Menu veloce: Pagina iniziale | Consultazione | Filtri di selezione | Contenuto
Scarica versione stampabile Deliberazione della Giunta Regionale

Bur n. 10 del 24 gennaio 2023


Materia: Sanità e igiene pubblica

Deliberazione della Giunta Regionale n. 1633 del 19 dicembre 2022

Codice di Condotta per l'utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica approvato dall'Autorità Garante per la Protezione dei Dati Personali: misure attuative per l'applicazione da parte delle Aziende ed Enti del Servizio Sanitario Regionale.

Note per la trasparenza

Con il presente provvedimento si dispongono misure finalizzate all’applicazione da parte delle Aziende ed Enti del Servizio Sanitario Regionale del Codice di Condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica, approvato dall’Autorità Garante per la Protezione dei Dati Personali con provvedimento n. 7 del 14 gennaio 2021.

L'Assessore Manuela Lanzarin riferisce quanto segue.

L’articolo 40 del Regolamento (UE) 2016/679 al primo comma prevede che “gli Stati membri, le autorità di controllo, il comitato e la Commissione incoraggiano l’elaborazione di codici di condotta destinati a contribuire alla corretta applicazione del presente regolamento in funzione delle specificità dei vari settori di trattamento e delle esigenze specifiche delle micro, piccole e medie imprese”.

Il comma 2 del citato articolo precisa che “le associazioni e gli altri organismi rappresentanti le categorie di titolari del trattamento o responsabili del trattamento possono elaborare i codici di condotta, modificarli o prorogarli allo scopo di precisare l’applicazione del presente regolamento”.

Il successivo comma 5 stabilisce la procedura che i suddetti soggetti devono seguire per elaborare un codice di condotta o modificare o prorogare un codice esistente, ovvero “le associazioni e gli altri organismi di cui al paragrafo 2 del presente articolo (…) sottopongono il progetto di codice, la modifica o la proroga all’autorità di controllo competente ai sensi dell’art. 55. L’autorità di controllo esprime un parere sulla conformità al presente regolamento del progetto di codice, della modifica o della proroga e approva tale progetto, modifica o proroga, se ritiene che offra in misura sufficiente garanzie adeguate”.

La Regione del Veneto, in forza del dettato delle leggi regionali n. 55 e 56 del 14 settembre 1994 svolge funzioni di programmazione, indirizzo, controllo e coordinamento nei confronti delle Unità locali socio-sanitarie e delle Aziende ospedaliere e assicura ai cittadini i migliori livelli uniformi di assistenza. In particolare l’art. 1, comma 1, della legge regionale n. 56/1994, stabilisce che “la Regione del Veneto assicura ai cittadini i migliori livelli uniformi di assistenza sanitaria in ambito territoriale regionale in rapporto alle risorse a disposizione” e, il comma 2, lett. d) stabilisce che la Regione “disciplina le principali modalità organizzative e di funzionamento delle Unità locali socio-sanitarie e Aziende ospedaliere”.

Alla luce delle sopra richiamate funzioni di programmazione, indirizzo, controllo e coordinamento, la Regione del Veneto, unitamente all’Azienda Sanitaria ULSS 9 Scaligera, seguendo l’iter previsto dal comma 5 dell’art. 40 del Regolamento (UE) 2016/679 ha elaborato e sottoscritto il “Codice di Condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica” e l’ha sottoposto all’autorità di controllo ( il Garante per la Protezione dei Dati Personali) per il parere sulla conformità.

Come espressamente indicato nelle premesse del Codice di Condotta, lo stesso mira a disciplinare le modalità attraverso le quali i dati personali, in particolare quelli riferiti alla salute, possono essere utilizzati per fini didattici e di redazione di pubblicazioni scientifiche da parte dei professionisti sanitari.

In particolare – viene precisato – il Codice è volto a:

  • garantire settorialmente, in funzione delle specifiche esigenze dei partecipanti, l’applicazione efficace e omogenea del Regolamento e un corretto bilanciamento degli interessi tra i soggetti coinvolti nel trattamento;
  • individuare le adeguate garanzie e modalità di trattamento dei dati personali da porre in essere a tutela dei diritti degli interessati;
  • precisare l’applicazione delle disposizioni del Regolamento nello specifico settore oggetto di regolamentazione da parte del Codice per permettere ai Titolari del trattamento di aderire al Codice di Condotta e di utilizzarlo come elemento per dimostrare la conformità del trattamento posto in essere alla disciplina sulla protezione dei dati personali (Considerando 77 e artt. 24, paragrafo 3, 32, par. 3l, 28, paragrafo 5, del Regolamento);
  • consentire agli altri organismi che fanno capo al Sistema Sanitario Nazionale di aderire al presente Codice di Condotta, anche attraverso le rispettive associazioni di categoria, seguendo le procedure stabilite.

La finalità del Codice è quella di promuovere, nello specifico settore e ambito di applicazione, l’accrescimento delle conoscenze e competenze scientifiche finalizzate al miglioramento della qualità dei servizi sanitari offerti, attraverso la regolamentazione del trattamento dei dati sulla salute, nel rispetto di specifiche misure e garanzie a tutela dei diritti e delle libertà degli interessati.

Il Codice di Condotta garantisce l’applicazione efficace, coerente ed omogenea del Regolamento UE 2016/679 – GDPR, mediante il bilanciamento degli interessi dei soggetti coinvolti negli specifici trattamenti di applicazione del Codice attraverso protocollo e misure atte a garantire che tali trattamenti dei dati personali siano effettuati nel rispetto della vigente normativa e dei diritti degli interessati.

Il progetto di Codice di Condotta, previa consultazione sia dei soggetti rappresentativi delle categorie di interessati (Tribunale del Malato e dell’Anziano) che degli Enti rappresentanti delle categorie di professionisti sanitari tenuti al segreto professionale (Ordine dei Medici Chirurghi e Odontoiatri), è stato sottoposto all’approvazione del Garante per la Protezione dei Dati Personali ai sensi dell’articolo 40 del GDPR.

L’Autorità Garante per la Protezione dei Dati Personali con provvedimento n. 7 del 14 gennaio 2021 ha approvato il Codice di Condotta per l’utilizzo di dati sulla salute a fini didattici e di pubblicazione scientifica.

Come recita il Codice “La Regione Veneto e la Azienda ULSS 9 Scaligera con il presente Codice hanno individuato le modalità e misure, tecniche e organizzative, attraverso le quali, in attuazione delle disposizioni del Regolamento e del Codice in materia di protezione dei dati personali (…) possono essere trattati i dati personali, presenti nella documentazione sanitaria, per la produzione di elaborati per fini didattici e di pubblicazione scientifica da parte delle Aziende Sanitarie della Regione del Veneto e di eventuali altri organismi sanitari pubblici che, in qualità di titolari del trattamento intenderanno aderire al (…) Codice”.

Il Codice costituisce, quindi, per le Aziende e gli Enti del Servizio Sanitario, un fondamentale strumento strategico di autoregolamentazione nei processi di accountability anche al fine di garantire e dimostrare la compliance giuridico normativa in materia di protezione dei dati personali.

Il Codice prevede in premessa che la Regione Veneto, con apposito atto destinato alle aziende sanitarie della Regione, garantirà che le misure previste del Codice di Condotta, una volta approvato dal Garante per la protezione dei dati personali – come avvenuto con il menzionato provvedimento 7/2021 - siano rese esecutive ed operative all’interno di ogni singola Azienda.

Alla approvazione del Codice da parte del Garante ha fatto seguito la pubblicazione sul sito dell’Autorità, come disposto, ai sensi dell’art. 57, paragrafo 1, lettera d) del Regolamento 2016/679, dal citato provvedimento n.7/2021.

Il Codice di Condotta è stato pubblicato anche sul sito web della Regione del Veneto in una apposita sezione dedicata.

Il Codice, quale Allegato A del presente provvedimento del quale costituisce parte integrante e sostanziale, si articola in quattordici articoli che fanno seguito alle premesse e al preambolo; Il Codice è corredato dai seguenti allegati:

  1. Allegato Tecnico;
  2. Scheda di scelta tecnica;
  3. Richiesta di utilizzo dei dati a fini didatti e di pubblicazione scientifica;
  4. Modello di informativa;
  5. Modello di consenso al trattamento.

L’art. 14 del Codice prevede l’adozione delle misure necessarie per l’applicazione del Codice da parte delle Aziende Sanitarie della Regione del Veneto.

L’art. 11 del Codice prevede la possibilità che altre Aziende, Enti od Istituti appartenenti al Sistema Sanitario Nazionale, possano aderirvi, inviando formale richiesta motivata alla Regione del Veneto.

L’articolo 12 prevede che il Titolare del trattamento, avvalendosi del supporto del proprio Responsabile della protezione dei dati personali, adotta apposite procedure di controllo documentato sull’osservanza del Codice e, al secondo comma, dispone che il controllo sia affidato ad un soggetto terzo indipendente e abbia cadenza almeno semestrale.

Le Aziende sanitarie della Regione Veneto e le altre Aziende sanitarie eventualmente aderenti, in qualità di Titolari del trattamento, dovranno pertanto adottare le opportune misure, in ossequio al principio di responsabilizzazione introdotto dal Regolamento secondo cui spetta al Titolare individuare le modalità più appropriate per conformare il trattamento dei dati personali al vigente quadro normativo ed essere in grado di comprovarlo (art. 5. Par. 2 e 24). In particolare, il Codice di Condotta disciplina le misure di accountability nell’articolo 7 secondo cui il Titolare mette in atto misure tecniche e organizzative adeguate a garantire ed essere in grado di dimostrare che le attività di trattamento dei dati sono effettuate in conformità al Regolamento.

Con specifico riferimento alle verifiche sul rispetto del Codice di Condotta, di cui al richiamato articolo 12, in ossequio al principio di responsabilizzazione, spetta pertanto al Titolare del trattamento valutare, anche considerando la propria specifica organizzazione aziendale, il soggetto cui affidare il controllo ed essere in grado di dimostrare la presenza nel medesimo soggetto delle caratteristiche dell’indipendenza, della competenza e dell’assenza di conflitto di interessi, precisando che il soggetto indipendente, cui attribuire le funzioni di controllo sull’osservanza del Codice da parte del Titolare del trattamento, deve essere un soggetto distinto dal Responsabile per la protezione dei dati, che, con specifico riferimento ai Codici di condotta, è chiamato a supportare il Titolare nella definizione delle procedure di controllo e a ricevere i report sulle attività di controllo. Le figure del Responsabile per la protezione dei dati e quella del soggetto terzo indipendente sono infatti distinte in quanto chiamate a svolgere, su piani diversi, specifiche funzioni di controllo.

In ragione del ruolo di garanzia che il Codice affida alla Regione, si tratta pertanto ora di assicurare che venga data formale e puntuale operatività al Codice di Condotta all’interno del Servizio Sanitario Regionale da parte delle Aziende ed Enti che lo costituiscono; le Aziende Sanitarie regionali aderenti dovranno conseguentemente adottare le misure necessarie alla sua applicazione, nel rispetto di quanto previsto dall’art. 14 citato, entro tre mesi dalla pubblicazione del Codice nel proprio sito aziendale.

Si propone pertanto di recepire formalmente il Codice di Condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica, come approvato dall’Autorità Garante per la Protezione dei Dati personali con provvedimento n. 7 del 14 gennaio 2021, quale Allegato A, parte integrante e sostanziale del presente provvedimento; il Codice costituisce un atto di autoregolamentazione per le Aziende e gli Enti del Servizio Sanitario regionale.

Si ritiene di individuare, ratione materiae, quale struttura competente allo svolgimento delle attività che la Regione del Veneto è chiamata a porre in essere, l’Area Sanità e Sociale.

Con nota prot. n. 553774 del 30.11.2022 il Responsabile della protezione dei dati personali della Regione del Veneto, per quanto di competenza e ai sensi dell’art. 39 del Regolamento 2016/679, non ha sollevato osservazioni o rilievi.

Il relatore conclude la propria relazione e propone all'approvazione della Giunta regionale il seguente provvedimento.

LA GIUNTA REGIONALE

UDITO il relatore, il quale dà atto che la struttura competente ha attestato, con i visti rilasciati a corredo del presente atto, l'avvenuta regolare istruttoria della pratica, anche in ordine alla compatibilità con la vigente legislazione statale e regionale, e che successivamente alla definizione di detta istruttoria non sono pervenute osservazioni in grado di pregiudicare l'approvazione del presente atto;

VISTO il Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 e ss.mm.ii.;

VISTO il decreto legislativo n. 196 del 30 giugno 2003 e ss.mm.ii.;

VISTO il decreto legislativo n. 33 del 14 marzo 2013 e ss.mm.ii.;

VISTA la legge regionale 14 settembre 1994 n. 55 “Norme sull’assetto programmatorio, contabile, gestionale e di controllo delle unità locali socio sanitarie e delle aziende ospedaliere in attuazione del decreto legislativo 30 dicembre 1992, n. 502 “riordino della disciplina in materia sanitaria”, così come modificato dal decreto legislativo 7 dicembre 1993, n. 517”;

VISTA la legge regionale 14 settembre 1994 n. 56 “Norme e principi per il riordino del servizio sanitario regionale in attuazione del decreto legislativo 30 dicembre 1992, n. 502 “riordino della disciplina in materia sanitaria”, così come modificato dal decreto legislativo 7 dicembre 1993 n. 517”;

VISTA la legge regionale n. 54 del 31 dicembre 2012 e ss.mm.ii.;

VISTO il Provvedimento n. 7 del 14 gennaio 2021 del Garante per la Protezione dei Dati Personali;

VISTA la nota n. 553774 del 30.11.2022 del Responsabile della protezione dei dati personali della Regione del Veneto.

delibera

  1. di approvare le premesse quale parte integrante e sostanziale del presente provvedimento;
  1. di recepire formalmente il Codice di Condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica, come approvato dall’Autorità Garante per la Protezione dei Dati personali con provvedimento n. 7 del 14 gennaio 2021, e che, quale Allegato A, costituisce parte integrante e sostanziale del presente provvedimento;
  1. di dare atto che, alla luce del dettato del Codice di Condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica, è prevista l’adesione al Codice medesimo da parte di tutte le Aziende ed Enti del Servizio Sanitario Regionale;
  1. di trasmettere il presente atto alle Aziende ed Enti del Servizio Sanitario Regionale per la formale adesione da parte delle stesse al Codice di Condotta per l’utilizzo dei dati sulla salute a fini didattici e di pubblicazione scientifica; ai fini della attuazione dovrà essere prevista la pubblicazione del Codice nei rispettivi siti istituzionali;
  1. di disporre che le Aziende ed Enti del Servizio Sanitario Regionale adottino le misure necessarie alla sua applicazione entro il termine di tre mesi dalla pubblicazione nel proprio sito istituzionale;
  1. di trasmettere il presente atto, per ogni opportuna conoscenza, al Tribunale per i Diritti del Malato e dell’Anziano e all’Ordine dei Medici Chirurghi e Odontoiatri;
  1. di dare atto che la presente deliberazione non comporta spese a carico del bilancio regionale;
  1. di incaricare l’Area Sanità e Sociale dell’esecuzione del presente atto;
  1. di dare atto che il presente provvedimento verrà pubblicato nella sezione “Amministrazione trasparente”, sottosezione “Altri contenuti” al fine di darne massima diffusione;
  1. di pubblicare il presente provvedimento sul Bollettino Ufficiale regionale.

(seguono allegati)

Dgr_1633_22_AllegatoA_492579.pdf

Torna indietro

Menu BURVET