g-docweb-display Portlet

Parere su uno schema di regolamento della Provincia autonoma di Trento concernente il funzionamento del Registro provinciale di artroprotesi - 10 febbraio 2022 [9750238]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9750238]

Parere su uno schema di regolamento della Provincia autonoma di Trento concernente il funzionamento del Registro provinciale di artroprotesi - 10 febbraio 2022

Registro dei provvedimenti
n. 38 del 10 febbraio 2022

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avv. Guido Scorza, componente e il cons. Fabio Mattei, segretario generale;

Vista la richiesta di parere della Provincia autonoma di Trento;

Visto il Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito: “Regolamento”) e, in particolare, l’articolo 36, paragrafo 4;

Visto il  Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo 30 giugno 2003, n. 196 e s.m.i., di seguito: “Codice”) e, in particolare, l’articolo 154, comma 5;

Vista la documentazione in atti;

Viste le osservazioni del segretario generale, rese ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;

Relatore l’avv. Guido Scorza;

PREMESSO

La Provincia autonoma di Trento ha richiesto il parere del Garante su di uno schema di regolamento concernente il funzionamento del Registro provinciale di artroprotesi.

Lo schema di regolamento, corredato da un disciplinare tecnico (allegato A) che ne costituisce parte integrante, è adottato ai sensi dell’articolo 14, comma 5-bis della legge provinciale 23 luglio 2010 n. 16 (legge provinciale sulla tutela della salute), che demanda appunto alla fonte regolamentare la disciplina delle modalità di costituzione ed alimentazione del Registro.

La legittimazione della fonte legislativa provinciale in materia è sancita dall’articolo 12, commi 10 e 12 del d.l. 18 ottobre 2012, n. 179, convertito, con modificazioni, dalla legge n.221 del 2012.

Al suo primo articolo, il provvedimento reca una clausola di rinvio generale alle definizioni di cui all’articolo 4 del Regolamento, oltre ad introdurre quelle di “Registro di artroprotesi” e di “popolazione di riferimento”.

Il Registro, dunque, viene definito come un sistema attivo di raccolta sistematica di dati personali anagrafici e sanitari relativi agli interventi di protesica articolare eseguiti sui residenti nel territorio della Provincia Autonoma di Trento, nonché sui pazienti extra-provinciali operati nelle strutture provinciali pubbliche e private accreditate. La funzione generale del Registro è, dunque, connessa all’esigenza di monitoraggio del ricorso alla chirurgia protesica articolare, nonché di misurazione dell’efficacia a lungo termine delle protesi utilizzate negli interventi di sostituzione articolare.

RILEVATO

Il secondo e il terzo articolo del provvedimento disciplinano le specifiche finalità perseguite -nell’ambito di quelle di rilevante interesse pubblico di cui all’articolo 2-sexies, comma 2, lett. v) e lett. cc) del Codice- dal Registro, i tipi di dati personali trattati e le operazioni eseguibili, i soggetti legittimati al trattamento, nonché le misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dei soggetti coinvolti.

Tra le finalità specifiche perseguite dal Registro e indicate dall’articolo 3 sono ricomprese anche quelle funzionali a rintracciare velocemente i pazienti in caso di richiamo di protesi impiantate difettose (lett. b); a svolgere studi epidemiologici sui casi, i fattori di rischio legati agli interventi e gli esiti di questi (lett. e); a produrre dati anonimi e aggregati per la programmazione, gestione, controllo e valutazione dell’assistenza sanitaria, inerente gli interventi per il miglioramento dell’efficacia e sicurezza delle protesi e per la riduzione del rischio clinico (lett. f) e, infine, a  monitorare e valutare i dati relativi all'appropriatezza e qualità dei servizi diagnostici terapeutici, nonché alla sopravvivenza dei pazienti operati (lett. g).

L’articolo 4 individua il titolare del trattamento dei dati contenuti nel Registro nell’Azienda provinciale per i servizi sanitari (APSS), presso la quale il Registro stesso è istituito, mentre l’articolo 5 delinea il perimetro oggettivo del trattamento, individuando le tipologie di dati suscettibili di raccolta (essenzialmente informazioni diagnostiche e relative all’intervento svolto).

Gli articoli 6, 7 e 8 disciplinano invece la raccolta, le fonti di acquisizione, le modalità di comunicazione e la diffusione dei dati, che dovrà avvenire attraverso dati anonimi, relativi ai casi registrati, in forma esclusivamente aggregata oppure secondo modalità che non rendano identificabili i soggetti interessati.

Il Registro viene alimentato dall’archivio provinciale delle Schede di dimissioni ospedaliere (SDO), dagli archivi delle Aziende sanitarie, e delle strutture sanitarie private accreditate (tra cui il Sistema informativo ospedaliero aziendale (SIO) o analogo programma in uso presso le strutture private accreditate); dagli archivi delle cartelle cliniche e dal sistema di raccolta dati di intervento del Registro italiano artroProtesi( RaDaR2) e dall’Anagrafe Sanitaria provinciale degli assistiti, effettuando il raffronto dei dati anagrafici dei soggetti iscritti o da iscrivere nel Registro di artroprotesi con i dati anagrafici contenuti nella stessa Anagrafe, al fine di verificarne ove necessario l’esattezza e l’aggiornamento dei dati, individuando eventuali duplicazioni.

Con riferimento alla comunicazione dei dati, l’articolo 7 stabilisce al primo comma che il titolare del trattamento dei dati contenuti nel Registro artroprotesi comunica le informazioni diagnostiche e relative alla protesi e all’intervento al Registro italiano di artroprotesi (RIAP). Lo stesso articolo, al secondo comma, disciplina la condivisione di informazioni tra i titolari dei diversi registri di artroprotesi regionali e provinciali, ove “legittimamente istituti e regolamentati” secondo l’articolo 2-sexies del Codice, rinviando l’individuazione delle modalità tecniche di trasmissione dei dati ad apposite convenzioni (non più necessarie, tuttavia, a seguito della novella prima e dell’abrogazione, poi, dell’articolo 58 del d.lgs. 82 del 2005).

In ordine alla sicurezza dei dati personali, l’articolo 10 impone l’adozione di misure tecniche e organizzative individuate ai sensi degli articoli 25 e 32 del Regolamento - anche a seguito di un’adeguata valutazione d’impatto - e specificate nel Disciplinare Tecnico (All.  A), comprensivo dei criteri di codifica dei dati trattati.

L’art. 12 dispone che il titolare possa fornire informazioni agli interessati in relazione ai trattamenti svolti per le finalità di ricerca scientifica in campo medico, biomedico ed epidemiologico attraverso il proprio sito internet istituzionale. L’articolo 13 reca disposizioni in materia di conservazione dei dati, prevedendo che quelli presenti nel sistema informatico del Registro debbano essere cancellati o resi anonimi in maniera irreversibile trascorsi trent’anni dal decesso dell’interessato. I supporti contenenti dati sanitari sono invece distrutti o restituiti, entro un periodo di 10 anni dal decesso dell’interessato stesso.

RITENUTO

Lo schema di regolamento, pur risultando nella sua gran parte conforme alle disposizioni in materia di protezione dei dati personali, necessita di alcune modifiche, di seguito descritte.

In particolare, con riferimento all’articolo 5, nel quale vengono indicati i tipi di dati personali trattati, sarebbe opportuno precisare che il Registro comporta, per sua stessa natura, anche il trattamento di dati personali direttamente identificativi degli interessati quali, ad esempio, nome, cognome, data di nascita e codice fiscale.

Riguardo agli articoli 6 e 7, va invece meglio chiarito il flusso informativo da e verso il RIAP, descritto nel regolamento come duplice. Se, infatti, l’articolo 6, comma 1, lett. B), punto c), indica il “sistema di raccolta dati di intervento del Registro Italiano ArtroProtesi (RaDaR2)” tra le fonti di alimentazione del Registro provinciale, l’articolo 7, comma 1, prevede invece un debito informativo del Registro verso il RIAP.

E se quest’ultima disposizione appare conforme alla disciplina istitutiva del RIAP e alla sua stessa struttura federativa rispetto ai Registri regionali, meno comprensibile è la previsione dell’articolo 6, relativa all’alimentazione del Registro da parte del RIAP. Ciò rischia infatti di determinare una duplicazione (con possibile disallineamento) dei dati, nella misura in cui anche il RIAP è alimentato dagli stessi registri regionali e dalle Schede di dimissioni ospedaliera (SDO).

In ordine alla disciplina della diffusione dei dati di cui all’articolo 8, sarebbe poi opportuno precisare che le modalità da adottare devono essere tali da non rendere identificabili gli interessati neppure mediante dati identificativi indiretti. Inoltre, il concetto di “dati anonimi” richiamato dalla norma andrebbe più propriamente sostituito con il riferimento a “dati anonimizzati secondo tecniche idonee allo stato dell’arte”, al fine di rapportare il grado di anonimizzazione ottenuto a quello suscettibile di conseguimento secondo le tecniche disponibili.

In relazione al disciplinare tecnico, le misure relative ai file di log (§ 1.1. in particolare) dovrebbero essere integrate prescrivendone:

i. caratteristiche di integrità e inalterabilità;

ii. protezione da ogni uso improprio;

iii. accessibilità da parte di personale opportunamente incaricato e autorizzato;

iv. trattamento in forma anonimizzata mediante aggregazione.

Inoltre, le misure di cui al paragrafo 1.4 dovrebbero essere integrate con la previsione, di cui alla lettera b) del paragrafo 1.5, relativa alla dicitura da apporre sul plico.

Per altro verso, la possibilità di trasmissione dei documenti in forma cartacea, di cui al paragrafo 1.5, andrebbe esclusa o quantomeno configurata come residuale preferendo le modalità di scambio di dati tra sistemi “Machine to Machine”, così da minimizzare i rischi di accesso abusivo o trattamento illecito.

La disciplina della conservazione dei dati di cui al paragrafo 3 dovrebbe, infine, essere integrata prevedendo:

i. una procedura di backup aggiornata, ripetibile e periodicamente verificata a garanzia dell’efficacia della copertura e ricostruzione dei dati, tale da consentire la conservazione separata dei supporti utilizzati dai dati;

ii. Disaster Recovery Plan e Business Continuity Plan aggiornati e periodicamente
verificati.

IL GARANTE

ai sensi dell’articolo 57, par. 1, lett. c), del Regolamento, esprime parere favorevole sul proposto schema di regolamento concernente il funzionamento del Registro di artroprotesi della Provincia autonoma di Trento, con le seguenti osservazioni, esposte nel “Ritenuto”, volte a sottolineare l’esigenza di:

a) precisare, all’articolo 5, che il Registro comporta anche il trattamento di dati personali direttamente identificativi degli interessati quali, ad esempio, nome, cognome, data di nascita e codice fiscale;

b) definire più puntualmente il flusso informativo da e verso il RIAP, con particolare riguardo alla previsione di cui all’articolo 6, comma 1, lett. B), punto c);

c) all’articolo 8:

-  sostituire le parole: “dati anonimi” con le seguenti: “dati anonimizzati secondo tecniche idonee allo stato dell’arte”.

- precisare che le modalità da adottare per la diffusione dei dati devono essere tali da non rendere identificabili gli interessati neppure mediante dati identificativi indiretti;

d) in relazione al disciplinare tecnico:

1) integrare le misure relative ai file di log (§ 1.1. in particolare), prescrivendone:

i. caratteristiche di integrità e inalterabilità;

ii. protezione da ogni uso improprio;

iii. accessibilità da parte di personale opportunamente incaricato e autorizzato;

iv. trattamento in forma anonimizzata mediante aggregazione;

2) integrare le misure di cui al paragrafo 1.4 con la previsione, di cui alla lettera b) del paragrafo 1.5, relativa alla dicitura da apporre sul plico;

3) escludere o quantomeno prevedere come residuale la trasmissione dei documenti in forma cartacea, di cui al paragrafo 1.5, in favore di modalità di scambio di dati tra sistemi “Machine to Machine”;

4) integrare la disciplina della conservazione dei dati di cui al paragrafo 3 prevedendo:

i. una procedura di backup aggiornata, ripetibile e periodicamente verificata a garanzia dell’efficacia della copertura e ricostruzione dei dati, tale da consentire la conservazione separata dei supporti utilizzati dai dati;

ii. Disaster Recovery Plan e Business Continuity Plan aggiornati e periodicamente
verificati.

Roma, 10 febbraio 2022

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei


Vedi anche (10)