Modifiche al regolamento regionale 20 marzo 2006, n. 2 “Regolamento per il trattamento di dati sensibili e giudiziari in attuazione del decreto legislativo 30 giugno 2003, n. 196 (articolo 20, comma 2 e articolo 21, comma 2)”.
1. L’articolo 1 del regolamento regionale 20 marzo 2006, n. 2, è sostituito dal seguente:
Art. 2 - Modifica dell’articolo 3 del regolamento regionale 20 marzo 2006, n. 2, “Regolamento per il trattamento di dati sensibili e giudiziari in attuazione del decreto legislativo 30 giugno 2003, n. 196 (articolo 20, comma 2 e articolo 21, comma 2)”
1. Alla lettera b), del comma 1, dell’articolo 3 del regolamento regionale n. 2/2006, dopo le parole “scientifico” sono aggiunte le seguenti parole “Aziende universitarie di qualsiasi tipo e natura operanti nell’ambito del Servizio sanitario regionale”.
Art. 3 - Modifica degli allegati del regolamento regionale 20 marzo 2006, n. 2, “Regolamento per il trattamento di dati sensibili e giudiziari in attuazione del decreto legislativo 30 giugno 2003, n. 196 (articolo 20, comma 2 e articolo 21, comma 2)”
1. Negli allegati del regolamento regionale n. 2/2006, sono apportate le seguenti modificazioni:
a) l’allegato A del regolamento regionale n. 2/2006, è sostituito dall’allegato A del presente regolamento;
b) l’allegato B del regolamento regionale n. 2/2006, è sostituito dall’allegato B del presente regolamento.
Art. 4 - Entrata in vigore.
1. Il presente regolamento è dichiarato urgente ai sensi dell’articolo 44, comma 4, dello Statuto ed entra in vigore il giorno successivo alla sua pubblicazione nel Bollettino Ufficiale della Regione del Veneto.
Il presente regolamento sarà pubblicato nel Bollettino ufficiale della Regione veneta. È fatto obbligo a chiunque spetti di osservarlo e di farlo osservare come regolamento della Regione.
INDICE Art. 1 - Modifica dell'articolo 1 del regolamento regionale 20 marzo 2006, n. 2, "Regolamento per il trattamento di dati sensibili e giudiziari in attuazione del decreto legislativo 30 giugno 2003, n. 196 (articolo 20, comma 2 e articolo 21, comma 2)" Art. 2 - Modifica dell'articolo 3 del regolamento regionale 20 marzo 2006, n. 2, "Regolamento per il trattamento di dati sensibili e giudiziari in attuazione del decreto legislativo 30 giugno 2003, n. 196 (articolo 20, comma 2 e articolo 21, comma 2)" Art. 3 - Modifica degli allegati del regolamento regionale 20 marzo 2006, n. 2, "Regolamento per il trattamento di dati sensibili e giudiziari in attuazione del decreto legislativo 30 giugno 2003, n. 196 (articolo 20, comma 2 e articolo 21, comma 2)" Art. 4 - Entrata in vigore
Dati informativi concernenti il regolamento regionale 22 marzo 2007, n. 1
Il presente elaborato ha carattere meramente informativo, per cui è sprovvisto di qualsiasi valenza vincolante o di carattere interpretativo. Pertanto, si declina ogni responsabilità conseguente a eventuali errori od omissioni.
Per comodità del lettore sono qui di seguito pubblicati a cura del direttore:
1 - Procedimento di formazione
2 - Relazione al Consiglio regionale
3 - Note agli articoli
4 - Struttura di riferimento
1. Procedimento di formazione
- La Giunta regionale su proposta dell’Assessore Fabio Gava, ha adottato il disegno di regolamento con deliberazione 15 novembre 2006, n. 1/pdr;
- Il disegno di regolamento è stato assegnato alla 1° commissione consiliare;
- La 1° commissione consiliare ha completato l’esame del progetto di legge in data 9 gennaio 2007;
- Il Consiglio regionale, su relazione del consigliere Raffaele Grazia, ha esaminato e approvato il progetto di regolamento con deliberazione 27 febbraio 2007, n. 27.
2. Relazione al Consiglio regionale
Signor Presidente, colleghi consiglieri,
in data 20 marzo 2006 la Regione adottava il “Regolamento per il trattamento dei dati sensibili e giudiziari”, n. 2 (pubblicato in GU n. 29 del 24 marzo 2006), ai sensi dell’articolo 20, comma 2, e 21, comma 2, del decreto legislativo 30 giugno 2003, n. 196 “Codice in materia di protezione dei dati personali”, di seguito “Codice”, elaborato sullo schema tipo approvato dalla Conferenza dei Presidenti delle Regioni e delle Province autonome in data 27 novembre 2005.
Si ricorda che il Codice, all’articolo 18, consente il trattamento di dati sensibili o giudiziari da parte di soggetti pubblici solo se questo è autorizzato da espressa disposizione di legge, nella quale siano specificati: i tipi di dati che possono essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. Ed, inoltre, agli articoli 20, comma 2, e 21, comma 2, lo stesso stabilisce che nei casi in cui una disposizione di legge specifichi la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e giudiziari trattati ed i tipi di operazioni eseguibili, il trattamento è consentito solo con riferimento a quei tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all’articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell’articolo 154, comma 1, lettera g), anche su schemi tipo.
Ed ancora il Codice all’articolo 20, comma 4, dispone che l’identificazione dei dati sensibili e delle operazioni sugli stessi effettuate è aggiornata ed integrata periodicamente, ed all’articolo 21, comma 2, prevede l’applicazione di tale norma anche ai trattamenti di dati giudiziari.
Si ricorda altresì che il Garante con il provvedimento del 30 giugno 2005 (GU n. 170 del 23 luglio 2005), ha prescritto ai soggetti pubblici, titolari di trattamenti di dati sensibili e giudiziari, ma non dotati di potestà regolamentare a rilevanza esterna, di promuovere l’adozione di un regolamento sul trattamento dei dati sensibili e giudiziari da parte della competente amministrazione a cui gli stessi fanno riferimento, la quale eserciti, ad esempio, poteri di indirizzo e controllo.
Con il regolamento n. 2/2006, la Regione ha, quindi, identificato i tipi di dati e di operazioni eseguibili da parte della Giunta regionale nonché da parte delle Aziende ULSS, Aziende ospedaliere ed Istituti di ricerca e cura a carattere scientifico della Regione del Veneto, degli enti e agenzie regionali nonché degli altri enti per i quali la Regione esercita poteri di indirizzo e controllo, con riferimento ai dati sensibili e giudiziari:
- effettuati per il perseguimento delle rilevanti finalità di interesse pubblico individuate dalla Parte II del Codice;
- autorizzati da espressa disposizione di legge per rilevanti finalità di interesse pubblico ed in assenza di una legge che specificasse i tipi di dati e di operazioni.
Successivamente, la Conferenza dei Presidenti delle Regioni e delle Province autonome, in data 28 marzo 2006, in sede di aggiornamento dello schema tipo al fine di recepire le osservazioni comunicate dal Garante al Presidente della Conferenza con nota del 30 dicembre 2005, ha predisposto un nuovo schema di regolamento, sottoponendolo di seguito al Garante della privacy per la formulazione del parere di competenza, ai sensi dell’articolo 20, comma 2, e 21, comma 2, del Codice.
Il Garante con nota de 18 aprile 2006 comunicava alla Conferenza dei Presidenti delle Regioni e Province autonome il proprio parere favorevole sul modificato schema tipo di regolamento.
Nel periodo seguente l’Ufficio privacy della Direzione sistema informatico provvedeva in sede di istruttoria a verificare la tipologia e l’entità delle modifiche apportate dal Garante, avviando di seguito, con nota protocollo n. 424273/06, una rilevazione dei trattamenti di dati sensibili e giudiziari presso tutte le strutture regionali della Giunta regionale e, con nota protocollo n. 391039/06, presso gli enti sui quali la stessa esercita poteri di indirizzo e controllo, sulla base delle schede modificate e aggiornate dalla Conferenza dei Presidenti delle Regioni e delle Province autonome in data 28 marzo 2006 ed approvate dal Garante, ai sensi dell’articolo 154, comma 5, del Codice, in data 13 aprile 2006.
Contestualmente la Direzione risorse socio-sanitarie, con nota protocollo n. 444275/06, avviava un identico censimento e per le stesse finalità presso le Aziende sanitarie.
L’attività di raccolta e di disamina delle schede ricevute dalle strutture regionali e dagli enti esterni interessati da tale adempimento, sovente accompagnata da un confronto specifico sulle singole schede con i referenti privacy di ogni struttura regionale e degli enti esterni, al fine di accertare la coerenza dei trattamenti descritti dalle schede con lo schema tipo approvato dal Garante, si è conclusa a fine ottobre.
Nello stesso periodo l’Ufficio privacy della Direzione sistema informatico riceveva la nota protocollo n. 570275/06 del Coordinamento dei Direttori generali di trasmissione delle schede relative ai trattamenti effettuati dalle Aziende sanitarie ed ospedaliere della Regione Veneto, dichiarate dalle stesse aziende conformi ai trattamenti contemplati nello schema tipo di regolamento approvato dal Garante ed esenti da modifiche o integrazioni sostanziali (allegato B); il tutto ai fini dell’identificazione dei dati sensibili e giudiziari e delle relative operazioni, con atto di natura regolamentare da parte della Regione, come previsto dal citato provvedimento del 30 giugno 2005 del Garante.
Ai fini dell’acquisizione del parere da esprimersi a cura della Direzione affari legislativi sulla proposta di modifica del regolamento, la Direzione sistema informatico ha trasmesso apposita richiesta, protocollo n. 589702/06, a cui la Direzione affari legislativi ha dato riscontro formulando un parere positivo in data 20 ottobre 2006, protocollo n. 606026.
A conclusione della descritta attività si propone di recepire le modifiche segnalate dal Garante sullo schema tipo approvato dalla Conferenza dei Presidenti delle Regioni in data 27 novembre 2005, adempiendo nel contempo all’aggiornamento periodico previsto dall’articolo all’articolo 20, comma 4, e 21, comma 2, del Codice.
In particolare, con il presente provvedimento si intende proporre l’approvazione del testo del regolamento che contiene le modifiche del regolamento 20 marzo 2006, n. 2, delle schede della Giunta regionale, degli enti ed agenzie regionali e degli enti sui quali la Regione esercita poteri di indirizzo e controllo (allegato A) e delle schede delle Aziende ULSS, delle Aziende ospedaliere, degli Istituti di ricerca e cura a carattere scientifico, delle Aziende universitarie di qualsiasi tipo e natura operanti nell’ambito del Servizio sanitario regionale (allegato B).
La Prima Commissione consiliare ha, in data 9 gennaio 2007, approvato all’unanimità la proposta di regolamento oggi al vostro esame con i voti favorevoli dei rappresentanti dei gruppi consiliari Veneto PPE, LV-LN-P, AN, UDC, FI, Progetto Nordest, Uniti nell’Ulivo-DS, Rifondazione Comunista, Uniti nell’Ulivo-La Margherita, Per il Veneto con Carraro, IDV.
3. Note agli articoli
Nota all’articolo 2
- Il testo dell’art. 3 del regolamento regionale n. 2/2006, come modificato dal presente regolamento, è il seguente:
“Art. 3 - Tipi di dati e di operazioni eseguibili.
1. I dati sensibili e giudiziari oggetto di trattamento, le finalità di interesse pubblico perseguite, nonché le operazioni eseguibili sono individuati, per i soggetti titolari di cui all’articolo 1, nelle schede contenute negli Allegati al presente regolamento, di seguito elencati:
a) ALLEGATO A (Schede da 1 a 40): Giunta regionale; enti ed agenzie regionali, enti sui quali la Regioneesercita poteri di indirizzo e controllo;
b) ALLEGATO B (Schede da 1 a 41): Aziende ULSS, Aziende Ospedaliere, Istituti di ricerca e cura a carattere scientifico Aziende universitarie di qualsiasi tipo e natura operanti nell’ambito del Servizio sanitario regionale.”.
4. Struttura di riferimento
Direzione sistema informatico
