g-docweb-display Portlet

Provvedimento del 14 gennaio 2021 - Regione Veneto. Codice di condotta per l'utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica [9535354]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 9535354]

Provvedimento del 14 gennaio 2021 - Regione Veneto. Codice di condotta per l'utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica

Registro dei provvedimenti
n. 7 del 14 gennaio 2021

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vice presidente, il dott. Agostino Ghiglia, l’avv. Guido Scorza, componenti e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante il “Codice in materia di protezione dei dati personali, recante disposizioni per l’adeguamento dell’ordinamento nazionale al Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la Direttiva 95/46/CE” (di seguito “Codice”);

VISTO il considerando 77 del Regolamento secondo il quale, in omaggio al principio di responsabilizzazione di cui all’art. 5, par. 2 del Regolamento “Gli orientamenti per la messa in atto di opportune misure per dimostrare la conformità da parte del titolare del trattamento o dal responsabile del trattamento in particolare per quanto riguarda l'individuazione del rischio connesso al trattamento, la sua valutazione in termini di origine, natura, probabilità e gravità, e l'individuazione di migliori prassi per attenuare il rischio, potrebbero essere forniti in particolare mediante codici di condotta approvati (…)”;

VISTO il considerando n. 98 del Regolamento secondo il quale: “Le associazioni o altre organizzazioni rappresentanti le categorie di titolari del trattamento o di responsabili del trattamento dovrebbero essere incoraggiate a elaborare codici di condotta, nei limiti del presente regolamento, in modo da facilitarne l'effettiva applicazione, tenendo conto delle caratteristiche specifiche dei trattamenti effettuati in alcuni settori (…). In particolare, tali codici di condotta potrebbero calibrare gli obblighi dei titolari del trattamento e dei responsabili del trattamento, tenuto conto del potenziale rischio del trattamento per i diritti e le libertà delle persone fisiche”;

CONSIDERATO che l’art. 40 del Regolamento prevede, in particolare, che gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggino l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del Regolamento in funzione delle specificità dei diversi ambiti di trattamento dei dati personali svolti da soggetti tanto pubblici che privati;

VISTE le “Linee guida sui codici di condotta e organismi di monitoraggio” n. 1/2019 adottate dal Comitato Europeo per la protezione dei dati, approvate in data 4 giugno 2019;

VISTE le interlocuzioni informali intercorse con l’Ufficio nell’ambito delle quali (anche alla luce delle predette Linee Guida), sono state affrontate le tematiche relative, in particolare, al consenso degli interessati, alle tecniche di anonimizzazione e pseudonimizzazione dei dati, alle informazioni da rendere agli interessati, all’esercizio dei diritti, ai termine di conservazione dei dati, alla consultazione degli organi rappresentativi, all’individuazione specifica delle finalità del trattamento e alle modalità di adesione al Codice;

VISTA la nota del 14 luglio 2020 (prot. 112109), con la quale l’Azienda sanitaria ULSS 9, Scaligera, della Regione Veneto (di seguito l’Azienda e congiuntamente “i proponenti”) ha presentato un progetto di codice di condotta elaborato, anche alla luce delle predette interlocuzioni intercorse, ai sensi degli artt. 40 e 41 del Regolamento dopo averlo sottoposto a consultazione, sia con i soggetti rappresentativi delle categorie di interessati (il Tribunale per i diritti del Malato e dell’Anziano) che con gli Enti rappresentanti delle categorie dei professionisti sanitari tenuti al segreto professionale (l’Ordine dei Medici Chirurghi e Odontoiatri);

VISTA la nota del 16 settembre 2020 (prot. n. 34045), con cui l’Ufficio, in sede istruttoria, nel confermare all’Azienda la ricezione del progetto di codice, ha effettuato, come previsto dalle sopra richiamate Linee Guida, l’esame del documento, per verificare il pieno soddisfacimento dei criteri di ammissibilità (cfr. par. 5, punti dal 19 al 31 e par. 7), formulando alcune osservazioni in merito al profilo della rappresentatività dei proponenti il progetto di codice, all’entità delle consultazioni svolte e al rispetto della disciplina nazionale e regionale di settore;

VISTA, la nota del 27 ottobre 2020, prot. n. 456091, della Regione Veneto, a firma del Direttore Generale, Area Sanità e Sociale, con la quale è stato chiarito che: “La Regione Veneto svolge, così come previsto dalle leggi regionali n. 55 e n. 56 del 1994, funzioni di programmazione, indirizzo, controllo e coordinamento. In particolare, come previsto dall'art. l, della legge regionale n. 56 del 1994, “la Regione del Veneto assicura ai cittadini i migliori livelli uniformi di assistenza sanitaria in ambito territoriale regionale in rapporto alle risorse a disposizione; al secondo comma, lettera d), della stessa disposizione normativa viene precisato che la Regione "disciplina le principali modalità organizzative e di funzionamento delle Uss e aziende ospedaliere". Pertanto la Regione svolge funzioni di programmazione, indirizzo, controllo nonché di coordinamento nei confronti delle Aziende Sanitarie dei Veneto. Relativamente alla rappresentatività quale declinata, tra l'altro, dal punto 22 delle linee guida del Board, del 4 giugno 2019, si evidenzia che la Regione, quindi, in primo luogo, è ente di governo delle Aziende sanitarie, destinate ad aderire al codice di condotta, e alla stessa spettano incisivi poteri di indirizzo e vigilanza sulle Aziende predette. Ancora l'art. I l della legge regionale n. 56 del 1994 prevede che la Regione assicuri e garantisca la partecipazione e la tutela dei cittadini nella fruizione dei servizi sanitari, tra i quali va annoverato anche il corretto trattamento dei loro dati personali. Dalla normativa suesposta e dal particolare ruolo che la Regione del Veneto ha nei confronti degli Enti del Servizio Sanitario Regionale, ne deriva che la medesima Regione Veneto, con apposito atto destinato alle Aziende Sanitarie della Regione, garantirà che le misure previste dal Codice di Condotta, una volta approvato da Codesta Autorità, siano rese esecutive e operative all'interno di ogni singola Azienda”.

VISTO che con riguardo alla entità delle consultazioni svolte la Regione Veneto ha precisato che “sono stati coinvolti sia il Presidente della Federazione Regionale Veneta degli Ordini dei Medici Chirurghi e degli Odontoiatri, (….) ed il Presidente Regionale Cittadinanzattiva-Tribunale del Malato (…). Con i medesimi, oltre a interlocuzioni telefoniche, sono stati effettuati specifici incontri, alla presenza del DPO aziendale (…) e del (…) consulente aziendale che ha curato la stesura del codice, in data 7 e 19 febbraio 2020 e in data 31 luglio 2020, durante i quali sono state condivise sia la necessità di regolamentare la materia attraverso il codice, sia il contenuto e le finalità del medesimo, nonché la relativa procedura, rilevando, in particolare, la sua coerenza con il codice di deontologia medica, in particolare con quanto previsto dagli articoli 11 e 12".

VISTO che la Regione Veneto nella richiamata nota del 27 ottobre 2020 ha inoltre, confermato che: “il progetto di codice risulta essere conforme alla pertinente normativa nazionale di settore”;

VISTO che il Progetto di Codice da ultimo presentato dalla Regione Veneto e dalla Azienda, con nota del 26 novembre 2020 (prot. n. 505512), tiene conto altresì delle interlocuzioni informali intercorse nel tempo con l’Ufficio del Garante;

RILEVATO che ai sensi dell’art. 55 del Regolamento, il Garante è l’autorità di controllo competente ad approvare il presente progetto di codice di condotta avente validità nazionale, nell’esercizio del potere conferitole ai sensi dell’art. 57, paragrafo 1, del Regolamento;

CONSIDERATO che i proponenti, svolgendo sul territorio nazionale, funzioni di interesse pubblico in ambito sanitario, sono legittimati, ai sensi dell’art. 40, paragrafo 2 del Regolamento, a promuovere l’adozione di un codice di condotta nel settore di riferimento. In particolare, la Regione Veneto svolge, tra le altre, funzioni di programmazione, indirizzo, controllo nonché di coordinamento nei confronti delle Aziende Sanitarie del Veneto e l’Azienda, in quanto articolazione del Servizio Sanitario Nazionale, è deputata, nel territorio di riferimento, all'erogazione di servizi sanitari e delle altre incombenze previste ex lege;

CONSIDERATO che il progetto di codice di condotta presentato dai proponenti contribuisce alla corretta applicazione del Regolamento in ambito sanitario con particolare riferimento al trattamento dei dati sulla salute a fini didattici e di pubblicazione scientifica. Ciò in quanto il trattamento di tali dati, acquisiti originariamente per l’erogazione di attività di diagnosi, cura e prevenzione, in presenza di specifiche misure e garanzie per i diritti e le libertà degli interessati è di estrema rilevanza anche per lo sviluppo e l’accrescimento delle conoscenze e competenze scientifiche e per il costante miglioramento della qualità dei servizi offerti;

RILEVATO che il progetto di codice intende disciplinare le modalità attraverso le quali i dati sulla salute possono essere utilizzati per fini didattici e di redazione di pubblicazioni scientifiche da parte dei professionisti sanitari e che esso è volto, in particolare, a:

garantire, settorialmente, in funzione delle specifiche esigenze dei partecipanti, l’applicazione efficace, coerente ed omogenea del Regolamento, individuando un set di regole concrete e un corretto bilanciamento degli interessi tra i soggetti coinvolti nel trattamento, con riguardo allo specifico settore di riferimento, in cui rileva il trattamento di dati sulla salute;

individuare le adeguate garanzie e modalità di trattamento dei dati personali da porre in essere a tutela dei diritti degli interessati;

precisare l’applicazione delle disposizioni del Regolamento nello specifico settore oggetto di regolamentazione da parte del Codice per permettere ai Titolari del trattamento di aderire al Codice di condotta e di utilizzarlo come elemento per dimostrare la conformità del trattamento posto in essere alla disciplina sulla protezione dei dati personali (considerando 77 e artt. 24, paragrafo 3, 32, par. 3, 28, paragrafo 5 e 40 del Regolamento);

consentire agli altri organismi che fanno capo al Sistema Sanitario Nazionale di aderire al presente Codice di Condotta, anche attraverso le rispettive associazioni di categoria, seguendo le procedure ivi stabilite.

CONSIDERATO che l’utilizzo dei dati personali per fini didattici e di pubblicazione scientifica da parte degli esercenti le professioni sanitarie che operano all’interno della struttura organizzativa del titolare del trattamento può avvenire solo previa adozione di specifiche misure di anonimizzazione e pseudonimizzazione, il cui processo è puntualmente descritto nell’allegato 1 del Codice;

CONSIDERATO che l’utilizzo dei dati per le richiamate finalità deve essere autorizzato sulla base di una richiesta inoltrata dal professionista sanitario che opera presso il titolare, utilizzando lo specifico modulo all’uopo predisposto (allegato 3 del Codice), al Centro Elaborazione DataSet, istituito presso la Direzione aziendale che, previa anonimizzazione o adozione delle tecniche descritte nell’allegato 1 del Codice, renderà disponibili le informazioni (art. 5 del Codice);

CONSIDERATO che qualora non sia possibile procedere all’anonimizzazione dei dati, il titolare dovrà acquisire uno specifico consenso dell’interessato, raccolto il quale i dati saranno comunque sottoposti a pseudonimizzazione (art. 5 del Codice);

RILEVATO che il Codice reca in allegato i modelli di informativa e consenso da rendere agli interessati (allegato 4 del Codice) e che tali modelli oltre che essere conformi al rinnovato quadro normativo vigente specificano chiaramente le finalità e i mezzi del trattamento, individuando altresì lo specifico periodo di conservazione dei dati;

VISTO che l’art. 41 del Regolamento, che reca la disciplina delle procedure di controllo dei codici di condotta da parte di organismi, in possesso di adeguate competenze e necessariamente accreditati dalla Autorità, non si applica al trattamento effettuato da autorità pubbliche e da organismi pubblici (cfr. par. 6);

RILEVATO che, in ogni caso, il progetto di codice individua specifici meccanismi che consentono di effettuare un efficace controllo sul rispetto del codice da parte degli aderenti che si impegnano ad applicarlo, così come previsto dall’art. 40, paragrafo 2, del Regolamento;

RITENUTO tuttavia che il progetto di codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica offre in misura sufficiente garanzie adeguate a tutela degli interessati, come previsto dall’art. 40, paragrafo 5, del Regolamento; 

VISTA la documentazione in atti:

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del Regolamento del Garante n. 1/2000;

RELATORE il dott. Agostino Ghiglia;

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 40, par. 5, 57, par. 1, lett. m) e 58, par. 3, lett. d) del Regolamento approva il codice di condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica, nella versione inviata il 26 novembre 2020;

ai sensi dell’art. 57, par. 1, lett. d), dispone la pubblicazione del predetto codice sul sito istituzionale del Garante.

Roma, 14 gennaio 2021

IL PRESIDENTE
Stanzione

IL RELATORE
Ghiglia

IL SEGRETARIO GENERALE
Mattei