IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, l’avvocato Guido Scorza e il dott. Agostino Ghiglia, componenti e il dott. Claudio Filippi, vice segretario generale;
Vista la richiesta di parere della Provincia autonoma di Trento;
Visto l’articolo 36, par. 4, del Regolamento (UE) 2016/679, del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (Regolamento generale sulla protezione dei dati, di seguito Regolamento);
Visto il Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (decreto legislativo n. 196 del 2003, come modificato dal decreto legislativo 10 agosto 2018, n. 101, di seguito Codice) e, in particolare, l’articolo 154, comma 5;
Vista la documentazione in atti;
Viste le osservazioni del vice segretario generale ai sensi dell’articolo 15 del regolamento del Garante n. 1/2000;
Relatore la prof.ssa Ginevra Cerrina Feroni;
PREMESSO
1. La Provincia autonoma di Trento ha richiesto il parere del Garante ai sensi dell’articolo 36, paragrafo 4, del Regolamento 2016/679, su uno schema di regolamento concernente la medicina di iniziativa nel servizio sanitario provinciale, di attuazione dell’articolo 4 della legge della Provincia autonoma di Trento n. 16 del 2010, come modificato dalla legge 13 maggio 2020, n. 3.
Il tema della medicina di iniziativa è stato già oggetto di analisi da parte del Garante nel parere d’urgenza reso in data 8 maggio u.s. alla medesima Provincia, sul disegno di legge concernente “Ulteriori misure di sostegno per le famiglie, i lavoratori e i settori economici connesse all’emergenza epidemiologica da COVID-19 e conseguente variazione al bilancio di previsione della Provincia autonoma di Trento per gli esercizi finanziari 2020-2022”, poi divenuto legge n. 3 del 2020.
In tale occasione, il Garante era stato chiamato ad esprimersi, tra gli altri, anche sull’articolo 30 del disegno di legge che -come riportato nella relazione illustrativa- si proponeva di introdurre una idonea “base normativa provinciale” per consentire il trattamento dei dati sanitari delle persone nell’ambito di un progetto, peraltro già avviato dall’Azienda provinciale per i servizi sanitari nell’ambito dei programmi di attività della medicina di iniziativa, volto a consentire un’analisi generale della morbilità, il confronto tra popolazioni e l’individuazione dei soggetti ad alto rischio.
La suddetta disposizione (poi divenuta articolo 35 della citata legge provinciale n. 3 del 2020) ha aggiunto i commi 1-bis, 1-ter, 1-quater e 1-quinquies, all’articolo 4 della legge della Provincia autonoma n. 16 del 2010, in materia appunto di medicina di iniziativa.
1.1. Occorre preliminarmente osservare che nel parere reso l’8 maggio 2020 (doc. web n. 9344635), l’Autorità ha ritenuto che la disposizione normativa sottoposta a parere (art. 30) presentava non poche criticità perché tendeva a perseguire una pluralità di finalità (statistiche, di cura e amministrative), che si fondano su diversi presupposti di liceità, ciascuna presidiata, nell’ordinamento, da diversi e specifici apparati di misure a tutela degli interessati, definite nelle discipline di riferimento, che la disposizione, così come formulata, non consentiva di rispettare.
In via preliminare, deve rilevarsi che rispetto alla richiamata disposizione di legge provinciale persistono talune criticità, correlate, in particolare, all’individuazione delle finalità che si intendono perseguire che, come di seguito più dettagliatamente illustrato, si riverberano anche sullo schema di regolamento in esame.
1.2. Nel medesimo parere l’Autorità richiamava l’attenzione sulla necessità che, con riferimento all’attività di stratificazione attraverso la quale si realizza il trattamento oggetto del regolamento in esame e in merito alla quale sono stati rilevati rischi significativi per i diritti degli interessati, fosse effettuata una valutazione di impatto, da richiamare nella norma di legge.
In effetti, il comma 1-bis dell’articolo 4 della legge n. 16/2010, introdotto appunto dalla legge n. 3 del 2020, fa riferimento ad una “valutazione d’impatto eseguita” sulla base della quale la Provincia è autorizzata a operare la stratificazione del rischio degli assistiti.
Tuttavia tale valutazione non è stata trasmessa al Garante unitamente alla richiesta di parere sull’articolato (cfr. anche art. 35, par. 10, Reg.) e l’impossibilità di esaminarne il contenuto pregiudica la possibilità di procedere ad una valutazione compiuta ed esaustiva del provvedimento normativo in esame, in quanto non consente di verificarne la proporzionalità rispetto alle specifiche finalità perseguite, nonché di ponderare l’adeguatezza delle misure tecniche e organizzative indicate e la necessità dei dati trattati, con specifico riferimento alle numerose banche dati oggetto del trattamento, attesa anche la prevista possibilità che lo stesso produca effetti diretti nella sfera giuridica del singolo interessato (cfr. art. 3 dello schema).
RILEVATO
2. Si richiama l’attenzione della Provincia sul fatto che il tema della medicina di iniziativa è stato recentemente affrontato dal legislatore nazionale con l’articolo 7 del decreto-legge 19 maggio 2020, n. 34 (recante Misure urgenti in materia di salute, sostegno al lavoro e all’economia, nonché di politiche sociali connesse all’emergenza epidemiologica da COVID-192), convertito, con modificazioni, dalla legge n. 77 del 2020, secondo cui il Ministero della salute, nell’ambito delle sue funzioni istituzionali, può trattare dati personali, anche relativi alla salute degli assistiti, raccolti nei sistemi informativi del Servizio sanitario nazionale, per lo sviluppo di metodologie predittive dell’evoluzione del fabbisogno di salute della popolazione, affidando ad uno specifico regolamento, da adottarsi previo parere del Garante, la disciplina delle caratteristiche del trattamento che, come ricordato nel richiamato parere dello scorso maggio, presenta delicati profili in termini di tutela della riservatezza e identità personale. Lo schema di regolamento, peraltro, non risulta allo stato trasmesso all’Autorità per il prescritto parere.
Da questo punto di vista l’Autorità auspica che, pur nel rispetto delle prerogative riconosciute alle Regioni e alle Provincie autonome in materia sanitaria, gli interventi normativi su tale delicato tema della medicina di iniziativa siano resi nel quadro delle linee generali dettate sul piano nazionale e in un sistema di tutele e di garanzie il più possibile uniforme sul territorio.
RITENUTO
3. Si osserva preliminarmente che lo schema di regolamento prevede l’acquisizione anche di dati relativi a dipendenze, all’interruzione volontaria di gravidanza, alla maternità e ai registri tumori (artt. 5 e 6). In tale ambito possono essere trattate informazioni con riferimento alle quali l’ordinamento riconosce tutele rafforzate. Ci si riferisce in particolar modo all’interruzione di gravidanza, al diritto di partorire in anonimato, alla disciplina relativa all’accertamento dell’infezione da HIV e alle disposizioni sulla fecondazione artificiale.
Analogamente, è previsto anche l’impiego dei dati relativi agli accertamenti medico legali e a quelli effettuati dal medico competente nell’ambito della tutela e della sorveglianza dei lavoratori, che risultano regolati da specifiche disposizioni normative atte anche a limitare la conoscibilità degli stessi (art. 5 e 6).
Sotto questo profilo, si richiama pertanto l’attenzione dell’Amministrazione a che i trattamenti di tali dati siano svolti nel rispetto del complessivo quadro normativo di riferimento.
Tutto ciò premesso, si forniscono di seguito indicazioni utili a perfezionare l’articolato e il Disciplinare tecnico in materia di sicurezza allegato, al fine di renderli conformi ai principi e alle regole previste in materia di protezione dei dati personali dal Regolamento e dal Codice.
3.1. Finalità del trattamento e attività di stratificazione.
Come anticipato, persistono criticità nella disposizione di rango primario approvata dalla Provincia di Trento con riguardo all’individuazione delle finalità che si intendono perseguire.
Il disegno di legge originariamente presentato al Garante fondava la stratificazione del rischio degli assistiti e degli assistibili su “l’analisi statistica, l’interconnessione, l’elaborazione dei dati gestiti nell’ambito dei diversi archivi del servizio informativo sanitario provinciale e dell’Azienda stessa, ivi inclusi i dati forniti dai soggetti accreditati o convenzionati con il servizio sanitario provinciale”. La formulazione originaria prevedeva, quindi, espressamente l’attività statistica come il principale strumento per svolgere la stratificazione. Nell’attuale testo legislativo (art. 4, comma 1-bis, l. n. 16/2010) e nella correlata bozza di regolamento sembra rinvenirsi invece una diversa impostazione secondo cui l’attività di stratificazione degli assistiti, da un punto di vista sanitario, è svolta attraverso l’uso di un algoritmo che elabora le informazioni cliniche presenti nei sistemi informativi sanitari provinciali sulla base delle conoscenze cliniche, epidemiologiche, statistiche e economiche.
Nella sua formulazione definitiva, pertanto, la finalità di “stratificazione” non sembra più richiedere preventivamente il perseguimento di uno specifico scopo di statistica. Quello della stratificazione, in altre parole, sembrerebbe divenire un obiettivo di natura squisitamente amministrativa, inerente alla programmazione, pianificazione e controllo dei rapporti tra l’amministrazione ed i soggetti accreditati o convenzionati con il servizio sanitario nazionale, effettuata attraverso strumenti di c.d. “intelligenza artificiale”, definiti sulla base delle pregresse conoscenze statistico-sanitarie, epidemiologiche e di incidenza dei costi.
Nondimeno, sebbene la nuova formulazione del testo legislativo e la bozza di regolamento appaiano fondati su tale impostazione, nell’articolo 3, comma 1, dello schema viene riportata una locuzione (“La stratificazione viene effettuata attraverso l’analisi statistica dei dati gestiti nell’ambito dei diversi archivi del sistema informativo aziendale”), che sembra rimandare all’idea di una stratificazione della popolazione degli assistiti basata sull’attività statistica, come era previsto dal disegno di legge originariamente presentato al Garante.
Inoltre, il comma 1-quinquies del medesimo articolo 4 autorizza l’Istituto di statistica provinciale (ISPAT) ad effettuare l’analisi statistica, anche mediante l’interconnessione e l’elaborazione dei dati gestiti nell’ambito dei diversi archivi del servizio informativo sanitario provinciale e dell’azienda stessa, rinviando ad uno specifico regolamento, con ciò lasciando irrisolto il dubbio circo il ruolo degli uffici di statistica nell’ambito dell’attività di stratificazione.
Ciò premesso, all’esito di tale disamina dei testi normativi, si ritiene necessario che l’articolato sia perfezionato chiarendo la logica e le modalità attraverso le quali si intende effettuare la prevista attività di stratificazione, con particolare riferimento all’uso di strumenti sia di analisi statistica, che di logica algoritmica.
Da questo punto di vista, assume particolare importanza una accurata valutazione di impatto, idonea ad evidenziare la logica e le modalità con cui si intende effettuare l’attività di stratificazione in esame, ponendo in risalto le misure previste per escludere o minimizzare i rischi connessi a tali trattamenti e riservando particolare attenzione all’impiego di strumenti di “intelligenza artificiale”.
3.2. Operazioni di trattamento
L’articolo 7 dello schema, al comma 1, elenca le operazioni di trattamento che sarebbe possibile effettuare ai fini dell’applicazione del regolamento; a parte l’inclusione nell’elenco di operazioni quali la “previsione” e la “predizione” che non trovano riscontro nelle definizioni previste dal Regolamento (cfr. art. 4, par. 1, n. 2, 4, 6), si richiama l’attenzione dell’Amministrazione sulla necessità di una maggiore “contestualizzazione” delle operazioni individuate, in chiave di necessità del trattamento, specie con riferimento a quelle per loro natura più delicate come l’interconnessione, il raffronto e, soprattutto, la comunicazione, per la quale andrebbero indicati i soggetti coinvolti nei flussi informativi.
Inoltre non appare coerente indicare tra le operazioni di trattamento tecniche di analisi di dati (analisi di big data, machine learning, etc.) che attengono, in realtà, alle modalità di trattamento dei dati. A prescindere dalla sedes materiae, in considerazione anche del fatto che non esiste allo stato una definizione giuridica e scientifica univoca di tali tecniche di analisi dei dati, si richiama l’attenzione dell’Amministrazione sull’opportunità di espungere le definizioni dal regolamento, eventualmente ricalibrandole nell’ambito della valutazione di impatto.
3.3. Dati “anonimi”.
L’articolo 8 della bozza di regolamento prevede che la diffusione dei dati avvenga “con modalità che non rendono identificabili gli interessati”. In ragione del divieto di diffondere i dati sulla salute, di cui all’articolo 2-septies, comma 8, del Codice, si ritiene necessario che la disposizione precisi che i dati potranno essere diffusi solo in forma anonima, ovvero in una forma che non consenta di risalire all’identità dei soggetti interessati. A tal riguardo si suggerisce di sostituire le parole “secondo modalità…” con la seguente locuzione: “adottando tecniche di anonimizzazione allo stato dell’arte”.
Analogamente, all’articolo 7, comma 6, dello schema di regolamento è opportuno sostituire le parole “dati anonimi” con “dati anonimizzati secondo tecniche allo stato dell’arte” e al punto 9 del Disciplinare tecnico le parole “resi anonimi” con “anonimizzati secondo tecniche allo stato dell’arte”.
La locuzione suggerita risulta più appropriata e in linea con il Regolamento (UE) 2016/679 che, all’articolo 4, non reca alcuna definizione di dato anonimo.
Si attende, poi, che nell’ambito della VIP vengano indicate sia le metodologie poste in essere per scongiurare ipotesi di “single-out”, sia il modello di attacco assunto per quantificare la probabilità di re-identificazione di un interessato (cons. 26 Reg.).
3.4. Sicurezza del trattamento
Quanto ai profili di sicurezza, si forniscono indicazioni per conformare il Disciplinare tecnico alle regole e alle garanzie previste in materia di protezione dei dati, nei termini seguenti:
1) innanzitutto occorre integrare le misure di sicurezza con la previsione di misure tecniche di protezione delle password degli incaricati quali, a esempio, l’uso di algoritmi crittografici allo stato dell’arte (es. SSHA-1, SSHA-256, PBKDF2, Bcrypt, ecc.); di misure di difesa da attacchi SQL injection; di misure fisiche per i locali e per l’accesso ai medesimi; di misure organizzative quali policy o istruzioni di non lasciare documenti incustoditi, postazioni di lavoro non bloccate, trasferimento di dati su supporti personali, ecc.;
2) sia valutata l’effettiva necessità dell’operazione di raffronto di cui al punto 1, lettera a) e se sia compatibile con l’architettura funzionale del progetto l’utilizzo di certificati digitali per le postazioni di cui al punto 1, lettera b), primo punto dell’elenco;
3) tenendo conto del principio di minimizzazione, occorre specificare i “dati trattati” che sono registrati nei file di log (cfr. punto 1 lettera d)) onde evitare trattamenti eccedenti di dati; inoltre va rafforzata la sicurezza dei medesimi file di log prevedendo che abbiano: a) caratteristiche di integrità e inalterabilità; b) protezione contro ogni uso improprio; c) accessibilità da parte di personale opportunamente incaricato e autorizzato; d) un trattamento in forma anonimizzata (possono essere trattati in forma non anonimizzata unicamente laddove ciò risulti indispensabile ai fini della verifica della liceità del trattamento dei dati);
4) nel suggerire di riformulare il primo periodo del punto 3 in quanto, sicuramente per un refuso, non è comprensibile, si ritiene necessario sostituire le parole “canali di trasmissione” con “protocolli di comunicazione”; analoga sostituzione di terminologia va effettuata al punto 1, lettera b), terzo punto dell’elenco;
5) in tema di elaborazione di dati (punto 6), occorre descrivere più puntualmente il sistema di codifica univoco ivi previsto, sostituendo l’espressione “in una frequenza fissa di caratteri alfanumerici casuali” con la seguente: “in una sequenza di lunghezza fissa di caratteri alfanumerici casuali”.
TUTTO CIÒ PREMESSO IL GARANTE
esprime parere favorevole, ai sensi dell’articolo 57, par. 1, lett. c), del Regolamento, sullo schema di regolamento concernente la medicina di iniziativa nel servizio sanitario provinciale, in attuazione dell’articolo 4 della legge della Provincia autonoma di Trento n. 16 del 2010, con le seguenti condizioni:
a) l’articolato sia perfezionato chiarendo la logica e le modalità attraverso le quali si intende effettuare la prevista attività di stratificazione, con particolare riferimento all’uso di strumenti sia di analisi statistica, che di logica algoritmica (punto 3.1.);
b) sia valutata la effettiva necessità delle operazioni di trattamento individuate all’articolo 7 e l’opportunità di espungere dall’articolato le definizioni delle tecniche di analisi di dati ivi indicate (analisi di big data, machine learning, ecc.) (punto 3.2.);
c) sia sostituito, ovunque ricorra, il riferimento ai dati anonimi e al relativo processo con quelli, più appropriati, di “dati anonimizzati secondo tecniche allo stato dell’arte” e di “tecniche di anonimizzazione allo stato dell’arte” (punto 3.3.);
d) il Disciplinare tecnico in materia di misure di sicurezza sia perfezionato e integrato nei termini di cui al punto 3.4.