Regolamento per il trattamento di dati sensibili e giudiziari in attuazione del decreto legislativo 30 giugno 2003, n. 196 (articolo 20, comma 2 e articolo 21, comma 2).
a) effettuati per il perseguimento delle rilevanti finalità di interesse pubblico individuate dalla parte II del decreto legislativo n. 196/2003;
b) autorizzati da espressa disposizione di legge per rilevanti finalità di interesse pubblico, ove in via legislativa non siano specificati i tipi di dati e le operazioni eseguibili.
2. Il trattamento dei dati avviene nel rispetto dei diritti e delle libertà fondamentali dell'interessato ed è compiuto quando, per lo svolgimento delle finalità di interesse pubblico, non è possibile il trattamento dei dati anonimi oppure di dati personali non sensibili o giudiziari.
1. I dati sensibili e giudiziari oggetto di trattamento, le finalità di interesse pubblico perseguite, nonché le operazioni eseguibili sono individuati, per i soggetti titolari di cui all'articolo 1, nelle schede contenute negli Allegati al presente regolamento, di seguito elencati:
a) ALLEGATO A (Schede da 1 a 40): Giunta regionale; enti ed agenzie regionali, enti sui quali la Regione esercita poteri di indirizzo e controllo;
b) ALLEGATO B (Schede da 1 a 41): Aziende ULSS, Aziende Ospedaliere, Istituti di ricerca e cura a carattere scientifico.
1. Il presente regolamento è dichiarato urgente ai sensi dell'articolo 44, comma 4, dello Statuto ed entra in vigore il giorno successivo alla sua pubblicazione nel Bollettino Ufficiale della Regione del Veneto.
Il presente regolamento sarà pubblicato nel Bollettino ufficiale della Regione veneta. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare come regolamento della Regione.
INDICE
Art. 1 - Oggetto
Art. 2 - Disposizioni generali
Art. 3 - Tipi di dati e di operazioni eseguibili
Art. 4 - Dichiarazione d'urgenza
Dati informativi concernenti il regolamento regionale 20 marzo 2006, n. 2
Il presente elaborato ha carattere meramente informativo, per cui è sprovvisto di qualsiasi valenza vincolante o di carattere interpretativo. Pertanto, si declina ogni responsabilità conseguente a eventuali errori od omissioni.
Per comodità del lettore sono qui di seguito pubblicati a cura del direttore:
1 - Procedimento di formazione
2 - Relazione al Consiglio regionale
3 - Note agli articoli
4 - Struttura di riferimento
1. Procedimento di formazione
- La Giunta regionale, su proposta dell'Assessore Fabio Gava, ha adottato il disegno di regolamento con deliberazione 13 dicembre 2005, n. 3/pdr;
- Il disegno di regolamento è stato assegnato alla 1° commissione consiliare;
- La 1° commissione consiliare ha completato l'esame del progetto di legge in data 7 febbraio 2006;
- Il Consiglio regionale, su relazione del consigliere Raffaele Grazia, ha esaminato e approvato il progetto di regolamento con deliberazione 1 marzo 2006, n. 16.
2. Relazione al Consiglio regionale
Signor Presidente, colleghi consiglieri,
il decreto legislativo 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati personali", di seguito "Codice", entrato in vigore il 1° gennaio 2004, ha riunito in modo organico la normativa relativa al trattamento dei dati personali, offrendo idonee risposte alle istanze dei cittadini rivolte al massimo rispetto dei diritti e delle libertà fondamentali.
Il Codice, all'articolo 18, consente il trattamento di dati sensibili o giudiziari da parte di soggetti pubblici solo se questo è autorizzato da espressa disposizione di legge, nella quale siano specificati: i tipi di dati che possono essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
Gli articoli 20, comma 2, e l'articolo 21, comma 2, del Codice stabiliscono che nei casi in cui una disposizione di legge specifichi la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e giudiziari trattati ed i tipi di operazioni eseguibili, il trattamento è consentito solo in riferimento a quei tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all'articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo.
Il medesimo articolo 20, comma 2, prevede che detta identificazione debba essere effettuata con atto di natura regolamentare, nel rispetto dei principi di cui all'articolo 22 del citato Codice, in particolare assicurando che i soggetti pubblici:
a) trattino i soli dati sensibili e giudiziari indispensabili per le relative attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa;
b) raccolgano detti dati, di regola, presso l'interessato;
c) verifichino periodicamente l'esattezza, l'aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza ed indispensabilità rispetto alle finalità perseguite nei singoli casi;
d) trattino i dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che li rendano temporaneamente inintelligibili anche a chi è autorizzato ad accedervi;
e) conservino i dati idonei a rivelare lo stato di salute e la vita sessuale separatamene da altri dati personali trattati per finalità che richiedono il loro utilizzo.
Ancora nell'anno 2002 il CISIS (Centro Interregionale per il Sistema Informatico ed il Sistema Statistico) ha istituito un gruppo di lavoro interregionale presso la Conferenza dei Presidenti delle Regioni e Province Autonome per predisporre uno schema tipo di regolamento per il trattamento dei dati sensibili, sanitari e giudiziari di competenza delle Regioni (Giunte e Consigli regionali), comprensivi dei trattamenti effettuati dalle Aziende Sanitarie Locali.
In data 17 giugno 2004 la Conferenza dei Presidenti delle Regioni e delle Province Autonome ha approvato lo schema di regolamento redatto dal Gruppo di lavoro privacy e dal Gruppo di lavoro sanità, procedendo successivamente all'invio al Garante per la protezione dei dati personali per l'acquisizione del parere ai sensi degli articoli 20, comma 2, 21, comma 2, e 154, comma 1, lettera d) del Codice.
Con successiva nota del 7 luglio 2005, prot. n. 13110/35963, indirizzata alla Conferenza dei Presidenti delle regioni e delle province autonome, alla Conferenza dei Presidenti dell'Assemblea dei consigli regionali e delle province autonome ed al CISIS, il Garante, manifestando la propria disponibilità ad orientare il gruppo di lavoro tecnico interregionale in modo da consentire l'adozione del regolamento entro il 31 dicembre 2005, termine stabilito dall'articolo 181 del D.Lgs. n. 196/2003 e successive modifiche ed integrazioni e prorogato con il DL 30 dicembre 2005, n. 273 al 28 febbraio 2006.
I lavori sono quindi andati avanti presso il CISIS, anche alla presenza di funzionari dell'Ufficio del Garante e si sono svolti nel periodo successivo alla data del 7 luglio e fino al mese di novembre u.s. Nel corso degli incontri sono state recepite da parte dei gruppi di lavoro CISIS le modifiche di volta in volta segnalate dal Garante.
Lo schema tipo, costituito da tutte le schede elaborate dal gruppo CISIS, modificate sulla base delle indicazioni fornite dal Garante, è stato da ultimo approvato da parte della Conferenza dei Presidenti delle Regioni e delle Province autonome nella seduta del 27 novembre 2005 e successivamente inviato (nuovamente) al Garante per l'acquisizione formale del parere previsto, nonostante fosse stata già esperita la procedura di acquisizione del parere ex art. 154, comma 5, del D.Lgs. n. 196/2003.
Si deve far presente inoltre che il Garante per la Protezione dei Dati Personali con il Provvedimento del 30 giugno 2005 (GU n. 170 del 23 luglio 2005), (in epoca successiva rispetto all'avvio dei lavori del gruppo interregionale), ha prescritto ai soggetti pubblici, titolari di trattamenti di dati sensibili e giudiziari, ma non dotati di potestà regolamentare a rilevanza esterna, di promuovere l'adozione di un regolamento sul trattamento dei dati sensibili e giudiziari da parte della competente amministrazione a cui gli stessi fanno riferimento, la quale eserciti, ad esempio, poteri di indirizzo e controllo.
L'Amministrazione regionale, pertanto, sulla base di questo provvedimento dovrà procedere all'approvazione dello schema tipo (approvato dalla Conferenza dei Presidenti di Regioni e Province autonome e sottoposto all'attenzione del Garante per la formulazione del relativo parere), che comprende altresì trattamenti di dati sensibili e giudiziari di quegli enti che sono privi di potestà regolamentare, purché si tratti di enti sui quali la Regione eserciti poteri di indirizzo e controllo.
Su indicazione dello stesso Garante recepita dal gruppo di lavoro del CISIS è risultato conveniente predisporre, quindi, un unico regolamento per il trattamento di dati sensibili e giudiziari di cui sono titolari sia la Regione che gli enti predetti privi di potestà regolamentare, al fine di assicurare il rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per l'esercizio dei diritti da parte degli interessati, nonché l'adempimento degli obblighi da parte dei titolari del trattamento, ai sensi dell'articolo 2 del Codice.
Il "Regolamento per il trattamento dei dati sensibili e giudiziari ai sensi degli articoli 20 e 21 del D.Lgs. n. 196/2003", quindi, risulta composto dall'Allegato A, costituito dalle schede relative ai trattamenti di competenza della Giunta regionale, delle Agenzie ed enti regionali, enti vigilati e controllati dalla Regione, e dall'Allegato B, costituito dalle schede relative specificamente ai trattamenti di dati sanitari di competenza delle Aziende Sanitarie Locali, Aziende Ospedaliere, Istituti di Ricerca e Cura a Carattere Scientifico, Aziende universitarie di qualsiasi tipo e natura operanti nell'ambito del Servizio Sanitario Nazionale.
Nel Regolamento che è stato così predisposto non sono inseriti i tipi di dati e le operazioni eseguibili concernenti dati non compresi tra quelli sensibili o giudiziari, nonché:
- i trattamenti effettuati per finalità di tutela della salute o dell'incolumità fisica dell'interessato, di un terzo o della collettività, per i quali si osservano le disposizioni relative al consenso dell'interessato o all'autorizzazione del Garante ai sensi dell'articolo 76 del Codice;
- i trattamenti effettuati per finalità di ricerca medica, biomedica o epidemiologica, per i quali si osservano le disposizioni di cui all'articolo 110;
- i trattamenti già adeguatamente regolati a livello legislativo o regolamentare per ciò che concerne i tipi di dati e le operazioni eseguibili.
Nella stesura del medesimo inoltre si è tenuto conto dell'autorizzazione n. 7/2002 in materia di dati giudiziari nei contratti della Pubblica Amministrazione, che specifica, oltre alle rilevanti finalità di interesse pubblico, anche le tipologie di dati e le operazioni eseguibili ai sensi dell'articolo 21, comma 1 del Codice.
Per quanto concerne tutti i trattamenti del presente Regolamento è stato verificato dal confronto tra il Garante e i gruppi di lavoro CISIS il rispetto dei principi e delle garanzie previste dall'articolo 22 del Codice, con particolare riferimento alla pertinenza, non eccedenza e indispensabilità dei dati sensibili e giudiziari utilizzati rispetto alle finalità perseguite, alla indispensabilità delle predette operazioni per il perseguimento delle finalità di rilevante interesse pubblico individuate per legge, nonché all'esistenza di fonti normative idonee a rendere lecite le predette operazioni o, ove richiesta, alla indicazione scritta dei motivi.
La Prima Commissione consiliare ha esaminato l'argomento di cui trattasi nella seduta del 7 febbraio scorso approvandolo all'unanimità, presenti i rappresentanti dei gruppi consiliari FI, AN, Nuovo PSI, UDC, Progetto Nordest, Uniti nell'Ulivo-La Margherita, Per il Veneto con Carraro.
3. Note agli articoli
Nota all'articolo 1
- Il testo degli artt. 20 e 21 del decreto legislativo n. 196/2003 è il seguente:
"20. Princìpi applicabili al trattamento di dati sensibili.
1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei princìpi di cui all'articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo.
3. Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell'articolo 26, comma 2, il trattamento dei dati sensibili. Il trattamento è consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.
4. L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente.".
"21. Princìpi applicabili al trattamento di dati giudiziari.
1. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.
2. Le disposizioni di cui all'articolo 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.".
Nota all'articolo 2
- Il testo dell'art. 4 del decreto legislativo n. 196/2003 è il seguente:
"4. Definizioni.
1. Ai fini del presente codice si intende per:
a) «trattamento», qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
b) «dato personale», qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
c) «dati identificativi», i dati personali che permettono l'identificazione diretta dell'interessato;
d) «dati sensibili», i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
e) «dati giudiziari», i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
f) «titolare», la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
g) «responsabile», la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
h) «incaricati», le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
i) «interessato», la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;
l) «comunicazione», il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
m) «diffusione», il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
n) «dato anonimo», il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;
o) «blocco», la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
p) «banca di dati», qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti;
q) «Garante», l'autorità di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n. 675.
2. Ai fini del presente codice si intende, inoltre, per:
a) «comunicazione elettronica», ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile;
b) «chiamata», la connessione istituita da un servizio telefonico accessibile al pubblico, che consente la comunicazione bidirezionale in tempo reale;
c) «reti di comunicazione elettronica», i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;
d) «rete pubblica di comunicazioni», una rete di comunicazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico;
e) «servizio di comunicazione elettronica», i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), della direttiva 2002/21/CE del 7 marzo 2002, del Parlamento europeo e del Consiglio;
f) «abbonato», qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate;
g) «utente», qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;
h) «dati relativi al traffico», qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione;
i) «dati relativi all'ubicazione», ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico;
l) «servizio a valore aggiunto», il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione;
m) «posta elettronica», messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza.
3. Ai fini del presente codice si intende, altresì, per:
a) «misure minime», il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31;
b) «strumenti elettronici», gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento;
c) «autenticazione informatica», l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità;
d) «credenziali di autenticazione», i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica;
e) «parola chiave», componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica;
f) «profilo di autorizzazione», l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti;
g) «sistema di autorizzazione», l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.
4. Ai fini del presente codice si intende per:
a) «scopi storici», le finalità di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del passato;
b) «scopi statistici», le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici;
c) «scopi scientifici», le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore.".
4.Struttura di riferimento
Direzione sistema informatico