Sviluppo di metodologie predittive e trattamento di dati da parte di Regioni e Province autonome nell’ambito dell’attività di collaborazione istituzionale con il Ministero della Salute

Massimazione e Commenti ai Provvedimenti del Garante a cura dell’Osservatorio Privacy collegato con il Corso di Alta Formazione in Data Protection e Privacy Officer dell’Università di Bologna https://site.unibo.it/dpo

Massima (1) – La circostanza che un soggetto terzo chieda a un titolare di effettuare operazioni di trattamento su dati personali di cui quest’ultimo è titolare, indicandone anche la modalità di trattamento, non comporta l’automatica attribuzione della titolarità in capo al richiedente, né tantomeno la perdita della titolarità da parte del soggetto che legittimamente detiene i dati. Spetta a quest’ultimo valutare la legittimità della richiesta e in particolare l’esistenza di un’idonea base giuridica per effettuare le operazioni di trattamento richieste, in ragione dei principi di responsabilizzazione e di privacy by design.

Massima (2) – La richiesta del Ministero della salute ad alcune regioni/province autonome di trattare i dati personali presenti nei sistemi informativi sanitari che esse detengono in qualità di titolari ex lege, al di fuori delle finalità da queste legittimamente perseguibili e al solo fine di collaborare all’adempimento di un compito che la legge attribuisce unicamente al Ministero, non può rappresentare idonea base giuridica di tale trattamento.

Massima (3) – La circostanza che una regione abbia effettuato un trattamento di dati personali di cui è titolare per dare seguito a una specifica richiesta del Ministero, nell’ambito di un’attività di collaborazione interistituzionale, non può costituire condizione esimente rispetto all’obbligo per il titolare di effettuare una preventiva valutazione d’impatto sulla protezione dei dati.

Provvedimento: GPDP, Docweb nn. 9752177, 9752221, 9752260, 9752410, 9752299, 9752433, 9752490 e 9752524 del 24 febbraio 2022

Link: https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9752177

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9752221

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9752260

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9752410

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9752299

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9752433

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9752490

https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9752524

Keywords: Titolare del trattamento, terzo, base giuridica, dati particolari, dati sanitari, principio di liceità, correttezza e trasparenza, principio di responsabilizzazione, privacy by design, dati anonimizzati, dati aggregati, valutazione di impatto, rischio di reidentificazione, modello predittivo, algoritmo, Ministero, regione, provincia autonoma.

Riferimenti normativi: decreto-legge 19 maggio 2020, n. 34, conv. con mod. nella legge 17 luglio 2020, n. 77 («Misure urgenti in materia di salute, sostegno al lavoro e all’economia, nonché di politiche sociali connesse all’emergenza epidemiologica da COVID-19»); decreto-legge 8 ottobre 2021, n. 139 e legge (di conversione) 3 dicembre 2021, n. 205; artt. 4, n. 7) e n. 10), 5, par. 1, lett. a), 6, 9, 25 e 35 GDPR; artt. 57, 58, 83 GDPR; art. 2-sexies, d.lgs. 30 giugno 2003, n. 196.

Data del commento: 16 maggio 2022

Massime e Commento di Cristina Moser

1. Il caso

Il Ministero della salute, nell’ambito del progetto previsto dall’art. 7 del d.l. n. 34 del 2020 (conv. con mod. nella l. n. 77/2020), volto allo sviluppo di un modello predittivo dell’evoluzione del fabbisogno di salute della popolazione, da realizzare mediante il trattamento di dati personali presenti nei sistemi informativi del Servizio sanitario nazionale, istituiva un gruppo di lavoro interistituzionale per la creazione del prototipo di tale modello e per la stesura della disciplina attuativa da sottoporre al preventivo parere del Garante per la protezione dei dati personali. Al gruppo di lavoro erano state invitate a partecipare sette regioni e una provincia autonoma, nonché il Garante in qualità di uditore.

Nell’ambito dell’attività del gruppo di lavoro il Ministero chiedeva alle Regioni e alla Provincia autonoma di estrarre dai propri flussi informativi, sulla base di uno specifico modello di analisi (tool) fornito dallo stesso Dicastero, elaborati statistici aggregati e anonimizzati contenenti informazioni di natura demografica, di combinazioni di patologia e di consumo di risorse, da poter inserire nel test pilota.

Il Garante, venuto a conoscenza della richiesta del Ministero e ritenendo, sulla base delle informazioni acquisite nel corso dell’attività istruttoria, che le Regioni e la Provincia autonoma operassero in qualità di autonomi titolari e al di fuori delle finalità da queste legittimamente perseguibili, dichiarava l’illiceità del trattamento compiuto da ciascuna Regione e Provincia autonoma, in quanto effettuato in assenza di idonea base giuridica e senza una preventiva valutazione d’impatto.

2. Le questioni

Il caso pone, nello specifico, talune questioni – tra loro connesse – concernenti (i) i ruoli assunti da parte dei soggetti a vario titolo coinvolti nel trattamento dei dati (Regioni/Provincia autonoma e il Ministero della salute) e (ii) la base giuridica di detto trattamento, nonché (iii) la necessità di effettuare una preventiva valutazione d’impatto e l’individuazione del soggetto tenuto a tale adempimento.

Va segnalato che le osservazioni e le argomentazioni difensive spese dalle Regioni e dalla Provincia autonoma nel procedimento sanzionatorio risultano in gran parte coincidenti e conseguentemente i provvedimenti adottati dal Garante, qui in commento, presentano identico contenuto, salvo alcuni passaggi che si avrà cura di segnalare nella disamina delle singole questioni.

2.1. Il ruolo soggettivo da riconoscere a Regioni e Provincia autonoma rispetto al trattamento di dati effettuato su richiesta del Ministero della salute

Il Garante ha evidenziato che le Regioni e la Provincia autonoma, per rispondere alla richiesta del Ministero della salute, hanno effettuato un’attività di elaborazione e successiva aggregazione di dati personali presenti nei sistemi informativi sanitari di cui esse hanno la disponibilità e che detengono in qualità di titolari ex lege. Perciò anche rispetto a tale ulteriore trattamento queste devono considerarsi titolari.

Invero – ha osservato il Garante – «la circostanza che un soggetto terzo, nel caso in esame rappresentato dal Ministero della salute (…) chieda a un titolare (…) di effettuare operazioni di trattamento su dati personali rispetto ai quali quest’ultimo è titolare, indicandone anche le modalità, non comporta infatti l’automatica attribuzione della titolarità in capo al richiedente, né tantomeno la perdita della titolarità da parte del soggetto che legittimamente detiene i dati» (GPDP, Docweb n. 9752177 del 24 febbraio 2022 e altri qui in commento). Una diversa conclusione, che riconoscesse la titolarità del trattamento in capo al Ministero, condurrebbe, ad avviso dell’Autorità, al paradosso di ritenere che «chiunque richiedesse a un titolare di effettuare operazioni di trattamento sulle banche dati di quest’ultimo, ne diverrebbe automaticamente titolare» (Ibidem).

Il Garante non ha, quindi, accolto la ricostruzione sostenuta dalle Regioni e dalla Provincia autonoma secondo cui, trattandosi di operazioni compiute su mandato del Ministero, per realizzare finalità istituzionali proprie di quest’ultimo (ossia per definire il patrimonio informativo minimo da interconnettere per lo sviluppo delle metodologie predittive) e secondo modalità di analisi dallo stesso individuate, la titolarità dello specifico trattamento farebbe capo al solo Dicastero.

Merita osservare che secondo il Ministero della salute, interpellato dal Garante nel corso dell’attività istruttoria, le Regioni e la Provincia autonoma avrebbero agito quali autonomi titolari del trattamento e nell’ambito delle proprie attività istituzionali, che contemplano anche l’interconnessione e la successiva aggregazione per scopi di ricerca scientifica, programmazione, gestione, controllo e valutazione dell’assistenza sanitaria.

L’Autorità garante ha condiviso l’assunto del Ministero in ordine alla titolarità del trattamento, ma è giunto a conclusioni diverse in punto di base giuridica.

2.2. La base giuridica del trattamento effettuato da Regioni e Provincia autonoma per l’elaborazione statistica di dati personali.

Ad avviso del Garante, l’attività di elaborazione e aggregazione dei dati personali compiuta dalle Regioni/Provincia autonoma su richiesta del Ministero è stata effettuata in assenza di idonea base giuridica.

In tal senso depongono anzitutto le dichiarazioni rese in atti dalle stesse Regioni e Provincia autonoma, secondo cui – coerentemente con la tesi da queste sostenuta, qui esposta sub par. 2.1. – il trattamento sarebbe stato effettuato al di fuori delle finalità attribuite alle Regioni in base alle funzioni istituzionali di propria competenza, essendosi queste limitate a dare seguito, in via collaborativa, ad un’iniziativa del Ministero.

Il Garante ha escluso altresì che la base giuridica del trattamento possa ravvisarsi nella disciplina normativa vigente all’epoca dei fatti contestati, in quanto:

a) l’art. 7 del d.l. n. 34 del 2020 attribuisce al solo Ministero (e non anche alle Regioni e alle Province autonome) il compito di trattare i dati sanitari raccolti nei sistemi informativi del Servizio sanitario nazionale per lo sviluppo di metodologie predittive;

b) all’epoca dei fatti non era stato ancora adottato il decreto ministeriale attuativo del citato art. 7 (per la cui stesura era stato costituito il gruppo di lavoro interistituzionale), che per legge avrebbe dovuto individuare i trattamenti di dati personali necessari allo sviluppo del modello predittivo, ivi inclusa l’elaborazione della versione prototipale del modello predittivo.

Invero, solo successivamente alla contestazione del Garante, con il d.l. n. 139 del 2021, è stata introdotta nell’art. 7 del d.l. n. 34 del 2020 la previsione per cui «Nelle more dell’adozione del decreto di cui al comma 2, il Ministero della salute avvia le attività relative alla classificazione delle patologie croniche presenti nella popolazione italiana, limitatamente alla costruzione di modelli analitici prodromici alla realizzazione del modello predittivo del fabbisogno di salute della popolazione, garantendo che gli interessati non siano direttamente identificabili» (comma 2 bis). L’inserimento di questo ulteriore comma – ha osservato Garante – conferma che «anche i trattamenti effettuati dalle regioni/provincia autonoma per contribuire allo sviluppo del predetto modello prototipale necessitassero di una specifica base normativa» (Ibidem).

In sede di conversione del d.l. n. 139 del 2021 (avvenuto con legge n. 205 del 2021) è stato poi introdotto il co. 1-bis nell’art. 2-sexies del Codice in materia di protezione dei dati personali, per autorizzare non solo il Ministero della salute, ma anche altri enti, tra cui Regioni e Province autonome, a trattare i dati relativi alla salute dei propri assistiti, in forma anonima, anche mediante l’interconnessione a livello nazionale dei sistemi informativi. Nei provvedimenti in commento, il Garante non ha preso in considerazione questo nuovo meccanismo di disciplina delle interazioni tra enti pubblici proprio in quanto sopravvenuto rispetto alla vicenda contestata.

Da ultimo, l’Autorità ha escluso – respingendo l’assunto difensivo sostenuto da alcune Regioni (GPDP, Docweb n. 9752221 e n. 9752433 del 24 febbraio 2022) – che la base giuridica e la finalità del trattamento in questione siano da rinvenire nel Regolamento per il trattamento dei dati sensibili e giudiziari adottato da ciascuna Regione/Provincia autonoma, nella parte in cui (Scheda n. 12) autorizzano trattamenti di dati personali per il monitoraggio e la valutazione dell’efficacia dei servizi sanitari erogati.

Secondo l’Autorità garante, il regolamento regionale per il trattamento dei dati sensibili e giudiziari non è idoneo a fungere da presupposto giuridico del trattamento per due ragioni essenziali, ossia:

a) il regolamento fa riferimento solo ai trattamenti di dati effettuati nell’ambito delle finalità istituzionali della Regione (ovvero per finalità di programmazione, gestione, controllo e valutazione dell’assistenza sanitaria) e non per finalità estranee, come nel caso di specie;

b) tali atti regolamentari, adottati prima del GDPR e pur conservando ancora efficacia, non possono costituire il presupposto giuridico per i trattamenti di dati successivi alla loro adozione, i quali, dunque, devono fondarsi su altre disposizioni rispondenti ai requisiti di cui agli artt. 6 e 9 del GDPR e art. 2-sexies del Codice privacy.

Quindi, in ordine al trattamento effettuato su richiesta del Ministero, l’Autorità garante conclude che «tale attività risulta (…) priva di idonea base giuridica, atteso che il trattamento è stato effettuato al di fuori delle finalità legittimamente perseguibili da parte della Regione nell’ambito delle funzioni istituzionali ad essa attribuite e che la disciplina vigente all’epoca dei fatti in esame attribuisce al solo Ministero della salute il compito di trattare i dati personali raccolti nei sistemi informativi del servizio sanitario nazionale, per lo sviluppo di metodologie predittive dell’evoluzione del fabbisogno di salute della popolazione» (GPDP, Docweb n. 9752177 del 24 febbraio 2022 e altri qui in commento).

2.3. La valutazione d’impatto.

Vista la tipologia di dati trattati (appartenenti anche alle categorie particolari di dati di cui all’art. 9, par. 1, GDPR) e l’elevato numero di soggetti interessati (tutta la popolazione assistita dalla singola Regione/Provincia autonoma), il Garante ha ricondotto il trattamento in esame all’ambito dei casi in cui il titolare non può prescindere dalla valutazione d’impatto sulla protezione dei dati [art. 35, par. 3, lett. b), GDPR].

Per contro le Regioni/Provincia autonoma, sulla base dell’erroneo presupposto di non essere titolari, non hanno svolto rispetto allo specifico trattamento effettuato alcuna valutazione d’impatto, ritenendo che tale compito spettasse al Ministero.

Il Garante ha osservato che «la circostanza che il trattamento dei dati in esame sia stato richiesto dal Ministero della salute, non può costituire una condizione esimente dall’obbligo di effettuare una valutazione di impatto, posto che la scelta di dar seguito alla richiesta del Ministero è stata operata dalla Regione che a tal fine ha elaborato i dati personali di cui è titolare» (Ibidem)

Ciascuna Regione/Provincia autonoma, in qualità di titolare dei dati oggetto di trattamento, avrebbe dovuto condurre una valutazione d’impatto e quindi comprovare, sulla base di specifici indicatori (qualitativi, quantitativi), l’assenza di rischi di reidentificazione degli interessati da parte del Ministero.

3. Precedenti

Il Garante si è occupato di questioni analoghe a quelle oggetto dei provvedimenti in commento in sede di parere su schemi normativi destinati a disciplinare trattamenti di dati a fini statistici, talora anche per lo sviluppo di modelli predittivi.

Tra i provvedimenti più recenti, si vedano, ad es., GPDP, Docweb n. 9681795 del 24 giugno 2021 (Parere sullo schema di Direttiva del presidente dell’Istat recante “Individuazione dei trattamenti dei dati personali di cui agli articoli 9 e 10 del regolamento (UE) 2016/679 nell’ambito del lavoro statistico alert-cov”, dove si rimarca la necessità di un presupposto idoneo a legittimare le operazioni di estrazione, aggregazione e comunicazione dei dati compiute dalle Regioni e fornite ad Istat per la costruzione di un modello statistico predittivo di focolai epidemici) e Docweb n. 9340513 del 4 maggio 2020 (Parere reso dal Garante sullo schema di disposizione normativa volta a consentire indagini statistiche di sieroprevalenza sul SARS-COV-2 da parte del Ministero della salute e dell’Istat sulla base dei risultati di analisi effettuati dalle Regioni e dalle Province autonome e trasmessi, mediante apposita piattaforma informatica, al Ministero, ove il Garante ha sottolineato la necessità di distinguere le diverse tipologie di trattamenti autorizzate dalla norma, sulla base della finalità rispettivamente perseguita e dei relativi presupposti di liceità). Si richiama anche Docweb n. 9344635 dell’8 maggio 2020 (ove si evidenzia la criticità di disposizioni legislative, in tal caso adottate da una Provincia autonoma, che accomunano, senza operare le necessarie distinzioni, trattamenti effettuati per diverse finalità, tra cui quelle statistiche, amministrative e di cura).

Per la definizione dei ruoli soggettivi si vedano anche i pareri del Gruppo ex art. 29 (Article 29 Working Party, Opinion 1/2010 on the concepts of “controller” and “processor”, 16 February 2010, 264/10/EN, WP 169) e dell’EDPB (EDPB, Guidelines 07/2020 on the concepts of controller and processor in the GDPR, v. 2.0, 7 July 2021).

Sui criteri per l’applicazione dell’obbligo di effettuare una valutazione d’impatto ai sensi dell’art. 35 GDPR si vedano le Linee guida del Gruppo ex art. 29 (Article 29 Working Party, Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679, WP 248 rev.01) adottate il 4 aprile 2017, come modificate da ultimo il 4 ottobre 2017. Quanto alla verifica, in sede di valutazione d’impatto, del rischio di reidentificazione degli interessati a fronte di tecniche di aggregazioni dei dati si veda, in particolare, GPDP, Docweb n. 9261093 del 23 gennaio 2020.

4. Bibliografia

Sul ruolo di titolare del trattamento si vedano in particolare, inter alios, F. Pizzetti-L. Greco, Comm. sub art. 24 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, Milano, 2021, pp. 399 ss.; A. Mantelero, Gli autori del trattamento dati: titolare e responsabile, in Giur. it., 2019, 12, pp. 2799 ss.; C. Del Federico-A.R. Popoli, Le definizioni, in G. Finocchiaro (a cura di), La protezione dei dati personali in Italia. Regolamento UE n. 2016/679 e d.lgs. 10 agosto 2018, n. 101, Bologna, 2019, pp. 86 ss.; D. Farace, Il titolare e il responsabile del trattamento, in V. Cuffaro-R. D’Orazio-V. Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019, pp. 731 ss.

Quanto alla base giuridica del trattamento di dati di particolari categorie ex art. 9 GDPR, in particolare dei dati relativi alla salute, si vedano, ex pluribus, P. Guarda, I dati sanitari, in V. Cuffaro-R. D’Orazio-V. Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019, pp. 591 ss.; F. Caggia, Il trattamento dei dati sulla salute, con particolare riferimento all’ambito sanitario, in V. Cuffaro-R. D’Orazio-V. Ricciuto (a cura di), Il codice del trattamento dei dati personali, Torino, 2007, pp. 405 ss.; F. Bravo, Il consenso le altre condizioni di liceità del trattamento di dati personali, in G. Finocchiaro (a cura di), Il nuovo Regolamento europeo sulla privacy e sulla protezione dei dati personali, Bologna, 2017, pp. 101 ss.; M. Granieri, Il trattamento di categorie particolari di dati personali nel Reg. UE 2016/679, in Nuove leggi civ. comm., 2017, pp. 165 ss.; G.M. Riccio, Privacy e dati sanitari, in F. Cardarelli-S. Sica-V. Zeno Zencovich (a cura di), Il codice dei dati personali, Milano 2004, pp. 247 ss.; F. Di Ciommo, La privacy sanitaria, in R. Pardolesi (a cura di), Diritto alla riservatezza e circolazione dei dati personali, Milano, 2003, pp. 239 ss.; C. Colapietro, I trattamenti di dati personali in ambito sanitario, in dirittifondamentali.it, 2019, 2, p. 49.

Sull’utilizzo di metodologie predittive, in particolare nell’ambito sanitario, si vedano, tra gli altri, M. Savini Nicci-G. Vetrugno, Intelligenza artificiale e responsabilità nel settore sanitario, in U. Ruffolo (a cura di), Intelligenza artificiale: il diritto, i diritti, l’etica, Milano, 2020, pp. 601 ss. Cfr. anche G. Finocchiaro, Riflessioni su intelligenza artificiale e protezione dei dati personali, in U. Ruffolo (a cura di), Intelligenza artificiale: il diritto, i diritti, l’etica, Milano, 2020, pp. 237 ss.; R. Guerra-F. Gusmini-L. Turchi, Sistema prototipale informatizzato di interscambio dati su base cartografica per la produzione di scenari di gestione per il servizio sanitario e sociale a scala comunale, in Sanità Pubblica e Privata, 2006, 1, pp. 59-65.Sul tema della valutazione d’impatto, inter alios, A. Mantelero, Comm. sub art. 35 GDPR, in R. D’Orazio-G. Finocchiaro-O. Pollicino-G. Resta (a cura di), Codice della privacy e data protection, Milano 2021, pp. 532 ss.; Id., La privacy, all’epoca dei Big Data, in V. Cuffaro-R. D’Orazio-V. Ricciuto (a cura di), I dati personali nel diritto europeo, Torino, 2019, pp. 1181 ss.; Id., Responsabilità e rischio nel Reg. UE 2016/679, in Nuove leggi civ. comm., 2017, pp. 144 ss.