Il parere del Garante privacy sul regolamento relativo al registro tumori della provincia di Trento.

Scarica PDF Stampa
 

Parere alla Provincia autonoma di Trento su uno schema di regolamento concernente il funzionamento del Registro Tumori – 26 marzo 2020

Premessa

Il parere oggetto del presente commento è stato rilasciato dal garante per la protezione dei dati personali a fronte di una richiesta proveniente dalla provincia autonoma di Trento circa lo schema di un regolamento relativo alle modalità di funzionamento del registro tumori. In particolare, la provincia autonoma di Trento di recente ha istituito un registro all’interno del quale dovranno essere raccolte le informazioni relative alle patologie tumorali dei pazienti trattati dalle strutture sanitarie locali e conseguentemente ha richiesto la valutazione del garante per la protezione dei dati personali circa il relativo regolamento che disciplina il trattamento di dati che vengono effettuati attraverso detto registro.

Volume consigliato

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.

Stefano Comellini | 2020 Maggioli Editore

12.90 €  10.32 €

 

La struttura del regolamento

Lo schema di regolamento è strutturato in 15 diversi articoli e in un disciplinare tecnico che si occupa di individuare le misure di sicurezza dei dati trattati nonché dell’intero sistema in cui si struttura il registro stesso.

Per quanto qui interessa, l’articolo 3 del regolamento riguarda le finalità del trattamento dei dati. In particolare, tali finalità vengono indicate nella individuazione dell’incidenza, della mortalità e della sopravvivenza rispetto ai tumori, nella descrizione del rischio della malattia a seconda della tipologia di tumore, della sede dove si è sviluppato, dell’età e del genere del paziente, nello svolgimento di studi epidemiologici, nella verifica della presenza territoriale dei casi di tumore, degli esiti delle diagnosi e delle relative terapie, nonché nella produzione di dati anonimi e aggregati per poter programmare, gestire e controllare l’assistenza sanitaria nonché i relativi servizi diagnostici e terapeutici.

L’articolo 4, invece si occupa dell’individuazione del titolare del trattamento, il quale viene identificato nell’azienda provinciale per i servizi sanitari dove è istituito il registro. Per quanto riguarda l’individuazione, invece, dei responsabili del trattamento esterni rispetto al titolare, l’allegato disciplinare tecnico del regolamento prevede che essi vengano designati in soggetti esterni che svolgono attività di manutenzione dei sistemi informativi. Inoltre, sempre il disciplinare tecnico, stabilisce che i dati personali contenuti nel registro verranno trattati da personale appositamente individuato e formato circa i rischi che possono subire detti dati nonché circa le misure da adottare per proteggere i dati stessi e impedire che si verifichino eventi dannosi.

L’articolo 5 individua le tipologie di dati che vengono trattati ed in particolare li identifica in quelli relativi allo stato di salute di soggetti cui è stato diagnosticato un tumore. Inoltre, viene precisato che tali dati riguardano quelli contenuti negli archivi provinciali delle schede di dimissioni ospedaliere nonché negli archivi di altre aziende sanitarie e di strutture sanitarie, anche private accreditate, della provincia.

Gli articoli 7 e 8 si occupano di disciplinare la comunicazione e la diffusione dei dati, mentre l’articolo 10 rimanda al suddetto disciplinare tecnico che dovrà individuare le misure di sicurezza e di protezione dei dati. Infine, l’articolo 11 stabilisce un sistema per codificare le informazioni, mentre gli articoli 12 e 13 riguardano, rispettivamente, l’informativa da fornire agli interessati e i cd. Data breaches (sostanzialmente, ricalcando le rispettive disposizioni contenute nel regolamento europeo 679/2016).

 

Il parere del Garante

Dopo aver analizzato i suddetti articoli di cui si compone lo schema di regolamento, il garante per la protezione dei dati personali ha fornito alcune indicazioni che dovranno essere adottate dalla provincia di Trento ed integrate in detto schema al fine di renderlo conforme alla normativa in materia di protezione dei dati personali.

Prima di ciò, tuttavia, il garante ha ricordato che i dati oggetto di trattamento attraverso il registro dei tumori sono qualificabili come dati relativi alla salute dei pazienti che presentano una diagnosi di tumore, i quali dati fanno parte delle “particolari categorie di dati” previste e disciplinate dall’art. 9 del citato Regolamento europeo (c.d. GDPR). Il Garante ricorda, inoltre, che a tale categoria di dati la suddetta disposizione normativa europea attribuisce delle particolari tutele e garanzie, anche quando essi vengono trattati per finalità di rilevante interesse pubblico (come nel caso di specie).

Ciò detto, il garante è passato a indicare le implementazioni da inserire all’interno dello schema di regolamento proposto dalla provincia autonoma di Trento.

In primo luogo, dovrà essere inserita, all’interno dell’articolo 2, anche la finalità di interesse pubblico rilevante della ricerca scientifica. Secondo il garante, infatti anche detta finalità è da ritenersi applicabile nel caso di specie e dovrà quindi essere aggiunta alle altre già presenti.

In secondo luogo, l’articolo 5 dovrà essere integrato prevedendo che il trattamento deve rispettare anche le prescrizioni appositamente previste nel provvedimento del garante per i trattamenti effettuati a scopo di ricerca scientifica nonché le ulteriori regole deontologiche e le misure di garanzia che verranno adottate secondo quanto previsto dal codice privacy italiano.

L’articolo 11, relativo ai codici identificativi, dovrà essere integrato prevedendo che i dati contenuti nel registro saranno trattati attraverso l’utilizzo di tecniche di pseudonimizzazione.

Per quanto concerne l’articolo 12, relativo all’informativa da fornire agli interessati, il garante ricorda come il regolamento europeo preveda la possibilità per il titolare del trattamento di non fornire l’informativa quando ciò comporterebbe uno sforzo sproporzionato, ma egli è tenuto in tal caso comunque ad adottare delle misure appropriate per tutelare i diritti e le libertà interessati. In considerazione di ciò, secondo il garante la previsione di cui all’articolo 12 dello schema di regolamento, che richiede l’informativa agli interessati da parte del servizio sanitario che gestisce il registro, potrebbe essere estremamente gravosa e sproporzionata da rispettare per il titolare del trattamento e pertanto suggerisce la sua eliminazione nonché l’inserimento della previsione che l’informativa agli interessati venga effettuata attraverso il sito Internet istituzionale del titolare del trattamento.

Per quanto concerne la conservazione dei dati, il garante suggerisce la modifica dello schema di regolamento attraverso l’inserimento di una disposizione che riguardi specificatamente tale aspetto e stabilisca dei termini di conservazione dei dati che siano congrui e proporzionati rispetto alle finalità per cui è istituito il registro. Secondo il garante, infatti, il principio di limitazione della conservazione dei dati, impone da un lato l’individuazione di un termine finale di conservazione e dall’altro lato di rendere il termine di 10 anni per la conservazione del backup attualmente prevista nel disciplinare allegato al regolamento in linea con il suddetto principio, attraverso una riduzione del periodo di conservazione di tale backup ad un termine non superiore all’anno.

Per quanto riguarda, infine, la sicurezza dei dati, il garante suggerisce che le misure tecniche e quelle organizzative che il titolare dovrà individuare al fine di proteggere i dati contenuti nel registro, vengano adottate soltanto a seguito di una valutazione di impatto che dovrà essere effettuata dal titolare stesso. In conclusione, il garante ritiene opportuno eliminare l’articolo 13 relativo ai data breaches, in quanto il suo contenuto è totalmente identico a quello di cui al relativo articolo previsto dal regolamento europeo e pertanto risulta assolutamente inutile e superfluo.

Volume consigliato

GDPR: ISPEZIONI E SANZIONI DEL GARANTE

L’ebook analizza quelli che sono i compiti e i poteri dell’Autorità di controllo e del Garante italiano per la protezione dei dati personali, trattando dei mezzi di tutela dei diritti dell’interessato, nonché della procedura istruttoria e delle conseguenze delle violazioni accertate, in termini di risarcimento.Particolare attenzione viene data ai poteri ispettivi e di controllo, nonché ai profili sanzionatori.Completa il testo, l’analisi dei Regolamenti 2019 del Garante.

Stefano Comellini | 2020 Maggioli Editore

12.90 €  10.32 €

 

Allegato

102336-1.pdf 180kB

Avv. Muia’ Pier Paolo

Scrivi un commento

Accedi per poter inserire un commento