Con otto distinti provvedimenti “gemelli” pubblicati lo scorso 24 febbraio, [doc web nn. 9752524, 9752260, 9752433, 9752490, 9752177, 9752221, 9752410, 9752299] l’Autorità Garante per la protezione dei dati personali ha ammonito formalmente sette regioni italiane (Lombardia, Veneto, Emilia Romagna, Lazio, Toscana, Piemonte e Puglia) e la provincia autonoma di Bolzano per la violazione di alcuni dei più rilevanti principi afferenti alla tutela dei dati sanitari, concentrando il focus del proprio ragionamento logico-giuridico sulla necessità di un’adeguata base giuridica e del preventivo svolgimento di una valutazione di impatto ai sensi dell’art. 35 del GDPR ai fini del trattamento.
Il contesto normativo di riferimento
Il Ministero della Salute ha la facoltà di trattare i dati personali, anche relativi alla salute, degli assistiti, raccolti nei sistemi informativi del Servizio Sanitario Nazionale, con la specifica finalità di sviluppare metodologie predittive dell’evoluzione del fabbisogno di salute della popolazione, ai sensi dell’art. 7, comma 1, del decreto legge 19 maggio 2020, n. 34, convertito con modificazioni in legge 17 luglio 2020, n. 77. Per il raggiungimento della predetta finalità, il Ministero ha istituito un gruppo formato dalle sette regioni menzionate, dalla Provincia Autonoma di Bolzano e dal Garante in qualità di uditore. Il predetto decreto legge, peraltro, ha subito recenti modifiche ad opera della legge di conversione n. 139 del 2021, che ha introdotto la possibilità per il Ministero di “avviare le attività relative alla classificazione delle patologie croniche presenti nella popolazione italiana, limitatamente alla costruzione di modelli analitici prodromici alla realizzazione del modello predittivo del fabbisogno di salute della popolazione, garantendo che gli interessati non siano direttamente identificabili” (art. 7, comma 2 bis).
L’attività istruttoria dell’Autorità e le difese delle istituzioni coinvolte
Con l’obiettivo di valutare la conformità delle attività in corso per la realizzazione della suddetta versione prototipale del modello predittivo alla disciplina vigente in materia di protezione dei dati personali, l’Ufficio dava impulso ad un procedimento di indagine, richiedendo informazioni sia al Ministero della Salute sia alle regioni/provincia autonoma coinvolte e concernenti non solo l’individuazione di una base giuridica idonea per il trattamento dei dati ma anche le ragioni le quali non fosse stata svolta una preliminare valutazione d’impatto. Le risultanze istruttorie e documentali consentivano di appurare che il Ministero aveva ricevuto unicamente elaborati statistici aggregati sia da parte delle regioni che della provincia autonoma, le quali avevano agito in qualità di “autonomi titolari del trattamento”, con la finalità di interconnessione e successiva aggregazione dei dati per scopi di ricerca scientifica, nonché di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria. Dal canto loro, le regioni e la provincia autonoma di Bolzano asserivano di aver fornito al Ministero elaborati statistici aggregati ed anonimi contenenti informazioni di natura demografica (sesso, classe d’età), di gruppi nosologici e di consumo di risorse (costo complessivo per i diversi setting assistenziali di specialistica ambulatoriale, farmaceutica e ricoveri ospedalieri), in forma pseudonimizzata alla fonte, per mezzo di meccanismi di cifratura. Rappresentavano, inoltre, di non aver utilizzato i dati per le finalità del proprio perimetro di titolarità di trattamento, in quanto si erano limitate a dare seguito all'iniziativa del Ministero per consentirgli “di definire gli elementi utili per la definizione del patrimonio informativo minimo da interconnettere per lo sviluppo delle metodologie predittive relative all'evoluzione del fabbisogno di salute della popolazione”. Su tali argomentazioni, ritenevano che la titolarità dovesse essere riconosciuta in capo al Ministero della salute, il quale, per questi motivi, avrebbe dovuto redigere apposita valutazione d’impatto per il trattamento.
I principi espressi dal Garante
Sulla base di quanto rappresentato e prodotto dalle istituzioni coinvolte, l’Autorità non ha potuto fare a meno di rilevare che, nel caso di specie, sono stati elaborati dati relativi alla salute, per i quali vige un generale divieto di trattamento, salvo che non ricorra una delle deroghe di cui al par. 2 del medesimo articolo e, in particolare, quella di cui al par. 1, lett. g), secondo cui tali categorie particolari di dati possono essere trattati se necessari “per motivi di interesse pubblico rilevante sulla base del diritto dell'Unione o degli Stati membri, che deve essere proporzionato alla finalità perseguita, rispettare l'essenza del diritto alla protezione dei dati e prevedere misure appropriate e specifiche per tutelare i diritti fondamentali e gli interessi dell'interessato”. In questa ipotesi, però, le regioni e la provincia autonoma di Bolzano, al fine di rispondere alla richiesta del Ministero della salute, hanno effettuato l’elaborazione e la successiva aggregazione di dati presenti nei sistemi informativi sanitari detenuti in qualità di titolari del trattamento ex lege, in assenza di un idoneo presupposto giuridico. La mera richiesta da parte del Ministero della salute di fornire dati aggregati estratti dai sistemi informativi sanitari regionali/provinciali non può considerarsi di per sé un presupposto consono a legittimare la consultazione, l’elaborazione dei dati e la loro successiva aggregazione da parte di regioni e provincia autonoma. Queste ultime, infatti, in qualità di autonomi titolari, in ossequio ai principi di responsabilizzazione e di privacy by design, prima di procedere al trattamento, avrebbero dovuto verificare la sussistenza di un presupposto giuridico idoneo a tal fine.
Quanto al profilo afferente alla redazione della valutazione di impatto, il Garante ha correttamente osservato che, alla luce della natura dei dati trattati e della numerosità dei soggetti interessati, il trattamento in esame rientra nei casi in cui il titolare non può prescindere da una preventiva valutazione d’impatto, in osservanza dell’art. 35 del Regolamento e dei criteri individuati dal Gruppo art. 29 nelle “Linee Guida” in materia adottate il 4 ottobre 2017. Nel caso in esame, quindi, per potere giustificare l’assenza di necessità di procedere alla valutazione d’impatto, il titolare avrebbe dovuto comprovare, sulla base di specifici indicatori (qualitativi, quantitativi), l’assenza di rischi di identificazione dei soggetti interessati.
Nondimeno, in considerazione della comunicazione dei dati in forma aggregata, dell’avvenuta cancellazione degli stessi, così come del tool impiegato per l’estrazione e l’aggregazione, unitamente al comportamento collaborativo delle istituzioni coinvolte tanto nel corso della fase istruttoria quanto durante quella documentale, l’Autorità ha ritenuto di qualificare “minore” la violazione riscontrata e di irrogare una semplice ammonizione agli autonomi titolari del trattamento per il mancato rispetto delle previsioni contenute negli artt. 5, par. 1, lett. a), 6, 9 e 35 del Regolamento afferenti alla liceità del trattamento fondata su idonea base giuridica, specie in relazione ai dati sanitari e alla necessità di redazione di valutazione d’impatto.
Avv. Rossella Bucca