Indice:
Fatti
L’Autorità Garante per la protezione dei dati personali è stato chiamato a rendere un parere in merito allo schema di Regolamento che attua il disposto dell’art. 1 della Legge 86/2012. Con detta legge il Ministero della salute ha istituito il Registro nazionale e i Registri regionali e provinciali degli impianti protesi mammari, al fine di implementare e rafforzare il controllo sui dispositivi medici. In detto registro vengono, infatti, raccolti i dati relativi alla tipologia e alla durata degli impianti, al materiale di riempimento utilizzato e all’etichettatura del prodotto, agli effetti collaterali connessi, nonché all’incidenza di tumori mammari e malattie autoimmuni.
Tale registro è uno strumento fondamentale per il monitoraggio clinico ed epidemiologico che censisce gli impianti protesici mammari effettuati in Italia, nell’ambito della chirurgia plastica.
Dunque, è stato sottoposto al vaglio del Garante, così come previsto ai sensi dell’art. 1, comma 8 L.86/2012, lo schema di regolamento che ha lo scopo di disciplinare una serie di aspetti tra cui i tempi e le modalità di raccolta dei dati nel Registro, indicare gli obblighi informativi a carico delle regioni nei confronti del Registro stesso, indicare i tipi di dati sanitari e le operazioni eseguibili, indicare quali sono i soggetti legittimati ad accedere a tali informazioni e, infine, indicare le garanzie e le misure di sicurezza che vengono adottati nel procedimento di trattamento dei dati personali.
>> Clicca QUI per leggere il Parere sullo schema di regolamento
Il contenuto del Regolamento
In primo luogo, il Garante analizza il contenuto della disciplina dello schema di Regolamento, passando in rassegna gli articoli ivi contenuti.
In particolare, l’art. 2 dello stesso prevede che le modalità di trasmissioni dei dati personali sono determinate da un disciplinare tecnico allegato al regolamento medesimo.
Dopodiché, l’art. 4 dispone quali sono le finalità sottese al trattamento e alla raccolta di dati che sono contenuti nel registro: a livello regionale e provinciale, vengono raccolti i dati personali dei soggetti sottoposti ad interventi di impianto o rimozione di protesi mammarie; a livello nazionale, gli stessi dati vengono trattati principalmente a fini di monitoraggio epidemiologico.
Proseguendo nell’analisi delle disposizioni dello schema di Regolamento, all’art. 5 vengono individuati i titolari del trattamento, ossia coloro che, ai sensi dell’art. 4 del GDPR, hanno il compito di determinare i mezzi e le finalità del trattamento dei dati personali: sono individuati a tal fine, il Ministero della salute e le Regioni e le Province autonome di Trento e Bolzano.
Ai sensi dell’art. 7, poi, il Ministero, in qualità di titolare del trattamento, ha il compito di identificare i soggetti autorizzati al trattamento dei dati raccolti.
I dati che vengono raccolti nel Registro, per le finalità sopraesposte, sono dati non solo anagrafici e anamnestici del paziente, ma anche dati relativi alla protesi mammaria impiantata o rimossa, dati idonei ad individuare la struttura sanitaria presso la quale è avvenuta l’operazioni chirurgica e, infine, i dati idonei ad identificare il professionista e/o i professionisti sanitari intervenuti.
Ancora, lo schema di Regolamento precisa che i dati raccolti all’interno del Registro vengono trattati in modo tale da non permettere il riconoscimento del soggetto cui si riferiscono: infatti, i soggetti che si sono sottoposti a impianto o rimozione non risulteranno identificabili. A tal fine, viene utilizzato un sistema di codifica dei dati personali e identificativi: ad ogni soggetto viene attribuito un codice univoco identificativo irreversibile, proprio per impedirne l’identificabilità anche indiretta.
Infine, il Regolamento individua le modalità di garanzia dei diritti di cui agli artt. 15 e 22 del GDPR. In particolare, l’art. 15 del GDPR disciplina il cd. diritto di accesso dell’interessato, in virtù del quale l’interessato al trattamento è titolare del diritto di accesso ai suoi dati personali che sono stati raccolti, al fine di essere consapevole del trattamento e verificarne la liceità. Infatti, l’interessato ha diritto ad ottenere comunicazioni inerenti le finalità per cui i dati personali sono stati raccolti, informazioni in merito alla durata del trattamento, informazioni in merito ai destinatari dei dati trattati. In considerazione di ciò, il titolare del trattamento deve consentire l’accesso all’interessato, proprio al fine di poter direttamente consultare i propri dati personali.
Invece, l’art. 22 del GDPR riconosce all’interessato il diritto a non essere sottoposto ad una decisione basata unicamente su un trattamento automatizzato dei dati che produca effetti giuridici che lo riguardano o che comunque incida significativamente sulla sua persona. Tuttavia, il divieto non trova applicazioni qualora ci sia stato l’esplicito consenso dell’interessato, ovvero “sia necessario per l’esecuzione o conclusione di un contratto con l’interessato, ovvero sia autorizzato dal diritto dell’Unione Europea”.
Come sopra detto, lo schema di Regolamento, precisamente all’art. 12, prevede che, al fine di garantire l’esercizio di cui agli artt. 15 e 22, di cui sopra, il titolare del trattamento sia investito dell’obbligo di predisporre un modello di informativa che il professionista sanitario dovrà fornire all’interessato prima dell’erogazione della prestazione. L’informativa è una vera e propria comunicazione diretta all’interessato, con la quale lo stesso viene informato delle finalità e delle modalità del trattamento dei suoi dati personali. L’informativa rappresenta una condizione del dovere del titolare del trattamento di assicurare trasparenza e correttezza dei trattamenti fin dalla fase iniziale del trattamento stesso.
>> Clicca QUI per leggere il Parere sullo schema di regolamento
La valutazione del Garante
Tutto ciò detto e considerato, il Garante ha espresso parere favorevole allo schema di Regolamento oggetto di attenzione, in quanto lo stesso tiene conto delle indicazioni rese dall’Ufficio medesimo nell’ambito di interlocuzioni di carattere tecnico ed attua una disciplina per la raccolta dei dati che risulta in conformità con la disciplina vigente in materia, nonché coerente ai principi di liceità, proporzionalità, necessità e indispensabilità.
Tuttavia, il Garante ha ritenuto di dover esprimere alcune criticità: invero, l’Autorità ha ritenuto necessari alcuni perfezionamenti al testo del Regolamento con lo scopo che lo stesso possa maggiormente conformarsi alla disciplina in materia di protezione dei dati personali.
In particolare, il Garante ha ritenuto necessario che dallo schema siano eliminati i riferimenti alle materie estranee alle finalità perseguite nei registri, quali ad esempio quelli inerenti le attività amministrative e certificatorie in quanto non riconducibili alle finalità per cui il Registro è stato istituito.
Inoltre, il Garante ha ritenuto necessaria un’ulteriore precisazione. Invero, dovrà essere previsto che l’accesso ai registri regionali e provinciali, da parte dei professionisti sanitari coinvolti, sia limitato alle sole finalità del Regolamento. Ciò in virtù del principio di limitazione della finalità dei dati per il quali i dati devono essere raccolti e trattati per finalità determinate, esplicite e legittime. Tale principio è strettamente collegato a quello ulteriore di minimizzazione dei dati (previsto nell’art. 5 del GDPR), in virtù del quale il trattamento, per essere lecito, deve essere limitato ai soli dati indispensabili, pertinenti e limitati a quanto necessario per il perseguimento delle finalità per cui sono stati raccolti.
Volume consigliato:
Compendio breve sulla privacy Guida alla lettura del GDPR con esempi e casi praticiNello specifico, in questa monografia, la lettura della disciplina sulla protezione dei dati personali è guidata dall’articolazione del GDPR, integrato dai provvedimenti dell’Autorità Garante ed esplicato attraverso le pronunce della giurisprudenza su fattispecie particolari.24,00 € |
Scrivi un commento
Accedi per poter inserire un commento