[doc. web n. 5185386]

Parere sulle integrazioni apportate alla scheda n. 6 dell´Allegato B del Regolamento della Regione Emilia-Romagna per il trattamento dei dati sensibili e giudiziari relativo alle aziende unità sanitarie locali e ad altri enti operanti nell´ambito del Ssn - 5 maggio 2016

Registro dei provvedimenti
n. 203 del 5 maggio 2016

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della prof.ssa Licia Califano, componente e del dott. Giuseppe Busia, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lgs. 30 giugno 2003, n. 196, di seguito "Codice") e, in particolare gli articoli 20, comma 2, 21, comma 2, e 154, comma 1, lett. g);

Vista la richiesta di parere, presentata dalla Regione Emilia-Romagna il 25 marzo 2016, in ordine alle integrazioni apportate alla scheda n. 6 dell´Allegato B del Regolamento regionale per il trattamento dei dati sensibili e giudiziari relativo alle aziende unità sanitarie locali e ad altri enti operanti nell´ambito del Servizio sanitario nazionale;

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante, n. 1/2000;

Relatore la prof.ssa Licia Califano;

PREMESSO:

La Regione Emilia-Romagna ha chiesto il parere del Garante in ordine alle integrazioni apportate alla scheda n. 6 dell´Allegato B al Regolamento regionale per il trattamento dei dati sensibili e giudiziari relativo alle aziende unità sanitarie locali e ad altri enti operanti nell´ambito del Servizio sanitario nazionale (Ssn), adottato a suo tempo (cfr. il Regolamento regionale 30 maggio 2014, n. 1), in conformità allo schema tipo predisposto dalla Conferenza delle regioni e delle province autonome, sul quale il Garante ha reso il proprio parere favorevole in data 26 luglio 2012 (reperibile sul sito Internet dell´Autorità, www.garanteprivacy.it, doc. web n. 1915390). Nella richiesta, la Regione ha rappresentato di voler modificare la predetta scheda del Regolamento regionale per prendere in considerazione ulteriori trattamenti di dati sensibili e giudiziari non considerati nello schema tipo sopra citato.

In particolare, nella nuova scheda sottoposta alla valutazione dell´Autorità, riguardante i trattamenti di dati sensibili e giudiziari, posti in essere dalle aziende sanitarie e da altri enti del Ssn, nell´ambito delle "attività di assistenza socio-sanitaria a favore di fasce deboli di popolazione e di soggetti in regime di detenzione", è stata innanzitutto prevista un´ulteriore operazione di comunicazione di queste informazioni verso gli enti del "terzo settore non-profit" "per l´erogazione di prestazioni socio-sanitarie" "limitatamente ai dati strettamente indispensabili, in relazione alle rispettive competenze dei soggetti" destinatari di detta comunicazione.

Inoltre, nella medesima scheda, la descrizione del trattamento e del flusso informativo è stata integrata con un paragrafo dedicato ai trattamenti di dati sensibili e giudiziari contenuti nella "Banca dati integrata sull´assistenza socio-sanitaria". Riguardo a tali trattamenti di dati, è stato prospettato che le aziende unità sanitarie locali (ausl) e i comuni, afferenti allo stesso distretto sanitario (v. artt. 3-quater ss. d.lgs. 30 dicembre 1992, n. 502), possono prevedere la costituzione di una banca dati integrata sull´assistenza socio-sanitaria, nell´ambito degli accordi di integrazione socio-sanitaria, di cui all´art. 10, comma 4, della l. regionale 12 marzo 2003, n. 2, previsti dai Piani di zona e approvati dalla Conferenza territoriale sociale e sanitaria, di cui all´art. 11 della l. regionale 12 maggio 1994, n. 19 (v. anche art. 11 della l. regionale 12 marzo 2003, n. 2).

Questa banca dati, di cui sono contitolari le ausl e i comuni appartenenti allo stesso ambito distrettuale, risponde all´esigenza di raccogliere, in un unico archivio informatizzato, i dati sensibili e giudiziari indispensabili alla presa in carico delle persone che accedono ai servizi sociali territoriali e necessitano di seguire un percorso socio-sanitario integrato. Sulla base della disciplina nazionale e regionale sull´integrazione socio-sanitaria, le prestazioni socio-sanitarie sono infatti "caratterizzate da percorsi assistenziali integrati per rispondere ai bisogni della salute delle persone che necessitano unitariamente di prestazioni sanitarie e socio-assistenziali"(cfr. art. 3-septies d.lgs. n. 502/1992 e art. 1, comma 3, legge regionale n. 2/2003)

Nel dettaglio, viene rappresentato che la richiesta di assistenza da parte dell´utente è raccolta e valutata dal servizio sociale territoriale del comune, il quale analizza la situazione della persona e del suo nucleo familiare di riferimento. In presenza di bisogni complessi, che richiedono necessariamente una valutazione multidimensionale, viene attivata un´apposita unità della ausl, composta da operatori sanitari delle ausl e da operatori sociali dei comuni, per la valutazione del bisogno di natura socio-sanitaria, la predisposizione programma assistenziale individualizzato e l´avvio delle attività necessarie all´erogazione dei servizi socio-sanitari (art. 7, legge regionale n. 2/2003).

Avviato il progetto personalizzato, i dati personali, anche sensibili e giudiziari, riferiti alla valutazione multidimensionale dei bisogni assistenziali dell´interessato, all´andamento del progetto personalizzato e all´erogazione dei servizi socio-sanitari, sono registrati nella banca dati integrata. Secondo quanto decritto nella scheda, la banca dati, accessibile soltanto agli operatori dei comuni e delle ausl che hanno preso in carico l´utente, sulla base delle rispettive competenze, nell´ambito delle finalità di rilevante interesse pubblico perseguite da ciascuno, consente a tali soggetti, designati quali responsabili o incaricati del trattamento dai rispettivi enti di riferimento, di verificare le condizioni dell´utente, di garantire la continuità assistenziale e un´adeguata programmazione e gestione dei servizi erogati, attraverso la valutazione congiunta dei risultati raggiunti (artt. 20, 21, 73, comma 1, e 86, comma 1, lett. b) e c) del Codice).

Inoltre, la nuova scheda n. 6 del Regolamento regionale è stata integrata con la descrizione di un sistema informativo, denominato "Fragilità", oggetto di sperimentazione nell´ambito dei progetti promossi dalle ausl e dai comuni di riferimento, in attuazione della delibera di Giunta regionale 30 luglio 2007, n. 1206 relativa al Fondo regionale non autosufficienza, del Piano sociale e sanitario 2008-2010 (delibera dell´Assemblea legislativa regionale 22 maggio 2008, n. 175) e del Piano della prevenzione regionale 2015-2018 (delibera di Giunta regionale 9 febbraio 2016, n. 136). Sulla base di quanto indicato nella scheda, tale sistema informativo è finalizzato alla prevenzione e al monitoraggio della condizione di non autosufficienza, consentendo agli operatori sanitari e socio-sanitari di stimare la misura della fragilità dei soggetti richiedenti o comunque bisognosi di servizi assistenziali (art. 73, comma 1, lett. a) e b) del Codice). In particolare, in questo sistema informativo sono raccolti dati personali, anche sensibili, riferiti a persone che, in ragione della propria situazione sanitaria, sociale o familiare, versano in una condizione di parziale o completa non autosufficienza, ovvero a coloro che potrebbero vedere aggravata la propria posizione di debolezza in particolari situazioni (ad esempio nel caso di ondate di caldo eccessivo durante il periodo estivo). A tale riguardo, tra le operazioni di interconnessione e raffronto effettuate con altri trattamenti o archivi di cui è titolare l´azienda sanitaria è stato inserito un riferimento al "rischio fragilità".

OSSERVA

Il parere è reso su una versione aggiornata della scheda n. 6 dell´Allegato B del Regolamento regionale per il trattamento dei dati sensibili e giudiziari, che tiene conto di gran parte delle osservazioni formulate dall´Ufficio del Garante alla Regione interessata, all´esito di diversi contatti informali.

Le osservazioni hanno riguardato, in particolare: l´indicazione del quadro normativo nazionale e regionale che legittima la costituzione della "Banca dati integrata sull´assistenza socio-sanitaria"; l´individuazione dei soggetti ai quali compete il potere decisionale in merito alla costituzione della banca dati e ai relativi trattamenti di dati sensibili e giudiziari; la specificazione delle attività che, nell´ambito delle finalità di rilevante interesse pubblico perseguite da ciascuno degli enti coinvolti nel trattamento, in conformità alla disciplina regionale sul sistema integrato di interventi e servizi sociali, rendono, in concreto, necessaria la condivisione di dati sensibili e giudiziari riferiti agli utenti dei servizi sociali territoriali da parte dei comuni e delle ausl afferenti allo stesso distretto. Analoghe osservazioni sono state formulate anche con riferimento alle integrazioni della scheda relative al sistema informativo "Fragilità".

Alcuni aspetti delle modifiche apportate scheda in questione meritano, tuttavia, ulteriori perfezionamenti e valutazioni più approfondite, per i profili riguardanti la protezione dei dati personali, nei termini che sono decritti di seguito.

1. Banca dati integrata sull´assistenza socio-sanitaria.

In conformità alla disciplina nazionale in materia sanitaria (art. 3-septies, comma 8, d.lgs. n. 502/1992), la Regione Emilia-Romagna, con la legge regionale n. 2/2003, ha disciplinato le modalità mediante le quali le aziende sanitarie e i comuni assicurano, su base distrettuale, l´integrazione delle prestazioni socio-sanitarie di rispettiva competenza, individuando, quali strumenti per garantire la gestione integrata dei processi assistenziali socio-sanitari, gli accordi di integrazione socio-sanitaria sopra menzionati, nell´ambito dei quali le aziende sanitarie e i comuni, afferenti allo stesso distretto, possono individuare modelli organizzativi e gestionali, fondati sull´integrazione professionale delle rispettive competenze (art. 10 comma 4, legge regionale n. 2/2003). Tra tali modelli organizzativi, si inserisce la banca dati integrata sull´assistenza socio-sanitaria riportata nella nuova scheda n. 6 del Regolamento regionale. Tale banca dati, secondo quanto rappresentato dalla Regione, è strumentale al consolidamento del sistema integrato di sportelli sociali, che, in base all´art. 7 della legge regionale n. 2/2003, le ausl e i comuni di riferimento si impegnano a realizzare, anche attraverso l´integrazione tra gli sportelli sociali dei comuni e gli sportelli unici distrettuali delle ausl, con funzioni di orientamento, segnalazione del bisogno e di primo accesso alla rete dei servizi socio-sanitari.

In particolare, l´accesso dell´utente ai servizi sociali territoriali è garantito dagli sportelli sociali attivati dai comuni, in raccordo con le ausl, anche con il concorso dei soggetti della cooperazione sociale, dell´associazionismo di promozione sociale e del volontariato, i quali forniscono informazioni e orientamento ai cittadini sui diritti e le opportunità sociali, nonché sui servizi e gli interventi del sistema locale (artt. 2, comma 2 e 7, comma 1 legge regionale n. 2/2003). In presenza di bisogni complessi, che richiedono l´intervento di diversi servizi o soggetti, i competenti servizi, in ottemperanza alla legge regionale citata, possano attivare gli strumenti tecnici necessari per la valutazione multidimensionale e per la predisposizione del programma assistenziale individualizzato (art. 7, comma 3, legge regionale n. 2/2003).

In questo quadro, valutate le circostanze rappresentate dalla Regione Emilia-Romagna, le integrazioni apportate alla scheda n. 6 dell´Allegato B del Regolamento regionale, con riferimento alle operazioni di comunicazione di dati sensibili e giudiziari verso gli enti del "terzo settore non-profit" "per l´erogazione di prestazioni socio-sanitarie", nonché ai trattamenti effettuati con i predetti dati attraverso la "Banca dati integrata sull´assistenza socio-sanitaria", non presentano particolari criticità sotto il profilo della protezione dei dati personali, eccetto che per il profilo di seguito illustrato.

Come detto, le attività di valutazione del bisogno di natura socio-sanitaria, la predisposizione del programma assistenziale individualizzato, l´attivazione, il monitoraggio e la gestione del percorso di assistenza socio-sanitaria, nonché i relativi trattamenti di dati sensibili e giudiziari, effettuati attraverso la banca dati integrata, sono imputabili sia alle ausl, sia ai comuni dello stesso distretto sanitario, ciascuno in relazione alle rispettive competenze, nell´ambito delle finalità socio-assistenziali perseguite, considerate dal Codice di rilevante interesse pubblico (artt. 20, 21, 73, comma 1, e 86, comma 1, lett. b) e c)). In base al quadro normativo in materia di prestazioni socio-sanitarie, le attività correlate all´erogazione di tali prestazioni competono a soggetti distinti e, segnatamente, quelle sanitarie a rilevanza sociale, comprensive di quelle connotate da elevata integrazione sanitaria, sono a carico delle aziende sanitarie e quelle sociali a rilevanza sanitaria competono ai comuni (art. 3-septies, commi 5 e 6, d.lgs. n. 502/1992; art. 3 d.P.C.M. 14 febbraio 2001 e art. 10, comma 2, legge regionale n. 2/2003).

Questi enti, nell´ambito degli accordi di integrazione socio-sanitaria, alla luce della normativa regionale in materia, secondo quanto prospettato nella nuova scheda del Regolamento, assumono congiuntamente le decisioni in merito alla costituzione e alla gestione della banca dati integrata per garantire, nel proprio distretto, la continuità assistenziale e un´adeguata programmazione e gestione integrata dei servizi socio-sanitari erogati, attraverso una valutazione congiunta dei risultati raggiunti. In base alla disciplina sulla protezione dei dati personali, come correttamente indicato nella scheda, le ausl e i comuni coinvolti nei trattamenti di dati sensibili e giudiziari effettuati attraverso la banca dati integrata si configurano come contitolari del trattamento (artt. 4, comma 1, lett. f) e 28 del Codice).

In proposito, va tuttavia rilevato che nella predetta scheda, non sono definite le rispettive responsabilità di ciascuno degli enti coinvolti in tali trattamenti di dati correlati alla banca dati integrata, in merito all´osservanza degli obblighi in materia di protezione dei dati personali. Tali obblighi devono invece essere determinati in modo trasparente nella scheda, con particolare riguardo a quelli riguardanti l´informativa agli interessati e l´esercizio dei diritti dell´interessato (artt. 7 e 13 del Codice, cfr. anche Gruppo Art. 29, Parere n. 1/2010 del 6 febbraio 2010 sui concetti di "responsabile del trattamento" e "incaricato del trattamento" - WP 169). Ciò, per evitare che la complessità della scelta riguardo alla contitolarità del trattamento non porti a una confusa e impraticabile ripartizione delle responsabilità conseguenti al trattamento di questi dati, che minerebbe l´efficacia della normativa sulla protezione dei dati personali.

Poiché la nuova scheda dell´Allegato B del Regolamento regionale prende in considerazione i soli trattamenti di dati sensibili e giudiziari di competenza delle aziende sanitarie e di altri enti operanti nell´ambito del Ssn, alla luce degli artt. 20, comma 2, 21, comma 2, del Codice, si segnala, inoltre, la necessità che i singoli comuni che, nell´ambito degli accordi di integrazione socio-sanitaria, intendano, unitamente alle ausl del distretto, costituire la predetta banca dati integrata, provvedano a integrare al riguardo i propri regolamenti sul trattamento dei dati sensibili e giudiziari.

2. Sistema informativo "Fragilità".

Sulla base di quanto emerge dalle integrazioni apportate alla scheda in questione, il sistema informativo "Fragilità" raccoglie, in un´unica banca dati, un insieme di informazioni particolarmente delicate riferite a soggetti identificati come non autosufficienti o a rischio di non autosufficienza. Esso si propone, in particolare, di identificare precocemente la popolazione fragile o potenzialmente fragile, di stratificarla sulla base di profili di rischio e di monitorare gli interventi di assistenza sanitaria e socio-sanitari erogati (cfr. Piano della prevenzione regionale 2015-2018 cit., All. n. 6). A tal fine, sono acquisiti dati anagrafici, sanitari, reddituali, relativi al censimento Istat, nonché informazioni riguardanti l´eventuale assegnazione di immobili di edilizia pubblica. Le informazioni raccolte nel sistema informativo riguardano, quindi, non soltanto lo stato di salute degli interessati, ma anche altri aspetti della loro vita privata, essendo estrapolate da banche dati di diversi titolari, quali i comuni, l´Istituto nazionale di statistica e gli Istituti pubblici di assistenza e beneficenza.

Al riguardo, emergono tuttavia diverse criticità, per gli aspetti relativi alla protezione dei dati personali, con particolare riferimento all´assenza di idonei presupposti normativi che legittimino il trattamento di dati personali, anche sensibili, correlati al sistema informativo "Fragilità" (artt. 4, comma 1, lett. d) e 20 del Codice). Ciò in ragione del fatto che se la costituzione e la gestione di tale sistema informativo comporta, come sembra, trattamenti automatizzati di dati sensibili volti a definire il profilo o la personalità degli interessati, utilizzando banche dati di diversi titolari, questi possono essere legittimamente effettuati, ai sensi dell´art. 22, comma 11, del Codice, soltanto se previsti da espressa disposizione di legge. Al contrario, i riferimenti normativi riportati nella scheda non contengono espresse previsioni in merito ovvero consistono in meri atti di programmazione regionale (cfr. artt. 28, comma 1, lett. d) e 46, comma 2, lett. d) e e) dello Statuto della Regione Emilia-Romagna approvato con legge regionale 31 marzo 2005, n. 13).

I profili di rischio sulla non autosufficienza, che il sistema consente di attribuire agli interessati, comportano la generazione di nuovi dati personali rispetto a quelli comunicati dagli stessi all´azienda sanitaria di riferimento o da quelli che i medesimi interessati possono ragionevolmente ipotizzare che siano noti alla stessa azienda. Al riguardo, va evidenziato che sebbene la profilazione di cui si tratta è, in questo caso, finalizzata ad arrecare benefici agli interessati, consistenti nell´erogazione gli interventi di assistenza sanitaria e socio-sanitaria, non può escludersi che i medesimi possano essere ingiustamente privati di questi servizi o che vengano esposti a rischi di discriminazione, specie in considerazione del fatto che, nel contesto della profilazione, sono utilizzati informazioni particolarmente delicate riguardanti lo stato di salute e la condizione di indigenza o di disagio familiare e sociale in cui possono versare gli interessati. Per tali ragioni, la disciplina sulla protezione dei dati personali ammette la profilazione degli interessati con dati sensibili, soltanto nella misura in cui ciò sia previsto dalla legge e subordina questo tipo di trattamento all´adozione di idonee garanzie, con particolare riferimento al diritto di opposizione per motivi legittimi (cfr. art. 14, comma 2, del Codice e par. 3.11 della Raccomandazione del Consiglio d´Europa Rec(2010)13 sulla protezione delle persone fisiche con riguardo al trattamento automatizzato di dati personali nel contesto di attività di profilazione).

Oltre al rilievo di cui sopra, si segnala in ogni caso che, nella descrizione del trattamento riportata nella scheda n. 6, il sistema informativo in questione è ricondotto alle attività di sperimentazione poste in essere nell´ambito di progetti promossi dalle ausl e dai comuni di riferimento, senza chiarire quali siano effettivamente i soggetti "titolari del trattamento" (art. 28 del Codice). Tra le informazioni acquisite nel sistema informativo sono poi indicati anche "i dati del censimento Istat", senza rispettare gli specifici limiti che la disciplina di protezione dei dati prevede per l´utilizzo di tale categoria di informazioni: si tratta, infatti, di dati personali trattati a fini statistici che, in base al divieto di cui all´art. 105, comma 1, del Codice, non possono essere utilizzati per prendere decisioni o provvedimenti relativamente agli interessati, né per trattamenti effettuati per scopi di altra natura, quali quelli di carattere socio-assistenziale prospettati nella scheda in esame. Infine, dalla predetta descrizione non risulta che sia stata presa in adeguata considerazione la necessità di conformare i trattamenti di dati sensibili di cui si tratta "secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell´interessato", come richiede l´art. 22, comma 1, del Codice, dal momento che non viene riportata alcuna indicazione in merito alla specifica informativa da fornire agli interessati e alle modalità con cui questi possono esercitare i diritti previsti dall´art. 7 del Codice con particolare riferimento a quello di opposizione per motivi legittimi (artt. 13 e 7, comma 4, lett. a) del Codice).

In tale quadro, non essendo stato possibile rinvenire idonei presupposti legittimanti i trattamenti di dati sensibili effettuati attraverso il sistema informativo "Fragilità", ogni riferimento a tale sistema va espunto dalla scheda n. 6 dell´All. B del Regolamento regionale.

TUTTO CIÒ PREMESSO IL GARANTE

ai sensi degli artt. 20, comma 2, 21, comma 2, e in relazione a quanto previsto dall´art. 154, comma 1, lett. g) del Codice:

a) esprime parere favorevole in ordine alle integrazioni apportate alla scheda n. 6 dell´Allegato B del Regolamento della Regione Emilia-Romagna per il trattamento dei dati sensibili e giudiziari relativo alle aziende unità sanitarie locali e ad altri enti operanti nell´ambito del Servizio sanitario nazionale, a condizione che in tale scheda siano menzionate le responsabilità di ciascuno degli enti, coinvolti nei trattamenti di dati sensibili e giudiziari correlati alla "Banca dati integrata sull´assistenza socio-sanitaria", riguardanti l´osservanza degli obblighi in materia di protezione dei dati personali e che dalla medesima scheda sia espunto ogni riferimento al sistema informativo "Fragilità", in conformità alle indicazioni riportate nel presente parere (punti 1 e 2);

b) alla luce del principio di semplificazione riguardo all´adempimento degli obblighi da parte dei titolari del trattamento, di cui all´art. 2, comma 2, del Codice, delibera altresì che i comuni della Regione Emilia-Romagna, i quali nell´ambito degli accordi di integrazione socio-sanitaria, unitamente alle ausl dello stesso distretto, intendano costituire una "Banca dati integrata sull´assistenza socio-sanitaria" potranno aggiornare i propri atti regolamentari, al fine di poter lecitamente effettuare i trattamenti di dati sensibili ad essa correlati, in relazione alle specifiche attività di valutazione del bisogno di natura socio-sanitaria, di predisposizione del programma assistenziale individualizzato, nonché di attivazione e gestione del percorso di assistenza socio-sanitaria, senza dover richiedere singolarmente all´Autorità il parere ai sensi dell´art. 20, comma 2, e 21, comma 2, del Codice, sempreché il trattamento ipotizzato sia attinente alle integrazioni apportate alla scheda n. 6 dell´Allegato B del Regolamento regionale, sulla base delle indicazioni fornite con il presente parere. A tal fine, dispone che la trasmissione del presente provvedimento all´ANCI Emilia Romagna affinché ne venga data opportuna diffusione tra i comuni del territorio della Regione.

Ai sensi degli artt. 152 del Codice e 10 d.lgs. n. 150 del 2011, avverso il presente provvedimento può essere proposta opposizione all´autorità giudiziaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all´estero.

Roma, 5 maggio 2016

IL PRESIDENTE
Soro

IL RELATORE
Califano

IL SEGRETARIO GENERALE
Busia