Audizione - Garante Privacy

Audizione del Presidente del Garante per la protezione dei dati personali, Antonello Soro, nell'ambito dell'esame delle proposte di
legge recanti "Istituzione e disciplina del Registro nazionale e dei registri regionali dei tumori"
presso la Commissione Affari sociali della Camera dei Deputati (8 marzo 2016)
(testo dell'intervento)
1. Il contesto di riferimento
Ringrazio la Commissione per l'opportunità offertami di trattare un aspetto così rilevante della digitalizzazione della sanità.
E' fuori discussione che questa trasformazione vada incoraggiata, in quanto ineludibile fattore di sviluppo e modernizzazione del Paese,
oltre che di miglioramento dell'efficienza della sanità.
Ma vorrei sottolineare, in via preliminare, che questo processo va anche governato con molta attenzione, in quanto coinvolge categorie di
dati personali (c.d. ipersensibili) tra le più delicate e, per questo, meritevoli di quella tutela rafforzata che il nostro ordinamento loro assegna.
I dati sanitari, se illecitamente trattati o – come avvenuto più volte – addirittura "rubati", sono infatti suscettibili di esporre l'interessato a
forme di discriminazione rese possibili, appunto, soltanto dalla conoscenza di aspetti così intimi quali quelli "idonei a rivelare lo stato di
salute dell'interessato".
La perdita, la sottrazione, l'alterazione, l'abuso di un dato sanitario rende vulnerabili banche dati essenziali e, insieme, viola quanto di più
intimo e privato vi è nella persona: ne tocca la dignità.
Ma soprattutto, la vulnerabilità del dato sanitario e, quindi, la suscettibilità di alterazione o modificazione, rischia – come abbiamo
sottolineato anche rispetto al FSE - di determinare errori diagnostici o terapeutici, con conseguenze anche letali.
Per questo, nel processo di trasferimento della sanità nella dimensione digitale la frammentazione, l'assenza di un piano organico di sicurezza
e la disomogeneità che hanno caratterizzato, purtroppo, l'informatizzazione della p.a. nel nostro Paese (con gravi rischi anche in termini di
cybersecurity), sono ancora più pericolose che in ogni altro settore.
La carente sicurezza dei dati può rappresentare, in altri termini, una causa di malasanità.
E la protezione dei dati personali, per converso, rappresenta un fattore determinante di efficienza sanitaria.
Come detto, la legge accorda a questi dati una tutela rafforzata, che si articola, in particolare, negli obblighi di:
- conservazione separata da ogni altro dato,
-cifratura e conservazione in modo da rendere tali dati inintellegibili anche ai soggetti legittimati;
- notificazione al Garante al verificarsi di alcune condizioni;
- nel criterio del "pari rango" per l'ostensione di tali dati nel procedimento amministrativo e nel divieto assoluto di pubblicazione da
parte delle p.a., persino in materia di trasparenza;
- nella possibilità di trattare tali dati, da parte di soggetti pubblici, solo per fini di rilevante interesse pubblico, tra i quali appunto la
ricerca scientifica.
Il tema dei registri di patologia è stato, peraltro, portato più volte all'attenzione del Garante, al fine di tracciare l'equilibrio migliore tra
esigenze di analisi epidemiologica (che in ultima analisi significa diritto alla salute) e diritto alla protezione dei dati personali dei pazienti.
Già nella scorsa legislatura fummo sentiti in audizione sulle norme istitutive dei registri di tumori ed altre patologie e diversi sono stati gli
interventi su leggi regionali che ne disciplinavano la gestione.
In seguito all'istituzione del fascicolo sanitario elettronico, dei sistemi di sorveglianza e dei registri sanitari abbiamo in particolare reso
parere, lo scorso 23 luglio, sul dPCM attuativo di tale norma del decreto-legge. (annunciato un anno prima in sede di risposta del Governo su
un atto di sindacato ispettivo).
In tale parere si sottolineava, tra l'altro, l'anomalia della procedura seguita nell'attuazione della disciplina legislativa, dal momento che il
d.P.C.M. (per la cui adozione non è previsto un termine) veniva proposto in consultazione quando ancora non era stato redatto lo schema di
regolamento che avrebbe dovuto individuare le garanzie per la protezione dei dati personali trattati nei registi, nonostante il termine per la
sua adozione (fissato in 18 mesi dalla data di entrata in vigore del decreto-legge) fosse ampiamente scaduto.
Nel merito, si formulavano inoltre diverse osservazioni, volte
- a estendere le garanzie per i dati personali dei pazienti anche ai registri già istituiti;
- a meglio delineare i profili inerenti la titolarità del trattamento rispetto agli enti di livello nazionale;
- a precisare le condizioni, tassative e specifiche, che legittimano la decodifica delle generalità dell'interessato, nell'ambito di un
sistema di codifica reversibile;
- a prevedere che i trattamenti per fini statistici riguardino dati resi anonimi in modo (invece) irreversibile;
- a specificare l'ambito del trattamento per fini di cura riferibile ai centri di riferimento regionale;
- a introdurre l'obbligo di comunicazione al Garante nel caso di data breach.
A quanto consta, al momento la situazione resta invariata: non risultano infatti adottati né il citato dPCM sul cui schema ci siamo espressi, né
il regolamento che peraltro, ai nostri fini, assume un rilievo essenziale in quanto tenuto a delineare le garanzie fondamentali per la protezione
dei dati trattati nei registri:
- dai presupposti, soggettivi e oggettivi, di legittimazione all'accesso ai registri (secondo il sistema dell'accesso selettivo a livelli
diversificati)
- alle categorie di dati suscettibili di consultazione,
- alle misure di sicurezza da adottare per scongiurare ogni tipo di trattamento illecito.
La materia su cui intervengono le proposte di legge non è, dunque, del tutto carente di disciplina (almeno legislativa), sebbene ciò che manca
sia, al momento, proprio la normativa regolamentare di attuazione, relativamente agli aspetti più delicati, attinenti appunto alle garanzie per
la riservatezza dei pazienti.
Tale essendo il contesto normativo su cui si incide, valuterà ovviamente codesta Commissione l'opportunità di introdurre una nuova (per
quanto più organica e specifica) disciplina in materia, anche in rapporto al rischio che ciò rinvii ulteriormente l'effettiva attivazione dei
registri.
Si potrebbero, per altro verso, anche apportare alla disciplina vigente le modifiche opportune per migliorare l'efficienza dei registri dei tumori
e la loro sicurezza sotto il profilo della protezione dati, conferendo loro maggiore specificità e inserendoli, tuttavia, all'interno di un quadro
normativo più organico per il miglioramento della prevenzione, della ricerca e delle terapie oncologiche, come previsto dalle proposte di
legge.
Attraverso una disciplina transitoria che consenta di applicare le nuove disposizioni ai registri esistenti, in particolare, si potrebbe migliorare
la qualità, la garanzia e la sicurezza dei dati trattati, valorizzando anche le esperienze già maturate nel settore.
Indubbiamente la clausola d'invarianza finanziaria prevista in pressoché tutte le proposte di legge, se confermata, dev'essere applicata in
maniera tale da non compromettere, in ogni caso, gli standard di sicurezza del trattamento e degli stessi dati.
2. Le proposte di legge
Le proposte di legge in esame, pur con le peculiarità proprie di ciascuna, prevedono, quale elemento comune, l'istituzione di un Registro
nazionale e di registri regionali dei tumori, con atti su cui il Garante dovrà pronunciarsi, per le parti di competenza.
Sul punto si segnala che la previsione espressa del parere è limitata, nell'AC 3115, agli atti istitutivi dei registri regionali e non compare,
invece, per il Registro nazionale, pur evincendosi dal Codice per la protezione dei dati personali.
Si prevede invece, correttamente, il parere conforme del Garante sul regolamento che preveda i tipi di dati trattabili e di operazioni eseguibili
(oltre che i criteri di legittimazione soggettiva e oggettiva all'accesso, le misure di sicurezza dei dati per i registri nazionale e regionali,
nonché le modalità per l'esercizio, da parte dell'interessato, dei propri diritti e, in particolare, del diritto di opporsi al trattamento per fini
legittimi (aspetti essenziali considerando, tra l'altro, che riguardano anche dati di pazienti oncologici minorenni).
Dal momento che, però, tale regolamento statale non disciplina, almeno nell'AC 3115, anche i tipi di dati e di operazioni eseguibili
nell'ambito dei registri regionali, tale aspetto andrebbe disciplinato nell'ambito degli atti istitutivi di tali registri, con parere conforme del
Garante.
Ovviamente, come suggerito anche dal Servizio studi e proposto da numerosi progetti di legge, si potrebbe unificare i due provvedimenti
attuativi (quelli istitutivi dei registri e quelli sulle garanzie del trattamento) in un unico atto di rango regolamentare, (soggetto al parere
(conforme) del Garante).
Quanto all'AC 355, il contenuto del regolamento va integrato con riferimento ai tipi di dati e di operazioni.
Ma soprattutto, ove si preferisse questo modello, dovrebbero essere previsti gli specifici adempimenti cui sono tenuti gli incaricati del
trattamento, anche in ragione delle funzioni attribuite dalla p.d.l. a un soggetto privato, quale l'Airtum, in ordine alla responsabilità del
trattamento.
Le fonti dei flussi informativi elencate nelle proposte di legge sembrano idonee a fornire dati pertinenti alla funzionalità dei registri, ancorchè
sarebbe preferibile rendere tale elenco non meramente esemplificativo.
Positiva è la previsione, in pressoché tutte le proposte, della qualità e dell'esattezza dei dati trattati, dell'adozione di misure di sicurezza
adeguate, dell'accesso selettivo differenziato, da parte del personale legittimato, ai dati contenuti nei registri in ragione della funzione svolta e
dell'effettiva necessità della consultazione ai fini dell'adempimento dei rispettivi compiti.
Auspicabile anche la previsione (contenuta in alcune pdl), direttamente nella fonte legislativa e non soltanto nei regolamenti attuativi, degli
obblighi di conservazione dei dati in conformità alle previsioni del Codice.
Importante la previsione dell'utilizzo di tecniche di cifratura o codici identificativi che rendano i dati trattati temporaneamente inintellegibili
anche a chi sia autorizzato ad accedervi, consentendo l'identificazione degli interessati solo in caso di necessità.
Il sistema della codifica reversibile (o della pseudoanonimizzazione, come definita dal nuovo Regolamento europeo) è, infatti, il solo a poter
garantire ampi margini di analisi e ricerca su dati personali, senza per questo violare la riservatezza dei pazienti.
Ovviamente, l'efficacia di queste misure dipenderà in larga misura da come saranno poi disciplinate, nel dettaglio, con i provvedimenti
attuativi di cui abbiamo detto.
Un ulteriore profilo che andrà approfondito in sede di regolamento attuativo concerne i requisiti di sicurezza che dovranno caratterizzare le
modalità di trasmissione utilizzate per i flussi informativi, al fine di garantire la protezione dei dati personali dei pazienti in ogni fase della
comunicazione.
Una precisazione in tal senso andrebbe però inserita anche in norme relative, ad esempio, all'utilizzo preferenziale, da parte di medici e
pediatri, degli strumenti di comunicazione telematica per l'invio delle informazioni sanitarie nella loro disponibilità, prevedendo anche
l'obbligo per costoro di informare i pazienti di tale comunicazione.
Analoga precisazione andrebbe apportata a disposizioni transitorie che sanciscano, per soggetti pubblici e privati, l'obbligo di trasmissione ai
Registri dei dati nella propria disponibilità, imponendo anche in tal caso i requisiti di qualità delle informazioni, previsti " a regime".
In ordine alla pubblicità dell'attività dei Registri, alcune proposte consentono l'accesso ai relativi dati da parte delle onlus.
La norma non può che essere interpretata nel senso che tale accesso sia limitato agli studi svolti e alle rilevazioni effettuate e non anche ai
dati personali contenuti nei registri o, comunque, alle fonti informative da cui i registri sono alimentati.
Analogo contenuto devono avere i rapporti e le produzioni scientifiche e divulgative prodotti dai Registri e soggetti a un regime di ampia
accessibilità, nonché, ove prevista, la relazione annuale sui "dati raccolti" nei Registri, che il Ministro della salute invia alle Commissioni
parlamentari.
Stessa considerazione va estesa alla pubblicazione digitale e in formato aperto dei dati del referto epidemiologico, dei relativi indagini e
risultati, previsti in un solo testo.
In relazione a tale ultima proposta, la stessa definizione del cosiddetto referto epidemiologico andrebbe precisata con riferimento all'esigenza
che i dati aggregati costitutivi di tale referto non devono poter, neppure indirettamente (ad es. con l'incrocio di dati presenti in altri archivi),
consentire l'identificabilità dell'interessato.
Una precisazione merita, poi, la previsione, contenuta in una p.d.l. dell'accessibilità dei registri tumori, limitatamente a specifici quesiti, da
parte dei portatori di interesse, secondo modalità stabilite da un provvedimento adottato dal Comitato tecnico-scientifico nazionale.
Oltre al parere del Garante su tale regolamento, sarebbe auspicabile introdurre anche una previsione relativa all'esclusiva accessibilità, da
parte di tali soggetti, di dati anonimizzati, in modo da escludere l'identificabilità, anche soltanto indiretta, degli interessati.
In ordine alla titolarità del trattamento svolto nell'ambito dei registri, la linea prevalentemente seguita dalle proposte attribuisce al(direttore
del) Centro nazionale di epidemiologia la titolarità per i trattamenti svolti dal Registro nazionale, con rinvio alla disciplina regionale per
l'individuazione dei titolari dei Registri, appunto, regionali.
Sul punto, si richiama la necessità di attribuire la titolarità del trattamento all'organo nel suo complesso e non alla singola persona fisica che
ne esprime la volontà o che è legittimata a manifestarla all'esterno.