Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Parere su uno schema di regolamento relativo al Sistema Informativo Trapianti (SIT) - 30 marzo 2017 [6407524]

VEDI ANCHE: Newsletter del  25 maggio 2017

 

 

[doc. web n. 6407524]

Parere su uno schema di regolamento relativo al Sistema Informativo Trapianti (SIT) - 30 marzo 2017

Registro dei provvedimenti
n. 164 del 30 marzo 2017

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano e della dott.ssa Giovanna Bianchi Clerici, componenti e del dott. Giuseppe Busia, segretario generale;

Vista la richiesta di parere del Ministero della salute;

Visto l'art. 154, comma 4, del d.lgs. 30 giugno 2003, n. 196 recante Codice in materia di protezione dei dati personali (di seguito  Codice);

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Augusta Iannini;

PREMESSO

1. Il Ministero della salute ha richiesto il parere del Garante su uno schema di regolamento relativo al Sistema Informativo Trapianti (di seguito SIT).

Il regolamento è adottato in attuazione dell'articolo 7, comma 2, della legge 1 aprile 1999, n. 91, concernente "disposizioni in materia di donazione e trapianti di organi e tessuti", il quale prevede che con decreto del Ministro della salute, d'intesa con la Conferenza permanente per i rapporti tra lo Stato, le regioni e le province autonome di Trento e di Bolzano, sentita l'Autorità per l'informatica nella pubblica amministrazione (oggi l'AgID), siano stabiliti gli obiettivi, le funzioni e la struttura del Sistema informativo dei trapianti (di seguito SIT), nell'ambito delle risorse informatiche e telematiche disponibili per il Servizio sanitario nazionale ed in coerenza con le specifiche tecniche della rete unitaria della pubblica amministrazione.

RILEVATO

2. Lo schema di decreto – che si compone di 13 articoli e di 2 Disciplinari tecnici allegati - stabilisce gli obiettivi, le funzioni e la struttura del SIT:  sistema informativo di supporto all'informatizzazione delle attività della Rete nazionale dei trapianti volto a garantire la tracciabilità e la trasparenza in ogni fase dell'intero processo di donazione, prelievo, trapianto e post trapianto di organi, tessuti e cellule, ivi comprese le segnalazioni di reazioni ed eventi avversi gravi. A tale scopo, il SIT consente  al Centro Nazionale Trapianti, alle strutture sanitarie, ai coordinamenti regionali ed interregionali, ai centri trapianto ed agli istituti dei tessuti di acquisire telematicamente le informazioni relative alle attività sopra menzionate, per gli ambiti di rispettiva competenza, e di cooperare per lo scambio di queste, cosicché i dati, resi disponibili a livello nazionale, regionale e locale, tramite l'implementazione di una banca dati dedicata, possano essere memorizzati, consultati ed analizzati in interconnessione (art. 3, commi 1 e 2).

Al fine di rendere operativo il Registro nazionale dei donatori di cellule riproduttive a scopi di procreazione medicalmente assistita di tipo eterologo (di seguito RND PMA) di cui all'art. 1, comma 298 della legge 23 dicembre 2014, n. 190,  inoltre, lo schema di decreto prevede che nell'ambito del SIT, si provveda anche all'informatizzazione delle attività necessarie a garantire la registrazione dei donatori di cellule riproduttive a scopi di procreazione medicalmente assistita di tipo eterologo, la tracciabilità del percorso delle cellule riproduttive dal donatore al nato e viceversa, il conteggio dei nati generati da un medesimo donatore, nonché le segnalazioni di reazioni ed eventi avversi gravi (artt. 3, comma 2, lett j) e 4, commi 1 e 2).

In questo quadro, le strutture che compongono la Rete nazionale dei trapianti, le strutture sanitarie autorizzate al prelievo e al trattamento di cellule riproduttive, nonché, limitatamente alle dichiarazioni di volontà, i comuni e le associazioni di donatori trasmettono al SIT, per i rispettivi ambiti di competenza, le informazioni che attengono al processo di donazione, distribuzione e trapianto di organi tessuti e cellule, all'iscrizione in lista di attesa, all'allocazione degli organi sui protocolli nazionali, alla qualità dei trapianti e del post trapianto, alle dichiarazioni di volontà, alla donazione e trapianto di organi da donatore vivente e cadavere, allo scambio di organi con i paesi dell'Unione europea e Paesi terzi, agli eventi e reazioni avversi gravi (art. 5, commi 1, 2, 3 e 4).

Al fine di consentire alla Rete nazionale dei trapianti di assolvere alle proprie funzioni istituzionali, connesse alle finalità di rilevante interesse pubblico relative alle attività di trapianto di organi, tessuti e cellule di cui all'art. 85, comma 1, lett. f), del Codice,  nonché al coordinamento di tali attività nel rispetto delle norme di qualità e sicurezza vigenti nel settore, la consultazione delle informazioni contenute nel SIT, è consentita agli stessi soggetti che lo implementano, limitatamente ai dati indispensabili allo svolgimento dei compiti di rispettiva competenza (art. 6, comma 1).

Il Ministero della salute è il titolare del trattamento dei dati connessi alla gestione tecnica e informatica e agli altri compiti necessari a garantire il corretto funzionamento del SIT e, a tale scopo, individuerà la Direzione generale competente che svolgerà il ruolo di responsabile del trattamento (art. 6, comma 2).

Il monitoraggio delle attività della Rete nazionale dei trapianti, così integrata, è posto in capo al CNT, che effettua la valutazione degli esiti dei trapianti eseguiti per singolo centro mediante dati pseudonimizzati  (art. 6, commi  3 e 4).
Uno degli obiettivi preminenti del SIT è, come anticipato, la garanzia della tracciabilità nell'ambito dei processi di donazione, che viene assicurata tramite apposite procedure di generazione del numero identificativo nazionale della donazione, del donatore e del ricevente, nonché, con specifico riferimento alla donazione di cellule e tessuti, del codice unico europeo d'identificazione della donazione.

A scopo di protezione dei donatori viventi, nonché per garantire la qualità e la sicurezza degli organi destinati al trapianto, si prevede l'istituzione, sempre nell'ambito del SIT, ai sensi dell'art. 8, comma 6, lett. m-quater) della legge 1 aprile 1999, n. 91, anche di un registro dei donatori viventi di organi. Tale registro raccoglie i dati personali e sanitari concernenti la donazione, il trapianto e post trapianto del donatore e del ricevente per le finalità di rilevante interesse pubblico di cui all'art. 85 del Codice (art. 9)

Lo  schema di regolamento assicura inoltre che la riservatezza dei dati trattati e dei documenti informatici scambiati nell'ambito del SIT sia garantita da apposite procedure di sicurezza e da software e servizi telematici conformi alla vigente normativa e che i dati raccolti nel SIT vengano trattati unicamente per il perseguimento delle finalità in materia di donazione e trapianto di organi, tessuti e cellule (art. 10).

Specifiche disposizioni sono, infine, dedicate al trattamento dei dati sanitari e alle relative misure di riservatezza e sicurezza nell'ambito della donazione di cellule riproduttive a scopi di procreazione medicalmente assistita di tipo eterologo. In particolare, si prevede che le strutture sanitarie autorizzate al prelievo e al trattamento di tali cellule ed il Centro nazionale trapianti trattino detti dati al fine di garantire la tracciabilità del percorso delle cellule riproduttive dal donatore al nato e viceversa, nonché il conteggio dei nati generati dalle cellule riproduttive di un medesimo donatore. La tracciabilità è assicurata in particolare dall'utilizzo di un sistema di identificazione indiretta degli interessati a garanzie della loro riservatezza. Si aggiunge, infine,  che i dati presenti sul sistema informatico sono cancellati o resi anonimi, trascorsi almeno trenta anni dal decesso dell'interessato cui i dati si riferiscono (art. 11)

Parte integrante dello schema di decreto sono i due Disciplinari tecnici, ad esso allegati, uno concernente il SIT e l'altro il registro nazionale dei donatori di cellule riproduttive a scopi di procreazione medicalmente assistita di tipo eterologo.

RITENUTO

3. Il Garante riconnette particolare importanza alla materia in esame in quanto lo schema di decreto, attraverso i flussi informativi del SIT, consente la raccolta "centralizzata" di una notevole quantità di informazioni personali, particolarmente delicate, trattandosi di dati sensibili idonei specialmente a rivelare, anche nel dettaglio, il loro stato di salute e le scelte più intime della persona. L'Autorità, pertanto, richiama sin d'ora l'attenzione di tutte le amministrazioni interessate sull'esigenza che sia data applicazione alle disposizioni del decreto nel pieno rispetto delle garanzie previste, per gli assistiti, in materia di protezione dei dati personali, sia dal decreto stesso, sia, più in generale, dal Codice.

In ragione della delicatezza della materia, lo schema di decreto è stato elaborato dal Ministero della salute, in collaborazione con il CNT, all'esito di numerose riunioni e interlocuzioni avute con l'Ufficio del Garante il quale ha formulato rilievi e ha fornito indicazioni volte a perfezionare il testo e a renderlo pienamente conforme alla disciplina in materia di protezione dei dati personali; le indicazioni sono state accolte dall'Amministrazione attraverso una nuova formulazione dello schema nel suo complesso.

Facendo seguito alle osservazioni rese dagli uffici dell'Autorità, l'Amministrazione ha modificato lo schema di regolamento, in particolare, chiarendo i ruoli e le funzioni svolte da ciascuno dei soggetti coinvolti nell'utilizzo del SIT (appartenenti o meno alla Rete nazionale dei trapianti) ed indicando i dati personali e sensibili ai quali tali soggetti possono accedere per lo svolgimento delle predette funzioni. Ha distinto, inoltre, le rispettive responsabilità in conformità con le disposizioni vigenti in materia, provvedendo altresì alla individuazione dei soggetti che debbono considerarsi quale titolare e responsabile del trattamento dei dati in merito alle funzioni del SIT, ai sensi degli artt. 28 e 29 del Codice (artt. 2 e 6 dello schema).

In particolare, si è provveduto a specificare oltre ai compiti e le funzioni assolte da ciascuno degli enti coinvolti nel trattamento dei dati sensibili contenuti nel SIT, anche le finalità di rilevante interesse pubblico perseguite nei singoli casi da tali enti in relazione ai compiti ad essi attribuiti, in base alla normativa di riferimento (cfr. art. 85 del Codice e artt. 6 e 11 dello schema).

E' stato espressamente indicato nell'articolato che il CNT utilizza soltanto dati in forma pseudonimizzata per le funzioni di controllo e gestione della Rete nazionale dei trapianti e di identificazione di specifici indicatori necessari al corretto monitoraggio dell'attività, coordinando le disposizioni dello schema con le previsioni di cui al DM del 19 novembre 2015 (cfr. art. 4, comma 6, lett. e) e f) DM cit. e art. 6, commi  3 e 4 dello schema).

Sono state inoltre coordinate le disposizioni con il quadro normativo europeo in materia di tracciabilità dei tessuti e delle cellule che prevede l'utilizzo di un codice unico europeo di identificazione (in particolare, con le disposizioni contenute nella direttiva 2015/565/UE della Commissione dell'8 aprile 2015 che modifica la direttiva 2006/86/CE per quanto riguarda determinate prescrizioni tecniche relative alla codifica di tessuti e cellule umani) (art. 7).

Le disposizioni dello schema relative al Registro dei donatori viventi di organi di cui all'art. 8, comma 6, lett. m-quater della legge n. 91/1999, sono state perfezionate, indicando i tipi di dati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite per la tenuta dello stesso (art. 9).

Sono state introdotte specifiche previsioni in ordine al periodo di conservazione dei dati memorizzati nel SIT e nel Registro nazionale informatizzato dei donatori di cellule riproduttive (artt. 10 e 11). Si è infine precisato che l'aggiornamento dei disciplinari tecnici allegati al regolamento, può essere disposto con decreto ministeriale di natura non regolamentare, soltanto ove l'adeguamento di tali atti a intervenute modifiche normative o tecniche non incida sulle previsioni relative ai tipi di dati e di operazioni eseguibili (art. 5, comma 7, dello schema).

Proprio con riferimento ai suddetti disciplinari, inoltre, si rileva che l'amministrazione, relativamente all'Allegato 1, conformemente con il principio di necessità dei dati trattati (art. 3 del Codice), ha previsto l'utilizzo di codici identificativi al posto dei dati anagrafici dei donatori e dei riceventi nei diversi flussi informativi correlati al SIT, prevedendo che, ai fini della tracciabilità, nell'espletamento delle ordinarie attività relative ai trapianti di organi è, di regola utilizzato un numero identificativo univoco del donatore e del ricevente e che l'accesso ai dati anagrafici di questi ultimi è consentito soltanto per comprovate e specifiche esigenze per la quali ciò si rilevi necessario per salvaguardare la salute degli interessati. Sono state inoltre specificate le tipologie di credenziali di autenticazione utilizzate per accedere al SIT e le previsioni relative alla registrazione delle operazioni di accesso al sistema in appositi file di log sono state estese anche alle altre operazioni di trattamento effettuate sul SIT.

Relativamente, invece, all'Allegato 2, sono state modificate le previsioni relative all'accesso al SIT da parte delle regioni, precisandosi che queste ultime possono consultare i dati registrati sul SIT solo in forma anonima e aggregata, in conformità ai principi di necessità, pertinenza e indispensabilità dei dati trattati. Infine, sono state previste apposite misure di sicurezza per la tutela dei dati personali e sensibili presenti nei file PDF allegati alle segnalazioni di eventi e reazioni avverse gravi.

Tanto premesso, pur prendendo atto che la maggior parte delle osservazioni rappresentate nel corso dei lavori, sono state recepite nello schema di decreto, questa Autorità ritiene tuttavia che permangano talune criticità con particolare riferimento ai disciplinari tecnici (allegati I e II) che ritiene di dover sottoporre all'attenzione dell'amministrazione.

3.1. Misure di sicurezza

a) Con riferimento all'Allegato 1, in particolare, si ritiene opportuno che i livelli di sicurezza della procedura di autenticazione informatica, prevista per gli utenti delle strutture di rianimazione dei Centri per i trapianti e delle ASL autorizzati all'accesso al SIT, vengano adeguati a quelli previsti per gli altri attori della rete (introducendo anche per questi soggetti l'utilizzo, ad esempio, della smart card o di altra procedura di autenticazione informatica a più fattori).

b) Relativamente all'allegato 2, invece, si suggerisce, con riferimento alla protezione dei dati personali e sensibili eventualmente presenti nei documenti allegati ai flussi di segnalazione di eventi e reazioni avverse gravi, la riformulazione della descrizione del campo "Allegato" dei medesimi flussi al fine di specificare che è assicurata la confidenzialità degli stessi allegati e consentirne la consultazione ai diversi soggetti legittimati ad accedervi, tenendo anche conto degli strumenti di crittografia messi a disposizione dal software di gestione della base dati.

3.2. La registrazione dei dati anagrafici delle madri che hanno effettuato la  fecondazione medicalmente assistita di tipo eterologo

L'allegato 2 prevede la registrazione nel RND PMA dei dati anagrafici della madre legale (indipendentemente dall'esito della gravidanza), al fine di consentire al CNT di rintracciare agevolmente -ove lo richiedano ragioni di tutela della salute del nato- il centro che ha effettuato la fecondazione medicalmente assistita di tipo eterologo (cfr. allegato II - par. 6.2 flusso 14) nei casi in cui il soggetto non sappia di essere nato da una tecnica di fecondazione eterologa o non sia in grado altrimenti di rintracciare il suddetto centro, neanche attraverso il certificato di assistenza al parto dove pure questa informazione dovrebbe essere rilevata.

Sul punto, si ribadiscono le perplessità sollevate dall'Ufficio del Garante nel corso dei colloqui intercorsi con il Ministero della salute e il CNT, in ordine al fatto che tale operazione non appare in linea con il principi in materia di protezione dei dati personali (e, in particolare con quello di necessità dei dati trattati (di cui all'art. 3 del Codice), nonché con le disposizioni di settore di matrice europea in tema di rintracciabilità di tessuti e cellule umani (dir. 2006/86/CE modificata dalla dir. 2015/565/UE, art. 9 e allegato VI; art. 14 del d.lgs 25 gennaio 2010, n. 16, così come modificato dal d.lgs. 16 dicembre 2016, n. 256).

In base a tali disposizioni, infatti, la rintracciabilità nel percorso dal donatore al ricevente e viceversa è assicurata attraverso la codifica univoca dei dati identificativi di entrambi e dei relativi tessuti e cellule, nonché mediante i documenti di accompagnamento conservati presso le strutture PMA e le banche di cellule e tessuti, nei quali sono riportati i dati identificativi di tali soggetti consentendone, quindi, la re-identificazione ove necessario. A ciò si aggiunge che, in base al quadro normativo sopra richiamato, devono essere altresì adottate tutte le misure necessarie a evitare che l'identità dei riceventi sia rivelata al donatore o alla sua famiglia e viceversa, in particolare nel caso della donazione di gameti (cfr. art. 14 par. 3 dir. 2004/23/CE e art. 14 d.lgs. 6 novembre 2007, n. 191).

Si sottolinea che la legislazione vigente in materia non stabilisce, peraltro, le condizioni e i limiti che possono legittimare la conoscibilità dei dati personali del donatore di gameti da parte del nato da tecniche di fecondazione eterologa (quali, ad esempio, l'identificazione certa del richiedente, la valutazione medica dell'effettiva necessità dello stesso a tutela della salute del nato o ancora l'informativa da rendere ai donatori). Tali regole andrebbero opportunamente fissate in sede legislativa, non potendo supplire a tale carenza l'introduzione, in un allegato tecnico, della raccolta centralizzata  dei dati anagrafici della madre, in ragione delle prospettate esigenze di tutela della salute del nato (si vedano in tal senso le proposte di legge in materia attualmente all'esame del Parlamento, tra cui, in particolare il DDL S1630 e abb.). In mancanza di una specifica disciplina in tal senso, l'istanza del nato, volta a conoscere i dati sanitari del donatore, andrebbe infatti ricondotta alle vigenti norme sull'accesso a informazioni sanitarie da parte di persone diverse dal soggetto a cui i dati si riferiscono, che impongono all'ente destinatario della richiesta di effettuare una specifica valutazione sul "rango" dei diversi diritti coinvolti (cfr. Provv. del Garante del 9 luglio 2003, doc. web n. 29832).

Al contrario, non si ravviserebbe alcuna criticità laddove, accanto alla registrazione nel RND PMA dei dati anagrafici delle "potenziali" madri che effettuano la fecondazione medicalmente assistita di tipo eterologo, sia previsto per queste ultime l'utilizzo di un sistema di identificazione indiretta univoco a livello nazionale, al pari di quello previsto per i donatori di gameti, che consenta, da un lato, di assicurare la rintracciabilità del percorso delle cellule riproduttive dal donatore al nato e viceversa, nonché di garantire dall'altro, la riservatezza delle interessate, ferma restando la possibilità di re-identificare le stesse (ad opera del CNT) soltanto ove ciò sia giustificato da comprovate e specifiche esigenze di salvaguardia della salute, in conformità alla vigente normativa in materia.

3.3. Cessazione del trattamento – art. 16 del Codice

Alla luce dei principi di cui all'art. 16 del Codice, infine, si ritiene necessario disciplinare, in caso di cessazione delle attività dei centri PMA, per qualunque causa, la destinazione e la conservazione dei dati e della documentazione sanitaria relativa alle attività di procreazione medicalmente assistita, detenuti dai centri soprattutto ove si tratti di centri privati (ad esempio indicando che i dati e i documenti potrebbero essere trasferiti presso un altro soggetto, da individuarsi anche nel centro PMA più prossimo o nel CNT).

IL GARANTE

esprime parere favorevole sullo schema di regolamento relativo al Sistema Informativo Trapianti (SIT), con le osservazioni di cui ai punti 3.1., lett. a) e b), 3.2. e 3.3.

Roma, 30 marzo 2017

IL PRESIDENTE
Soro

IL RELATORE
Iannini

IL SEGRETARIO GENERALE
Busia