Le due nuove metodologie di riferimento adottate dalla CNIL semplificano l’accesso alla banca dati principale del Sistema nazionale di dati sanitari (SNDS). Esse riguardano le organizzazioni che agiscono nell’ambito delle loro missioni di interesse pubblico o dei loro interessi legittimi.
Il CNIL ha adottato due nuove metodologie di riferimento per consentire agli enti pubblici (MR-007) e privati (MR-008), ad eccezione degli assicuratori, di elaborare i dati provenienti dalla banca dati principale del Sistema nazionale di dati sanitari (SNDS), al di là del PMSI (Programme de Médicalisation des Systèmes d’Information).
Sul sito web del PDS sono disponibili strumenti operativi e didattici, prodotti in collaborazione con la Plateforme des données de santé, il CNIL e il CNAM, per aiutare gli sponsor del progetto ad attuare passo dopo passo queste procedure semplificate. I kit MR-007 e MR-008 comprendono ciascuno una guida didattica dedicata, documenti modello (protocollo, informazioni, dichiarazione dei requisiti, ecc.) e una lista di controllo della conformità del progetto.
Perché nuove metodologie di riferimento?
Il campo di applicazione della SNDS è stato ampliato sia dalla legge sull’organizzazione e la trasformazione del sistema sanitario sia dalla modifica del suo decreto attuativo. Questi cambiamenti, insieme al crescente interesse per queste informazioni da parte degli stakeholder, hanno portato il CNIL ad adottare nuovi quadri di riferimento che consentono l’accesso a tutti i dati della banca dati principale del SNDS.
Queste nuove metodologie di riferimento fanno seguito alle MR-005 e MR-006, che forniscono un quadro per l’accesso ai dati PMSI da parte delle istituzioni sanitarie e delle loro federazioni, nonché dei produttori di prodotti sanitari. Al fine di offrire strumenti adeguati alle loro esigenze, esse incorporano il feedback derivante dalle consultazioni con gli stakeholder del settore.
Nuove caratteristiche di MR-007 e MR-008
Queste metodologie di riferimento contengono una serie di novità rispetto a quelle precedentemente adottate dalla CNIL, in particolare le MR-005 e 006.
Responsabili del trattamento
La base giuridica del trattamento proposto è il criterio utilizzato per determinare quale MR sarà applicabile, tra MR-007 e MR-008:
- L’MR-007 riguarda le organizzazioni per le quali l’attuazione di ricerche, studi o valutazioni nel campo della salute è necessaria per l’adempimento di una missione di interesse pubblico o riguarda l’esercizio dei poteri pubblici loro conferiti.
- Il MR-008, invece, riguarda organizzazioni per le quali l’esecuzione di ricerche, studi o valutazioni nel campo della salute è necessaria per il perseguimento di un interesse legittimo. Tuttavia, il trattamento effettuato da “assicuratori” (in particolare compagnie di assicurazione e mutue) è escluso dal suo campo di applicazione.
Finalità del trattamento
- L’MR-007 riprende le finalità del trattamento consentite dall’MR-005 e aggiunge l’individuazione di centri e/o la realizzazione di studi di fattibilità per ricerche che coinvolgono o meno la persona umana.
- Tuttavia, le finalità perseguite dall’MR-008 differiscono da quelle menzionate nell’MR-006. L’elenco delle finalità del trattamento contenuto nell’MR-008 è esaustivo.
- Le finalità elencate, che si presume siano di interesse pubblico, sono identiche a quelle menzionate nelle linee guida che regolano la fornitura del campione SNDS (ESND).
Parere preventivo espressamente favorevole del CESREES
A causa del grande volume di dati resi disponibili e della complessità delle banche dati disponibili, gli MR-007 e 008 richiedono che il progetto abbia ricevuto un parere espressamente favorevole dal Comité éthique et scientifique pour les recherches, les études et les évaluations dans le domaine de la santé (CESREES).
Inoltre, in caso di parere favorevole con raccomandazioni, il titolare del trattamento deve impegnarsi a tenerne conto e a modificare di conseguenza il proprio fascicolo, prima di procedere al trattamento.
Espressione delle esigenze
Per facilitare il lavoro di messa a disposizione dei dati al CNAM, le MR-007 e 008 stabiliscono che il titolare del trattamento deve allegare al proprio protocollo un’espressione delle esigenze, ossia un documento che indichi:
- le componenti della banca dati principale del SNDS interessate dalla richiesta di accesso;
- la popolazione target
- il periodo di riferimento
- i dati o le categorie di dati richiesti
- la profondità storica dei dati, fino a un massimo di nove anni oltre all’anno in corso;
- il periodo di accesso richiesto, che non può superare i cinque anni dall’ultima volta che i dati sono stati effettivamente resi disponibili.
Condizioni per la messa a disposizione dei dati
- Ai sensi delle MR-007 e 008, i dati trattati devono provenire esclusivamente e direttamente dalla Caisse Nationale d’Assurance Maladie (CNAM).
- Poiché le modalità di accesso a questi dati sono molteplici, qualsiasi ambiente controllato che soddisfi le condizioni stabilite nelle MR-007 e 008 può ospitare i dati nell’ambito dei progetti di ricerca in questione.
Eccezione all’obbligo di fornire informazioni individuali
In linea con le disposizioni delle MR-005 e 006, nel caso di dati provenienti esclusivamente dall’SNDS, si accetta che i responsabili del trattamento invochino un’eccezione all’obbligo di fornire informazioni individuali.
In cambio, le organizzazioni che dichiarano la conformità delle loro operazioni di trattamento con gli MR-007 o MR-008 devono adottare misure appropriate per proteggere i diritti e le libertà, nonché gli interessi legittimi dell’interessato, compresa la messa a disposizione del pubblico delle informazioni.
Esecuzione di una valutazione
Ogni tre anni, le organizzazioni che effettuano trattamenti sulla base delle MR-007 e MR-008 devono inviare alla CNIL un rapporto sulle loro pratiche e sull’uso delle MR per tutti i loro trattamenti.
In questo modo, la CNIL beneficerà di un feedback da parte degli interessati, che sarà utile per aggiornare i suoi quadri di riferimento.
Metodologie di ricerca
- Deliberazione n. 2023-082 del 20 luglio 2023 che approva una metodologia di riferimento per l’elaborazione dei dati nella principale banca dati SNDS (MR-007) – Légifrance
- Deliberazione n. 2023-083 del 20 luglio 2023 che approva una metodologia di riferimento per l’elaborazione dei dati nella principale banca dati SNDS (MR-008) – Légifrance