Testata iscritta al tribunale di Roma n. 129/2012 del 3/5/2012. ISSN: 2280-4188

Il Documento Digitale

TRATTAMENTO DEI DATI CONTENUTI NEL REGISTRO ITALIANO DI DIALISI E TRAPIANTO

di Franco Cardin

[toggle Title=”Garante della Privacy – Trattamento di dati personali contenuti nel Registro Italiano di Dialisi e Trapianto – 16 gennaio 2014 (doc. web n. 2937031)”]Il Garante ha effettuato d’ufficio accertamenti ispettivi presso la Società Italiana di Nefrologia (SIN) nel corso dei quali ha accertato che il c.d. Registro Italiano di Dialisi e Trapianto (RIDT) è stato istituito su iniziativa della SIN nel 1996 attraverso la raccolta di dati aggregati presso i c.d. Registri regionali/provinciali di dialisi e trapianto (RR). A decorrere dall’anno 2003, il RIDT viene implementato con dati clinici, sulla base della collaborazione volontaria dei responsabili dei singoli RR. Ciò, senza che gli interessati siano a conoscenza della trasmissione dei dati che li riguardano alla SIN, la quale ritiene erroneamente, in proposito, di acquisire soltanto dati “anonimi” dai rispettivi RR.[/toggle]

[dropcaps style=”fancy”]P[/dropcaps]rima di effettuare una qualsiasi operazione di trattamento di informazioni, bisognerebbe preliminarmente verificare – al fine di decidere se tale operazione rientra o meno nell’ambito di applicazione della vigente normativa in materia di tutela della privacy – se le stesse debbano o meno considerarsi dati personali. Questa prioritaria e fondamentale verifica va effettuata con riferimento all’art. 4, comma 1, lett. b) del D. Lgs. 196/03 che, come è noto, definisce il dato personale “qualunque informazione relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.

Si tratta a ben vedere di una definizione di dato personale, di derivazione comunitaria(1) – il cui scopo è quello di garantire il massimo livello possibile di protezione dei diritti e delle libertà fondamentali delle persone in relazione al trattamento dei dati personali – così ampia da comprendere tutte le informazioni riguardanti una persona identificabile(2), dalla quale debbono considerarsi esclusi solamente i cosiddetti dati anonimi e cioè quelle informazioni che già al momento della loro raccolta o a seguito di processi di scissione, non possono essere riferite a una persona nemmeno indirettamente.

In ambito sanitario – e, in particolar modo, nelle attività finalizzate alla ricerca medica, biomedica ed epidemiologica, nonché in quelle relative alla programmazione, gestione, controllo e valutazione dell’assistenza sanitaria – sempre più si ricorre, grazie anche alle potenzialità insite nell’utilizzo delle nuove tecnologie informatiche e telematiche, all’istituzione di specifiche banche dati e registri di patologia, configurati in modo tale da consentire di identificare univocamente i singoli interessati attraverso l’utilizzo di codici numerici.
Pur considerando che tale modalità di codificazione rappresenta comunque un’importante cautela finalizzata a tutelare la riservatezza degli individui coinvolti, il Garante per la protezione dei dati personali è più volte intervenuto con propri provvedimenti per ribadire che la stessa non è, di per sé, tale da rendere anonimi i dati oggetto di trattamento e che , pertanto, le informazioni collegate al codice identificativo di ciascun soggetto interessato sono da ritenere dati personali idonei a rivelare lo stato di salute, il cui trattamento deve essere effettuato nel rispetto della specifica disciplina sui dati personali sensibili prevista dal D.Lgs. 196/03(3).

L’ultimo intervento in ordine di tempo del Garante per la protezione dei dati personali in questo particolare e delicato ambito di trattamento di dati personali, è stato effettuato con il recente provvedimento n. 16 del 16 gennaio 2014. Con questo provvedimento l’Autorità Garante per la protezione dei dati personali nel rilevare, dopo accurati accertamenti ispettivi, l’illiceità del trattamento effettuato dalla Società Italiana di Nefrologia (SIN) per l’alimentazione del Registro Italiano di Dialisi e Trapianto (RIDT) e del corrispondente Registro Europeo, ha vietato alla stessa di effettuare ulteriori operazioni di trattamento fino a quando non verranno adottate le misure opportune o, in alternativa, quelle necessarie indicate nel medesimo provvedimento.
Tale decisione del Garante è motivata dal fatto che dal 2003 la SIN, avvalendosi tra l’altro anche della collaborazione di due società esterne, alimenta il RIDT e il corrispondente registro europeo, con dati relativi a ciascun paziente in cura presso i centri dialisi territoriali, acquisiti annualmente dai registri regionali/provinciali di dialisi e trapianto, senza che i soggetti interessati siano stati previamente informati di questa trasmissione e ciò sulla base dell’erronea convinzione da parte della SIN che i dati acquisiti, consistenti in un codice univoco regionale non direttamente identificativo, associato ad una serie di dati clinici relativi ai singoli pazienti, sono da ritenersi dati anonimi.

Considerato che l’implementazione periodica del RIDT e la successiva trasmissione al registro europeo, è finalizzata a consentire alla SIN di perseguire esclusivi scopi di ricerca scientifica in campo epidemiologico, il Garante ha evidenziato i seguenti profili di criticità:

  • Le modalità di codifica adottate nell’ambito dei singoli registri regionali, ancorché non conosciute dalla SIN, non escludono la possibilità di identificare, sia pure indirettamente, gli interessati con la conseguenza che la raccolta delle informazioni presso tali registri regionali e le successive operazioni effettuate dalla stessa SIN si configurano come un trattamento di dati personali idonei a rivelare lo stato di salute al quale è applicabile la specifica disciplina prevista dagli artt. 106, 107 e 110 del D.Lgs. 196/03.

… continua su EDICOLeA

[fancy_heading style=”style2″ size=”small”]Altri articoli di Franco Cardin[/fancy_heading]

Translate »