Il procedimento è partito da una segnalazione di una madre per l’invito a sua figlia che è deceduta nel 1995. Il provvedimento si riferisce al trattamento dati per finalità di cura da parte della regione e solleva molti interrogativi sull’uso di sistemi centrali per la prevenzione (e non solo).
Il caso è nato da un reclamo da parte di una signora che lamentava il recapito di un invito per la figlia deceduta nel 1995 da parte della ASL di Rieti per il programma di screening del tumore del collo dell’utero.
Il Garante ha chiesto alla ASL chiarimenti sulle misure adottate per assicurare l’esattezza e l’aggiornamento delle informazioni relative ai propri assistiti utilizzate per le campagne di screening. L’azienda sanitaria ha risposto affermando che come da delibera regionale le ASL devono utilizzare il Sistema Informativo dei Programmi di screening oncologici (SIPSOweb). Tale piattaforma contiene già nel database tutti i parametri necessari alla generazione degli inviti ed è posta sotto la piena ed esclusiva titolarità della Regione Lazio che, tecnicamente, la gestisce mediante la propria controllata LazioCREA S.p.A. I dipartimenti di prevenzione di tutte le ASL del Lazio utilizzano questa piattaforma, ma non gestiscono la banca dati regionale sulla base della quale operano né possono direttamente modificarla. Il nominativo della persona deceduta risultava nell’anagrafica che era stata recentemente aggiornata.
Il Garante ha quindi chiesto chiarimenti alla regione Lazio che ha dichiarato di essere il titolare del trattamento sotteso al Sistema Informativo Unico Regionale degli Screening Oncologici per i tumori della mammella, della cervice uterina e del colon retto per il quale opera come responsabile del trattamento la società in-house LazioCREA. La Regione ha inoltre illustrato i motivi tecnici che hanno i portato alla mancata cancellazione della persona deceduta dall’anagrafica del sistema.
Il Garante ha eccepito che il trattamento dei dati personali posto in essere dalla Regione Lazio risulta essere stato effettuato in violazione dei principi di liceità, correttezza e trasparenza e di esattezza del dato (art. 5, par. 1 lett. a), e d) del Regolamento), nonché delle disposizioni concernenti: la responsabilità del titolare del trattamento (art. 24 del Regolamento), le basi giuridiche del trattamento (artt. 6 e 9 del Regolamento), le informazioni da fornire agli interessati e l’esercizio dei diritti da parte degli interessati (artt. art. 12, 13 e 14 del Regolamento).
La motivazione giuridica risiede nel fatto che, in base alla normativa vigente in materia di programmi di prevenzione sanitaria, alla Regione sono attribuite funzioni di programmazione dell’offerta di prevenzione, mentre alle aziende sanitarie quella di erogazione della prestazione sanitaria (Piano nazionale della Prevenzione (PNP) 2021-2025 e Piano Regionale della Prevenzione (PRP) 2021-2025).
In particolare la Regione, nell’interlocuzione con il Garante, aveva dichiarato che la titolarità dei trattamenti effettuati nell’ambito dell’erogazione della prestazione sanitaria legata allo screening è imputabile alle ASL, ma che per quanto riguarda le finalità di “diagnosi e cura nell’ambito di percorsi diagnostico-terapeutici” è invece in capo alla Regione stessa.
Il Garante ha inoltre mosso diverse eccezioni sul ruolo rivestito dalle ASL nel trattamento dei dati in esame (solo uso e visualizzazione) e sul fatto che LazioCREA non sia soggetta alla “diretta autorità” delle ASL come titolari del trattamento.
A conclusione dell’istruttoria il Garante ha comminato una sanzione di 100.000 euro alla Regione Lazio. Qui potete leggere tutta l’ordinanza.
Il provvedimento del Garante rappresenta un forte richiamo per l’uso di piattaforme regionali centralizzate per la gestione di dati clinici e sanitari e solleva molti dubbi sulla modalità di gestione di PDTA inter-aziendali o da parte di diversi titolari del trattamento. Bisogna riflettere e domandarsi come, alla luce del ruolo delle regioni che è limitato alla programmazione e controllo dell’offerta di prestazioni sanitarie, sia possibile trattare lecitamente i dati per assolvere ai compiti e alle funzioni previste dal DM 77, a partire dalla profilazione dei pazienti (medicina di popolazione) e alla gestione integrata delle patologie che è alla base del modello di medicina di iniziativa.
A mio personale avviso servirebbe la costituzione urgente di un tavolo di lavoro con il Garante su prevenzione, telemedicina e gestione della cronicità, per comprendere come trattare questi casi evitando che ogni regione decida autonomamente con il rischio di incorrere in sanzioni.