Conferenza Regioni
e Province Autonome
Doc. Approvato - Informatica - DATI SENSIBILI regioni - BOZZA DI DELIBERAZIONE PER L’ADOZIONE DEL

martedì 28 marzo 2006


BOZZA DI DELIBERAZIONE PER L’ADOZIONE DEL

REGOLAMENTO PER IL TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI

DI COMPETENZA DELLA REGIONE/PROVINCIA AUTONOMA,

 DELLE AZIENDE SANITARIE, DEGLI ENTI E AGENZIE REGIONALI/PROVINCIALI,

DEGLI ENTI VIGILATI DALLA REGIONE/PROVINCIA AUTONOMA

 

La competenza per l’adozione del regolamento (Giunta/Consiglio) è definita dallo Statuto.

 

 

LA GIUNTA REGIONALE/PROVINCIALE / IL CONSIGLIO REGIONALE/PROVINCIALE

 

 

VISTO il Decreto legislativo 30 giugno 2003, n. 196 “ Codice in materia di protezione dei dati personali”, di seguito chiamato Codice;

 

CONSIDERATO che

-         gli articoli 20, comma 2, e l’articolo 21 comma 2 del Codice, stabiliscono che nei casi in cui una disposizione di legge specifichi la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e giudiziari trattabili ed i tipi di operazioni su questi eseguibili, il trattamento è consentito solo in riferimento a quei tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi;

-         il medesimo art. 20, comma 2, prevede che detta identificazione debba essere effettuata nel rispetto dei principi di cui all’art. 22 del citato Codice, in particolare assicurando che i soggetti pubblici:

a)      trattino i soli dati sensibili e giudiziari indispensabili per le relative attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa;

b)      raccolgano detti dati, di regola, presso l’interessato;

c)      verifichino periodicamente l’esattezza, l’aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza ed indispensabilità rispetto alle finalità perseguite nei singoli casi;

d)      trattino i dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l’ausilio di strumenti elettronici, con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che li rendano temporaneamente inintelligibili anche a chi è autorizzato ad accedervi;

e)      conservino i dati idonei a rivelare lo stato di salute e la vita sessuale separatamene da altri dati personali trattati per finalità che richiedono il loro utilizzo;

-         sempre ai sensi del citato art. 20, comma 2, detta identificazione deve avvenire con atto di natura regolamentare adottato in conformità al parere espresso dal Garante per la protezione dei dati personali (di seguito denominato Garante), ai sensi dell’art. 154, comma 1, lettera g);

-         il parere del Garante può essere fornito anche su “schemi tipo”;

-         l’art. 20, comma 4, del Codice, prevede che l’identificazione di cui sopra venga aggiornata e integrata periodicamente;

PRESO ATTO del provvedimento del Garante per la protezione dei dati personali del 30 giugno 2005, in base al quale i soggetti pubblici titolari di trattamenti di dati sensibili e giudiziari, ma non dotati di potestà regolamentare a rilevanza esterna, devono promuovere l’adozione di un regolamento sul trattamento dei dati sensibili e giudiziari da parte della competente amministrazione a cui gli stessi fanno riferimento, la quale eserciti, ad esempio, poteri di indirizzo e controllo;

 

RITENUTO, pertanto, di dover procedere alla redazione di un Regolamento per il trattamento dei dati sensibili e giudiziari ex articolo 20, comma 2, e articolo 21 comma 2 del Codice, di cui sono titolari la Regione (la Regione/la Giunta regionale) / Provincia autonoma, le aziende sanitarie,  gli enti e agenzie regionali, gli altri enti per i quali la Regione/Provincia autonoma esercita poteri di indirizzo e controllo, compresi gli enti che fanno riferimento a due o più Regioni, individuando i tipi di dati che devono essere utilizzati e le operazioni che tali soggetti titolari devono necessariamente svolgere per perseguire le finalità di rilevante interesse pubblico di loro competenza individuate per legge;

 

RITENUTO OPPORTUNO, per quanto riguarda gli enti interregionali che fanno riferimento a due o più Regioni, promuovere adeguate forme di leale cooperazione tra gli ambiti interregionali coinvolti per garantire il rispetto dell’autonomia delle altre Regioni;

 

RITENUTO OPPORTUNO adottare un unico regolamento per il trattamento di dati sensibili e giudiziari di cui sono titolari sia la Regione (la Regione/la Giunta) / Provincia autonoma che gli enti sopra richiamati al fine di assicurare il rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per l’esercizio dei diritti da parte degli interessati, nonché l’adempimento degli obblighi da parte dei titolari del trattamento, ai sensi dell’articolo 2 del Codice;

 

VISTO lo schema tipo di Regolamento per il trattamento di dati sensibili e giudiziari di competenza della Regione/Provincia autonoma, delle aziende sanitarie, degli enti e agenzie regionali/provinciali e degli altri enti vigilati e controllati dalla Regione/Provincia autonoma,  approvato da parte della Conferenza delle Regioni e delle Province autonome, nella seduta del …

 

VISTA l’intesa intervenuta il …… fra la Conferenza delle Regioni e Province Autonome e la Conferenza dei Rettori delle Università Italiane (CRUI), che, per quanto riguarda le strutture e le aziende universitarie di qualsiasi tipo e natura operanti nell’ambito del Servizio Sanitario Nazionale, prevede in particolare che:

a)      gli aspetti relativi alle attività istituzionali di didattica e di ricerca siano disciplinati secondo le disposizioni dello schema tipo di regolamento approvato dalla Conferenza dei Rettori delle Università Italiane (CRUI);

b)      gli aspetti relativi alle attività assistenziali integrate con l’attività di didattica e di ricerca siano disciplinate secondo le disposizioni dello schema tipo di regolamento approvato dalla Conferenza delle Regioni e delle Province Autonome;

c)      debba essere accertata la conformità alla normativa in materia di tutela dei dati sensibili e giudiziari e a quanto previsto negli schemi tipo di cui sopra di quanto disposto nei protocolli di intesa e nelle convenzioni già esistenti tra Università e Regioni/Province autonome;

 

VISTA l’intesa intervenuta il ….., fra la Regione/Provincia autonoma … e le Università ubicate nel territorio regionale/provinciale, in attuazione dell’intesa fra la Conferenza delle Regioni e delle Province autonome e la Conferenza dei Rettori delle Università Italiane (CRUI);

 

VISTO il parere espresso dal Garante per la protezione dei dati personali con provvedimento del …….. ,  ai sensi degli artt. 20 comma 2 e 154, comma 1, lett. g) del Codice, sullo schema tipo approvato dalla Conferenza delle Regioni e Province autonome;

 

VERIFICATA la conformità del presente Regolamento al predetto schema tipo e quindi la non necessità di sottoporlo al preventivo parere del Garante;

 

CONSIDERATO che i tipi di dati e di operazioni individuati nel presente Regolamento non riguardano i dati non compresi tra quelli sensibili o giudiziari, e che i trattamenti individuati non concernono:

- i trattamenti effettuati per finalità di tutela della salute o dell’incolumità fisica dell’interessato, di un terzo o della collettività, per i quali si osservano le disposizioni relative al consenso dell’interessato o all’autorizzazione del Garante ai sensi dell’articolo 76 del Codice,

- i trattamenti effettuati per finalità di ricerca medica, biomedica o epidemiologica, secondo quando disposto dall’articolo 110 del Codice;

- i trattamenti già adeguatamente regolati a livello legislativo o regolamentare per ciò che concerne i tipi di dati e le operazioni eseguibili;

 

VISTA l’autorizzazione del Garante n. 7, relativa al trattamento di dati giudiziari ai fini dell’applicazione della normativa in materia di comunicazioni e certificazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di manifestazione di pericolosità sociale, che specifica, oltre alle rilevanti finalità di interesse pubblico, anche le tipologie di dati e le operazioni eseguibili ai sensi dell’art. 21, comma 1 del Codice;

 

CONSIDERATO che per quanto concerne tutti i trattamenti del presente Regolamento è stato verificato il rispetto dei principi e delle garanzie previste dall’articolo 22 del Codice, con particolare riferimento alla pertinenza, non eccedenza e indispensabilità dei dati sensibili e giudiziari utilizzati rispetto alle finalità perseguite, alla indispensabilità delle predette operazioni per il perseguimento delle finalità di rilevante interesse pubblico individuate per legge, nonché all’esistenza di fonti normative idonee a rendere lecite le predette operazioni o, ove richiesta, alla indicazione scritta dei motivi;

 

( Acquisizione di vari pareri a seconda della normativa interna )

 

APPROVA

 

1.      l’allegato  “Regolamento per il trattamento dei dati sensibili e giudiziari ai sensi degli artt. 20 e 21 del D.Lgs. 196/03”, comprensivo degli Allegati A e B, i quali contengono, quali parti integranti dello stesso, le schede relative ai singoli trattamenti di competenza:

-         della Regione/Provincia autonoma (o Giunta Regionale/Provinciale), degli enti e agenzie regionali, degli enti controllati e vigilati dalla Regione/Provincia autonoma (Allegato A),

-         delle Aziende Unità Sanitarie Locali, Aziende Ospedaliere, Istituti di Ricerca e Cura a Carattere Scientifico, Aziende universitarie di qualsiasi tipo e natura operanti nell’ambito del Servizio Sanitario Nazionale (Allegato B);

 


 

REGOLAMENTO PER IL TRATTAMENTO DEI DATI

SENSIBILI E GIUDIZIARI

(Artt. 20 – 21 D.Lgs. 196/2003 Codice in materia di protezione di dati personali )

 

 

 

ART. 1

Oggetto

 

1. Il presente regolamento, ai sensi dell’articoli 20 e 21 del Decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”, identifica i tipi di dati e le operazioni eseguibili da parte della Regione / Provincia autonoma / Giunta Regionale/provinciale, nonché da parte delle aziende sanitarie della Regione…/Provincia autonoma …., degli enti e agenzie regionali/provinciali e degli altri enti per i quali la Regione/Provincia autonoma esercita poteri di indirizzo e controllo, compresi gli enti che fanno riferimento a due o più Regioni, nello svolgimento delle loro funzioni istituzionali, con riferimento ai trattamenti di dati sensibili e giudiziari effettuati per il perseguimento delle rilevanti finalità di interesse pubblico individuate da espressa disposizione di legge, ove non siano legislativamente specificati i tipi di dati e le operazioni eseguibili.

 

ART. 2

Disposizioni generali 

 

1.Ai fini del presente regolamento si applicano le definizioni contenute nell'art. 4, del D.Lgs. 196/2003.

2.Il trattamento dei dati avviene nel rispetto dei diritti e delle libertà fondamentali dell'interessato ed è compiuto quando, per lo svolgimento delle finalità di interesse pubblico, non è possibile il trattamento dei dati anonimi oppure di dati personali non sensibili o giudiziari.

 

ART .3

Tipi di dati e di operazioni eseguibili

 

1. I dati sensibili e giudiziari oggetto di trattamento, le finalità di interesse pubblico perseguite, nonché le operazioni eseguibili sono individuati, per i soggetti titolari di cui all’articolo 1,  nelle schede contenute negli allegati al presente regolamento, di seguito elencati:

ALLEGATO A (Schede a A1 a A48) –  Regione/Provincia autonoma / Giunta regionale/provinciale; Agenzie e enti regionali/provinciali, enti vigilati e controllati dalla Regione/Provincia autonoma:  

Agenzia Regionale per la Protezione Ambientale;

Agenzia Regionale di Sanità, altre agenzie e istituti scientifici in ambito sanitario; enti per i servizi amministrativi di area vasta;

Istituto Zooprofilattico Sperimentale;

Agenzia Regionale per le Erogazioni in Agricoltura; 

Agenzie per i servizi, per lo sviluppo, per l’innovazione in agricoltura;

Aziende agricole sperimentali regionali;

Enti e aziende regionali di promozione economica;

Agenzia regionale per il lavoro;

Aziende regionali per il Diritto allo Studio Universitario;

Istituti regionali di ricerca, Istituto degli Innocenti;

Istituti regionali di formazione per la pubblica amministrazione;

Altri enti strumentali della Regione/Provincia autonoma;

Agenzie e autorità di bacino regionali e interregionali;

Aziende porti; Enti irrigui; Consorzi di bonifica; Consorzi Fitosanitari; Enti parco;

       IPAB e Agenzie Servizi alla Persona;

altri enti vigilati dalla Regione/Provincia autonoma.

 

ALLEGATO B (schede da B1 a B41): Aziende Unità Sanitarie Locali, Aziende Ospedaliere, Istituti di Ricerca e Cura a Carattere Scientifico, Aziende universitarie di qualsiasi tipo e natura operanti nell’ambito del Servizio Sanitario Nazionale.

 

 

Art. 4

Pubblicazione sul Bollettino Ufficiale e diffusione su Internet

1. Il presente regolamento è pubblicato sul Bollettino Ufficiale della Regione …………(specificare) ….

……………………

(da completare con le ulteriori disposizioni relative alla pubblicazione dell’atto)

 

Art. 5

Entrata in vigore

 

1. Il presente regolamento entra in vigore …. (il giorno successivo alla sua pubblicazione sul Bollettino Ufficiale della Regione).

 

 

 

schematiporegolamento28marzo.doc