VEDI ANCHE Newsletter dell'8 novembre 2023

[doc. web n. 9947458]

Parere sullo schema di decreto del Ministro della salute sul Sistema informativo nazionale per le dipendenze (SIND) - 12 ottobre 2023

Registro dei provvedimenti
n. 471 del 12 ottobre 2023

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

NELLA riunione odierna, alla quale hanno preso parte il prof. Pasquale Stanzione, presidente, la prof.ssa Ginevra Cerrina Feroni, vicepresidente, il dott. Agostino Ghiglia e l'avv. Guido Scorza, componenti, e il cons. Fabio Mattei, segretario generale;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016, relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE, “Regolamento generale sulla protezione dei dati” (di seguito “Regolamento”);

VISTO il d.lgs. 30 giugno 2003, n. 196 recante “Codice in materia di protezione dei dati personali (di seguito “Codice”) di seguito “Codice”);

VISTO il decreto del Presidente della Repubblica 9 ottobre 1990, n. 309, recante “Testo Unico delle leggi in materia di disciplina degli stupefacenti e sostanze psicotrope, prevenzione, cura e riabilitazione dei relativi stati di tossicodipendenza”;

VISTO il decreto del Ministro della salute dell’11 giugno 2010, pubblicato nella Gazzetta Ufficiale 12 luglio 2010, recante “Istituzione del sistema informativo nazionale per le dipendenze” (di seguito SIND o Sistema) su cui l’Autorità ha reso il parere di competenza il 9 maggio 2009 (doc. web n. 1615306);

VISTO il d. m. 7 dicembre 2016, n. 262, “Regolamento recante procedure per l'interconnessione a livello nazionale dei sistemi informativi su base individuale del Servizio sanitario nazionale, anche quando gestiti da diverse amministrazioni dello Stato”;

CONSIDERATO che tra i sistemi informativi del Servizio sanitario nazionale, interconnessi ai sensi del richiamato d.m. 262 del 2016, è incluso quello relativo al SIND;

VISTE le note con le quali il Ministero della salute ha chiesto al Garante di esprimere il parere di competenza sullo schema di decreto del Ministro della salute che abroga e sostituisce il decreto del Ministro della salute dell’11 giugno 2010, n. 160 recante “Istituzione del sistema informativo per le dipendenze” (note del 4 luglio 2022, prot. n. 3946, acquisita in atti il 10 febbraio 2023 e, da ultimo, del 5 settembre 2023, prot. n. 21655);

CONSIDERATO che, con le note del 20 febbraio 2023 (prot. n. 30428) e del 13 marzo 2023 (prot. n. 43208), l’Ufficio del Garante ha chiesto al Ministero della salute informazioni in merito a numerosi elementi istruttori e, in particolare, circa i trattamenti:

effettuati per fini di ricerca scientifica, nonché per fini statistici da parte di soggetti che fanno parte del sistema statistico nazionale (Sistan), richiamando le finalità di statistica ufficiale e la specifica disciplina di settore (art. 2, d.m. n. 262/2016 e d.lgs n. 322/1989);

dei dati personali dei detenuti che si intenderebbero rilevare attraverso il predetto Sistema, con particolare riferimento alla circostanza che il trattamento di dati relativi a condanne penali e reati di cui all’art. 10 del Regolamento è consentito solo se autorizzato da una norma di legge o, nei casi previsti dalla legge, di regolamento, che prevedano garanzie appropriate per i diritti e le libertà degli interessati. In mancanza delle predette disposizioni di legge o di regolamento, i trattamenti di tali dati e le relative garanzie sono individuati con decreto del Ministro della giustizia, da adottarsi ai sensi dell'art. 17, comma 3 della legge n. 400 del 1988, sentito il Garante, che, il 24 giugno 2021, ha adottato il “Parere su uno schema di regolamento recante l’individuazione dei trattamenti di dati personali relativi a condanne penali e reati e delle relative garanzie appropriate ai sensi dell’articolo 2-octies, comma 2, del Codice” (doc. web n. 9682603, cfr. anche parere del 30 giugno 2022, doc. web n. 9794929);

di dati personali oggetto di aggregazione in relazione alle molteplici finalità perseguite, con particolare riferimento all’accesso ai dati da parte dell’Osservatorio per il contrasto della diffusione del gioco d’azzardo e il fenomeno della dipendenza grave, istituito presso il Ministero della salute;

effettuati dai diversi soggetti che possono accedere per distinte finalità al suddetto Sistema, con specifico riferimento alle operazioni effettuate dalle regioni e dalle unità organizzative della Presidenza del Consiglio dei Ministri - Dipartimento per le Politiche Antidroga;

di dati personali relativi all’infezione da HIV rilevati attraverso il Sistema, considerato che, come già osservato nel citato parere dell’Autorità del 9 maggio 2009 sul richiamato decreto 11 giugno 2010, fatto salvo il vigente sistema di sorveglianza epidemiologica nazionale dei casi di AIDS conclamato e le garanzie ivi previste, la rilevazione statistica della infezione da HIV deve essere comunque effettuata con modalità che non consentano l'identificazione della persona (art. 5, comma 2, legge n. 135/1990) e che la normativa di settore prevede inoltre che “sono consentite analisi di accertamento di infezione da HIV, nell'ambito di programmi epidemiologici, soltanto quando i campioni da analizzare siano stati resi anonimi con assoluta impossibilità di pervenire alla identificazione delle persone interessate” (art. 5, comma 3, legge n. 135/1990);

di dati personali effettuati nel Sistema, con particolare riferimento al periodo di conservazione degli stessi, che deve essere conforme al principio di limitazione della conservazione in base al quale i dati devono essere “conservati in una forma che consenta l'identificazione degli interessati per un arco di tempo non superiore al conseguimento delle finalità per le quali sono trattati” (art. 5, par. 1, lett. e) e par. 2 del Regolamento), sulla base di comprovate argomentazioni tecnico-scientifiche, in omaggio al principio di responsabilizzazione (art. 5, par. 2 del Regolamento);

CONSIDERATO che, con la richiamata nota del Garante del 13 marzo 2023, è stato evidenziato che la rilevazione nel SIND della condizione di detenuto non si ritiene possa essere legittimata dalla disciplina di riforma della sanità penitenziaria (l. n. 418/1998, d.lgs. n. 230/1999 e dpcm 1.4.2008), richiamata dal predetto Ministero, che prevede, nell’allegato A al d.P.C.M. 1.4.2008 (ante GDPR), l’istituzione del “Sistema Informativo Nazionale sulla salute dei detenuti e dei minori sottoposti a provvedimento penale, nell'ambito del Nuovo Sistema Informativo Sanitario del Ministero della Salute” (che, tra l’altro, non risulta allo stato regolamentato); ciò in quanto l’indicazione, contenuta nell’allegato A, prevede la raccolta del dato giudiziario nell’ambito del predetto sistema informativo sulla salute dei detenuti e non anche nel SIND che riguarda le dipendenze;

CONSIDERATO che la normativa sulla sanità penitenziaria citata dal predetto Ministero attribuisce allo stesso “competenze in materia di programmazione, indirizzo e coordinamento del Servizio sanitario nazionale negli istituti penitenziari”, alle regioni “le competenze in ordine alle funzioni di organizzazione e programmazione dei servizi sanitari regionali negli istituti penitenziari e il controllo sul funzionamento dei servizi medesimi” e alle sole aziende unità sanitarie locali “la gestione e il controllo dei servizi sanitari negli istituti penitenziari”;

VISTE le note del 6 marzo 2023 (prot. n. 10426), del 28 marzo 2023 (prot. n. 13357) e del 30 maggio 2023 (prot. n. 21655), con le quali il predetto Ministero ha fornito gli elementi richiesti, proponendo una riformulazione dello schema di decreto e dell’allegato disciplinare nei quali, tenendo conto delle suesposte osservazioni formulate dall’Ufficio, in particolare:

è stata espunta la variabile relativa all’”assistito detenuto” tra i dati raccolti dal SIND;

sono state puntualmente definite le finalità per le quali è previsto il trattamento di dati aggregati (cfr. artt. 1, 3, 4 e 7 dello schema);

sono state fornite assicurazioni in merito al tracciato denominato “Monitoraggio HIV” che rileva solo dati aggregati relativi all’esecuzione del test sierologico HIV da parte degli utenti del SerD in cui non sono presenti variabili di natura anagrafica;

è stato specificato che la comunicazione dei dati tra Ministero e Regioni consiste in un’attività di tipo tecnico, volta a restituire informazioni analitiche sulla qualità dei dati inviati rispetto ai valori di dominio attesi, al fine di consentire alla regione stessa l’individuazione di valori errati o anomali per facilitare l’eventuale correzione dei dataset inviati (art. 3 dello schema);

sono state richiamate le Regole deontologiche per trattamenti a fini statistici o di ricerca scientifica effettuati nell’ambito del Sistema statistico nazionale, adottate con Provvedimento del Garante n. 514 del 19 dicembre 2018 (doc. web n. 9069677) e riportate nell’Allegato A del d.lgs. n. 196 del 2003;

è stato precisato che la produzione di analisi statistiche e indicatori statistici sul fenomeno dell’assistenza sanitaria a persone con dipendenze o con comportamenti a rischio di uso e di abuso di sostanze è a cura dell’Ufficio di statistica del Ministero della salute;

CONSIDERATO, altresì, che, con nota del 29 maggio 2023, prot. n. 21573, sono state fornite, oltre che per il SIND, anche per i sistemi SIAR e EMUR su cui l’Autorità si è espressa con i pareri del 6 luglio 2023 (doc. web nn. 9919963 e 9919981), le motivazioni tecnico-scientifiche correlate all’individuazione del periodo di conservazione dei dati personali trattati nell’ambito dei sistemi informativi NSIS interconnettibili;

PRESO ATTO della necessità rappresentata dal Ministero della salute di aggiornare il SIND alla luce delle più recenti tipologie di dipendenze, con riferimento alle quali si richiama quanto indicato dal Consiglio superiore di sanità nella seduta del 10 novembre 2020;

CONSIDERATO che il d.m. del 17 dicembre 2008 si compone di n. 10 articoli relativi rispettivamente: alle finalità e all’ambito di applicazione del SIND (artt. 1 e 2); alle caratteristiche generali del sistema informativo, alla tipologia dei flussi e alle modalità e ai termini per la messa a disposizione delle informazioni (artt. 3, 4 e 5); ai ritardi e alle inadempienze (art. 6); al trattamento dei dati e al periodo di conservazione (artt. 7 e 8); alla clausola di invarianza finanziaria e all’entrata in vigore (artt. 9 e 10);

RILEVATE le modifiche apportate al predetto schema di decreto e al relativo disciplinare tecnico trasmessi con nota del 5 settembre 2023 (prot. n. 28224);

RITENUTO di non dover formulare osservazioni sullo schema di decreto trasmesso, atteso il complesso delle misure di garanzia ivi contenute, ritenute appropriate per tutelare i diritti fondamentali e gli interessi delle persone fisiche correlate ai trattamenti dei dati personali;

VISTA la documentazione in atti;

VISTE le osservazioni formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;

RELATORE l'avv. Guido Scorza;

TUTTO CIÒ PREMESSO, IL GARANTE

ai sensi dell’art. 58, par. 3, lett. c), del Regolamento, esprime parere favorevole sullo schema di decreto del Ministro della salute sul Sistema informativo nazionale per le dipendenze (SIND) che abroga e sostituisce il decreto del Ministro della salute 11 giugno 2010, pubblicato nella Gazzetta Ufficiale, Serie Generale, 12 luglio 2010, n. 160.

Roma, 12 ottobre 2023

IL PRESIDENTE
Stanzione

IL RELATORE
Scorza

IL SEGRETARIO GENERALE
Mattei