| Garante per la protezione dei dati personali [ Parere del Garante suuna versione aggiornata dello schema tipo di regolamento per il trattamento didati personali sensibili e giudiziari da effettuarsi presso le regioni e leprovince autonome, le aziende sanitarie, gli enti e agenzieregionali/provinciali, gli enti vigilati dalle regioni e dalle provinceautonome PROVVEDIMENTO DEL 26LUGLIO 2012 Registro dei provvedimenti n. 220 del 26luglio 2012 IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazione del dott. Antonello Soro,presidente, della dott.ssa Augusta Iannini, vicepresidente, del dott.ssaGiovanna Bianchi Clerici e della prof.ssa Licia Califano, componenti, e deldott. Giuseppe Busia, segretario generale; Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codicein materia di protezione dei dati personali; Vista la richiesta di parere della Conferenza delle regioni e delleprovince autonome sullo schema tipo aggiornato di regolamento per il trattamentodi dati personali sensibili e giudiziari da effettuarsi presso le regioni e leprovince autonome, le aziende sanitarie, gli enti e agenzieregionali/provinciali, gli enti vigilati dalle regioni e dalle provinceautonome (prot. n. 2878/C2 INFO del 18 giugno 2012); Visti gli atti d'ufficio; Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore dott. Antonello Soro; PREMESSO: La Conferenza delle regioni e delle province autonome ha chiesto ilparere del Garante in ordine ad una versione aggiornata dello schema tipo diregolamento per il trattamento di dati personali sensibili e giudiziari daeffettuarsi presso le regioni e le province autonome, le aziende sanitarie, glienti e agenzie regionali/provinciali, gli enti vigilati dalle regioni e dalleprovince autonome, sul quale l'Autorità aveva espresso parere favorevole con ilprovvedimento del 13 aprile 2006. La revisione del predetto schema tipo, curata dal tavolo di lavorointerregionale cui ha partecipato l'Ufficio del Garante, trae origine dallanecessità, evidenziata da parte di più enti, di adeguare i regolamenti regionalisul trattamento dei dati sensibili e giudiziari al mutato quadro normativo invari settori di attività di competenza delle regioni, delle aziende sanitarie edegli altri enti strumentali o vigilati dalle regioni e dalle provinceautonome. Le regioni e le province autonome, le aziende sanitarie, gli enti eagenzie regionali/provinciali, gli enti vigilati dalle regioni e dalle provinceautonome, al pari degli altri soggetti pubblici, possono trattare i datisensibili e giudiziari (fatto salvo quanto previsto dagli artt. 75 e seguentidel Codice per i trattamenti effettuati dalle aziende sanitarie per finalità didiagnosi, prevenzione e cura della salute), in base ad un'espressa disposizionedi legge nella quale siano specificati i tipi di dati, le operazioni eseguibilie le finalità di rilevante interesse pubblico perseguite. In presenza di una disposizione primaria che si limiti a specificaresolo la finalità di rilevante interesse pubblico, è necessario identificare erendere pubblici, in un atto di natura regolamentare conforme al parere resodal Garante, i tipi di dati sensibili o giudiziari, nonché le operazionieseguibili in relazione alle finalità perseguite nei singoli casi, al fine direndere legittimo il trattamento. A tale scopo, le regioni e le province autonome sono tenute adadottare un atto di natura regolamentare conforme al parere reso dal Garante,che, in armonia con il principio di semplificazione, nel quadro di un elevatolivello di tutela dei diritti, può essere fornito anche su schemi-tipo (art. 20del Codice). In questa prospettiva il Garante, sin dal 2004, ha intrapreso alcuneiniziative con la Conferenza delle regioni e delle province autonome, che haportato alla predisposizione del citato primo schema tipo di regolamento nel2006 e, successivamente al testo in esame. Quest'ultimo nasce dall'esigenza diindividuare un quadro aggiornato di garanzie in conformità al quale potrannoessere adottati i necessari atti regolamentari sul trattamento di dati dipertinenza delle regioni e delle province autonome, delle aziende sanitarie,degli enti e delle agenzie regionali/provinciali, degli enti vigilati dalleregioni e dalle province autonome. Qualora tali atti siano adottati in conformità alla versioneaggiornata dello schema tipo di regolamento in esame, essi non dovranno esseresottoposti singolarmente al Garante per il parere. Eventuali ulterioritrattamenti di dati sensibili e/o giudiziari non considerati nello schema tipoin esame non potranno essere effettuati. Laddove si renda, tuttavia,indispensabile trattare ulteriori categorie di dati, o eseguire altreoperazioni di trattamento per perseguire finalità di rilevante interessepubblico individuate dalla legge, le integrazioni o modifiche dovranno esseresottoposte al parere del Garante. OSSERVA Il predetto schema tipo è composto da 2 allegati, che individuano itipi di dati che possono essere trattati e le operazioni su di questieseguibili, rispettivamente: - da parte delle regioni/province autonome, degli enti e agenzieregionali/provinciali e degli enti vigilati dalle regioni e dalle provinceautonome (Allegato A), schede da 1 a 40); - da parte delle aziende unità sanitarie locali, delle aziendeospedaliere, degli istituti di ricerca e cura a carattere scientifico, delleaziende universitarie di qualsiasi tipo e natura operanti nell'ambito delServizio Sanitario Nazionale (Allegato B), schede da 1 a 40). Il parere è reso su una versione aggiornata dello schema tipo diregolamento, che tiene conto di gran parte delle osservazioni formulate, in viacollaborativa, dall'Ufficio del Garante al tavolo di lavoro interregionale. Oltre ad alcuni errori materiali evidenziati nell'Allegato 1) al presente parere,le osservazioni riguardano taluni aspetti suscettibili di ulterioreperfezionamento, al fine di elevare lo standard di tutela del dirittoalla protezione dei dati personali degli interessati, nell'ambito deitrattamenti di dati personali presi in considerazione nello schema tipoaggiornato di regolamento. 1. Considerazioni generali
2. Fonti normative 2.1 Nelle fonti normative della scheda 15 dell'Allegato A) e dellascheda 2 dell'Allegato B), riguardanti le attività amministrative correlatealla sorveglianza epidemiologica delle malattie infettive e diffusive, è statomenzionato il D.M. 31 marzo 2008, concernente l'"Istituzione del sistemadi sorveglianza delle nuove diagnosi di infezioni da HIV", che risultaessere stato emanato senza il previsto parere del Garante (art. 154, comma 4del Codice). Al riguardo, in tale contesto, occorre rappresentare che i regolamentie gli atti adottati senza la doverosa consultazione dell'Autorità sono viziatiper violazione di legge e del diritto comunitario in materia. Inoltre, i datipersonali trattati in applicazione di tali atti sono inutilizzabili, anche conconseguente responsabilità diretta, da parte di qualunque soggetto emananteulteriori atti applicativi (art. 11, comma 2, del Codice). Il decreto prevede la notifica, attraverso la scheda allegata allostesso, dei nuovi casi di infezione da HIV da parte dei centri clinici cheoffrono diagnosi e cura per HIV alle regioni e, da queste, all'Istitutosuperiore di sanità. Per i profili riguardanti la protezione dei datipersonali, vanno, tuttavia, sollevate alcune criticità relative, inparticolare, al codice identificativo individuato dal decreto per la notifica.Tale codice, infatti, non appare idoneo a garantire la non identificazionedella persona interessata come invece previsto dalla legge 5 giugno 1990, n.135 (art. 5). Si rappresenta, inoltre, che le modalità di trasmissione dellesuddette notifiche previste nel citato decreto non garantiscono un adeguatolivello di sicurezza rispetto alla natura dei dati oggetto di trattamento neiconfronti dei quali l'ordinamento richiede cautele più rigorose (artt. 31 e178, comma 2 del Codice). Al riguardo, il Ministero della salute ha inviato una nota all'Autoritàin cui, nel trasmettere il predetto decreto 31 marzo 2008, evidenzial'intenzione di avviare un percorso collaborativo ai fini dell'acquisizione delprevisto parere segnalando, in particolare, la delicatezza degli aspettirelativi al codice univoco e alle misure di sicurezza disciplinati nelprovvedimento medesimo (nota prot. n.I.D. 108817538 del 17 luglio 2012). Intale quadro, pertanto, i trattamenti di dati possono essere effettuati dalleaziende sanitarie, dalle regioni e dalle province autonome, nell'ambito delleattività amministrative correlate alla sorveglianza epidemiologica dei casi diinfezione da HIV, nel rispetto delle specifiche cautele individuate dalMinistero della salute, in collaborazione con l'Autorità. 2.2 Lo schema tipo di regolamento in esame fa riferimentoall'attivazione dei nuovi flussi di dati tra i medici prescrittori e ilMinistero dell'economia e delle finanze (di seguito Mef), ai fini dimonitoraggio della spesa sanitaria e di verifica dell'appropriatezzaprescrittiva che sono stati introdotti dal comma 5-bis dell'art. 50 del d.l. 30settembre 2003, n. 269 (convertito dalla l. 24 novembre 2003, n.326), inseritodall'art. 1, comma 810, lett. c) della legge 27 novembre 2006, n. 296 (scheda12 dell'Allegato A)). La suddetta disposizione legislativa rende necessario provvedere allamodifica del protocollo sottoscritto in data 9 marzo 2006 tra il Garante, ilMef, il Ministero della salute e le regioni in cui sono stati stabiliti i datiin possesso del Mef che possono essere trasmessi al Ministero della salute ealle regioni, nonché le modalità di tale trasmissione (comma 10, dell'art. 50citato). Al riguardo, il Mef ha inviato una nota all'Autorità al fine diavviare, insieme con le amministrazioni sottoscrittrici del protocollo, unacollaborazione volta alla revisione dello stesso, con particolare riferimentoall'estensione delle cautele già previste per il trattamento dei dati contenutinelle prescrizioni di farmaci e di prestazioni specialistiche anche aitrattamenti di dati contenuti nei nuovi flussi originati dai mediciprescrittori (nota n. 65256 del 20 luglio 2012). 2.3 Con riferimento alla scheda 32 dell'Allegato B), è necessariointegrare le fonti normative con l'indicazione del d.l. 9 febbraio 2012, n. 5convertito in l. 4 aprile 2012, n. 35 che, all'art. 4, introduce alcunerilevanti semplificazioni in materia di documentazione per le persone condisabilità e patologie croniche. 2.4 Nella scheda 34 del medesimo Allegato B), relativa alle attivitàmedico legali inerenti l'accertamento dell'idoneità al porto d'armi, occorremenzionare il R.D. 18 giugno 1931, n. 773 recante approvazione del testo unicodelle leggi di pubblica sicurezza, peraltro recentemente modificato dal d.lg.26 ottobre 2010 n. 204 che ha, in particolare, dettato nuove disposizionirelative al rilascio da parte del Questore del nulla osta all'acquisto di armida parte di privati subordinandolo alla presentazione di un certificatorilasciato, tra gli altri, dal settore medico legale delle Aziende sanitarielocali (art. 35). 3. Tipologie di dati trattati 3.1 Nella scheda 12 dell'Allegato A) non risulta espressamentecomprovata, anche sulla base della sintetica descrizione del trattamento,l'indispensabilità dell'utilizzo da parte dall'amministrazione regionale didati sensibili relativi all'adesione a partiti, sindacati, associazioni odorganizzazioni a carattere religioso, filosofico, politico o sindacale perfinalità di programmazione, gestione, controllo e valutazione dell'assistenzasanitaria. Occorre pertanto espungere il riferimento a tali informazioni dallatipologia di dati trattati senza che sia necessario sottoporre tale scheda alGarante per un nuovo parere. 3.2 Analogo rilievo va formulato con riferimento ai medesimi tipi didati indicati nella scheda 13 dell'Allegato A) che riguarda le attivitàamministrative correlate all'assistenza socio-sanitaria a favore di fascedeboli di popolazione e di soggetti in regime di detenzione. In relazione aitrattamenti presi in considerazione in questa scheda occorre pertantorivalutare l'indispensabilità dell'utilizzo dei predetti dati, tenendo inconsiderazione che nella corrispondente scheda dell'Allegato B), di pertinenzadelle aziende sanitarie (scheda 6), non è previsto il trattamento di questatipologia di dati per il perseguimento di attività similari. A seguito di talevalutazione, in caso di esito negativo, occorre espungere l'indicazione dellapredetta tipologia di dati dalla scheda 13 dell'Allegato A) senza che sianecessario sottoporla nuovamente al Garante per il parere. In caso di esitopositivo, invece, è necessario integrare la scheda 6 dell'Allegato B)menzionando tali informazioni tra la tipologia di dati trattati e documentareadeguatamente l'indispensabilità dell'utilizzo dei dati in questione nelladescrizione del trattamento e del flusso informativo, sottoponendo la schedacosì integrata al Garante per un nuovo parere. 4. Modalità di trattamento dei dati
5. Operazioni eseguibili 5.1 Per quanto concerne le operazioni di trattamento, occorreespungere nella scheda 2 dell'Allegato A), tra i destinatari dellecomunicazioni, l'indicazione del "Ministero del Lavoro e della Previdenzasociale" e introdurre quella del "Centro per l'impiegocompetente", in quanto, ai sensi dell'art. 1 comma 1180 della l. 27 dicembre2006 n. 296, è a tale servizio che deve essere indirizzata la comunicazioneobbligatoria prevista in caso di instaurazione di rapporto di lavorosubordinato e di lavoro autonomo in forma coordinata e continuativa da parte dipubbliche amministrazioni in qualità di datori di lavoro. In conformità a talerilievo, è necessario riformulare anche la relativa descrizione del trattamentoe del flusso informativo. 5.2 Con riferimento alla operazione di diffusione di dati sensibili egiudiziari riferiti a consiglieri e assessori, menzionate nelle schede 37 e 40dell'Allegato A), è opportuno specificare che tale operazione, ove vengaeffettuata attraverso la rete Internet, deve avvenire nell'osservanza dellegaranzie individuate dal Garante nelle "Linee guida in materia ditrattamento di dati personali contenuti anche in atti e documentiamministrativi, effettuato da soggetti pubblici per finalità di pubblicazione ediffusione sul web" del 6. Descrizione del trattamento e delflusso informativo 6.1 Nella scheda 3 dell'Allegato B) relativa alle attivitàamministrative e certificatorie correlate alle vaccinazioni e alla verificadell'assolvimento dell'obbligo vaccinale si evidenzia l'opportunità per leregioni che hanno sospeso l'obbligo vaccinale o le sanzioni ad esso connesse dimodificare la Descrizione del trattamento e del flusso informativo inconformità al quadro normativo regionale di riferimento. 6.2 Per ciò che concerne le attività amministrative correlateall'assistenza socio-sanitaria a favore di fasce deboli della popolazione,occorre specificare, nella Descrizione del trattamento e del flussoinformativo della scheda 6 dell'Allegato B), che gli organismi sanitari,nell'espletamento dei servizi di telesoccorso e telecontrollo, possonotrasmettere all'amministrazione regionale a fini di erogazione dei contributiagli anziani che ne facciano richiesta, in luogo dei "datiindividuali", i "dati identificativi e altre informazioni cherisultano strettamente indispensabili rispetto ai requisiti richiesti perl'erogazione del contributo" medesimo. 7. Conclusioni
TUTTO CIO' PREMESSO ILGARANTE: ai sensi degli articoli 20, comma 2, e 154, comma 1, lett. g) delCodice, esprime parere favorevole sullo schema tipo di regolamento predispostodalla Conferenza delle regioni e delle province autonome per il trattamento deidati personali sensibili e giudiziari da effettuarsi presso le regioni e leprovince autonome, le aziende sanitarie, gli enti e agenzie regionali/provinciali,gli enti vigilati dalle regioni e dalle province autonome in relazione allefinalità perseguite nei singoli casi, a condizione che siano recepite leindicazioni fornite nei punti da 1 a 6 del presente parere e nell'Allegato 1 chene costituisce parte integrante. Roma, 26 luglio 2012
Errori materiali presenti nello schema tipoaggiornato di regolamento per il trattamento di dati personali sensibili egiudiziari da effettuarsi presso le regioni e le province autonome, le aziendesanitarie, gli enti e agenzie regionali/provinciali, gli enti vigilati dalleregioni e dalle province autonome 1. All'articolo 3, comma 1, dello schema di deliberazione perl'adozione del regolamento per il trattamento di dati personali sensibili egiudiziari da effettuarsi presso le regioni e le province autonome, le aziendesanitarie, gli enti e agenzie regionali/provinciali, gli enti vigilati dalleregioni e dalle province autonome, sostituire: a. le parole: "Allegato A (schede da A1 a A41)" con leseguenti: "Allegato A (schede da A1 a A40)"; b. le parole: "istituti specifici in ambito sanitario"con le seguenti: "istituti scientifici in ambito sanitario". 2. Nelle Avvertenze per la compilazione/consultazione delleschede relative ai singoli trattamenti sostituire le parole: "Al finedi una maggiore semplificazione le disposizioni di legge citate" con leseguenti: "Al fine di una maggiore semplificazione le disposizioninormative citate"; 3. Nell'Elenco dei trattamenti descritti nell'Allegato A): a. nel titolo della scheda n. 18 sopprimere le parole:"(fornitura di prodotti dietetici e di presidi sanitari a categorieparticolari)"; b. nella nota c) sopprimere le parole: ", delle IPAB"; c. nella nota d) sopprimere le parole: ", delle IPAB". 4. Nell'Elenco dei trattamenti descritti nell'Allegato B): a. nel titolo della scheda 8 sopprimere la parola:"reddito"; b. nel titolo della scheda 23 sopprimere le parole:"(tossicodipendenze e alcool dipendenze)". 5. Nelle Comunicazioni previste nella scheda 3dell'Allegato A) sopprimere la parola: "INPDAP"; 6. Nella Descrizione del trattamento e del flusso informativodella scheda 10 dell'Allegato A), al paragrafo C), sostituire le parole:"opinioni politiche, convinzioni religiose" con le seguenti:"dati idonei a rivelare l'adesione a partiti, sindacati, associazioni odorganizzazioni a carattere religioso, filosofico, politico o sindacale"; 7. Nella Descrizione del trattamento e del flusso informativodella scheda 12 dell'Allegato A), alla voce dell'elenco: "assistenzaresidenziale e semiresidenziale" sostituire la congiunzione: "e"con il segno d'interpunzione: "," e aggiungere infine le seguentiparole: "e negli hospice"; 8. Nella scheda 18 dell'Allegato A): a. nelle Finalità del trattamento dopo le parole:"art.85, comma 1, lettera a)" aggiungere le seguenti: "D.Lgs.196/2003)"; b. nella Denominazione del trattamento sopprimere leparole: "(fornitura di prodotti dietetici e di presidi sanitari acategorie particolari)". 9. Nella Tipologia delle operazioni eseguite della scheda27 dell'Allegato A) spuntare la casella relativa alla"comunicazione"; 10. Nella Descrizione del trattamento e del flusso informativodella scheda 31 dell'Allegato A), nel terzo paragrafo sostituire le parole:"dati sensibili idonei a rivelare le convinzioni religiose, filosofiche odi altro genere, le opinioni politiche o sindacali o lo stato di salute o datigiudiziari dell'interessato o dei suoi familiari" con le seguenti: "idati sensibili e giudiziari individuati nella presente scheda riferitiall'interessato o ai suoi familiari"; 11. Nella Descrizione del trattamento e del flusso informativodella scheda 34 dell'Allegato A), nell'ultimo paragrafo, aggiungere dopo leparole: "dati sensibili" le seguenti: "e giudiziari"; 12. Nella Descrizione del trattamento e del flusso informativodelle schede 3, 4, 7, 8, 12, 14, 16, 38 e 39 dell'Allegato B), al paragrafodedicato all'indicazione dei soggetti destinatari delle comunicazionifinalizzate alle attività di programmazione, gestione, controllo e valutazionedell'assistenza sanitaria di cui alla scheda 12 dell'Allegato A), sostituire laparola: "Regione" con le seguenti: "Regione/Agenzia regionale disanità"; 13. Nelle Comunicazioni previste nelle schede 7 e 8dell'Allegato B) sostituire la parola: "Regione" con le seguenti:"Regione/Agenzia regionale di sanità"; 14. Nella Denominazione del trattamento della scheda 23dell'Allegato B) sopprimere le parole: "(tossicodipendenze e alcooldipendenze)"; 15. Nella scheda 15 dell'Allegato B): a. nella Tipologia dei dati trattati eliminare le parole:"(specificare se: anamnesi familiare)" e le relative caselle; b. nella Descrizione del trattamento e del flusso informativo,al secondo paragrafo, al primo punto dell'elenco dopo la parola: "attività"aggiungere la seguente: "amministrativa" e al secondo punto dopo laparola: "attività" aggiungere la seguente:"amministrative". 16. Nella Descrizione del trattamento e del flusso informativodella scheda 25 sostituire le parole: "Sistema Sanitario Nazionale"con le seguenti: "Servizio sanitario nazionale"; 17. Nella Descrizione del trattamento e del flusso informativodelle schede 25 e 39 consolidare le revisioni evidenziate nel testo; 18. Nella Descrizione del trattamento edel flusso informativo della scheda 30 dell'Allegato B), al sestoparagrafo, dopo le parole: "Ministero dell'Economia e delle Finanze"aggiungere le seguenti: "direttamente o tramite la specificastruttura regionale". |