g-docweb-display Portlet

  1. Home
  2. Provvedimenti
  3. Parere del Garante
  4. Parere sullo schema di decreto del Ministro del lavoro, della salute e delle politiche sociali 17 dicembre 2008 recante “Istituzione del sistema informativo per il monitoraggio delle prestazioni erogate nell’ambito dell'assistenza sanitaria in emergenza-urgenza” (EMUR) e sul relativo disciplinare tecnico - 6 luglio 2023 [9919963]

Parere sullo schema di decreto del Ministro del lavoro, della salute e delle politiche sociali 17 dicembre 2008 recante “Istituzione del sistema informativo per il monitoraggio delle prestazioni erogate nell’ambito dell'assistenza sanitaria in emergenza-urgenza” (EMUR) e sul relativo disciplinare tecnico - 6 luglio 2023 [9919963]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9919963]

Parere sullo schema di decreto del Ministro del lavoro, della salute e delle politiche sociali 17 dicembre 2008 recante “Istituzione del sistema informativo per il monitoraggio delle prestazioni erogate nell’ambito dell'assistenza sanitaria in emergenza-urgenza” (EMUR) e sul relativo disciplinare tecnico - 6 luglio 2023

Registro dei provvedimenti
n. 283 del 6 luglio 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (d.lgs. 30 giugno 2003, n. 196, di seguito “Codice”);

VISTO il decreto del Ministro del lavoro, della salute e delle politiche sociali 17 dicembre 2008, recante “Istituzione del sistema informativo per il monitoraggio delle prestazioni erogate nell’ambito dell'assistenza sanitaria in emergenza-urgenza” (di seguito EMUR);

VISTO il d.m. 7 dicembre 2016, n. 262, “Regolamento recante procedure per l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato”;

CONSIDERATO che, tra i sistemi informativi del Servizio sanitario nazionale, interconnessi ai sensi del richiamato d.m. n. 262 del 2016, è incluso quello relativo al monitoraggio delle prestazioni erogate nell’ambito dell'assistenza sanitaria in emergenza-urgenza, di cui al d.m. 17 dicembre 2008;

VISTA la nota con la quale il Ministero della salute ha chiesto al Garante di esprimere il parere di competenza sullo schema di decreto del Ministro della salute di modifica del decreto del Ministro del lavoro, della salute e delle politiche sociali del 17 dicembre 2008, recante “Istituzione del sistema informativo per il monitoraggio delle prestazioni erogate nell’ambito dell'assistenza sanitaria in emergenza-urgenza” e sul relativo disciplinare tecnico (nota del 27 gennaio 2023, prot. n. 4089 in sostituzione della precedente trasmissione del 19 gennaio 2023, nota prot. n. 448);

CONSIDERATO che con nota del 2 marzo 2023 (prot. n. 38118) l’Ufficio del Garante ha chiesto al Ministero della salute di comprovare che il periodo di conservazione dei dati indicato nello schema di decreto fosse conforme al principio di limitazione della conservazione in base al quale i dati devono essere “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e) e par. 2 del Regolamento);

VISTA la nota del 9 marzo 2023 con la quale il predetto Ministero ha fornito gli elementi richiesti, proponendo una riformulazione dell’articolo dello schema di decreto sui tempi di conservazione;

CONSIDERATO che con nota del 13 marzo 2023 l’Ufficio del Garante ha chiesto al Ministero della salute ulteriori chiarimenti in merito alle finalità individuate per determinare il termine di conservazione;

VISTA la nota del 27 marzo 2023 con la quale il predetto Ministero ha fornito gli elementi richiesti, rappresentando che non sono state più riportate le finalità relative a “studi longitudinali e indagini retrospettive rivolti a indagare l'evoluzione e i determinanti dello stato di salute della popolazione (…) (che) richiedono disegni dello studio epidemiologico e metodi statistici (e) (…) necessitano di periodi pluriennali di osservazione per l’elaborazione e il confronto di trend di osservazione, per l'identificazione di fattori di rischio per la salute a lunga latenza, per la valutazione della sicurezza e dell'aderenza delle terapie croniche e per l'applicazione di modelli di previsione a lungo termine del bisogno di salute e di assistenza” precedentemente indicate;

VISTA la nota del 31 marzo 2023, prot. n. 55168, con la quale l’Ufficio ha nuovamente chiesto, tra le altre cose, al Ministero della salute di comprovare, sulla base di argomentazioni tecnico-scientifiche, che il periodo di conservazione dei dati indicato nello schema di decreto sia conforme al richiamato principio di limitazione della conservazione (art. 5, par. 1, lett. e) e par. 2 del Regolamento);

CONSIDERATO che, con nota 29 maggio 2023 (prot. n DGSISS.03/F.7.b.a.3/2023/23), il Ministero ha chiarito che “Per la valutazione dei percorsi di cura è necessario, infatti, che i dati comprendano l’intero percorso di vita degli assistiti, incluso l’evento morte, esito fondamentale nell’analisi dei percorsi stessi, e che i dati sanitari raccolti nei diversi setting assistenziali siano interconnessi tra loro. Detti percorsi individuali devono essere quantitativamente sufficienti in modo da poter essere analizzati in modalità aggregata, per la ricostruzione di situazioni sanitarie simili, che permettano valutazioni e comparazioni della qualità e dell’efficacia delle cure anche rispetto a patologie rare”;

CONSIDERATO altresì che, a tal fine, il Ministero ha rappresentato la necessità di prevedere un criterio di conservazione che “contempli l’evento morte e da esso faccia decorre un periodo di tempo che da un lato assicuri un termine uniforme di conservazione per tutti gli interessati, a prescindere dalla durata della loro vita, dall’altro consenta di disporre di una base dati sufficiente per le analisi e il trattamento previsto per la finalità sopra descritta. Considerato che, secondo i dati ISTAT, l’età mediana (età che bipartisce esattamente - 50% - la popolazione, i cui componenti siano ordinati per età) della popolazione italiana è attualmente di 44 anni e la speranza di vita alla nascita in Italia è di 82,6 anni, l’eliminazione dei dati individuali al decesso dell’interessato determinerebbe una rilevante riduzione (in termini statistici un dimezzamento) della popolazione attualmente presente in NSIS, nel periodo corrispondente alla differenza tra la speranza di vita e l’età mediana, pari a 38,6 anni. Pertanto, al fine poter disporre di una base dati che rappresenti gli eventi sanitari dell’intera popolazione assistita in Italia, è necessario prevedere un termine di conservazione di 38,6 anni dalla morte dell’interessato, in modo da garantire nel tempo una numerosità comparabile alla stessa popolazione utilizzabile per aggregazioni numericamente significative di situazioni sanitarie simili (per fasce di età, e patologia, ecc) con percorsi ed esiti di cura diversi”;

CONSIDERATO inoltre che il Ministero ha rappresentato che “[...] nella procedura per l’interconnessione di cui all’articolo 3 del decreto del Ministero della salute 7 dicembre 2016, n. 262 è previsto che l’ANA fornisca al Ministero della salute il servizio di verifica della validità del codice identificativo e di aggiornamento dei dati e che il comma 4, dell’articolo 4, del decreto del Presidente del Consiglio dei ministri 1 giugno 2022, recante “Istituzione dell'Anagrafe nazionale degli assistiti (ANA)”, e che tale procedura “prevede un termine di conservazione di trent’anni, è stato necessario adeguare a questo limite inferiore anche il periodo di conservazione dei flussi NSIS interconnettibili in quanto per i dati da interconnettere riferiti a periodi più lunghi non sarebbe garantito da ANA il citato servizio di verifica del codice identificativo e di aggiornamento dei dati”;

CONSIDERATO infine che il Ministero ha rappresentato che il periodo di conservazione di 30 anni “consentirebbe anche un confronto intergenerazionale, atteso che il relativo intervallo – un tempo convenzionalmente stabilito in 25 anni – è da considerarsi attualmente vicino ai 30 anni, in quanto l’età media delle donne alla nascita del primo figlio è in Italia, al momento, pari a 31,6 anni, come rilevato da EUROSTAT”;

PRESO ATTO delle richiamate motivazioni tecniche-scientifiche e organizzative in ordine al periodo di conservazione dei dati nel sistema EMUR;

VISTA la nota del 6 giugno 2023 (prot. 22338) con la quale il Ministero della salute ha nuovamente trasmesso lo schema di decreto (unitamente al disciplinare tecnico) che modifica il decreto del Ministro del lavoro, della salute e delle politiche sociali del 17 dicembre 2008 sul Sistema informativo per il monitoraggio delle prestazioni erogate nell’ambito dell’assistenza sanitaria in emergenza-urgenza (EMUR) integrato -nelle premesse- con i richiami alla citata nota del 29/05/2023, con la quale questo Ministero ha fornito le motivazioni tecnico-scientifiche correlate all’individuazione del periodo di conservazione dei dati personali trattati nell’ambito dei sistemi informativi NSIS interconnettibili;

PRESO ATTO della necessità rappresentata dal Ministero della salute di attribuire al Sistema EMUR anche la finalità di consentire l’allerta rapida relativa alle Sindromi respiratorie, in base agli accessi in Pronto Soccorso, individuata nel “protocollo per la realizzazione di un sistema di allerta rapida basato sui dati di accesso in Pronto Soccorso per Sindrome respiratoria redatto nell’ambito del Piano Pandemico del Gruppo di lavoro “Sistema Informativi – Sottogruppo Sorveglianza Sindromica, in fase di approvazione dalla Conferenza Stato- Regioni. Tale Sistema di allerta rapida è necessario per motivi di interesse pubblico nel settore della sanità pubblica, poiché è in grado di potenziare la capacità di risposta rapida ad allerte ed eventi inattesi, nonché di individuare tempestivamente i focolai di potenziali nuovi patogeni respiratori”;
PRESO ATTO che il Ministero della salute ha rappresentato che “lo schema di decreto […] prevede che le informazioni dovranno essere rilevate al completamento dell’intervento di Emergenza-urgenza sanitaria e trasmesse nel tracciato Pronto Soccorso al Nuovo Sistema Informativo Sanitario (NSIS), con frequenza settimanale, e [che] il Sistema EMUR consentirà alle competenti unità organizzative delle Direzioni generali del Ministero della salute, di consultare le informazioni rese disponibili in forma aggregata e all’Istituto Superiore di Sanità di accedere ai dati rielaborati dalle suddette competenti Direzioni generali del Ministero della salute, limitatamente alle informazioni, prive del codice identificativo dell’assistito, necessarie e relative agli accessi al Pronto Soccorso, con particolare riferimento alle sindromi respiratorie individuate nel richiamato Protocollo”;

PRESO ATTO che il Ministero della salute ha precisato di essere il titolare del trattamento dei dati contenuti nel Sistema EMUR e che “limitatamente alla finalità di allerta rapida relativa alle sindromi respiratorie, l’Istituto Superiore di Sanità è designato quale responsabile del trattamento dei dati, ai sensi dell’articolo 28 del regolamento UE 2016/679”;

CONSIDERATO che il d.m. del 17 dicembre 2008 si compone di n. 10 articoli relativi rispettivamente a:

Ambito di applicazione (art. 1);

Sistema informativo emergenza-urgenza 118 e Pronto Soccorso (art. 2);

Flussi in ingresso nel Sistema informativo (art. 3);

Accesso ai dati (art. 4);

Modalità e tempi di trasmissione (art.5),

Disposizioni transitorie (art. 6);

Ritardi ed inadempienze (art. 7);

Regole di acquisizione e di controllo dei dati (art. 8, soppresso con d.m. del 6 agosto 2012);

Trattamento dei dati (art. 9);

Entrata in vigore (art. 10);

RILEVATO che il Ministero della salute, tenuto conto dei rilievi formulati dall’Ufficio del Garante nel corso delle interlocuzioni informali con lo schema di decreto trasmesso, intende apportare, in particolare, le seguenti modifiche e integrazioni al d.m. istitutivo del Sistema EMUR:

all’art. 2, comma 1, specificare che la realizzazione e gestione del Sistema è ora affidata al “Ministero della salute – Direzione generale competente in materia di digitalizzazione del sistema informativo sanitario, come individuata dal decreto ministeriale di organizzazione”;

all’art. 2, comma 2-bis, specificare che il Sistema è volto a consentire le analisi dei dati utili per il calcolo di indicatori, a livello aziendale e su base annuale, e che le procedure di codifica dei dati avvengono in conformità “all’articolo 3 del decreto del Ministro della salute 7 dicembre 2016, n. 262, per l’interconnessione a livello nazionale, nell’ambito del NSIS, dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato”;

all’art. 2, dopo il comma 2-bis, aggiungere il comma 2-ter, volto a specificare la nuova finalità di allerta rapida perseguita attraverso il Sistema EMUR, sopra richiamata;

all’art. 3, comma 1, dopo la lett. k), aggiungere la lett. l) per introdurre la specifica che i dati sono raccolti con “il codice individuale dell’assistito”, intendendosi per tale il sistema di codifica CUNI-CUNA come previsto dal richiamato decreto n. 262 del 2016 e specificato nel disciplinare tecnico, allegato allo schema del decreto;

all’art. 4, al comma 1, specificare che le competenti unità organizzative delle regioni e delle provincie autonome nonché le Direzioni del Ministero della salute accedono ai dati in forma aggregata, a livello aziendale e su base annuale, per finalità di analisi comparative e di programmazione (lett. a e b);

all’art. 4, dopo il comma 1, aggiungere il comma 2, volto a specificare che l’Istituto Superiore di Sanità accede “esclusivamente” per la realizzazione, da parte del Ministero della salute, della finalità di allerta rapida “in qualità di responsabile del trattamento dei dati personali, ai sensi dell’articolo 28 del Regolamento UE 2016/679 ai dati estratti dal Sistema e privati del codice identificativo dell’assistito, limitatamente alle informazioni necessarie e relative agli accessi al Pronto Soccorso, secondo le modalità specificate nel disciplinare tecnico (…), con particolare riferimento alle sindromi respiratorie individuate nel Protocollo per la realizzazione di un sistema di allerta rapida basato sui dati di accesso in pronto soccorso per Sindrome Respiratoria” e che le “competenti unità organizzative delle Direzioni generali” del Ministero della salute consultano “le informazioni rese disponibili dall’Istituto Superiore di Sanità, in forma aggregata, a livello comunale su base settimanale, e riferite al numero di accessi e all’incidenza di accessi per Sindrome Respiratoria e per tutte le altre cause di accesso, nonché relative ai valori stimati dal modello statistico”;

all’art. 5, comma 2, specificare che “eventuali correzioni dei dati dovranno essere trasmesse con le modalità indicate nell’allegato 1, attraverso il flusso delle eccezioni, entro tre mesi dalla data di invio del file oggetto di correzione”;

all’art. 5, dopo il comma 2, inserire il comma 2-bis, volto a specificare che “per la finalità di cui all’articolo 2, comma 2-ter, le informazioni devono essere rilevate al completamento dell’intervento di Emergenza-Urgenza sanitaria e trasmesse al NSIS, con cadenza settimanale, entro la settimana successiva. Eventuali correzioni dei dati dovranno essere trasmesse con le modalità indicate nell’allegato 1, attraverso il flusso delle eccezioni, entro le 48 ore successive alla data di invio del file oggetto di correzione”;

eliminare l’art. 6 relativo alla fase transitoria;

modificare il contenuto dell’art. 9, al fine di armonizzarlo con il rinnovato quadro in materia di protezione dei dati personali e alla specifica disciplina di settore di cui al d.m. del 7 dicembre 2016, n. 262 e al decreto legislativo 7 marzo 2005, n. 82, Codice dell'amministrazione digitale;

introdurre l’art. 9-bis, rubricato “Periodo di conservazione e diritti dell’interessato” dove è specificato che “i dati personali presenti nel Sistema sono cancellati trascorsi trent’anni dal decesso dell’interessato, con periodicità annuale”;

introdurre l’art. 9-ter, rubricato “Pubblicazione degli aggiornamenti relativi alle specifiche tecniche delle funzioni e dei servizi” sugli aggiornamenti delle specifiche tecniche;

RILEVATO che anche lo schema di disciplinare tecnico allegato allo schema di decreto risulta modificato in coerenza con le modifiche e integrazioni di cui sopra nonché con il rinnovato quadro in materia di protezione dei dati personali, con la specifica disciplina di settore di cui al d.m. del 7 dicembre 2016, n. 262 e al decreto legislativo 7 marzo 2005, n. 82, Codice dell'amministrazione digitale;

CONSIDERATO che le richiamate modifiche allo schema di decreto e al relativo disciplinare tecnico tengono conto delle osservazioni formulate dall’Ufficio nel corso delle interlocuzioni informali che hanno riguardato in particolare la necessità di:

indicare nei visti dello schema di decreto il riferimento all’art. 47-bis, comma 2, del d.lgs. 30 luglio 1999 che, a seguito della modifica apportata dal d.l. 24 marzo 2022, n. 24, convertito, con modificazioni, dalla L. 19 maggio 2022, n. 52, attribuisce al Ministero della salute specifiche competenze in materia di contrasto di ogni emergenza sanitaria, nonché ogni iniziativa volta alla cura delle patologie epidemico-pandemiche emergenti;

specificare nello schema di decreto che l’Istituto Superiore di Sanità agisce in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento. A tale riguardo si prende atto che la nomina a responsabile del trattamento dell’Istituto Superiore di Sanità, riguarda la finalità di allerta rapida relativa alle Sindromi respiratorie inerente alle richiamate competenze istituzionali del Ministero della salute;

uniformare lo schema di decreto al sistema di codifica previsto dal d.m. n. 262 del 2016 e al decreto legislativo 7 marzo 2005, n. 82, Codice dell'amministrazione digitale;

specificare i livelli di aggregazione dei dati contenuti nel sistema previsti per l’accesso da parte delle Direzioni del Ministero;

specificare nel disciplinare la tipologia di procedura di autenticazione informatica degli utenti (4.1.2);

tener conto nel disciplinare delle “Raccomandazioni AGID in merito allo standard Transport Layer Security (TLS)” per quanto concerne la trasmissione di dati, da parte del Ministero della salute verso l’Istituto Superiore di Sanità (4.4);

specificare nel disciplinare che il Sistema non consente l’accesso a Enti esterni al Ministero a eccezione dell’Istituto Superiore di Sanità in qualità di responsabile del trattamento ai sensi dell’art. 28 del Regolamento (4.5);

PRESO ATTO delle ragioni rappresentate dal Ministero della salute in ordine alla necessità di modificare ed integrare il Sistema EMUR, secondo quanto sopra indicato;

PRESO ATTO che il Protocollo per la realizzazione di un meccanismo di allerta rapida basato sui dati di accesso in pronto soccorso per Sindrome Respiratoria è attualmente in fase di revisione;

RITENUTO che il presente parere è rilasciato sull’attuale predetto Protocollo e che, qualora dalla revisione dello stesso si introducessero modifiche circa la tipologia dei dati raccolti o le operazioni effettuate, sarebbe necessario modificare lo schema di decreto in esame e acquisire un nuovo parere dell’Autorità;

RITENUTO di non dover formulare osservazioni sullo schema di decreto trasmesso, atteso il complesso delle misure di garanzia ivi contenute, ritenute appropriate per tutelare i diritti fondamentali e gli interessi delle persone fisiche correlate ai trattamenti dei dati personali oggetto del trattamento;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l'avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 58, par. 3, lett. c), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministro della salute di modifica del decreto del Ministro della salute di modifica del decreto del Ministro del lavoro, della salute e delle politiche sociali del 17 dicembre 2008, recante “Istituzione del sistema informativo per il monitoraggio delle prestazioni erogate nell’ambito dell'assistenza sanitaria in emergenza-urgenza” e sul relativo disciplinare tecnico.

Roma, 6 luglio 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei

 

Scheda

Doc-Web
9919963
Data
06/07/23

Argomenti

Dati sanitari Aziende sanitarie Pazienti

Tipologie

Parere del Garante

Vedi anche (10)