Bur n. 160 del 13 dicembre 2024

Materia: Servizi sociali

Decreto DEL DIRETTORE DELLA UNITA' ORGANIZZATIVA FAMIGLIA, MINORI, GIOVANI E SERVIZIO CIVILE n. 133 del 02 dicembre 2024

"Sistema Informativo per il monitoraggio delle attività erogate dai Consultori Familiari SICOF", di cui al Decreto del Direttore dell'Area Sanità e Sociale n. 127 del 29 settembre 2023. Nomina di Azienda Zero quale Responsabile del Trattamento, ex-art. 4, punto 8 del Regolamento UE 2016/679 ed approvazione del relativo schema di convenzione.

Il Direttore

VISTA la DGR n. 596 dell'8 maggio 2018 avente ad oggetto "Regolamento 2016/679 UE del Parlamento Europeo e del Consiglio del 27 aprile 2016, General Data Protection Regulation (GDPR). Misure relative alla protezione dei dati personali. Istruzioni per i trattamenti di dati personali. Costituzione Gruppo di lavoro GDPR", con la quale è stato definito il modello organizzativo privacy regionale, in conseguenza del mutato quadro normativo europeo, prevedendo che la titolarità dei trattamenti dei dati personali effettuati dalle strutture regionali sia mantenuta in capo alla Giunta Regionale;

CONSIDERATO che la medesima DGR ha delegato tutti i Dirigenti in servizio presso l'Amministrazione Regionale, ognuno per la parte di propria competenza, al trattamento di dati personali effettuato nello svolgimento dell'incarico ricevuto secondo quanto previsto dal rispettivo contratto individuale di lavoro, al fine di garantire il buon andamento delle funzioni istituzionali dell'Amministrazione Regionale;

VISTA la DGR n. 804 del 27 maggio 2016, recante "Adozione del regolamento attuativo per la disciplina delle funzioni dirigenziali e per l'attuazione della legge regionale n. 54/2012 - come recentemente modificata dalla L.R. n. 14 del 17 maggio 2016 - ai sensi dell'art. 30 della medesima legge";

VISTO l'art. 4, comma 2, del Regolamento Regionale n. 1 del 31 maggio 2016, in base al quale i Direttori di Direzione, nell'ambito delle competenze attribuite dalla Giunta Regionale alla Direzione cui sono preposti, adottano, in particolare, gli atti e i provvedimenti amministrativi di competenza;

VISTA la DGR n. 1707 del 29 novembre 2021, avente ad oggetto "Conferimento dell'incarico di Direttore della Direzione Servizi Sociali nell'ambito dell'Area Sanità e Sociale ai sensi dell'art. 12 della Legge regionale n. 54/2012 e s.m.i.";

RICHIAMATA la L.R. n. 19 del 25 ottobre 2016, con la quale è stato istituito l'ente di governance della sanità regionale veneta denominato "Azienda per il governo della sanità della Regione del Veneto - Azienda Zero" e sono stati individuati i nuovi ambiti territoriali delle Aziende ULSS;

PREMESSO CHE:

• la Legge Regionale 25 ottobre 2016, n. 19 “Istituzione dell’ente di governance della sanità regionale veneta denominato “Azienda per il governo della sanità della Regione del Veneto – Azienda Zero”. Disposizioni per la individuazione dei nuovi ambiti territoriali delle Aziende ULSS”, all’articolo 2, comma 1, lett. g), nell’elencare le funzioni spettanti ad Azienda Zero ha riservato espressamente a quest’ultima “la gestione di attività tecnico - specialistiche per il sistema e per gli enti del servizio sanitario regionale” comprensive delle “infrastrutture di tecnologia informatica, connettività, sistemi informativi e flussi dati in un’ottica di omogeneizzazione e sviluppo del sistema ICT”. Il medesimo articolo, al comma 2, ha riservato alla competenza della Giunta regionale, previo parere della competente Commissione consiliare, l’attribuzione di ulteriori funzioni tra le quali:
  • “a) la produzione di analisi, valutazioni, e proposte a supporto della programmazione sanitaria e socio-sanitaria regionale, di competenza della Giunta regionale e del Consiglio regionale, prevedendo da parte dei medesimi un accesso diretto a database, studi ed esiti di istruttorie. (…omissis…);
  • e) la definizione dei sistemi e dei flussi informativi, il sistema di auditing e il controllo interno;
  • f) le funzioni che al capoverso 4.4.4. “Strutture e attività a supporto della programmazione” dell’allegato A) alla Legge Regionale 29 giugno 2012, n. 23 “Norme in materia di programmazione socio sanitaria e approvazione del Piano socio-sanitario regionale 2012-2016” sono attribuite ai Coordinamenti regionali, al Sistema Epidemiologico Regionale (SER) anche con riferimento alla gestione dei relativi registri”.

In particolare sono poste in capo ad Azienda Zero l’intera gestione delle “infrastrutture di tecnologia informatica, connettività, sistemi informativi e flussi dati” nonché “la definizione dei sistemi e dei flussi informativi”;

• ai sensi dell’art. 5, comma 1, del DM n. 262/2016 - rubricato “Trattamento dei dati nel NSIS” - “il Ministero della salute è titolare del trattamento dei dati conferiti al NSIS, attraverso i sistemi informativi di cui all'articolo 2, comma 2, secondo quanto previsto dall'articolo 28 del Decreto Legislativo 30 giugno 2003, n. 196 e successive modificazioni”.

RICHIAMATO il Decreto del 7 agosto 2023 del Ministro della Salute ha istituito il “Sistema Informativo per il monitoraggio delle attività erogate dai Consultori Familiari” (SICOF), di cui al PNRR M6C2 Investimento 1.3.2. Sub-investimento 1.3.2.2.1.;

RICHIAMATO inoltre il Decreto del Direttore dell’Area Sanità e Sociale n. 127 del 29 settembre 2023 ha adottato il “Sistema Informativo per il monitoraggio delle attività erogate dai Consultori Familiari – SICOF”, prevedendo altresì:

• di demandare alle Aziende Unità Locali Socio-Sanitarie l’implementazione informatica del “Sistema Informativo per il monitoraggio delle attività erogate dai Consultori Familiari” e di tutti gli adempimenti conseguenti, in quanto tenute alla trasmissione dei dati del medesimo flusso informativo;
• di incaricare Azienda Zero per l’implementazione dell'infrastruttura informatizzata per l’accoglienza del flusso e la sua successiva gestione, oltre all’attività di aggiornamento nel sistema REGIS, per attestare il raggiungimento della milestone/target PNRR fissata al 30 settembre 2023;
• di incaricare l’Unità Organizzativa Famiglia, Minori, Giovani e Servizio Civile, afferente alla Direzione Servizi Sociali, dell’esecuzione del Decreto e degli atti successivi che si rendessero necessari in applicazione del provvedimento;

VISTO:

• l'art. 4, paragrafo 1, numero 8, del Regolamento UE 2016/679 (GDPR) che definisce il "Responsabile del Trattamento" come la persona fisica o giuridica, l'autorità pubblica, il servizio o organismo che tratta dati personali per conto del Titolare del Trattamento;
• l'art. 28, paragrafo 3, del predetto Regolamento dispone che: "I trattamenti da parte di un Responsabile del Trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il Responsabile del Trattamento al Titolare del Trattamento e che stipuli la materia disciplinata e la durata del Trattamento, la natura e la finalità del Trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del Titolare del Trattamento";

DATO ATTO CHE Azienda Zero risulta soddisfare la previsione di cui all’art. 28, paragrafo 1, del Regolamento UE 2016/679 (GDPR), in base al quale “qualora un Trattamento debba essere effettuato per conto del Titolare del Trattamento, quest’ultimo ricorre unicamente a responsabili del Trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il Trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell’Interessato”; invero Azienda Zero risulta soddisfare quanto sopra richiesto dal Regolamento UE 2016/679 in considerazione del ruolo di ente di governance della sanità regionale veneta sancita dalla legge regionale 25 ottobre 2006 n. 19 e dalle funzioni alla medesima attribuite con successivi provvedimenti giuntali;

RILEVATO che Azienda Zero, nell'ambito delle finalità istituzionali previste con la L.R. n. 19/2016, svolge attività afferenti alla Direzione Servizi Sociali, fra le quali l’implementazione dell'infrastruttura informatizzata per l’accoglienza del flusso e la sua successiva gestione, ai sensi del Decreto del Direttore dell’Area Sanità e Sociale n. 127 del 29 settembre 2023, recante oggetto “PNRR Missione 6, Componente 2, l’Investimento 1.3.2 Infrastruttura tecnologica del MdS, analisi di dati e modello predittivo per garantire i LEA e di sorveglianza e vigilanza sanitaria. Adozione del flusso informativo sanitario SICOF”;

RITENUTO:

• di procedere - quale Delegato dalla Giunta regionale ai Trattamenti dei dati personali compiuti nello svolgimento dell'incarico di Direttore dell’Unità Organizzativa Famiglia, Minori, Giovani e Servizio Civile -alla regolamentazione degli aspetti privacy anche per il seguente trattamento: “Sistema informativo per il monitoraggio delle attività erogate dai consultori familiari (SICOF)”;
• di nominare Azienda Zero quale Responsabile del Trattamento dei dati personali - ai sensi dell’art. 28, paragrafo 3 del GDPR - per le attività relative all’implementazione del “Sistema Informativo per il monitoraggio delle attività erogate dai Consultori Familiari – SICOF”, di cui al Decreto del Direttore dell’Area Sanità e Sociale n. 127 del 29 settembre 2023;
• di approvare, a tal fine, lo schema di accordo di cui all'Allegato A al presente provvedimento, parte integrante e sostanziale del medesimo;
• di approvare, inoltre, anche la scheda di trattamento di cui all’Allegato B al presente provvedimento, parte integrante e sostanziale dello stesso;

DATO ATTO che le modalità di trattamento dei dati raccolti da Azienda Zero prevedono l’informatizzazione dei dati raccolti e quanto segue:

• i dati inseriti nel flusso SICOF sono privati degli elementi identificativi diretti e pseudonimizzati per il trattamento per quanto di competenza della Regione;
• il sistema di codifica adottato non consente alcuna correlazione immediata con i dati anagrafici del soggetto interessato e consiste in una sequenza fissa di caratteri alfanumerici casuali ottenuti attraverso procedure di cifratura e/o hash e/o random non direttamente invertibili;
• per le attività di programmazione, gestione, controllo e valutazione non può essere effettuata la correlazione tra il codice univoco e i dati anagrafici dell’interessato, eccettuati i casi in cui – su richiesta dell’Autorità Giudiziaria o di altre autorità di controllo/ente/soggetto giuridicamente legittimato nonché in altri casi normativamente previsti – la Regione del Veneto, secondo le procedure organizzative definite, per il tramite di Azienda Zero o direttamente la stessa Azienda Zero, può consentire l’identificazione dei soggetti interessati;

VISTA la legge regionale n. 54/2012;

VISTO il DDR numero 1 del 5 gennaio 2022 del Direttore della Direzione Servizi Sociali, avente ad oggetto “Regolamento regionale 31 maggio 2016, n. 1, art. 5: individuazione degli atti e provvedimenti amministrativi dei Direttori delle unità organizzative ‘Famiglia, Minori, Giovani e Servizio Civile’, ‘Non Autosufficienza’, ‘Dipendenze, Terzo Settore, Nuove Marginalità e Inclusione Sociale’ ”;

decreta

1. che le premesse, l’Allegato A e l’Allegato B costituiscono parti integranti e sostanziali del presente dispositivo;
2. di disporre la designazione di Azienda Zero, previa sottoscrizione dell’Accordo di Nomina, quale Responsabile del Trattamento dei dati personali - ai sensi dell’art. 28, paragrafo 3 del GDPR - per le attività relative all’implementazione del “Sistema Informativo per il monitoraggio delle attività erogate dai Consultori Familiari – SICOF”, di cui al Decreto del Direttore dell’Area Sanità e Sociale n. 127 del 29 settembre 2023;
3. di approvare, a tal fine, l’accordo di cui all'Allegato A e all’Allegato B al presente provvedimento, parti integranti e sostanziali del medesimo;
4. di dare atto che l’accordo di designazione verrà stipulato dal sottoscritto Direttore Regionale, quale Delegato al Trattamento in forza della DGR 596/2018, e dal legale rappresentante di Azienda Zero, in qualità di Responsabile del Trattamento ai sensi del Regolamento (UE) 2016/679;
5. di dare atto le modalità di trattamento dei dati raccolti da Azienda Zero prevedono l’informatizzazione dei dati raccolti e quanto segue:
   • i dati inseriti nel flusso SICOF sono privati degli elementi identificativi diretti e pseudonimizzati per la consultazione da parte di Regione;
   • il sistema di codifica adottato non consente alcuna correlazione immediata con i dati anagrafici del soggetto interessato e consiste in una sequenza fissa di caratteri alfanumerici casuali ottenuti attraverso procedure di cifratura e/o hash e/o random non direttamente invertibili;
   • per le attività di programmazione, gestione, controllo e valutazione non può essere effettuata la correlazione tra il codice univoco e i dati anagrafici dell’interessato, eccettuati i casi in cui – su richiesta dell’Autorità Giudiziaria o di altre autorità di controllo/ente/soggetto giuridicamente legittimato nonché in altri casi normativamente previsti – la Regione del Veneto, secondo le procedure organizzative definite, per il tramite di Azienda Zero o direttamente la stessa Azienda Zero, può consentire l’identificazione dei soggetti interessati;

6. di dare atto che quanto disposto con il presente provvedimento non comporta spesa a carico del bilancio regionale;
7. di comunicare il presente atto per il seguito di competenza ad Azienda Zero;
8. di pubblicare il presente provvedimento, in forma integrale, nel Bollettino Ufficiale della Regione.

Pasquale Borsellino

(seguono allegati)

Torna indietro