INAIL
Delibera n. 6 del 13 gennaio 2000

Regolamento di attuazione della legge 31.12.1996 n. 675, in materia di tutela dei dati personali

IL CONSIGLIO DI AMMINISTRAZIONE
nella seduta del 13 gennaio 2000

- Visto il decreto legislativo n. 479 del 30 giugno 1994 e successive modificazioni;

- Visto il D.P.R. n. 367 del 24 settembre 1997;

- Vista la Legge 7 agosto 1990, n. 241;

- Vista la Legge 31 dicembre 1996, n. 675 concernente la "Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali" e successive modificazioni ed integrazioni;

- Visto il decreto legislativo n. 135 dell'11 maggio 1999, concernente il trattamento di dati sensibili da parte dei soggetti pubblici, ed in particolare l'art. 5, comma 4, che prevede che i soggetti pubblici avviino l'adeguamento dei propri ordinamenti a quanto previsto dai commi 3 e 3 bis dell'art. 22 della legge n. 675/1996 come innovati dalle successive disposizioni comprese quelle dello stesso decreto n. 135/1999 ;

- Visto il vigente Regolamento di Organizzazione approvato con propria deliberazione n. 232 del 1¡ luglio 1999;

- Richiamato, in particolare, l'art. 44 di detto Regolamento il quale detta i principi fondamentali cui deve ispirarsi la disciplina interna in materia di accesso ai documenti amministrativi e tutela della riservatezza delle informazioni;

- Visto il nuovo Ordinamento delle Strutture Centrali e Territoriali approvato con propria deliberazione n. 248 del 15 luglio 1999;

- Rilevato che, alla luce della normativa sopraccennata, si rende necessario provvedere alla definizione di un regolamento di attuazione della Legge n. 675/96, in materia di tutela dei dati personali;

- Vista la relazione del Direttore Generale in data 5 gennaio 2000;

- Visto il testo dell'unito Regolamento;

- visto il parere favorevole espresso in data 12 gennaio 2000 dalla Commissione Consiliare, istituita con propria deliberazione n. 157 del 4 maggio 1999;

- Sentito il Direttore Generale, il quale si è espresso favorevolmente alla adozione del presente provvedimento,

DELIBERA

- di approvare il Regolamento di attuazione della legge n. 675/1996 in materia di dati personali, che forma parte integrante della presente deliberazione.

IL SEGRETARIO
(Dott.ssa Rita CHIAVARELLI)

IL PRESIDENTE
(Prof. Gianni BILLIA)

 

 

I N A I L

REGOLAMENTO DI ATTUAZIONE DELLA LEGGE 31 DICEMBRE 1996, N. 675 IN MATERIA DI TUTELA DEI DATI PERSONALI

CAPO I
DISPOSIZIONI GENERALI

Articolo 1
Ambito di applicazione

Il presente Regolamento è adottato in attuazione della legge 31 dicembre 1996, n. 675 e successive modificazioni e integrazioni e disciplina il trattamento dei dati personali da parte dell'Istituto.

L'Istituto provvede al trattamento in relazione allo svolgimento delle proprie funzioni istituzionali ai sensi dell'articolo 27 della legge .

Per funzioni istituzionali s'intendono:

a) le funzioni previste dalla legge, dallo Statuto, dai regolamenti;

b) le funzioni svolte per mezzo di convenzioni, accordi, intese e strumenti di programmazione negoziata previsti dalla legislazione vigente;

c) le funzioni comunque connesse alla determinazione ed esazione dei premi e contributi assicurativi e all'erogazione delle prestazioni rese dall'Istituto.

Articolo 2
Definizioni

Ai fini del presente Regolamento si applicano le definizioni elencate nell'articolo 1 della legge 31 dicembre 1996, n. 675, di seguito denominata "legge".

CAPO II
I SOGGETTI

Articolo 3
Il Titolare

La titolarità del trattamento dei dati personali spetta all'INAIL ed è esercitata, nell'ambito delle rispettive competenze, dal Direttore Generale, dai Direttori Centrali, dai Direttori Regionali, dal Direttore Provinciale di Bolzano, dal Sovrintendente Medico Generale e dai Coordinatori delle Strutture professionali centrali.

Al titolare competono le decisioni in ordine alle modalità del trattamento dei dati personali nonché le istruzioni da impartire ai responsabili di cui all'articolo 4 del presente Regolamento.

Il titolare vigila sull'osservanza delle disposizioni di legge e delle proprie istruzioni.

Articolo 4
Responsabili

I responsabili preposti al trattamento sono nominati, con atto scritto, dal titolare tra soggetti che per esperienza, capacità ed affidabilità forniscano idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento, ivi compreso il profilo relativo alla sicurezza.

Il responsabile è individuato nel rispetto dei criteri di organizzazione dell'Amministrazione e di autonomia gestionale. E' fatta salva la possibilità di nominare più responsabili ove ciò sia necessario per esigenze di funzionalità organizzativa.

Nell'atto di nomina del responsabile sono specificati, in modo analitico, i compiti a lui affidati.

Ove l'Istituto, mediante apposite convenzioni, affidi il trattamento dei dati a soggetti esterni, nomina il responsabile del medesimo trattamento. Le clausole relative alle modalità del trattamento e alle misure di sicurezza sono specificamente approvate per iscritto.

Articolo 5
Incaricati

Il responsabile nomina, con atto scritto, gli incaricati del trattamento, specificando le categorie di dati alle quali gli stessi hanno accesso e le relative operazioni di trattamento.

Gli incaricati trattano i dati personali attenendosi alle istruzioni del responsabile, nonché alle norme di cui all'articolo 9 del presente Regolamento.

CAPO III
TRATTAMENTO DEI DATI

Articolo 6
Individuazione delle banche dati

Ai fini dell'applicazione della legge e del presente Regolamento, l'Istituto definisce le banche dati di sua competenza.

Vengono individuate, in particolare, le banche dati condivise da più articolazioni organizzative interne, nonché quelle messe a disposizione di enti esterni, al fine di definire i diversi livelli di responsabilità.

Articolo 7
Trattamento dei dati

I dati personali sono trattati in forma elettronica o mediante l'ausilio di sistemi comunque automatizzati e con logiche strettamente correlate alle finalità perseguite.

Le disposizioni del presente Regolamento si applicano, in quanto compatibili, al trattamento di dati anche in forma non automatizzata.

Articolo 8
Notificazione

L'Istituto è tenuto a dare notificazione del trattamento di dati al Garante secondo le modalità stabilite dall'art. 7 della legge come modificato dal D.Lgs. 28 luglio 1997, n. 255 e nei casi di cui agli articoli 16 e 28 della legge.

Articolo 9
Modalità del trattamento

L'Istituto effettua il trattamento dei dati con modalità atte ad assicurare il rispetto dei diritti, delle libertà fondamentali, della dignità dell'interessato, con particolare riferimento alla riservatezza e all'identità personale.

I dati personali oggetto di trattamento sono:

a) trattati in modo lecito e secondo correttezza;

b) raccolti e registrati per scopi determinati, espliciti e legittimi, e utilizzati in altre operazioni del trattamento in termini non incompatibili con tali scopi;

c) esatti, e se necessario, aggiornati;

d) pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono stati raccolti e successivamente trattati;

e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario per gli scopi per i quali i dati sono stati raccolti e successivamente trattati.

Articolo 10
Limiti all'utilizzabilità dei dati personali

Nessun atto o provvedimento amministrativo che implichi una valutazione del comportamento umano può essere fondato unicamente su un trattamento automatizzato di dati personali volto a definire il profilo o la personalità dell'interessato.

Articolo 11
Informazione

L'Istituto fornisce, agli interessati o ai soggetti presso i quali sono raccolti i dati, le informazioni di cui all'articolo 10 della legge, anche con riferimento alle modalità di esercizio del diritto di accesso.

Fermo restando quanto previsto dall'articolo 10, comma 4 della legge , l'Istituto valuta l'opportunità di impiegare ogni mezzo, ivi compresi gli strumenti informatici e telematici, per offrire una adeguata conoscibilità degli elementi richiamati dal comma precedente.

Articolo 12
Comunicazione e diffusione di dati

La comunicazione dei dati personali a soggetti pubblici, esclusi gli enti pubblici economici, è ammessa quando sia prevista da norme di legge o di regolamento o, previa comunicazione al Garante, quando risulti comunque necessaria alla realizzazione delle finalità istituzionali ai sensi dell'articolo 27, comma 2 della legge.

L'Istituto favorisce lo scambio di dati anche con soggetti privati ed enti pubblici economici per la realizzazione delle medesime finalità quando siano previste da norme di legge o di regolamento.

La comunicazione e la diffusione dei dati sono comunque permesse:

a) qualora siano necessarie per finalità di ricerca scientifica o di statistica e si tratti di dati anonimi;

b) quando siano richieste dai soggetti di cui all'articolo 4, comma 1, lettere b), d) ed e) della legge per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione di reati con l'osservanza delle norme che regolano la materia.

E' esclusa la diffusione dei dati in forme e per finalità diverse da quelle descritte al comma precedente.

Articolo 13
Modalità di comunicazione

Ogni richiesta di comunicazione di dati deve essere scritta.

Il soggetto richiedente deve indicare:

a) il nome, la denominazione o la ragione sociale, e i requisiti di legittimazione all'inoltro della richiesta;

b) i dati personali oggetto della richiesta;

c) la norma di legge o di regolamento che espressamente autorizza la comunicazione dei dati oggetto della richiesta, nonché le finalità e le modalità del trattamento.

Articolo 14
Trasferimento di dati personali all'estero

Il trasferimento dei dati all'estero è svolto secondo le modalità stabilite dall'articolo 28 della legge.

CAPO IV
TRATTAMENTO DI DATI PARTICOLARI

Articolo 15
Trattamento di dati particolari

Il trattamento dei dati sensibili e di quelli attinenti a particolari provvedimenti giudiziari è svolto nei limiti delle disposizioni previste dal D.Lgs. 11 maggio 1999, n. 135 e degli articoli 22, comma 3 e 24 della legge come successivamente modificata e integrata.

Nell'informativa agli interessati, ai sensi dell'articolo 11 del presente Regolamento, è indicata, altresì, la normativa in virtù della quale l'Istituto è autorizzato ad effettuare il trattamento di dati particolari.

L'Istituto tratta i soli dati che siano essenziali ai fini dello svolgimento delle proprie attività. L'essenzialità dei dati è valutata anche con riferimento ai dati concernenti soggetti diversi da quelli cui si riferiscono le prestazioni o gli adempimenti.

Fermo restando quanto previsto dall'articolo 17 del presente Regolamento, l'Istituto procede, nel rispetto delle disposizioni regolanti specifici procedimenti di rettifica e di revisione, alla verifica periodica circa l'esattezza, l'aggiornamento, la pertinenza, la completezza, la non eccedenza e la necessità rispetto alle finalità perseguite nei singoli casi.

Qualora i dati, anche a seguito della verifica, risultino eccedenti, non pertinenti ovvero non necessari, devono essere cancellati o comunque resi inutilizzabili, anche se, a norma di legge, l'atto o il documento che li contiene debba essere conservato.

I dati non possono essere trattati nell'ambito di test psico-attitudinali volti a definire il profilo dell'interessato.

L'Istituto svolge soltanto le operazioni di trattamento strettamente necessarie anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi esercitati anche su richiesta di altri soggetti.

Le operazioni di raffronto tra i dati nonché i trattamenti ex art. 17 della legge sono effettuati con l'indicazione scritta dei motivi.

La diffusione, le operazioni di raffronto, i trattamenti ex art. 17 se effettuati utilizzando banche dati di diversi titolari sono ammessi solo se previsti da espresse disposizioni di legge.

La comunicazione e la diffusione dei dati particolari sono ammesse nei limiti di cui al comma 1 del presente articolo. In ogni caso esse sono consentite nelle ipotesi di cui alle lettere a) e b) dell'articolo 12 comma 3 del Regolamento.

Per il trattamento dei dati sensibili da parte dei professionisti si applicano le prescrizioni per essi stabiliti nelle specifiche Autorizzazioni generali rilasciate dal Garante per la protezione dei dati personali.

Articolo 16
Trattamento di dati inerenti alla salute

I dati idonei a rivelare lo stato di salute trattati per le finalità istituzionali di cui all'articolo 1 del presente Regolamento sono soggetti alla disciplina prevista dal precedente articolo 15.

Nel caso di prestazioni sanitarie fornite a soggetti estranei al rapporto assicurativo, il trattamento di tali dati è consentito solo previo consenso scritto dell'interessato ai sensi dell'articolo 23 della legge come integrato dal D.Lgs. 30 luglio 1999, n. 282.

L'Istituto predispone le misure organizzative e gli strumenti operativi atti a garantire la separazione dei dati sanitari dagli altri dati personali, ove questi ultimi siano trattati per finalità che non richiedono l'utilizzo anche dei dati sanitari.

CAPO V
DIRITTI DELL'INTERESSATO

Articolo 17
Diritti dell'interessato

L'Istituto garantisce all'interessato il potere di esercitare i diritti previsti dall'articolo 13 della legge e, a tal fine, adotta le misure occorrenti per facilitarne l'esercizio.

L'interessato esercita i suoi diritti personalmente ovvero conferendo per iscritto delega o procura a persone fisiche od associazioni. La richiesta deve essere fatta con atto scritto e sottoscritto e indirizzata al titolare o al responsabile del trattamento siccome individuato ai sensi dell'articolo 4 del regolamento.

Il titolare del trattamento o il responsabile:

a) valuta l'ammissibilità della richiesta di accesso rispetto ai termini previsti in caso di rinnovazione della domanda;

b) accerta la sussistenza dei requisiti di legittimazione, anche con riferimento ai dati personali concernenti persone decedute;

c) procede al compimento degli atti necessari a soddisfare la richiesta;

d) cura che la comunicazione dei dati avvenga in forma intelligibile;

e) dispone le variazioni dei dati e, salvo quanto disposto dall'articolo 13, comma 1, lettera c, numero 4 della legge, comunica a terzi il compimento di dette operazioni.

Il titolare o il responsabile si adoperano diligentemente affinché la richiesta dell'interessato sia soddisfatta non oltre cinque giorni lavorativi dal ricevimento della stessa.

Resta salva la facoltà dell'interessato di far valere i suoi diritti dinanzi all'autorità giudiziaria o con ricorso al Garante nei modi e tempi stabiliti dall'articolo 29 della legge.

Articolo 18
Misure di sicurezza

L'Istituto adotta tutte le misure idonee a prevenire i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso ai dati da parte di soggetti non autorizzati, di trattamento non consentito o non conforme alle finalità della raccolta.

L'adeguamento del livello di sicurezza informativo avviene nel rispetto delle disposizioni del D.Lgs. 28 luglio 1999, n. 318 e fatto salvo quanto specificamente previsto dall'articolo 3, comma 4 - 5 del D.Lgs. 11 maggio 1999, n. 135 in materia di trattamento di dati particolari.

Alla gestione in via informatizzata dei dati personali, finalizzata allo svolgimento dell'attività amministrativa ed all'emanazione di atti e provvedimenti, si procede con l'atto amministrativo elettronico, che deve intendersi quale l'atto redatto con strumenti informatici o telematici, secondo le forme previste dall'articolo 3, comma 2, del D.Lgs. 12 febbraio 1993, n. 39.

La gestione dei documenti informatici contenenti dati personali è soggetta alla specifica disciplina prevista dal D.P.R. 10 novembre 1997, n. 513.

La sicurezza dei dati personali contenuti nei documenti di cui al precedente comma 4 è assicurata anche mediante adeguate soluzioni tecniche connesse all'utilizzo della firma digitale.

CAPO VI
DISPOSIZIONI FINALI

Articolo 19
Disposizioni finali e transitorie

Per quanto non previsto dal presente Regolamento, si applica la legge e sue successive modificazioni e integrazioni.

L'Istituto provvede ad emanare le norme organizzative e tecniche in attuazione del presente Regolamento.

Articolo 20
Entrata in vigore

Il presente Regolamento entra in vigore dal primo giorno del mese successivo alla data di pubblicazione della delibera di approvazione.

Articolo 21
Modificazione del Regolamento

Ogni modifica alle presenti norme viene deliberata dal Consiglio di Amministrazione dell'Istituto