g-docweb-display Portlet

Dati sensibili - Schema di decreto ministeriale per il regolamento di istituzione della rete nazionale delle malattie rare - 27 ottobre 1999 [41167]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

 [doc. web n. 41167]

Dati sensibili - Schema di decreto ministeriale per il regolamento di istituzione della rete nazionale delle malattie rare - 27 ottobre 1999

art. 6 del d.lg. n. 282/1999 ai fini di un corretta utilizzazione della carta sanitaria elettronica, prevede espressamente che il decreto del Ministro della sanità di cui all´art. 2, comma 1, del decreto legge n. 450/1998, convertito, con modificazioni dalla legge n. 39/1999, determini anche, le categorie di incaricati delle aziende sanitarie locali e di operatori sanitari che possono accedere ai diversi dati inseriti nelle carte, nonché le categorie professionali tenute ad inserirli e il periodo massimo entro il quale i dati devono essere aggiornati.

Roma 27 ottobre 1999

Ministero della sanità
Dipartimento della programmazione
Lungotevere Ripa, 1
00153 ROMA

Oggetto: Schema di decreto ministeriale recante il "Regolamento di istituzione della rete nazionale delle malattie rare e di esenzione dalla partecipazione al costo delle relative prestazioni sanitarie" ai sensi dell´art. 5, comma 1, lett. b) del d.lg. 29 aprile 1998, n. 124. Richiesta di parere ai sensi dell´art. 31, comma 2, della legge n. 675/1996

Con la nota sopraindicata è stato chiesto a questa Autorità di esprimere un parere ai sensi dell´art. 32, comma 1, della legge n. 675/1996, relativamente allo schema di regolamento indicato in oggetto.

Lo schema in esame è stato predisposto in attuazione di quanto previsto nell´art. 5, comma 1, lett. b), del d.lg. 29 aprile 1998, n. 124 per disciplinare le modalità di esenzione dalla partecipazione al costo delle prestazioni di assistenza sanitaria per le malattie rare incluse nei livelli essenziali di assistenza e per individuare le specifiche forme di tutela per i soggetti interessati.

Codesta Amministrazione ha altresì precisato che il trattamento dei dati personali comunque effettuato in applicazione del medesimo del decreto legislativo, sarà disciplinato con regolamenti governativi da emanarsi ai sensi dell´art. 17, comma 2, della legge n. 400/1988 e dell´art. 6 del decreto in questione, che saranno debitamente sottoposti all´esame di questa Autorità.

Con riferimento a tale schema il Garante formula le seguenti osservazioni.

1) Nonostante la precisazione fornita, occorre preliminarmente rilevare che alcune disposizioni dello schema (artt. 3 e 6, comma 1) sembrano invece voler attuare, almeno in parte, quanto demandato ai regolamenti governativi in materia di determinazione dei "criteri" per il trattamento dei dati personali (art. 6, d.lg. n. 124/1998).

Il decreto legislativo n. 124/1998 ha infatti inteso attribuire ad una fonte diversa dal decreto ministeriale previsto dal citato art. 5 la disciplina del trattamento dei dati personali (disciplina ora da emanarsi, oltre che sulla base delle leggi nn. 675 e 676 del 1996, anche dei decreti legislativi 11 maggio 1999, n. 135 e 30 luglio 1999, n. 282 ).

Sembra quindi necessario che lo schema in esame individui le malattie rare e disciplini gli altri aspetti in tema di partecipazione al costo e di prestazioni di assistenza (art. 5 d.lg. n. 124/1998), mentre la tematica del trattamento dei dati personali dovrà essere regolata dal diverso regolamento di cui all´art. 6 del d.lg. n. 124/1998.

A tal fine si richiama l´attenzione sul fatto che a decorrere dal 18 maggio 1999 il trattamento dei dati sensibili da parte dei soggetti pubblici è disciplinato non più sulla base del regime transitorio di cui all´art. 41, comma 5, della legge n. 675/1996, bensì secondo le regole e gli adempimenti previsti dall´art. 22, commi 3 e 3bis della legge medesima, come modificato dall´art. 5, comma 3 del decreto legislativo 11 maggio 1999, n. 135 .

In particolare, il decreto legislativo n. 135/1999 ha individuato alcune rilevanti finalità di interesse pubblico per il cui perseguimento è ora consentito il trattamento dei dati sensibili da parte dei soggetti pubblici.

Introducendo nell´art. 22 della legge n. 675/1996 il comma 3bis, il medesimo decreto n. 135 ha previsto che i soggetti pubblici (nei casi in cui, come nel decreto medesimo, è specificata legislativamente la finalità di rilevante interesse pubblico, ma non sono individuati i tipi di dati e le operazioni eseguibili), possono, in alternativa ad una integrazione legislativa, "identificare e rendere pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi, aggiornando tale identificazione periodicamente".

Nel caso in esame, il trattamento dei dati sensibili coinvolti nel flusso informativo finalizzato all´esenzione dalla partecipazione al costo delle malattie rare deve ritenersi compreso tra le attività di rilevante interesse pubblico rientranti nei compiti del Servizio sanitario nazionale individuate dall´art. 17 del d.lg. n. 135/1999 e, in particolare, nelle attività concernenti "la programmazione, la gestione, il controllo e la valutazione dell´assistenza sanitaria" e "l´instaurazione, la gestione, la pianificazione ed il controllo dei rapporti tra l´amministrazione ed i soggetti accreditati o convenzionati del Servizio sanitario nazionale" (art. 17, comma 1, lett. b) e h) d.lg. n. 135/1999 ).

Occorre quindi che codesta amministrazione precisi la portata dei trattamenti consentiti attraverso l´adozione di un provvedimento regolamentare, da emanarsi entro il 31 dicembre di quest´anno (art. 22, comma 3bis della legge n. 675/1996), che tenga conto anche di quanto previsto dal citato art. 6 del d.lg. n. 124/1998. Infatti, i commi 1bis e 1ter dell´art. 23 della legge n. 675/1996, quali aggiunti dall´art. 2 del decreto legislativo 30 luglio 1999, n. 282, sono espliciti nel richiedere un regolamento ministeriale ai sensi dell´art. 17 citato. Questo stesso regolamento potrà essere utilizzato anche per disciplinare il flusso di informazioni previsto nello schema di regolamento in esame, nell´osservanza dei criteri di essenzialità, pertinenza, compatibilità tra le finalità perseguite e di selettività nella comunicazione dei dati, già affermati dalla legge n. 675 e ora ribaditi per i dati sensibili dagli artt. 1 - 5 del d.lg. n. 135/1999.

A tutto ciò va aggiunto peraltro che, con riferimento all´utilizzazione della carta sanitaria elettronica (v. art. 4, c.4, dello schema), l´art. 6 del citato d.lg. n. 282/1999 , in materia di carte sanitarie elettroniche, prevede espressamente che il decreto del Ministro della sanità di cui all´art. 2, comma 1, del decreto legge n. 450/1998, convertito, con modificazioni dalla legge n. 39/1999, determina anche, tra le altre garanzie previste dall´art. 6, comma 4, del d.lg. n. 124/1998, le categorie di incaricati delle aziende sanitarie locali e di operatori sanitari che possono accedere alle diverse categorie di dati inseriti nelle carte, nonché le categorie professionali tenute ad inserire i dati e il periodo massimo entro il quale i dati devono essere aggiornati.

2) L´articolo 3 dello schema in esame (individuazione delle malattie rare), dispone che l´identificazione univoca delle malattie rare ai fini dell´esenzione avvenga mediante l´associazione a ciascuna malattia o gruppo di malattie di uno specifico codice identificativo, al quale sembrerebbe volersi attribuire la funzione di garantire la riservatezza degli interessati. Sulla base di tale presupposto, all´art. 6, comma 1, vengono inoltre disciplinate le modalità di prescrizione delle prestazioni correlate alle stesse patologie.

Al riguardo, si osserva che tali disposizioni non sono conformi a quanto stabilito dalla normativa in materia di dati personali.

Come già osservato con il parere reso in data 19 dicembre 1998, si deve infatti rilevare che l´attenzione di codesta Amministrazione si è al momento rivolta verso l´obiettivo di rendere difficilmente individuabili le patologie croniche ed invalidanti, mediante l´uso di codici riferiti alle stesse (elenco contenuto nell´allegato 1, parte integrante del decreto stesso). Non si è invece considerata la necessità di rendere non identificabili i soggetti affetti dalle patologie in discorso e non si è quindi affrontato il profilo più caratterizzante e necessario per l´applicazione della normativa in materia di tutela della riservatezza degli assistiti.

Il sistema di codici ipotizzato non appare idoneo ad impedire l´associazione della malattia ai singoli interessati, tenuto conto anche del fatto che i codici potrebbero essere associati facilmente alle corrispondenti malattie da parte di diversi soggetti aventi accesso alla tabella di corrispondenza fra codici e malattie contenuta nell´allegato 1 dello schema.

Si pone quindi l´esigenza di un miglioramento delle garanzie degli interessati. A puro titolo di esempio, si potrebbe verificare la possibilità di delimitare la conoscibilità della tabella di corrispondenza di cui ora si prevede la pubblicità, oppure si potrebbe prevedere una più circoscritta attività di registrazione, di conservazione e di accesso ai dati raccolti.

Considerate le perplessità già manifestate circa la facilità con cui è possibile "decodificare" il suddetto sistema di codici, si richiama l´attenzione sulla necessità del rispetto, per maggiore garanzia della riservatezza, del decreto legislativo n. 135/1999 nella parte in cui ha stabilito che i dati anagrafici devono essere conservati separatamente da quelli sanitari che, invece, se contenuti in elenchi, registri o banche dati devono essere trattati con "tecniche di cifratura o codici identificativi che consentano di identificare gli interessati solo in caso di necessità " (art. 3, commi 4 e 5, d.lg. n. 135/1999 ).

3) Per quanto concerne poi l´istituzione presso l´Istituto superiore di sanità del registro nazionale delle malattie rare (art. 2, comma 5), i cui contenuti caratteristici, nonché le modalità di comunicazione dei casi accertati saranno definiti con separato decreto del Ministro della sanità (art. 2, comma 6), si osserva che la relativa previsione regolamentare è generica e, in sostanza, si limita ad individuare le sole finalità generali per le quali viene istituito, senza fornire indicazioni sulle informazioni da inserirvi.

In questo senso, appare necessario che nei distinti atti regolamentari da emanare si definiscano:

  • le categorie dei dati personali in essa contenute;
  • le relative modalità di funzionamento e di gestione del registro in relazione, soprattutto, all´accesso ai dati, sia interno (uffici responsabili quali i presìdi della rete o i centri interregionali, impiegati incaricati di consultare o elaborare i dati), sia esterno (altre amministrazioni pubbliche o eventuali soggetti privati);
  • almeno in linea generale, apposite misure da adottare per la custodia, la conservazione e la sicurezza dei dati.

4) Si fa presente infine che, per quanto attiene i profili della sicurezza, la recente pubblicazione in Gazzetta Ufficiale (G.U. n. 216 del 14 settembre 1999) del d.P.R. 28 luglio 1999 n. 318, recante norme per l´individuazione delle misure minime di sicurezza per il trattamento dei dati personali, obbliga gli uffici interessati ad adottare le misure di cui all´art. 15, comma 2, della legge 31 dicembre 1996, n. 675 entro il termine di sei mesi dall´entrata in vigore del regolamento stesso (art. 41, comma 3, l. n. 675/1996 ).

In particolare, si richiama l´attenzione sulle disposizioni dell´art. 5 ("accesso ai dati particolari") che prevedono, per l´accesso alle operazioni di trattamento dei dati di cui agli articoli 22 e 24, specifiche autorizzazioni rilasciate agli incaricati del trattamento o della manutenzione da parte del titolare o, se designato, del responsabile.

In proposito, sarebbe opportuno inserire nello schema in esame quantomeno un richiamo al suddetto d.P.R. n. 318/1999, in materia di sicurezza.

L´Autorità resta a disposizione per ogni ulteriore collaborazione o chiarimento anche per ciò che riguarda l´adozione del sopra richiamato decreto del Ministro della sanità, previsto dall´art. 2, comma 6, dello schema in esame.

IL PRESIDENTE