Salta al contenuto

DIRITTI E PREVENZIONE > COME TUTELARE LA TUA PRIVACY

ricerca avanzata

Trattamento di dati personali contenuti nel Registro Italiano di Dialisi e Trapianto - 16 gennaio 2014 [2937031]

vedi anche newsletter del 25 febbraio 2014

 

[doc. web n. 2937031]

Trattamento di dati personali contenuti nel Registro Italiano di Dialisi e Trapianto - 16 gennaio 2014

Registro dei provvedimenti
n. 16 del 16 gennaio 2014

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, in presenza del dott. Antonello Soro, presidente, della dott.ssa Augusta Iannini, vice presidente, della dott.ssa Giovanna Bianchi Clerici, della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia, segretario generale;

Visti gli atti degli accertamenti ispettivi effettuati d'ufficio presso la Società Italiana di Nefrologia con sede in Roma, Viale dell'Università n. 11, nonché presso gli altri soggetti di cui la Società si avvale per l'alimentazione e la gestione del c.d. Registro italiano di dialisi e trapianto;

Vista le richieste di informazioni in atti;

Vista la documentazione inviata dalla Società italiana di nefrologia in risposta alle predette richieste di informazioni;

Vista la nota inviata dalla Società ad integrazione degli elementi prodotti nell'ambito degli approfondimenti ispettivi in data 18 dicembre 2013 successivamente integrata in data 8 gennaio 2014;

Visti gli atti d'Ufficio;

Visti gli artt. 13, 23, 106, 107 e 110 del Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196; di seguito "Codice");

Viste le osservazioni formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore la dott.ssa Giovanna Bianchi Clerici;

PREMESSO

Sono stati effettuati d'ufficio degli accertamenti ispettivi presso la Società Italiana di Nefrologia (SIN), associazione medico-scientifica senza scopo di lucro che promuove la disciplina della nefrologia, anche attraverso l'esame, lo studio e la discussione di problemi ad essa inerenti. Nel corso di tali accertamenti, è stato accertato che il c.d. Registro Italiano di Dialisi e Trapianto (RIDT) è stato istituito su iniziativa della SIN nel 1996 attraverso la raccolta di dati aggregati presso i c.d. Registri regionali/provinciali di dialisi e trapianto (RR). A decorrere dall'anno 2003, il RIDT viene implementato con dati clinici disaggregati (riferiti a ciascun paziente con insufficienza renale cronica in trattamento sostitutivo della funzione renale presso i centri dialisi territoriali) non direttamente identificativi acquisiti annualmente dalla SIN presso i RR, sulla base della collaborazione volontaria dei responsabili dei singoli RR. Ciò, senza che gli interessati siano a conoscenza della trasmissione dei dati che li riguardano alla SIN, la quale ritiene erroneamente, in proposito, di acquisire soltanto dati "anonimi" dai rispettivi RR. In particolare, tali dati consistono in un codice univoco regionale, non direttamente identificativo, associato ad una serie di dati clinici riferiti ai singoli pazienti.

Al riguardo, è stato verificato che ai fini dell'alimentazione del RIDT, i responsabili dei singoli RR, avvalendosi, in taluni casi, della collaborazione di referenti tecnici, inviano mediante una web application -gestita da una società esterna che fornisce alla SIN il supporto tecnologico per il funzionamento del RIDT- alcuni file contenenti una serie di dati clinici estrapolati dal proprio registro regionale/provinciale (fatta eccezione per alcune regioni/province autonome che sono in grado di fornire soltanto dati aggregati o che non forniscono dati). Nello specifico, secondo quanto emerso dagli approfondimenti ispettivi, ogni anno, per ciascun paziente con insufficienza renale cronica (che nel corso dell'anno di riferimento ha iniziato, o ha proseguito, una terapia renale sostitutiva), la SIN è destinataria dell'intero insieme dei dati che popolano il RIDT, a partire quindi da quelli riferiti alla data del primo trattamento dialitico effettuato dall'interessato, ivi incluse quindi anche le informazioni relative agli anni precedenti a quello di riferimento.

Per ciò che concerne il dettaglio delle informazioni raccolte presso i RR, dalle risultanze ispettive è stato verificato che i file inviati dai responsabili dei singoli registri sono associabili tra loro mediante una chiave univoca costituita dal codice che identifica la regione/provincia autonoma presso cui insiste il RR e dal codice che in ciascun registro regionale/provinciale identifica il paziente cui i dati si riferiscono. In particolare, tali file contengono dati disaggregati anagrafici (codice univoco del paziente, codice della regione/provincia autonoma, data di nascita del paziente, sesso, codice relativo alla nefropatia di base, data della prima dialisi, data eventuale di decesso, codice relativo alla causa del decesso), relativi ai trattamenti dialitici effettuati (data di inizio trattamento, codice relativo alla tipologia di trattamento, codice relativo alla sede del trattamento), nonché riguardanti le patologie correlate alla malattia renale cronica e i risultati degli esami clinici compiuti (valore dell'emoglobina all'inizio della dialisi, ultimo valore di emoglobina, data dell'ultimo valore di emoglobina). È emerso, inoltre, che i dati sanitari contenuti nei predetti file sono indicizzati sulla base delle c.d. "tabelle di transcodifica" pubblicate sul sito Internet della SIN.

Per ciò che concerne l'ambito di comunicazione dei dati, è emerso che la SIN non è autorizzata a consultare direttamente i dati dei pazienti censiti nei singoli RR e che il RIDT è costituito soltanto dai dati inviati annualmente dai responsabili dei singoli RR. In particolare è stato accertato che, nell'ambito della SIN, hanno facoltà di accesso ai dati raccolti dal RIDT soltanto il coordinatore, il segretario e i membri del comitato scientifico del Registro sia per esigenze di controllo dell'operato della società esterna che fornisce alla SIN il supporto tecnico per la gestione del RIDT, sia per definire le analisi e le elaborazioni statistiche necessarie per le attività scientifiche ed epidemiologiche svolte dall'associazione sull'insufficienza renale cronica nel nostro paese.

Alla luce delle informazioni acquisite presso la SIN, l'Ufficio procedeva quindi ad effettuare ulteriori accertamenti ispettivi sia nei riguardi della predetta società esterna che collabora con la SIN per il controllo della trasmissione dei dati provenienti dai RR e la gestione del sito Internet dell'associazione (webmaster), sia nei confronti del collaboratore esterno che svolge annualmente per la SIN l'analisi e l'elaborazione statistico-epidemiologica dei dati raccolti (data manager), al fine di verificare, per i profili di protezione dei dati personali, i rapporti intercorrenti tra i predetti soggetti nelle attività di implementazione e di funzionamento del RIDT.

Nel corso dei predetti accertamenti è stato riscontrato che la SIN ha concluso un contratto di prestazione di servizi con la società esterna di cui si avvale per la gestione tecnica del RIDT. In particolare, in base a quanto pattuito, tale società svolge, per conto della SIN, compiti di verifica del rispetto delle scadenze concordate con i responsabili regionali per l'alimentazione annuale del RIDT, nonché di raccolta, verifica e trasmissione al data manager dei dati acquisiti. Ciò, tramite la loro memorizzazione su un supporto ottico (CD/DVD) o su una pen drive. La predetta società trasmette altresì, ogni anno, per conto della SIN, all'Associazione nefrologica europea-Associazione europea di dialisi e trapianto (ERA-EDTA) alcuni dei dati clinici disaggregati dei pazienti in trattamento dialitico raccolti presso i RR per le attività di ricerca e di analisi epidemiologica in ambito sovranazionale svolte da tale associazione nell'ambito del Registro europeo di dialisi e trapianto (Registro europeo). La società infine cura la gestione tecnica del sito Internet della SIN su cui vengono pubblicati annualmente dati aggregati sulla prevalenza e l'incidenza della malattia renale cronica in Italia e sulla sua evoluzione nel tempo. In tale ambito, essa amministra altresì le procedure di autenticazione per l'accesso all'area riservata del sito della SIN nella quale vengono memorizzati i dati trasmessi al RIDT dai responsabili dei singoli RR.

Per gli specifici profili di protezione dei dati personali, sulla base della documentazione acquisita in sede ispettiva, è stato accertato che il rappresentante legale della predetta società è stato designato per iscritto dalla SIN come "incaricato del trattamento dei dati", poiché, secondo le dichiarazioni rese nella stessa sede, è la medesima persona fisica che cura personalmente lo svolgimento delle predette attività per conto della SIN.

Per ciò che concerne le modalità di raccolta dei dati presso i RR, è stato verificato che i file contenenti i dati estrapolati dai RR vengono inviati al rappresentante legale della società (upload) tramite l'area riservata del sito Internet della SIN (mediante l'inserimento di credenziali di autenticazione composte da username e password). In particolare, i file vengono inviati in chiaro in formato compresso (zip) utilizzando una connessione non protetta (protocollo http). I file ivi registrati, una volta verificati, vengono accorpati e consegnati al data manager per le successive analisi ed elaborazioni statistico-epidemiologiche. In conformità alle istruzioni impartite per iscritto dalla SIN e riportate nell'atto di incarico, tali file non vengono conservati dal web master: il medesimo incaricato provvede infatti a cancellarli annualmente dopo averli consegnati al data manager.

Riguardo alle modalità di trasmissione dei dati all'ERA-EDTA, per conto della SIN, è stato accertato che, invece, i file contenenti tali dati vengono criptati mediante un sistema a chiave asimmetrica adottato dall'associazione destinataria e successivamente inviati all'ERA-EDTA tramite e-mail. In alternativa è prevista la possibilità di trasmettere all'ERA-EDTA, sempre tramite posta elettronica, i medesimi file in formato excel o access protetti con password.

Nell'ambito degli stessi accertamenti ispettivi è stato altresì accertato che la persona fisica che collabora con la SIN come data manager, è stata designata dall'associazione quale "incaricato del trattamento dei dati" con riferimento alle analisi e alle elaborazioni statistiche a fini epidemiologici compiute sulla base delle indicazioni del comitato scientifico della stessa associazione. In particolare, tali attività sono finalizzate alla realizzazione per conto della SIN di rapporti annuali contenenti dati aggregati sulla prevalenza e l'incidenza della malattia renale cronica in Italia e sulla sua evoluzione nel tempo, che vengono presentati e discussi in occasione del Congresso annuale della SIN e pubblicati sul sito Internet dell'associazione. Tali dati aggregati sono forniti dal data manager anche all'ERA-EDTA al fine di consentire a detta associazione di verificare la congruenza di quelli acquisiti sempre dalla SIN, ma in forma disaggregata.

Sulla base delle dichiarazioni rese, è emerso che le attività di analisi ed elaborazione statistico-epidemiologica effettuate dal data manager non includono i codici univoci regionali riferiti ai pazienti censiti in ciascun registro regionale/provinciale in quanto l'identificazione dell'interessato non è necessaria a questo fine. Inoltre, una volta completate le predette attività, sulla base delle istruzioni fornite per iscritto dalla SIN nell'atto di incarico, il data manager provvede a cancellare dai propri sistemi informatici i file contenenti i dati estrapolati dai RR.

Riguardo alla trasmissione alla SIN dei dati estratti dai singoli RR, è stato verificato che l'associazione ritiene che tali dati siano "anonimi", come risulta dal verbale delle operazioni compiute e dall'ulteriore documentazione in atti. Soltanto nel giugno del 2009, l'associazione ha predisposto un apposito modulo di informativa e di raccolta del consenso al trattamento dei dati personali e fornito al riguardo specifiche indicazioni ai responsabili dei RR affinché tale modulo venisse sottoposto agli interessati. Ciò, in quanto era stata prospettata allora una collaborazione con il Centro Nazionale per i Trapianti (CNT) -istituito presso l'Istituto Superiore di Sanità dall'art. 8 della l. 1° aprile 1999, n. 91- che prevedeva l'acquisizione dai RR dei dati di pazienti in trattamento dialitico corredati dal codice fiscale degli interessati a cura dello stesso Centro. A tal fine era stato concluso un apposito accordo di collaborazione con il CNT; accordo che, alla data degli accertamenti ispettivi, non è risultato essere operativo.

Dalle dichiarazioni rese e dalla documentazione acquisita a seguito degli accertamenti sopra descritti, è risultato, inoltre, che i RR si collocano in autonomi e distinti contesti normativi e organizzativi rispetto al RIDT e presentano differenti caratteristiche e modalità di funzionamento. Come indicato anche nel verbale delle operazioni compiute, i soggetti pubblici o gli organismi sanitari pubblici presso cui sono istituiti i RR o che ne curano il funzionamento (osservatori epidemiologici, centri trapianti regionali, aziende ospedaliere, ecc.), si configurano come autonomi titolari del trattamento dei dati presenti nei rispettivi RR anche per ciò che concerne la comunicazione alla SIN di alcuni di questi dati per l'alimentazione del RIDT e, tramite la stessa associazione, del Registro europeo.

Alla luce delle suddette risultanze ispettive, l'Ufficio ha pertanto ritenuto necessario acquisire ulteriori informazioni presso le regioni/provincie autonome in cui operano i rispettivi RR. Sono state richieste informazioni con particolare riferimento ai presupposti giuridici che legittimerebbero la raccolta di dati personali, anche sensibili, dei pazienti in trattamento dialitico sostitutivo della funzione renale presso i centri dialisi territoriali per l'implementazione dei medesimi registri, nonché per la successiva comunicazione alla SIN di alcuni di questi dati al fine dell'alimentazione del RIDT.

In relazione ai presupposti giuridici che legittimerebbero il trattamento di tali dati per l'implementazione dei RR, sulla base degli approfondimenti effettuati, è stato riscontrato che i RR sono stati istituiti da ciascuna regione/provincia autonoma, in tempi distinti e con atti eterogenei (leggi, delibere ed altri atti amministrativi regionali/provinciali) alcuni dei quali sono resi disponibili sul sito Internet dell'associazione. Seppure i RR siano organizzati e disciplinati diversamente presso ciascuna regione/provincia autonoma, in linea generale, è emerso che nei RR vengono raccolti dati direttamente identificativi (anagrafici e clinici) di pazienti in trattamento sostitutivo renale dai centri di dialisi territoriali, mediante strumenti elettronici e procedure tecniche a ciò dedicate. Con riferimento alle finalità perseguite, risulta che i RR sono principalmente volti a perseguire scopi scientifici e, in particolare, scopi di ricerca scientifica in campo epidemiologico. In alcune regioni/province autonome, i dati raccolti presso i medesimi registri sono utilizzati anche per finalità amministrative da parte di organi o enti strumentali delle rispettive amministrazioni regionali/provinciali e, in particolare, per finalità di programmazione, gestione, controllo e valutazione dell'assistenza sanitaria. Inoltre, è stato appurato che soltanto presso taluni RR sono utilizzati degli appositi moduli per l'informativa e/o la raccolta del consenso degli interessati a cura dei centri dialisi territoriali in cui viene menzionata anche la comunicazione alla SIN di alcuni dei dati censiti nel registro di riferimento per l'alimentazione del RIDT e del Registro europeo. Infine, per ciò che concerne la generazione del codice univoco attribuito a ciascun paziente censito nel rispettivo registro regionale/provinciale risulta che le modalità di codifica variano presso ciascun ente di riferimento e che tali procedure non sono a conoscenza della SIN.

OSSERVA

1. Il trattamento dei dati personali effettuato dalla SIN.

Sulla base delle risultanze ispettive il trattamento di dati personali e sanitari riferiti a pazienti nefropatici cronici in trattamento sostitutivo della funzione renale, effettuato dalla SIN per la realizzazione del RIDT, risulta essere preordinato a perseguire esclusivi scopi di ricerca scientifica in campo epidemiologico. Il Registro, in particolare, è volto a consentire all'associazione di effettuare analisi ed elaborazioni statistiche sull'entità e la rilevanza dell'insufficienza renale cronica in ambito nazionale per finalità di studio e ricerca scientifica epidemiologica e di assicurare il necessario supporto informativo per le medesime attività condotte in ambito sovranazionale.

Per perseguire tali finalità è possibile raccogliere e trattare dati personali e, in particolare, dati attinenti alla salute, a condizione che, di regola, venga fornita una previa e idonea informativa ai pazienti interessati e richiesto loro uno specifico consenso (artt. 106, 107 e 110 del Codice, v. anche autorizzazione generale n. 2/2013 al trattamento dei dati sulla salute e sulla vita sessuale, Provv. 12 dicembre 2013, doc. web n. 2818529, punto 1.2.). L'adempimento dell'obbligo di raccogliere il consenso dei pazienti interessati non è richiesto solo in casi residuali, allorché ricorrano particolari condizioni (quali la previsione dello specifico trattamento in una disposizione di legge, anche regionale, o l'essere inserito in un programma di ricerca biomedica o sanitaria, oppure quando non è possibile, a causa di particolari ragioni, informare gli interessati e il programma di ricerca è oggetto di parere favorevole del competente comitato etico ed è, altresì, autorizzato dal Garante; v. art. 110 del Codice). 

2. Profili di criticità.

Di seguito sono illustrati i profili di criticità, emersi a seguito dei descritti accertamenti ispettivi e dall'esame della documentazione in atti, in relazione al trattamento da parte della SIN dei dati riferiti a pazienti in trattamento dialitico per l'alimentazione del RIDT e del Registro europeo. Tali profili sono sinteticamente riconducibili ai seguenti elementi: la natura dei dati trattati, l'informativa e il consenso dei pazienti interessati, le misure di sicurezza adottate. Parallelamente, vengono evidenziate nel proseguo le misure opportune e quelle necessarie al fine di conformare il trattamento in esame ai principi di protezione dei dati personali, nonché di assicurare il corretto adempimento dei relativi obblighi da parte della SIN a tutela dei diritti dei pazienti interessati.

2.1 Natura dei dati

Nel corso degli accertamenti effettuati è stato riscontrato che la SIN ritiene che le specifiche modalità di raccolta dei dati adottate renderebbero "anonimi" i dati oggetto di trattamento nell'ambito del RIDT e della successiva trasmissione al Registro europeo. Tuttavia, diversamente da quanto ritenuto dall'associazione, le informazioni cliniche riferite ai singoli pazienti censiti nei singoli RR, essendo collegate ad un codice univoco -che peraltro è lo stesso codice attribuito a ciascuno di questi nell'ambito del rispettivo registro regionale/provinciale- sono da ritenere dati personali idonei a rivelare lo stato salute degli interessati (art. 4, comma 1, lett. d) del Codice). Ciò, in quanto, anche in presenza di tale accorgimento e benché le modalità di codifica adottate nell'ambito dei singoli RR non siano conosciute dalla SIN, è comunque possibile isolare tutte le informazioni riguardanti un singolo individuo nel RIDT, ed è, quindi, possibile identificare gli interessati, sia pure indirettamente, mediante il collegamento con altre informazioni nella disponibilità della SIN o di terzi (cfr. art. 4, comma 1, lett. b) del Codice; considerando 26, direttiva 95/46/Ce; Gruppo Art. 29, Parere n. 4/2007 - Wp 136 sulla definizione di dato personale).

Di conseguenza, la raccolta dei predetti dati presso i RR e le successive operazioni di trattamento effettuate sui medesimi dati da parte della SIN per l'alimentazione del RIDT e del Registro europeo configurano un trattamento di dati personali e sensibili al quale è applicabile la sopra citata disciplina del Codice sul trattamento dei dati sanitari per scopi di ricerca scientifica in campo medico, biomedico e epidemiologico (artt. 106, 107 e 110 e autorizzazione del Garante n. 2/2013 cit.).

Al riguardo, occorre evidenziare che la SIN, con nota del 18 dicembre 2013, ad integrazione degli elementi prodotti nell'ambito dei sopra descritti accertamenti ispettivi, ha fornito alcune precisazioni in ordine a vari aspetti del trattamento dei dati che, sulla base di quanto emerso all'esito dei predetti accertamenti, intende modificare per il futuro ai fini dell'alimentazione del RIDT e del Registro europeo.
In particolare, in relazione al contenuto delle informazioni da raccogliere presso i RR, l'associazione ha prodotto un nuovo tracciato record sulla base del quale verrà estrapolato ogni anno un insieme ridotto di informazioni censite nei predetti registri rispetto a quello riscontrato in sede ispettiva. Inoltre, la SIN ha dichiarato che "in attesa" che il RIDT "venga eventualmente disciplinato a livello normativo" sulla base delle disposizioni che saranno introdotte in attuazione della nuova disciplina legislativa materia di registri di patologia e sistemi di sorveglianza (art. 12, commi 11 e 13, del d.l. 18 dicembre 2012 n. 179 convertito, con modificazioni, dall'art. 1, comma 1, l. 17 dicembre 2012, n. 221), essa intende adottare per il futuro specifiche procedure finalizzate a rendere "anonimi" i dati sanitari raccolti dal RIDT presso i RR in modo da "non consentire un'identificabilità degli interessati con l'impiego di mezzi ragionevoli", nonché da "escludere" l'applicabilità delle disposizioni in materia di trattamento di dati personali.

Tali procedure che la SIN ha dichiarato di voler introdurre per il futuro consistono nell'impegnare i responsabili dei RR, tramite la sottoscrizione di un apposito modulo, a rispettare le seguenti procedure "di anonimizzazione" prima dell'invio dei dati alla SIN:

eliminare dai file contenenti i dati disaggregati estrapolati dai RR non solo i dati identificativi del paziente (quali nome, cognome, codice fiscale, numero di tessera sanitaria o di documento) ma anche il codice univocamente associato al paziente presso il registro regionale/provinciale di riferimento;

• utilizzare come chiave di associazione di questi file un codice non basato su elementi riconducibili all'identità paziente (quale un numero progressivo o un codice casuale);

•  riportare al quindicesimo giorno del mese il valore del campo "giorno" in tutte le date (quali data di nascita, eventuale decesso, inizio trattamento sostitutivo, eventuale cambio trattamento).

Rispetto a quanto prospettato, pur prendendo positivamente atto dei miglioramenti che la SIN intende apportare alle modalità di trattamento, in ottemperanza al principio di necessità dei dati trattati (art. 3 del Codice), si evidenzia tuttavia che le procedure proposte dall'associazione non possono ritenersi idonee a rendere impossibile l'identificazione delle persone interessate e, quindi, tali da poter considerare "anonimi", sulla base della disciplina sulla protezione dei dati personali, le informazioni raccolte presso i RR (cfr. art. 4, comma 1, lett. n) del Codice).

Occorre infatti rilevare che il nuovo tracciato record proposto, seppure ridotto rispetto a quello riscontrato in sede ispettiva, si compone di un'ampia varietà di campi, taluni dei quali rappresentati da valori continui (ad es. peso o altezza), il cui numero di combinazioni possibili può superare la popolazione dei pazienti censiti nel RIDT. Non vi è dunque garanzia che specifiche combinazioni di valori degli attributi non siano univoche all'interno dello stesso registro regionale/provinciale, con la conseguenza che i pazienti a cui tali specifiche combinazioni si riferiscono risulterebbero distinguibili da tutti gli altri e dunque potrebbero essere indirettamente identificabili dagli stessi soggetti che prendono parte all'alimentazione e alla gestione del registro o da terzi mediante il collegamento con altre informazioni.

In tale ipotesi i pur apprezzabili accorgimenti consistenti nell'attribuzione al paziente di un codice identificativo generato su base progressiva o casuale presso i RR (in luogo dell'identificativo univoco utilizzato all'interno del registro regionale) e l'armonizzazione dei valori del campo "data" per gli eventi di "nascita", "decesso" e "cambio di trattamento" (accorgimento quest'ultimo equivalente alla riduzione di granularità del dato temporale dalla scala dei giorni alla scala dei mesi), non sono di per sé ancora sufficienti a rendere impossibile l'identificazione delle persone interessate. L'elevato numero di combinazioni dei valori degli altri attributi, infatti, non impedisce la possibilità di isolare l'insieme dei dati riferiti ad un singolo paziente all'interno del registro, anche se per l'identificativo del paziente o per gli identificativi temporali si sia provveduto a ridurne il livello di dettaglio.

Pertanto, qualora gli scopi di ricerca scientifica in campo epidemiologico perseguiti mediante il RIDT possono essere utilmente raggiunti dalla SIN anche attraverso l'utilizzo di dati effettivamente "anonimi" (art. 4, comma 1, lett. n) del Codice), il Garante ritiene necessario prescrivere all'associazione, in qualità di titolare del trattamento, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, i seguenti accorgimenti che consentirebbero nel caso in esame di poter ritenere realmente "anonimi" i dati trattati per l'alimentazione del RIDT e del Registro europeo:

• porre in essere ulteriori misure volte ad escludere il rischio che tali singolarità possano verificarsi, introducendo regole e meccanismi (quali ad esempio la previsione di valori discreti degli attributi in luogo di valori continui, come intervalli di valori al posto dei valori puntuali, ovvero l'introduzione, ove possibile, di valori binari, quali vero/falso, al posto di attributi a valori multipli, ecc.) che garantiscano l'estrapolazione dai RR e la successiva trasmissione al RIDT unicamente di record le cui combinazioni di valori degli attributi siano riferiti ad un numero di pazienti pari o superiore a tre unità. A tal fine, si potrà procedere mediante la riduzione del numero di combinazioni di valori possibili degli attributi indicati nel tracciato record, in modo tale da assicurare che nei dati comunicati alla SIN non ci siano posizioni di pazienti che presentino combinazioni di valori degli attributi in numero inferiore alle tre unità, scartando pertanto quelle posizioni legate a combinazioni rare di valori di attributi che siano riferite a meno di tre pazienti;

• con riferimento all'attribuzione al paziente di un codice identificativo generato su base progressiva o casuale presso i RR, adottare meccanismi che garantiscano che, nella trasmissione annuale dei dati alla SIN, non sia attribuito lo stesso codice allo stesso paziente.

I predetti accorgimenti, in considerazione delle specifiche finalità e del particolare contesto del trattamento (quali l'ampiezza campionaria e la disponibilità di informazioni ausiliarie pubblicamente disponibili) possono ritenersi tali da scongiurare, allo stato, nel caso concreto in esame, la possibilità di identificare gli interessati tenendo conto dei mezzi ragionevolmente utilizzabili dal titolare del trattamento o da terzi soggetti.

2.2 Informativa e consenso

Con riferimento ai dati personali, anche sensibili, che risultano essere stati estrapolati dai RR per l'alimentazione del RIDT e del Registro europeo, si rileva che il trattamento effettuato dalla SIN, in qualità di autonomo e distinto titolare, in mancanza di ulteriori presupposti legittimanti, non può ritenersi lecito senza che sia stata previamente fornita agli interessati l'informativa e acquisito il loro specifico consenso, anche per ciò che riguarda l'esercizio del diritto di accesso e degli altri diritti previsti dagli artt. 7 e 8 del Codice (artt. 13, 23, 106, 107 e 110 del Codice).

In relazione ai trattamenti effettuati dalla SIN -come sopra rilevato- non è stata fornita agli interessati alcuna informativa e non è stato acquisito uno specifico consenso circa l'acquisizione dai RR di alcuni dei dati che li riguardano. Nell'ambito dell'istruttoria, è emerso infatti che la SIN non ha verificato se tali adempimenti fossero stati posti in essere, per suo conto, presso i RR ad opera dei soggetti o degli organismi sanitari pubblici titolari del relativo trattamento dei dati. Secondo quanto emerso nell'ambito degli approfondimenti tutt'ora in corso presso i singoli RR, inoltre, soltanto alcuni titolari del trattamento dei dati hanno disposto l'utilizzo presso i centri dialisi territoriali di riferimento di appositi moduli per l'informativa e/o la raccolta del consenso degli interessati per il trattamento dei dati volto all'implementazione dei rispettivi RR nei quali sono fornite indicazioni relative anche alla comunicazione alla SIN di alcuni dei dati censisti nel registro regionale per l'alimentazione del RIDT e del Registro europeo.

Al riguardo, con riferimento ai fondamenti giuridici legittimanti i pregressi trattamenti dei dati personali, anche sensibili, di pazienti in trattamento dialitico sostitutivo della funzione renale che sono stati effettuati dalla SIN per l'alimentazione del RIDT e del Registro europeo, sulla base delle risultanze in atti, si rileva la sussistenza dei presupposti per avviare un autonomo procedimento volto a contestare alla SIN le violazioni delle disposizioni di cui agli artt. 13, 23 e 110 del Codice, sanzionate dagli artt. 161 e 162, comma 2-bis, del Codice.

Sempre in relazione agli adempimenti in materia di informativa e di consenso al trattamento dei dati, la SIN ha dichiarato, da ultimo, nella nota del 18 dicembre sopra citata, di aver, in ogni caso, individuato per il futuro una procedura che consiste nel coinvolgere i titolari del trattamento dei RR nel rendere presso i centri dialisi territoriali, per conto della SIN, l'informativa ai pazienti con insufficienza renale cronica in trattamento sostitutivo della funzione renale e nel raccogliere una loro specifica manifestazione di volontà con riferimento alla comunicazione alla SIN di alcuni dei dati che li riguardano per l'alimentazione del RIDT e del Registro europeo. Al riguardo, la SIN ha specificato di aver "suggerito" ai responsabili dei RR "di sottoporre ai pazienti una nuova modulistica di informativa e consenso" predisposta dalla stessa associazione "che ogni ambito regionale potrà adattare alle proprie esigenze … in considerazione anche delle diverse operatività dei RR".

Tale modello di informativa e di raccolta del consenso al trattamento dei dati reca tutti gli elementi previsi dal Codice e deve, quindi, in linea generale, ritenersi idoneo per i profili di protezione dei dati personali (art. 13 e 23) ad eccezione dell'indicazione relativa alla natura "anonima" del dati comunicati alla SIN per l'alimentazione del RIDT e del Registro europeo.

Come sopra rilevato, infatti, le procedure che la SIN ha previsto di adottare per il futuro in modo da non consentire l'identificabilità degli interessati con l'impiego di mezzi ragionevoli, non sono idonee a rendere effettivamente "anonimi" i dati oggetto di trattamento. Di conseguenza, la predetta indicazione riportata nel modello di informativa predisposto dall'associazione, risultando erronea, non consente ai pazienti interessati di esprimere una volontà pienamente consapevole circa la comunicazione alla SIN dei dati che li riguardano.

Il Garante ritiene pertanto necessario prescrivere all'associazione ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, le seguenti misure al fine di rendere conforme alla disciplina sulla protezione dei dati personali il trattamento dei dati da essa effettuato, in qualità di titolare del trattamento, per l'alimentazione del RIDT e del Registro europeo:

• riformulare il modello di informativa predisposto espungendo l'indicazione relativa alla "forma anonima" dei dati oggetto di comunicazione alla SIN per l'implementazione del RIDT e del Registro europeo;

• distribuire il predetto modello di informativa ai responsabili dei RR che partecipano all'alimentazione del RIDT, affinché possa essere utilizzato presso i centri dialisi territoriali di riferimento, anche quale integrazione dell'informativa già resa agli interessati, fermi restando gli eventuali opportuni adattamenti da apportare al medesimo modello in relazione alle specificità dei trattamenti effettuati in ciascun ambito regionale/provinciale;

• acquisire i dati trasmessi dai responsabili dei RR previa verifica, anche a campione, che presso i centri dialisi territoriali sia stata resa un'idonea informativa ai pazienti in trattamento dialitico e sia stato acquisito un valido consenso circa la comunicazione dei dati che li riguardano alla SIN e da questa all'ERA-EDTA.

Ciò, sempre che gli scopi di ricerca scientifica in campo epidemiologico perseguiti mediante il RIDT non possano essere raggiunti dalla SIN mediante la disponibilità di dati effettivamente "anonimi", raccolti presso i RR sulla base degli specifici accorgimenti oggetto delle prescrizioni indicate nel par. 2.1. del presente provvedimento; circostanza questa che escluderebbe l'applicabilità delle disposizioni in materia di protezione dei dati personali, ivi compresi, gli adempimenti relativi agli obblighi di informativa e di raccolta del consenso dei pazienti interessati illustrati nel presente paragrafo (artt. 13, 23, 106, 107 e 110 del Codice).

2.3 Misure di sicurezza

Per quanto riguarda le modalità di raccolta dei dati presso i RR, la SIN ha dichiarato nella nota da ultimo inviata a quest'Ufficio che intende mantenere l'attuale modalità di raccolta dei dati con l'invio con cadenza annuale da parte dei RR di tutto il database storico (riferito ai dati censiti dai RR anche negli anni precedenti), avvalendosi a tal fine del supporto tecnico di una società esterna.

In relazione a tale profilo, la SIN ha fornito, tra gli elementi integrativi prodotti all'esito degli accertamenti ispettivi, una nuova designazione per iscritto della società esterna quale "responsabile del trattamento dei dati" che reca specifiche istruzioni sulle modalità di trattamento degli stessi ivi compresi i profili relativi alla sicurezza. In particolare, in conformità a tali istruzioni la ditta ha l'obbligo di "verificare" che i dati raccolti presso i RR soddisfino "i requisiti di anonimità richiesti" e, in caso contrario, di cancellarli "dandone avviso a chi li ha inviati".

Anche con riferimento all'attività di elaborazione dei dati effettuata dal data manager per il RIDT, la SIN ha prodotto un nuovo modello di designazione quale "incaricato del trattamento" ai sensi dell'art. 30 del Codice, fornendo specifiche istruzioni per iscritto circa le modalità di trattamento dei dati. Uno specifico modello di designazione è stato altresì predisposto dalla SIN per il coordinatore, il segretario e i componenti del Comitato Scientifico del RIDT corredato anch'esso da specifiche istruzioni per iscritto alle quali attenersi (art. 30 del Codice).

In proposito, in considerazione degli specifici accorgimenti oggetto della prescrizioni indicate nel par. 2.1 del presente provvedimento, volti a scongiurare la possibilità di identificare gli interessati, tenendo conto dei mezzi ragionevolmente utilizzabili dal titolare del trattamento o da terzi, nell'ipotesi in cui la disponibilità di dati effettivamente "anonimi" consenta all'associazione di realizzare gli scopi di ricerca scientifica perseguiti mediante il RIDT, il Garante ritiene di prescrivere alla SIN ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice che la verifica circa il carattere effettivamente anonimo dei dati acquisiti dai RR, dovrà essere condotta alla luce delle predette indicazioni contenute nel par. 2.1 del presente provvedimento e dovrà essere volta, in particolare, a controllare la corretta adozione degli accorgimenti ivi prescritti.

Con specifico riferimento alle modalità di invio alla SIN dei dati estrapolati dai RR, nella sopra menzionata nota del 18 dicembre 2013, la SIN ha altresì precisato che i dati saranno raccolti presso i RR tramite "un sistema sicuro di upload diretto sul sito della SIN con opportuni accorgimenti e nel rispetto delle normative vigenti (in alcuni casi è prevista anche la possibilità di invio tramite PEC con applicazione di programmi di cifratura dei dati trasmessi)".

Al riguardo, per garantire un adeguato livello di sicurezza, il Garante ritiene di prescrivere nei confronti della SIN specifiche misure ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice al fine di rendere conforme alla disciplina sulla protezione dei dati personali il trattamento dei dati da essa effettuato, in qualità di titolare del trattamento, per l'alimentazione del RIDT e del Registro europeo. Tali specifiche misure consistono nell'utilizzo di protocolli o canali sicuri (quali ad es. HTTPS/SSL o HTTPS/TLS, FTPS o SFTP, utilizzando certificati digitali erogati da certificatori qualificati, ovvero collegamento VPN) oppure impiegare di sistemi di cifratura dei dati inviati attraverso canali non sicuri (quali la posta elettronica certificata o protocolli HTTP/FTP). I medesimi accorgimenti devono essere adottati dalla SIN anche nella trasmissione dei dati all'ERA-EDTA per l'implementazione del Registro europeo, dovendo ritenersi l'utilizzo della modalità di invio tramite posta elettronica dei file in formato excel o access protetti con password -attualmente prevista in via alternativa dalla stessa ERA-EDTA- non idonea a garantire un adeguato livello di sicurezza dei dati. Ciò, sempre che la SIN non possa raggiungere gli scopi di ricerca epidemiologica perseguiti mediante il RIDT adottando gli accorgimenti di cui al par. 2.1 del presente provvedimento, i quali essendo idonei a rendere effettivamente "anonimi" i dati trattati escluderebbero l'applicabilità delle diposizioni in materia di protezione dei dati personali, ivi compresi, gli obblighi in materia di sicurezza.

TUTTO CIÒ PREMESSO IL GARANTE

a) rilevata l'illiceità del trattamento effettuato dalla Società Italiana di Nefrologia (SIN) per l'alimentazione del RIDT e del Registro europeo, in qualità di titolare del trattamento, in mancanza dell'informativa e del consenso dei pazienti interessati (artt. 13, 23, 106, 107 e 110 del Codice), vieta, ai sensi degli artt. 143, comma 1, lett. c) e 154, comma 1, lett. d) del Codice, all'associazione medesima di effettuare per il futuro ulteriori trattamenti di dati personali anche attinenti alla salute, salvo che la SIN non adotti le misure opportune oppure, in via alternativa, le misure necessarie che vengono indicate di seguito;

b) al fine di poter ritenere realmente "anonimi" i dati trattati ed escludere quindi l'applicabilità delle disposizioni in materia di protezione dei dati personali, ivi compreso l'adempimento degli obblighi in materia di informativa, consenso e misure di sicurezza, il Garante prescrive alla SIN, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, quali misure opportune, di:

i. porre in essere regole e meccanismi (quali ad esempio la previsione di valori discreti degli attributi in luogo di valori continui, come intervalli di valori al posto dei valori puntuali, ovvero l'introduzione, ove possibile, di valori binari, quali vero/falso, al posto di attributi a valori multipli, ecc.) che garantiscano l'invio al RIDT da parte dei RR unicamente di record le cui combinazioni di valori degli attributi siano riferiti ad un numero di pazienti pari o superiore a tre unità (procedendo mediante la riduzione del numero di combinazioni di valori possibili degli attributi indicati nel tracciato record, in modo tale da assicurare che nei dati comunicati alla SIN non ci siano posizioni di pazienti che presentino combinazioni di valori degli attributi in numero inferiore alle tre unità, scartando pertanto quelle posizioni legate a combinazioni rare di valori di attributi che siano riferite a meno di tre pazienti);

ii. con riferimento all'attribuzione a ciascun paziente interessato di un codice identificativo generato su base progressiva o casuale presso i RR, adottare meccanismi che garantiscano che, nella trasmissione annuale dei dati alla SIN, non sia attribuito lo stesso codice allo stesso paziente;

iii. verificare che i dati acquisiti dai responsabili dei RR siano effettivamente "anonimi", alla luce delle indicazioni contenute nel par. 2.1 del presente provvedimento e, nell'ambito della predetta verifica, controllare, in particolare, la corretta adozione degli accorgimenti di cui alle precedenti lett. i) e ii).

c) qualora invece gli scopi di ricerca epidemiologica perseguiti mediante il RIDT non possano essere realizzati mediante l'utilizzo di dati realmente "anonimi", in conformità agli accorgimenti sopra indicati, al fine di rendere conforme alla disciplina sulla protezione dei dati personali il trattamento dei dati da essa effettuato, in qualità di titolare del trattamento, per l'alimentazione del RIDT e del Registro europeo, prescrive alla SIN, ai sensi degli artt. 143, comma 1, lett. b) e 154, comma 1, lett. c), del Codice, in alternativa agli accorgimenti opportuni di cui al precedente punto b), le seguenti misure necessarie:

i. riformulare il modello di informativa predisposto espungendo l'indicazione relativa alla "forma anonima" dei dati oggetto di comunicazione all'associazione per l'implementazione del RIDT e del Registro europeo;

ii. distribuire il predetto modello di informativa ai responsabili dei RR che partecipano all'alimentazione del RIDT, affinché possa essere utilizzato presso i centri dialisi territoriali di riferimento, anche quale integrazione dell'informativa già resa agli interessati, fermi restando gli eventuali opportuni adattamenti da apportare al medesimo modello in relazione alle specificità dei trattamenti effettuati in ciascun ambito regionale/provinciale;

iii. acquisire i dati trasmessi dai responsabili dei RR previa verifica, anche a campione, che presso i centri dialisi territoriali sia stata resa un'idonea informativa ai pazienti in trattamento dialitico e sia stato acquisito un valido consenso circa la comunicazione dei dati che li riguardano alla SIN e da questa all'ERA-EDTA;

iv. con specifico riferimento alle misure adottate per garantire la sicurezza nella trasmissione dei dati alla SIN e all'ERA-EDTA, utilizzare protocolli o canali sicuri (quali ad es. HTTPS/SSL o HTTPS/TLS, FTPS o SFTP, utilizzando certificati digitali erogati da certificatori qualificati, ovvero collegamento VPN), oppure impiegare di sistemi di cifratura dei dati inviati attraverso canali non sicuri (quali la posta elettronica certificata o protocolli HTTP/FTP);

d) ai sensi dell'art. 157 del Codice, prescrive alla SIN di dare riscontro a questa Autorità delle misure assunte o che si intendono assumere circa l'avvenuta adozione delle prescrizioni di cui alle lettere b) o c) del presente provvedimento entro il 30 giugno 2014.

L'Autorità inoltre si riserva di verificare con distinti ed autonomi procedimenti la liceità dei trattamenti di dati personali identificativi (anagrafici e clinici) effettuati presso i singoli RR per l'alimentazione e il funzionamento dei rispettivi registri, al termine degli approfondimenti che sono in corso di svolgimento presso le regioni e le provincie autonome in cui tali registri sono operativi con particolare riferimento ai presupposti legittimanti i relativi trattamenti (artt. 13, 23, 20, 85, 107 e 110 del Codice).

Ai sensi degli artt. 152 del Codice e 10 del d.lg. n. 150/2011, avverso il presente provvedimento può essere proposta opposizione all'Autorità giudiziaria ordinaria, con ricorso depositato al tribunale ordinario del luogo ove ha la residenza il titolare del trattamento dei dati, entro il termine di trenta giorni dalla data di comunicazione del provvedimento stesso, ovvero di sessanta giorni se il ricorrente risiede all'estero.

Roma, 16 gennaio 2014

IL PRESIDENTE
Soro

IL RELATORE
Bianchi Clerici

IL SEGRETARIO GENERALE
Busia