L’Autorità si è occupata degli aspetti relativi alla protezione dei dati personali delle disposizioni anticipate di testamento (Dat) previste dalla legge n. 219/2017. In particolare, l’Ufficio ha partecipato al tavolo di lavoro presso il Ministero della salute per la costituzione della banca dati nazionale delle Dat da istituire presso il Dicastero ai sensi della legge n. 205/2017.

In occasione dei lavori del tavolo è stata formulata una richiesta di parere al Consiglio di Stato, attesa la difficoltà interpretativa della normativa di settore e il necessario raccordo della stessa con le contestuali disposizioni in materia dettate dalla legge n. 205/2017. La richiesta di parere ha riguardato anche questioni legate all’effettiva utilizzabilità della banca dati nazionale Dat concernenti profili rilevanti rispetto al trattamento dei dati personali indicati nelle Dat. Il Consiglio di Stato, con parere del 18 luglio 2018, nel riconoscere le difficoltà interpretative delle norme che regolano la materia e la necessità di dare effettiva attuazione ai precetti legislativi, ha fornito indicazioni puntuali anche in merito al tenore letterale delle disposizioni contenute nelle predette normative. In particolare, è stato ritenuto che, su richiesta dell’interessato, copia delle Dat possa essere inviata alla banca dati nazionale da parte dell’Ufficiale di stato civile o della struttura sanitaria alle quali sono state consegnate. Il Consiglio di Stato ha inoltre precisato che alla banca dati nazionale potrà accedere il medico che ha in cura l’interessato e il fiduciario sino a quando è in carica.

Contestualmente ai lavori del tavolo per la costituzione della banca dati nazionale delle Dat, l’Ufficio è stato chiamato dalle regioni a interloquire in merito alla possibilità, conferita alle stesse dal legislatore nazionale, di regolamentare, entro limiti definiti, la raccolta di copia delle Dat in una banca dati regionale.

Al riguardo, nelle more della costituzione della banca dati nazionale, l’Ufficio ha richiamato gli interlocutori istituzionali a porre in essere sistemi “dialoganti”, che assicurino livelli di protezione dei dati personali omogenei sul territorio nazionale, in un contesto in cui il principio di autodeterminazione informativa si affianca a quello dell’autodeterminazione terapeutica.

Con riferimento al trattamento dei dati personali effettuato per finalità amministrative correlate alla cura da parte di organi centrali, si evidenzia il parere favorevole espresso dall’Autorità sullo schema di regolamento per il trattamento dei dati sensibili e giudiziari da parte dell’Istituto nazionale per la promozione della salute delle popolazioni migranti e per il contrasto delle malattie della povertà (Inmp) ai sensi del previgente art. 20, d.lgs. n. 196/2003. Prima di rilasciare il predetto parere, in occasione di riunioni e contatti informali sono state formulate diverse osservazioni concernenti, in particolare: la corretta individuazione delle finalità di rilevante interesse pubblico per il cui perseguimento era necessario trattare dati sensibili e giudiziari; il richiamo al rispetto delle prescrizioni contenute in alcuni provvedimenti del Garante (v., ad es., provv.ti 12 novembre 2014, n. 515, doc. web n. 3624070; 21 aprile 2011, n. 160, doc. web n. 1809039); l’individuazione dell’ambito di comunicazione dei dati oggetto di trattamento e la previsione di opportune cautele a tutela della riservatezza degli interessati; la precisazione relativa agli ambiti di ricerca, con relativa indicazione dei presupposti normativi (provv. 15 febbraio 2018, n. 80, doc. web n. 8126123).

A seguito di una comunicazione di violazione di dati personali, cui è seguito un accertamento ispettivo, l’Ufficio si è occupato del trattamento dei dati personali effettuato attraverso un sistema informativo regionale di reportistica e visualizzazione a disposizione dei medici di assistenza primaria (Medico di medicina generale e Pediatra di libera scelta - Mmg/Pls) i quali, tramite una web application, erano abilitati ad accedere ad un portale sulla continuità delle cure per l’utilizzo di diversi servizi di prevenzione e per l’invio alla regione dei dati personali oggetto di specifici obblighi normativi.

Il tema oggetto del predetto accertamento ispettivo richiama la tematica relativa alla possibilità per il Mmg/Pls di accedere ai documenti sanitari dell’assistito nell’ambito della cd. “medicina di iniziativa”, ovvero un modello assistenziale orientato alla promozione attiva della salute dell’individuo, specie se affetto da malattie croniche o disabilità e alla responsabilizzazione delle persone nel proprio percorso di cura. Sul punto l’Ufficio in passato aveva già invitato il Ministero della salute a disciplinare quanto prima con un atto normativo un’attività così delicata, che presenta anche significativi risvolti etici (diritto di non sapere). È stato infatti evidenziato che non esiste nel nostro ordinamento giuridico una definizione e una disciplina specifica della cd. “medicina d’iniziativa” ancorché tale locuzione ricorra in numerosi atti di indirizzo e programmazione del Ministero della salute e delle regioni.

Nel corso dei predetti accertamenti è stato constatato che, con specifico riferimento ad alcune patologie croniche o a determinate malattie oncologiche, erano stati sviluppati, a livello regionale, strumenti di reportistica che, elaborando le informazioni oggetto dei flussi informativi verso la Regione mediante un algoritmo di calcolo che si basa su parametri statistici, mettono a disposizione dei Mmg/Pls un profilo sanitario di rischio dell’assistito, invitando il medico a proporre allo stesso specifici accertamenti diagnostici in chiave di prevenzione. Al riguardo, l’Ufficio ha evidenziato che l’adozione di tali sistemi determina la raccolta e l’elaborazione di dati sanitari al fine di realizzare, con riferimento a specifiche patologie, un profilo sanitario di rischio dell’interessato e configura quindi un trattamento autonomo e ulteriore rispetto a quello principale finalizzato alla cura dell’assistito (cfr. parere sullo schema di d.P.C.M. in materia di Fse, del 22 maggio 2014, doc. web n. 3230826, in merito alla realizzazione di “servizi di elaborazione di dati” per finalità di governo e di ricerca da parte delle regioni).

Ciò stante, l’Ufficio ha invitato la regione interessata, nel rispetto del principio di responsabilizzazione di cui al RGPD, a impostare l’attività sopra descritta nel rispetto dei presupposti di liceità (tra i quali il consenso informato dell’assistito), posto che lo stesso non risulta quale trattamento strettamente necessario per il perseguimento delle finalità di diagnosi e assistenza sanitaria perseguite dal Mmg/Pls. Agli enti coinvolti è stato ricordato che il titolare è tenuto ad effettuare una previa valutazione dell’impatto dei trattamenti previsti sul diritto alla protezione dei dati personali, quando gli stessi possono presentare rischi elevati per i diritti e le libertà delle persone fisiche, considerati la natura, l’oggetto, il contesto e le finalità del trattamento. Ove all’esito di tale valutazione risulti che i trattamenti presentino rischi elevati per i diritti e le libertà fondamentali degli interessati, in assenza di misure adottate dal titolare per attenuarli, il titolare è tenuto a consultare il Garante, prima di procedere al trattamento (artt. 35 e 36 del RGPD). Con specifico riferimento alla fattispecie oggetto di intervento, alla luce della natura dei dati trattati e della numerosità degli interessati, il trattamento in oggetto è stato considerato rientrante nei casi in cui il titolare non può prescindere da una valutazione di impatto sulla protezione dei dati, ai sensi di quanto previsto dal RGPD e dei criteri individuati dal Gruppo Art. 29 nelle Linee guida concernenti la valutazione di impatto sulla protezione dei dati nonché i criteri per stabilire se un trattamento “possa presentare un rischio elevato” ai sensi del RGPD (WP 248 rev. 01 adottate il 4 aprile 2017 come modificate e adottate da ultimo il 4 ottobre 2017).

Con riferimento, invece, all’aspetto che aveva determinato la comunicazione di violazione dei dati personali, a seguito dell’intervento dell’Ufficio, sono state adottate specifiche procedure per gestire gli eventi di data breach, consistenti nella rilevazione dell’evento di sicurezza, mitigazione, risoluzione, ripristino, analisi degli elementi per il miglioramento e reportistica. Al riguardo, la regione è stata sollecitata a verificare la corretta applicazione di quanto previsto dalle predette procedure, ad assicurarsi dell’effettiva de-indicizzazione dei contenuti riferibili a dati personali di assistiti e a prestare particolare attenzione, in occasione del rilascio di nuove funzionalità/migrazioni/aggiornamenti software e/o altri cambiamenti, al mantenimento delle corrette configurazioni dei permessi di accesso alle risorse (fisiche, logiche, etc.), in particolare, laddove siano presenti dati personali e dati relativi alla salute degli interessati (nota 9 luglio 2018).

Tra i casi sottoposti all’Ufficio relativi al trattamento dei dati personali connesso alle procedure amministrative, si evidenzia anche l’intervento nei confronti di un’azienda sanitaria affinché la stessa, su richiesta dell’interessato, fornisse una certificazione attestante l’invalidità civile di un minore, priva dell’indicazione degli estremi della sentenza del Tribunale dei minori di affidamento idonea a far desumere lo stato di adozione dello stesso. Sul punto l’azienda è stata, infatti, richiamata al rispetto delle specifiche garanzie di riservatezza previste dalla disciplina in materia di adozioni (cfr. art. 28, comma 3, legge n. 184/1983), relative al divieto per qualsiasi ente pubblico o privato, autorità o pubblico ufficio “di fornire notizie, informazioni, certificazioni, estratti o copie dai quali possa comunque risultare il rapporto di adozione” (nota 12 giugno 2018).

Fonte: Autorità Garante - Relazione 2018