Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

norme e privacy

Biotestamento e Banca dati nazionale, ecco gli step per la legge sul fine vita

L’intesa raggiunta in Conferenza Stato-Regioni sul decreto per la creazione della banca dati nazionale destinata alla registrazione delle disposizioni anticipate di trattamento (biotestamento), pone fine ai passaggi formali obbligatori previsti per dare piena attuazione della legge sul fine vita. Ecco cosa c’è da sapere

07 Ago 2019

Valentina Vasta

Privacy Specialist at Masterkonsult e Sistema Susio


L’intesa raggiunta dalla Conferenza Stato-Regioni il 25 luglio sullo schema di decreto del Ministro della salute volto alla creazione della banca dati nazionale destinata alla registrazione delle disposizioni anticipate di trattamento (indicate comunemente come “testamento biologico” o “biotestamento”), pone fine a tutti i passaggi formali obbligatori previsti per dare piena attuazione della legge sul fine vita.

Lo scorso 29 maggio 2019, anche il Garante per la protezione dei dati personali aveva espresso parere positivo sullo schema di decreto relativo alle modalità di registrazione delle Disposizioni anticipate di trattamento (Dat) nella Banca dati nazionale elaborato dal Ministero della Salute e inviato dal ministro della Salute Giulia Grillo alle Regioni lo scorso 7 giugno.

Il decreto, adottato ai sensi dell’articolo 1, commi 418 e 419 della legge 27 dicembre 2017, n. 205, è volto a disciplinare le finalità della predetta Banca dati, le modalità di trasmissione delle disposizioni anticipate di trattamento e di accesso alla stessa da parte dei soggetti legittimati.

Proprio in relazione a quest’ultimo aspetto, l’intervento del Garante si è reso fondamentale nell’ottica di una valutazione circa l’adeguatezza delle disposizioni ministeriali che, disciplinando l’accesso ai dati conservati nella Banca, impattano significativamente la normativa in tema di protezione dei dati personali.

Il contesto legislativo

Prima di affrontare nello specifico il tema, appare utile delineare il contesto legislativo di partenza, che si pone quale antecedente causale del recente intervento del Garante in materia.

Con la L 219/2017 l’Italia ha affrontato due tematiche particolarmente delicate: il consenso informato e le disposizioni anticipate di trattamento. Il consenso informato, valorizzando la relazione di cura e fiducia tra il paziente e il medico, è stato disciplinato alla luce del diritto di ogni persona “di conoscere le proprie condizioni di salute e di essere informata in modo completo, aggiornato e a lei comprensibile riguardo alla diagnosi, alla prognosi, ai benefici e ai rischi degli accertamenti diagnostici e dei trattamenti sanitari indicati, nonché riguardo alle possibili alternative e alle conseguenze dell’eventuale rifiuto del trattamento sanitario e dell’accertamento diagnostico o della rinuncia ai medesimi”.  In tale prospettiva, la l. 219/2017 affronta le modalità di espressione, di acquisizione e di revisione del consenso informato.

Per quanto attiene alle disposizioni anticipate di trattamento, esse rappresentano una delle novità della Legge. L’art. 4 della L 219/2017 recita che ogni persona maggiorenne e capace di intendere e di  volere, in previsione di un’eventuale futura incapacità di autodeterminarsi e dopo avere acquisito adeguate informazioni mediche sulle conseguenze delle sue scelte, può, attraverso le DAT, esprimere le proprie volontà in materia di trattamenti sanitari, nonché il consenso o il rifiuto rispetto ad accertamenti diagnostici o scelte terapeutiche  e a singoli trattamenti sanitari.

La redazione delle DAT può avvenire in diverse forme: atto pubblico, scrittura privata autenticata o scrittura privata consegnata personalmente dal disponente presso l’ufficio dello stato civile del proprio comune di residenza, che provvede in seguito all’annotazione nel relativo registro.

In alternativa le DAT possono essere consegnate presso le strutture sanitarie delle Regioni che adottano modalità telematiche di gestione della cartella clinica, del fascicolo sanitario elettronico o che si avvalgono di altre modalità informatiche di gestione dei dati del singolo iscritto al Servizio sanitario nazionale. Tali strutture dovranno regolamentare con proprio atto la raccolta di copia delle DAT e dell’indicazione del fiduciario, lasciando comunque al firmatario la libertà di scegliere se darne copia o indicare dove esse siano reperibili in originale. Al fine di garantire l’ampiezza dei diritti del disponente, le DAT possono essere predisposte anche a mezzo videoregistrazione o attraverso dispositivi che permettano alla persona con disabilità di comunicare.

La banca dati per la registrazione delle DAT

Per rendere pienamente operative tali disposizioni, la legge di Bilancio 2018 ha previsto e finanziato l’istituzione presso il Ministero della salute di una Banca dati destinata alla registrazione delle disposizioni anticipate di trattamento.

I contenuti informativi della Banca dati, le modalità di registrazione e di fruibilità delle DAT nonché le misure di sicurezza per la protezione dei dati personali, sono state oggetto dello schema di decreto (composto da 12 articoli e da un disciplinare tecnico allegato) a firma del Ministero della salute, il cui contenuto è stato elaborato da un Gruppo di lavoro partecipato da rappresentanti del Ministero, delle Regioni e dell’Autorità garante per la protezione dei dati personali. Quest’ultima ha avuto modo di chiarire, in conformità del decreto legislativo 10 agosto 2018, n. 101  recante “Disposizioni per l’adeguamento della normativa nazionale alle disposizioni del regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio, del 27 aprile 2016”, che il decreto ministeriale debba essere adottato mediante la procedura prevista per gli atti di natura regolamentare, di cui alla legge 23 agosto 1988, n. 400, con il conseguente obbligo di acquisire anche il preventivo parere del Consiglio di Stato-Sezione consultiva per gli atti normativi in merito allo schema di provvedimento.

Il parere del Consiglio di Stato

Pertanto, nel luglio dello scorso anno il decreto è passato al vaglio del parere del Consiglio di Stato (Cons. St., comm. spec., 31 luglio 2018, n. 1991), il quale si è pronunciato sui seguenti aspetti:

  • lo scopo della Banca dati nazionale è di raccogliere su richiesta dell’interessato copia delle DAT, compresa l’indicazione del fiduciario e l’eventuale revoca;
  • la struttura del registro nazionale quale banca dati a cui trasmettere le DAT rese dai disponenti, evidenziando come il registro debba estendersi anche ai soggetti non iscritti al SSN, in modo da garantirne i medesimi diritti fondamentali della persona umana;
  • le DAT possono rendersi senza un particolare vincolo di contenuto e alle stesse è opportuno garantire l’accesso del medico che ha in cura il paziente in stato di incapacità di autodeterminarsi e del fiduciario sino a quando è in carica.

L’ultimo passo dell’iter di perfezionamento del decreto è stato il banco di prova costituito dal parere del Garante per la protezione dei dati personali, il quale ha concentrato la sua attenzione sugli aspetti più critici del testo normativo, ai fini di una perfetta aderenza alle disposizioni del GDPR 2016/679.

L’istituzione della Banca dati delle DAT pone infatti una serie di profili attuativi di particolare rilievo tra i quali:

  • l’individuazione dei soggetti alimentanti la Banca dati;
  • la regolamentazione delle modalità di trasmissione delle DAT e del diritto di accesso ai fini di consultazione;
  • le definizioni dei Titolari del trattamento dei dati personali, in considerazione della tipologia delle attività svolte con e sulle DAT;
  • l’individuazione del periodo di data retention;
  • la predisposizione di misure di sicurezza atte a evitare anomalie e utilizzi impropri della Banca dati; la disciplina del regime transitorio.

La base giuridica delle attività della banca dati

Le operazioni di analisi hanno portato ad un preliminare ed essenziale chiarimento della base giuridica sulla quale poggiano le attività di trattamento effettuate dalla Banca dati ministeriale, al fine di garantire il rispetto della condizione di liceità richiesta dall’art. 6 del GDPR.

Orbene, tale base legittimante va individuata ai sensi del comma 1, lett. e) del predetto articolo:

“Il trattamento è necessario per l’esecuzione di un compito di interesse pubblico o connesso all’esercizio di pubblici poteri di cui è investito il titolare del trattamento”.

Tale indicazione si collega e arricchisce di contenuto grazie all’art. 2 sexies, lett. t) e u) del d.Lgs 196/2003 (così come modificato dal d.Lgs 101/2018), che tratta lo specifico tema del trattamento di categorie particolari di dati personali necessario per motivi di interesse pubblico rilevante da parte di soggetti che svolgono compiti di interesse pubblico o connessi all’esercizio di pubblici poteri nelle seguenti materie:

  1. t) attività amministrative e certificatorie correlate a quelle di diagnosi, assistenza o terapia sanitaria o sociale, ivi incluse quelle correlate ai trapianti d’organo e di tessuti nonché alle trasfusioni di sangue umano;
  2. u) compiti del servizio sanitario nazionale e dei soggetti operanti in ambito sanitario, nonché compiti di igiene e sicurezza sui luoghi di lavoro e sicurezza e salute della popolazione, protezione civile, salvaguardia della vita e incolumità fisica.

Una volta individuata la condizione di liceità, bisogna specificare quali siano le finalità della Banca dati e le attività di trattamento svolte mediante quest’ultima; ovvero, in accordo con l’art. 1 del decreto ministeriale, le modalità di registrazione, raccolta, aggiornamento, modifica e revoca delle disposizione anticipate di trattamento.

Titolarità del trattamento

Per quanto riguarda le modalità di registrazione delle DAT, i soggetti alimentanti la Banca dati – ai quali il disponente può rivolgersi per la redazione delle medesime –  sono notai, ufficiali di stato civile del comune di residenza e strutture sanitarie organizzate in tal senso. Tali soggetti sono titolari del trattamento ai fini del servizio di trasmissione verso la Banca dati.

A tal proposito, il Garante ha avuto modo di sottolineare come la titolarità non vada attribuita singolarmente e fisicamente a questi ultimi, ma in capo alla struttura dalla quale dipende il soggetto alimentante (fatta eccezione per i notai).

Indipendentemente dal soggetto alimentante, la trasmissione delle DAT avviene tramite il modulo elettronico il cui contenuto è indicato nel disciplinare tecnico allegato allo schema di decreto ministeriale. Esso contiene i dati identificativi / anagrafici del disponente, i dati identificativi / anagrafici del fiduciario (se nominato) e il consenso scritto del disponente alla trasmissione di copia delle DAT o, in alternativa, l’indicazione della reperibilità delle DAT redatte in originale.

Attesa la possibilità di aggiornamento e modifica delle disposizioni anticipate di trattamento, al disponente è consentito procedere alla nomina del fiduciario, ovvero di quel soggetto autorizzato ad accedere alle DAT in previsione di un’eventuale futura incapacità di autodeterminarsi del disponente stesso, anche in un momento successivo all’invio delle DAT. Il disponente potrà anche revocare la nomina del fiduciario e provvedere ad una nuova individuazione: ciò che fa fede è la nomina/revoca più recente.

Trattando del diritto di accesso del fiduciario, giova ricordare che tale possibilità è attribuita anche al medico curante del paziente/disponente. Sia per il fiduciario, sia per il medico curante, si tratta di accesso per finalità di consultazione e come tale è disciplinato dal decreto ministeriale in garanzia del rispetto degli standard di sicurezza richiesti dalla normativa in tema di protezione dei dati personali: l’accesso è consentito attraverso carta nazionale dei servizi, carta d’identità elettronica e spid. Inoltre, al fine di scongiurare accessi e utilizzi impropri della Banca dati, è previsto un monitoraggio dei file log conservati per 12 mesi.

In riferimento alle modalità di trasmissione, possiamo esaminare questo aspetto in base al soggetto alimentante.

Per i notai è stata predisposta una modalità di autenticazione tra sistema informativo del Ministero della salute e Rete Unitaria del notariato. Gli ufficiali di stato civile, non disponendo di un collegamento diretto alla Banca dati, compileranno il modulo on-line reperibile al sito del Ministero della salute; al termine di tale operazione verrà generato un file crittografato da inviare via pec, avendo cura di non inserire dati personali nel campo oggetto del messaggio. Infine, nelle strutture regionali organizzate per fornire tale servizio, il collegamento alla Banca dati verrà garantito da un sistema di autenticazione tra Ministero della salute e sistema informativo regionale.

Da quanto appena esposto, appare evidente come non sia mancata un’attenzione dettagliata, sia da parte del Gruppo di lavoro, sia da parte del Garante, alla scelta e alla valutazione di modalità idonee a garantire la sicurezza, l’integrità e l’aggiornamento dei dati personali in relazione alle attività di trattamento effettuate dalla Banca dati nazionale.

Data retention

Un accento, per completezza, va posto sulla data retention: i dati verranno conservati per 10 anni dal decesso del disponente e poi verranno cancellati.

Nell’attesa che il decreto venga emanato ed entri in vigore si applicheranno le disposizioni transitorie previste all’art 10, co. 1: notai, ufficiali di stato civile e strutture sanitarie consentiranno la consultazione delle DAT antecedentemente raccolte ai medici curanti, per le finalità del decreto ministeriale e per i motivi di interesse pubblico rilevante ex art. 2 sexies, co. 2, lett t) e u) del Codice. Inoltre, entro 60 giorni dall’attivazione della Banca dati nazionale i soggetti di cui sopra trasmetteranno al Ministero della salute un elenco nominativo delle persone che hanno espresso le disposizioni anticipate di trattamento ed entro 180 giorni provvederanno ad inviare le DAT.

A seguito del parere favorevole espresso in data 25 luglio dalla Conferenza Stato Regioni dunque, auspichiamo che non vi siano ulteriori attese che possano pregiudicare la piena attuazione della legge sul fine vita.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4