g-docweb-display Portlet

Sistema informativo per la salute mentale: trattamento di dati sanitari e sensibili - 6 maggio 2009 [1616893]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1616893]
[v. Newsletter]

Sistema informativo per la salute mentale: trattamento di dati sanitari e sensibili - 6 maggio 2009

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti e del dott. Filippo Patroni Griffi, segretario generale;

Vista la richiesta di parere del Ministero del lavoro, della salute e delle politiche sociali;

Visto l´art. 154, commi 4 e 5, del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante n. 1/2000;

Relatore il dott. Mauro Paissan;

PREMESSO:

Il Ministero del lavoro, della salute e delle politiche sociali ha chiesto il parere del Garante in ordine a uno schema di decreto recante l´istituzione del sistema informativo per la salute mentale (di seguito indicato come SISM).

Il decreto riguarda interventi sanitari e socio sanitari erogati da operatori del Sistema sanitario nazionale nell´ambito dell´assistenza rivolta alle persone con problemi psichiatrici e alle loro famiglie.

Il presente parere si riferisce a una versione dello schema che tiene conto di alcune osservazioni svolte nell´ambito di incontri tecnici tenutisi presso questa Autorità.

OSSERVA:

1. Premessa.
Lo schema di decreto concerne l´istituzione, nell´ambito del Nuovo sistema sanitario nazionale, di un sistema informativo analogo, per struttura e funzionamento, a quello concernente interventi sociosanitari in favore di persone dipendenti da sostanze stupefacenti o psicotrope o da alcool (SIND), anch´esso sottoposto al parere del Garante. In conseguenza di tale omogeneità di materia, il presente parere riguarda profili analoghi a quelli esaminati dal Garante con riferimento allo schema istitutivo del SIND, ferme restando le necessarie indicazioni su taluni aspetti specifici del provvedimento in esame.

2. Le finalità del sistema.
Lo schema di decreto prevede che il Sistema informativo salute mentale, istituito nell´ambito del Nuovo Sistema informativo sanitario (NSIS) presso il Ministero del lavoro, della salute e delle politiche sociali, è il sistema di supporto al conseguimento delle finalità definite nel decreto. Attraverso le sue funzionalità le regioni e le province autonome mettono a disposizione del ministero informazioni relative a strutture, attività e personale dei servizi sulla salute mentale, al fine di consentirne un´adeguata analisi a livello nazionale e regionale.

I dati oggetto dei flussi informativi, le modalità di alimentazione del sistema informativo e le sue caratteristiche tecniche sono specificati nel disciplinare tecnico allegato al decreto.

Per assicurare il rispetto del principio di finalità (art. 11, comma 1, lett. b) del Codice in materia di protezione dei dati personali) è necessario che le finalità per le quali i dati devono essere raccolti nel SISM e che si intendono perseguire mediante il sistema siano indicate espressamente e in maniera esaustiva nell´articolato del decreto.

Allo stato, invece, indicazioni circa le possibili finalità cui è preordinato il sistema sono contenute solo nel preambolo e nel disciplinare tecnico allegato allo schema (parr. 1 e 3.5. disc. tecn.) e in maniera, peraltro, non esaustiva come può dedursi dall´uso delle locuzioni "fra l´altro" e "principali" cui, rispettivamente, si fa ricorso. 

3. Dati non direttamente identificativi degli interessati.
Il Ministero del lavoro, della salute e delle politiche sociali, nonché le Regioni e le Province autonome possono trattare dati personali sensibili, anche idonei a rivelare lo stato di salute, per finalità che rientrano nei compiti del Servizio sanitario nazionale. In particolare, possono essere trattati dati per attività di programmazione, gestione, controllo e valutazione dell´assistenza sanitaria (art. 85, comma 1, lett. b) del Codice) purché non direttamente identificativi degli interessati (art. 20, comma 3, del Codice; d.m. 12 dicembre 2007, n. 277, all. n. C-01; scheda 12 dello schema tipo di regolamento per il trattamento dei dati sensibili e giudiziari delle regioni e delle province autonome approvato dal Garante con parere del 13 aprile 2007).

Per dare attuazione a tale cornice normativa, lo schema di decreto precisa che il contesto dei dati trattati mediante il SISM è costituito da "informazioni individuali ma non nominative" (art. 2, comma 2, dello schema).

Per garantire la non identificabilità diretta delle persone i cui dati sono trattati nell´ambito nel SISM, è necessario che lo schema di decreto sia integrato con la previsione di garanzie per gli interessati analoghe a quelle contenute nello schema relativo al SIND, in particolare per quanto riguarda l´attribuzione a ciascun soggetto di un codice univoco che non consenta interconnessione con altre banche dati (cfr. art. 5, comma 3, e par. 5.3.1. "ID cittadino" dello schema sul SIND; art. 5 e parr. 4.3.1. e 4.3.2. "ID cittadino" dello schema sul SISM).

Anche per il SISM, peraltro, tali garanzie devono essere completate prevedendo, in conformità a quanto stabilito nella scheda 12 del regolamento citato, che le regioni e le province autonome che non dispongono di sistemi di codifica utilizzino solo dati anonimi (analoga integrazione deve essere apportata nel preambolo laddove si riporta il contenuto della scheda 12).

Infine, sul piano formale, è opportuno sostituire, ovunque ricorrano, la locuzione "informazioni individuali ma non nominative" o locuzioni di analogo tenore (par. 3.1 disc. tecn.) con quella, più corretta, di "dati personali non identificativi" (art. 4, comma 1, lett. c) del Codice).

4. L´accesso ai dati e il loro utilizzo.
Per assicurare il rispetto dei principi di proporzionalità e di indispensabilità nel trattamento dei dati sensibili lo schema deve essere integrato con mirate disposizioni che assicurino l´accesso selettivo alle informazioni conservate nel sistema ed il loro utilizzo proporzionato rispetto alle finalità perseguite.

In particolare, si ritiene necessario:

a) individuare specificamente, nell´articolato, le unità organizzative del ministero, delle regioni e delle province ai cui addetti è consentito il trattamento delle informazioni del SISM, anche mediante l´indicazione delle specifiche attribuzioni ad esse assegnate (cfr., invece, il paragrafo 3.1 del disciplinare tecnico ove si fa riferimento genericamente agli "uffici regionali preposti" e "agli uffici del livello nazionale");

b) specificare nell´articolato, piuttosto che nel disciplinare tecnico (cfr. par. 3.5), che il ministero può accedere all´insieme delle informazioni raccolte nell´ambito del SISM, mentre le regioni e le province autonome possono trattare solo le informazioni da esse stesse inserite;

c) assicurare l´accesso selettivo alle informazioni, evitando, in particolare, la consultazione di dati riferiti a singoli individui e favorire la rappresentazione aggregata delle informazioni. A tale scopo lo schema potrebbe essere integrato con le disposizioni che si suggeriscono o con altre di analogo tenore: "Nel SISM sono raccolti e trattati solo i dati indispensabili per lo svolgimento di elaborazioni statistiche, ricerche, studi e analisi necessari per il perseguimento delle finalità del presente decreto, con modalità e logiche di organizzazione ed elaborazione delle informazioni dirette esclusivamente a fornire una rappresentazione aggregata dei dati. Gli incaricati del trattamento possono accedere ai dati registrati nel SISM soltanto per singole chiavi di ricerca che non devono consentire, anche mediante operazioni di interconnessione e raffronto,  la consultazione, la selezione o l´estrazione di informazioni riferite a singoli individui o di elenchi di codici identificativi. Le funzioni applicative del sistema non devono consentire la consultazione e l´analisi di informazioni che rendano identificabile l´interessato ai sensi dei codici di deontologia e di buona condotta per i trattamenti di dati personali per scopi statistici o scientifici di cui agli allagati A3 ed A4 del decreto legislativo 30 giugno 2003, n. 196.".

5. Il principio di proporzionalità e il trattamento di dati particolari.
La qualità dei dati.

5.1. La particolare delicatezza dei dati trattati nell´ambito del SISM ne impone, come abbiamo già sottolineato, un utilizzo proporzionato rispetto alle finalità perseguite. Si richiama, pertanto, l´attenzione delle amministrazioni interessate sulla necessità di valutare, in concreto, se le singole informazioni elencate nel disciplinare tecnico, oggetto di trattamento nel SISM, siano effettivamente pertinenti e non eccedenti nonché indispensabili rispetto alle finalità del decreto.

5.2. In tale quadro, l´Autorità ritiene comunque necessario che siano espunti dal novero dei dati oggetto di raccolta nel SISM e quindi dall´articolato tecnico, ovunque ricorrano, le informazioni relative al "n° scheda" (che identifica la scheda del paziente o cartella clinica territoriale) e al "comune di residenza" dei pazienti, trattandosi, con evidenza, di dati che, sebbene non direttamente identificativi delle persone, potrebbero rendere agevolmente identificabili gli interessati, specialmente in piccoli contesti locali.

Analoga esigenza si pone per le informazioni relative all´"origine geografica del cittadino", di notevole delicatezza in quanto potrebbero essere idonee a rivelare l´origine etnica delle persone (art. 4, comma 1, lett. d) del Codice), anche in considerazione del fatto che lo schema già prevede la raccolta di dati relativi alla cittadinanza e allo stato estero di residenza, se straniero, dell´assistito.

Infine, si richiama l´attenzione dell´amministrazione sull´opportunità di sostituire nel disciplinare tecnico il riferimento allo stato di "pensionato" e di "invalido" (par. 4.3.1. "Condizione professionale" n. 05 e n. 06) con quello, unico e  più neutro, di "economicamente non attivo" come prevede lo schema relativo al SIND (par. 5.3.1. "Codice occupazione" n. 06) e di integrare il disciplinare tecnico con misure concernenti la verifica della qualità dei dati, in conformità a quanto previsto nello schema sul SIND (cfr par. 4 del disciplinare allegato allo schema sul SIND).

6. L´utilizzo del sistema e la sicurezza dei dati.
La particolare delicatezza dei dati trattati nell´ambito del SIND ne impone, come abbiamo già detto, un utilizzo proporzionato rispetto alle finalità perseguite e rende, altresì, necessaria una particolare attenzione alla sicurezza del sistema informatico utilizzato e, sul piano applicativo, all´integrità dei dati trasmessi, mediante l´adozione di misure di sicurezza calibrate rispetto alle modalità di raccolta dei dati, conformi agli articoli 22, 31 e ss. e all´Allegato B del Codice.

In tal senso, è necessario integrare lo schema di decreto:

a) perfezionando la disposizione che prevede il ricorso a tecniche di cifratura dei dati sensibili (art. 5, comma 4) come segue: "I dati inviati dalle regioni e province autonome, già privi degli elementi identificativi diretti, sono archiviati previa separazione dei dati sanitari dagli altri dati. I dati sanitari sono trattati con tecniche crittografiche.";

b) accrescendo la sicurezza dell´accesso al front-end web dell´applicazione  (predisposto per l´accesso al di fuori del Sistema pubblico di connettività) mediante l´adozione di un protocollo sicuro https con autenticazione bilaterale (mutual authentication) basata su certificati digitali emessi da una autorità di certificazione ufficiale;

c) prevedendo nel disciplinare tecnico di adottare adeguate misure per la distruzione sicura dei supporti di memorizzazione dei dati sensibili, eventualmente indicandole (allegato B del Codice, regola 22; par. 3.2.1. disc. tecn.);

d) prevedendo il tracciamento delle operazioni di accesso al sistema dedicato alla memorizzazione dei dati (data server), specie quelle che eventualmente possano avvenire al di fuori del contesto applicativo, cioè di tutte quelle operazioni che possano avvenire mediante accesso diretto al data base e per il rilevamento di eventuali anomalie (par. 3.2 "Caratteristiche infrastrutturali");

e) in riferimento alle misure di registrazione, autenticazione e accesso degli utenti e alla parola chiave, integrando lo schema con riferimento a tutte le indicazioni contenute nella regola 5 dell´Allegato B del Codice, e in particolare a quelle che consigliano l´utilizzo di una parola chiave di almeno otto caratteri, se possibile, che non contenga riferimenti agevolmente riconducibili all´incaricato (par. 3.3 "Abilitazione degli utenti").

Il Garante richiama, infine, l´attenzione, sul piano formale, sulla necessità di prevedere nel preambolo il parere del Garante.

CIO´ PREMESSO IL GARANTE:

esprime parere favorevole sullo schema di decreto recante l´istituzione del sistema informativo salute mentale (SISM) a condizione che, nei termini di cui in premessa:

a) siano indicate espressamente e in maniera esaustiva nell´articolato del decreto le finalità per le quali i dati sono raccolti nel SISM e che si intendono perseguire mediante il sistema (punto 2);

b) siano previste garanzie per gli interessati in particolare per quanto riguarda l´attribuzione a ciascun assistito di un codice univoco ed esclusivo e sia stabilito che le regioni e le province autonome che non dispongono di sistemi di codifica utilizzino solo dati anonimi (punto 3);

c) le parole "informazioni individuali ma non nominative" o altre simili locuzioni, ovunque ricorrano, siano sostituite con quelle, più corrette, di "dati personali non identificativi" (punto 3);

d) siano individuate specificamente, nell´articolato, le unità organizzative del ministero, delle regioni e delle province cui è consentito il trattamento delle informazioni e i limiti entro i quali possono accedere ai dati raccolti mediante il SISM (punto 4);

e) siano assicurati, mediante disposizioni ad hoc, l´accesso selettivo ai dati e la rappresentazione aggregata delle informazioni (punto 4);

f) siano effettuate le valutazioni richieste e siano adottate le modifiche al decreto in chiave di proporzionalità del trattamento e di qualità dei dati specificamente indicate al punto 5;

g) sia integrato lo schema con mirate disposizioni in materia di misure di sicurezza nel trattamento dei dati (punto 6).

Roma, 6 maggio 2009

IL PRESIDENTE
Pizzetti

IL RELATORE
Paissan

IL SEGRETARIO GENERALE
Patroni Griffi