, con parere conforme del Garante.

Ovviamente, come suggerito anche dal Servizio studi e proposto da numerosi progetti di legge, si potrebbe unificare i due provvedimenti attuativi (quelli istitutivi dei registri e quelli sulle garanzie del trattamento) in un unico atto di rango regolamentare, (soggetto al parere (conforme) del Garante).

Quanto all’AC 355, il contenuto del regolamento va integrato con riferimento ai tipi di dati e di operazioni.

Ma soprattutto, ove si preferisse questo modello, dovrebbero essere previsti gli specifici adempimenti cui sono tenuti gli incaricati del trattamento, anche in ragione delle funzioni attribuite dalla p.d.l. a un soggetto privato, quale l’Airtum, in ordine alla responsabilità del trattamento.

Le fonti dei flussi informativi elencate nelle proposte di legge sembrano idonee a fornire dati pertinenti alla funzionalità dei registri, ancorché sarebbe preferibile rendere tale elenco non meramente esemplificativo.

Positiva è la previsione, in pressoché tutte le proposte, della qualità e dell’esattezza dei dati trattati, dell’adozione di misure di sicurezza adeguate, dell’accesso selettivo differenziato, da parte del personale legittimato, ai dati contenuti nei registri in ragione della funzione svolta e dell’effettiva necessità della consultazione ai fini dell’adempimento dei rispettivi compiti.

Auspicabile anche la previsione (contenuta in alcune pdl), direttamente nella fonte legislativa e non soltanto nei regolamenti attuativi, degli obblighi di conservazione dei dati in conformità alle previsioni del Codice.

Importante la previsione dell’utilizzo di tecniche di cifratura o codici identificativi che rendano i dati trattati temporaneamente inintellegibili anche a chi sia autorizzato ad accedervi, consentendo l’identificazione degli interessati solo in caso di necessità.

Il sistema della codifica reversibile (o della pseudoanonimizzazione, come definita dal nuovo Regolamento europeo) è, infatti, il solo a poter garantire ampi margini di analisi e ricerca su dati personali, senza per questo violare la riservatezza dei pazienti.

Ovviamente, l’efficacia di queste misure dipenderà in larga misura da come saranno poi disciplinate, nel dettaglio, con i provvedimenti attuativi di cui abbiamo detto.

Un ulteriore profilo che andrà approfondito in sede di regolamento attuativo concerne i requisiti di sicurezza che dovranno caratterizzare le modalità di trasmissione utilizzate per i flussi informativi, al fine di garantire la protezione dei dati personali dei pazienti in ogni fase della comunicazione.

Una precisazione in tal senso andrebbe però inserita anche in norme relative, ad esempio, all’utilizzo preferenziale, da parte di medici e pediatri, degli strumenti di comunicazione telematica per l’invio delle informazioni sanitarie nella loro disponibilità, prevedendo anche l’obbligo per costoro di informare i pazienti di tale comunicazione.

Analoga precisazione andrebbe apportata a disposizioni transitorie che sanciscano, per soggetti pubblici e privati, l’obbligo di trasmissione ai Registri dei dati nella propria disponibilità, imponendo anche in tal caso i requisiti di qualità delle informazioni, previsti “a regime”.

In ordine alla pubblicità dell’attività dei Registri, alcune proposte consentono l’accesso ai relativi dati da parte delle onlus.

La norma non può che essere interpretata nel senso che tale accesso sia limitato agli studi svolti e alle rilevazioni effettuate e non anche ai dati personali contenuti nei registri o, comunque, alle fonti informative da cui i registri sono alimentati.

Analogo contenuto devono avere i rapporti e le produzioni scientifiche e divulgative prodotti dai Registri e soggetti a un regime di ampia accessibilità, nonché, ove prevista, la relazione annuale sui “dati raccolti” nei Registri, che il Ministro della salute invia alle Commissioni parlamentari.

Stessa considerazione va estesa alla pubblicazione digitale e in formato aperto dei dati del referto epidemiologico, dei relativi indagini e risultati, previsti in un solo testo.

In relazione a tale ultima proposta, la stessa definizione del cosiddetto referto epidemiologico andrebbe precisata con riferimento all’esigenza che i dati aggregati costitutivi di tale referto non devono poter, neppure indirettamente (ad es. con l’incrocio di dati presenti in altri archivi), consentire l’identificabilità dell’interessato.

Una precisazione merita, poi, la previsione, contenuta in una p.d.l. dell’accessibilità dei registri tumori, limitatamente a specifici quesiti, da parte dei portatori di interesse, secondo modalità stabilite da un provvedimento adottato dal Comitato tecnico-scientifico nazionale.

Oltre al parere del Garante su tale regolamento, sarebbe auspicabile introdurre anche una previsione relativa all’esclusiva accessibilità, da parte di tali soggetti, di dati anonimizzati, in modo da escludere l’identificabilità, anche soltanto indiretta, degli interessati.

In ordine alla titolarità del trattamento svolto nell’ambito dei registri, la linea prevalentemente seguita dalle proposte attribuisce al (direttore del) Centro nazionale di epidemiologia la titolarità per i trattamenti svolti dal Registro nazionale, con rinvio alla disciplina regionale per l’individuazione dei titolari dei Registri, appunto, regionali.

Sul punto, si richiama la necessità di attribuire la titolarità del trattamento all’organo nel suo complesso e non alla singola persona fisica che ne esprime la volontà o che è legittimata a manifestarla all’esterno.

Exit mobile version