CONSIGLIO REGIONALE DELLA SARDEGNA
XIII LEGISLATURAREGOLAMENTO N. 2/A
presentato dalla Giunta regionale
il 23 maggio 2006
Regolamento per il trattamento dei dati sensibili e giudiziari
***************
RELAZIONE
In attuazione di quanto disposto dagli articoli 20 e 21 del Codice in materia di protezione dei dati personali, di cui al decreto legislativo 30 giugno 2003, n. 196, il presente regolamento disciplina il trattamento dei dati sensibili e giudiziari da parte della Regione nonché delle aziende sanitarie e degli enti e agenzie regionali sui quali la Regione esercita poteri di indirizzo e controllo.
Detto Codice, nel razionalizzare la frammentaria e molteplice normativa succedutasi negli anni a far data dall'entrata in vigore della Legge 31 dicembre 1996, n. 675, distingue i dati in: personali, sensibili e giudiziari.
Per dato personale si intende qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione. All'interno della categoria "dati personali" si rinvengono delle sottocategorie, la cui caratteristica principale consiste nella loro idoneità a rivelare informazioni particolari; ciò giustifica una differente disciplina in ordine al tipo di trattamento consentito. Dette sottocategorie si distinguono in:
- dati identificativi che si caratterizzano per la loro idoneità a identificare in modo diretto l'interessato;
- dati sensibili che si caratterizzano per la loro idoneità a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
- dati giudiziari che si caratterizzano per la loro idoneità a rivelare provvedimenti di cui alle lettere da a) a o) e da r) a u) del comma 1 dell'articolo 3 del decreto del Presidente della Repubblica 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del Codice di procedura penale.Per tali dati il Codice prevede delle specifiche operazioni di trattamento elencate nell'articolo 4 del Codice stesso: "la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati".
Queste operazioni si possono suddividere in tre categorie:a) attività di raccolta di dati, direttamente dall'interessato o da terzi;
b) attività di trattamento svolte all'interno della struttura per organizzare e rendere utilizzabili i dati stessi (per esempio archiviazione, cancellazione o distruzione);
c) attività di utilizzo dei dati all'esterno della struttura (comunicazione o diffusione).
In relazione ai destinatari della normativa sulla privacy, si distinguono le seguenti figure:
Titolare: è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro soggetto titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza (articolo 4 del Codice). Quando il trattamento è effettuato da una pubblica amministrazione, titolare del trattamento è l'entità nel suo complesso o l'unità od organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento (articolo 28 del Codice).
Responsabile: è la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposto dal titolare al trattamento di dati personali; la sua designazione è facoltativa e riguarda soggetti che per esperienza, capacità ed affidabilità forniscono idonea garanzia del pieno rispetto delle vigenti disposizioni in materia di trattamento. Nel caso di strutture complesse, possono essere designati responsabili più soggetti, ai quali il titolare affiderà per iscritto specifici compiti. I responsabili, dunque, effettueranno il trattamento attenendosi alle istruzioni impartite e saranno sottoposti a periodici controlli dal titolare.
La regolamentazione specifica dei rapporti, costituisce, pertanto, la lex specialis di ogni singolo trattamento per il quale sia nominato un responsabile. Dalla stessa, ad esempio, deriva la possibilità del responsabile, piuttosto che del titolare, di impartire istruzioni ai soggetti concretamente incaricati dei trattamenti di dati (articolo 8, comma 5).
Incaricato: è la persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile; opera sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. La designazione è effettuata per iscritto e individua puntualmente l'ambito del trattamento consentito. Si considera tale anche la documentata preposizione della persona fisica ad una struttura per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli addetti alla struttura medesima.
Interessato: è la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali oggetto di trattamento.
Quanto all'identificazione dei titolari e responsabili del trattamento, la deliberazione della Giunta n. 20/2 del 12 maggio 1997 ha individuato come titolare il Presidente della Regione e come responsabili i "coordinatori generali" ora direttori generali.
L'importanza di queste indicazioni si rileva dalla semplice lettura delle norme del Codice che assegnano al titolare o al responsabile numerosi compiti, dalla cui inosservanza discendono sanzioni penali, civili e amministrative. Infatti:
- il titolare o il responsabile (articolo 8), ricevuta la richiesta in merito al trattamento dei propri dati dall'interessato ai sensi dell'articolo 7 del Codice, deve adottare misure idonee per agevolare l'accesso a tali dati, semplificando le modalità e riducendo i tempi per il riscontro al richiedente (articolo 10);
- il responsabile o gli incaricati curano l'estrazione e la comunicazione dei dati richiesti dall'interessato;
- il titolare o il responsabile che, in qualunque modo, acquisiscono dati, devono informare l'interessato sul tipo di trattamento compiuto e sulle norme che stabiliscono gli obblighi o i compiti in merito al trattamento stesso;
- i titolari del trattamento, inoltre, sono tenuti ad adottare le misure di sicurezza "minime" per evitare la sanzione penale conseguente alla loro omessa adozione e "idonee" per non incorrere, ex articolo 15 del Codice, nella responsabilità civile, equivalente a quella derivante dall'esercizio per attività pericolosa (articolo 2050 del Codice civile).Si rileva al riguardo che all'interno del più generale obbligo testè citato, l'articolo 34 del Codice specifica le misure minime di sicurezza da adottare quando il trattamento dati è "effettuato con strumenti elettronici".
Una di queste misure è la redazione del Documento programmatico di sicurezza (DPS). Le ulteriori misure minime, previste dai punti successivi al n. 19 del Disciplinare tecnico allegato al Codice, si applicano solo in caso di trattamento di dati sensibili.
Infine, i titolari devono adottare il regolamento di cui all'articolo 20 del Codice in tema di trattamento di dati sensibili e giudiziari in argomento.
Adempimenti richiesti all'Amministrazione regionale
Il regolamento si occupa del trattamento dei soli dati sensibili e giudiziari. Ciò in quanto il capo II del Codice, che disciplina il trattamento dei dati da parte di tutte le amministrazioni pubbliche, ammette il trattamento dei dati sensibili e giudiziari solo nell'ipotesi in cui ciò sia indispensabile per svolgere attività istituzionali, non essendo sufficiente il trattamento di dati anonimi o di dati personali di natura diversa. In particolare, gli articoli 20 e 21 del Codice dispongono che, qualora una disposizione di legge specifichi la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che lo effettuano, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante, ai sensi della lettera g) del comma 1 dell'articolo 154, anche su schemi tipo.
Sulla base di tali indicazioni, il gruppo interregionale costituito presso la Conferenza dei presidenti delle regioni e province autonome, ha elaborato lo schema tipo di regolamento per il trattamento dei dati sensibili e giudiziari da parte delle regioni, sul quale la Conferenza dei presidenti, dopo averlo approvato nella seduta del 28 marzo 2006, ha successivamente richiesto il parere del Garante, intervenuto con provvedimento del 13 aprile 2006. Tale schema tipo, che ha rappresentato per ciascuna regione il modello da personalizzare con le necessarie integrazioni relative alle fonti regionali e ai vari tipi di trattamenti ed operazioni eseguiti negli uffici, ha identificato e descritto i vari tipi di trattamento dei dati in apposite schede, elaborate per farne parte integrante e sostanziale. In ciascuna scheda è stata tipizzata ogni attività svolta per le finalità di rilevante interesse pubblico indicate puntualmente nel Codice.
Nelle more dell'approvazione dello schema tipo citato, è stato costituito presso la Presidenza della Regione, con determinazione del direttore generale della Presidenza n. 5/4 dell'11 gennaio 2006, un gruppo di lavoro per verificare i dati contenuti nelle schede compilate da ciascun Assessorato e definire lo schema di regolamento.
Il lavoro del gruppo citato è consistito principalmente nella ricognizione, in collaborazione con i referenti delle direzioni generali degli Assessorati regionali, delle attività svolte nelle strutture dell'Amministrazione regionale, nella verifica della loro corrispondenza con quelle tipizzate nelle schede e nell'esame delle integrazioni e correzioni proposte per ciascuna delle schede stesse.
Sono stati, poi, analizzati tutti i procedimenti amministrativi di competenza della Regione e si è provveduto alla loro tipizzazione in relazione al tipo di trattamento ed all'elaborazione, per ciascuno di questi, di un'unica scheda.
Le schede così predisposte sono allegate allo schema di regolamento per farne parte integrante e sostanziale.
***************
RELAZIONE DELLA SECONDA COMMISSIONE PERMANENTE POLITICHE COMUNITARIE - ADEGUAMENTO DELL'ORDINAMENTO REGIONALE AGLI ATTI NORMATIVI COMUNITARI - RAPPORTI CON LA U.E. - COOPERAZIONE INTERNAZIONALE - DIRITTI CIVILI - EMIGRAZIONE ED IMMIGRAZIONE - ETNIE - INFORMAZIONE
composta dai Consiglieri
PISU, Presidente - AMADU, Vice presidente - CALIGARIS, Segretario - SANJUST, Segretario - CASSANO - CERINA - CUCCU Giuseppe - FLORIS Vincenzo - SANNA Franco - SANNA Simonetta, relatrice
pervenuta il 30 giugno 2006
La Seconda Commissione del Consiglio regionale competente in materia di politiche comunitarie, adeguamento dell'ordinamento regionale agli atti normativi comunitari, rapporti con la U.E., cooperazione internazionale, diritti civili, emigrazione ed immigrazione, etnie, informazione ha approvato nella seduta pomeridiana di mercoledì 21 giugno 2006 il Regolamento n. 2, concernente lo schema di "Regolamento per il trattamento dei dati sensibili e giudiziari" (in attuazione degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196) con la sola astensione del Consigliere Amadu.
La Commissione, tuttavia, nell'approvare il Regolamento ha evidenziato, tramite il Consigliere Pisano, l'esigenza che le procedure poste in essere dalla pubblica amministrazione, così come del resto previsto dalla legislazione vigente e, in particolare, dalla Legge Bassanini, siano improntate alla massima semplicità e trasparenza in modo tale da consentire la più ampia e produttiva fruibilità da parte dei cittadini.
La Commissione, in considerazione della particolare importanza del provvedimento, ne raccomanda una rapida approvazione da parte dell'Assemblea legislativa.
***************
TESTO DEL PROPONENTE
TESTO DELLA COMMISSIONE
Art. 1
Oggetto1. Il presente regolamento, ai sensi degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), identifica i tipi di dati e le operazioni eseguibili da parte della Regione-Giunta regionale, nonché da parte delle aziende sanitarie, degli enti e delle agenzie regionali per i quali la Regione esercita poteri di indirizzo e controllo, nello svolgimento delle loro funzioni istituzionali, con riferimento ai trattamenti di dati sensibili e giudiziari effettuati per il perseguimento delle rilevanti finalità di interesse pubblico individuate da espressa disposizione di legge, ove non siano legislativamente specificati i tipi di dati e le operazioni eseguibili.
Art. 1
Oggetto(identico)
Art. 2
Disposizioni generali1. Ai fini del presente regolamento si applicano le definizioni contenute nell'articolo 4 del decreto legislativo n. 196 del 2003.
2. Il trattamento dei dati avviene nel rispetto dei diritti e delle libertà fondamentali dell'interessato ed è compiuto quando, per lo svolgimento delle finalità di interesse pubblico, non è possibile il trattamento dei dati anonimi oppure di dati personali non sensibili o giudiziari.
Art. 2
Disposizioni generali(identico)
Art. 3
Tipi di dati e di operazioni eseguibili1. I dati sensibili e giudiziari oggetto di trattamento, le finalità di interesse pubblico perseguite, nonché le operazioni eseguibili sono individuati, per i soggetti titolari di cui all'articolo 1, nelle schede contenute negli allegati al presente regolamento, di seguito elencati:
a) allegato A (schede da A1 a A30) - Trattamenti effettuati da: Regione Giunta regionale, agenzie e enti regionali, enti vigilati e controllati dalla Regione;
b) allegato B (schede da B1 a B41) - Trattamenti effettuati da: aziende unità sanitarie locali, aziende ospedaliere, aziende universitarie di qualsiasi tipo e natura operanti nell'ambito del Servizio sanitario nazionale.
Art. 3
Tipi di dati e di operazioni eseguibili(identico)
Art. 4
Pubblicazione sul Bollettino ufficiale1. Il presente regolamento è pubblicato sul Bollettino ufficiale della Regione Sardegna.
Art. 4
Pubblicazione sul Bollettino ufficiale(identico)
Art. 5
Entrata in vigore1. Il presente regolamento entra in vigore il giorno successivo alla sua pubblicazione sul Bollettino ufficiale della Regione autonoma della Sardegna.
Art. 5
Entrata in vigore(identico)
***************
(identici)