Gazzetta n. 66 del 18 marzo 2008 (vai al sommario) MINISTERO DELLA SALUTE DECRETO 12 dicembre 2007, n. 277 Regolamento di attuazione dell'articolo 20, commi 2 e 3, dell'articolo 21 e dell'articolo 181, comma 1, lettera a) del decreto legislativo 30 giugno 2003, n. 196, recante: «Codice in materia di protezione dei dati personali». IL MINISTRO DELLA SALUTE Visto l'articolo 17, commi 3 e 4, della legge 23 agosto 1988, n. 400; Visto il decreto del Presidente della Repubblica 28 marzo 2003, n. 129, con il quale e' stato emanato il regolamento di organizzazione del Ministero della salute; Visto il decreto legislativo 30 giugno 2003, n. 196 «Codice in materia di protezione dei dati personali», di seguito denominato Codice; Considerato che gli articoli 20, comma 2, e l'articolo 21, comma 2 del Codice, stabiliscono che nei casi in cui una disposizione di legge specifichi la finalita' di rilevante interesse pubblico, ma non i tipi di dati sensibili e giudiziari trattabili ed i tipi di operazioni su questi eseguibili, il trattamento e' consentito solo in riferimento a quei tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalita' perseguite nei singoli casi; ai sensi del citato articolo 20, comma 2, l'identificazione dei tipi di dati e operazioni deve avvenire con atto di natura regolamentare adottato in conformita' al parere espresso dal Garante per la protezione dei dati personali (di seguito denominato Garante ovvero Autorita' Garante), ai sensi dell'articolo 154, comma 1, lettera g); l'articolo 20, comma 4, del Codice, prevede che l'identificazione di cui all'articolo 20, comma 2, debba essere aggiornata e integrata periodicamente; l'articolo 22, comma 5, del Codice, prevede che i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonche' la loro pertinenza, completezza, non eccedenza e indispensabilita' rispetto alle finalita' perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa; Ritenuto che si rende necessaria la redazione di un regolamento per il trattamento dei dati sensibili e giudiziari ex articolo 20, comma 2, e articolo 21, comma 2 del Codice, di cui e' titolare il Ministero della salute; Ritenuto che nel presente regolamento non sono inseriti i tipi di dati e le operazioni eseguibili concernenti dati non compresi tra quelli sensibili o giudiziari, nonche' i trattamenti effettuati per finalita' di tutela della salute o dell'incolumita' fisica dell'interessato, di un terzo o della collettivita', per i quali si osservano le disposizioni di cui all'articolo 76, comma 1, del Codice; Vista l'autorizzazione del Garante n. 7, relativa al trattamento di dati giudiziari ai fini dell'applicazione della normativa in materia di comunicazioni e certificazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di manifestazione di pericolosita' sociale, che specifica, oltre alle rilevanti finalita' di interesse pubblico, anche le tipologie di dati e le operazioni eseguibili ai sensi dell'articolo 21, comma 1 del Codice; Considerato che tra le operazioni effettuate dal Ministero della salute che possono spiegare effetti maggiormente significativi per l'interessato, rientrano, in particolare, quelle svolte pressoche' interamente mediante siti web, o volte a definire in forma completamente automatizzata profili o personalita' di interessati, le interconnessioni e i raffronti tra banche di dati gestite da diversi titolari, oppure con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento, nonche' il trasferimento di dati all'estero, la comunicazione e la diffusione; Acquisito il parere del Garante per la protezione dei dati personali, reso ai sensi dell'articolo 154, comma 1, lettera g), del decreto legislativo 30 giugno 2003, n. 196 in data 28 febbraio 2007; Vista la comunicazione al Presidente del Consiglio dei Ministri, a norma dell'articolo 17, comma 3, della citata legge n. 400 del 1988, con nota del 7 novembre 2007 e il relativo nulla osta con nota del 16 novembre 2007; Udito il parere del Consiglio di Stato espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 17 settembre 2007; A d o t t a il seguente regolamento: Art. 1. Oggetto 1. Il presente regolamento, in attuazione degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196, recante il «codice in materia di protezione dei dati personali», identifica i tipi di dati sensibili e giudiziari e le operazioni eseguibili da parte del Ministero della salute nello svolgimento: a) delle attivita' istituzionali strumentali al funzionamento e all'organizzazione del Ministero; b) delle attivita' amministrative correlate alla gestione dell'assistenza sanitaria al personale navigante (SASN); c) delle attivita' istituzionali del Ministero nell'ambito del Sistema sanitario nazionale. Avvertenza: Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 109, al solo fine di facilitare la lettura delle disposizioni di legge alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. Note al titolo: - Si riporta il testo degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali): «Art. 20 (Principi applicabili al trattamento di dati sensibili). - 1. Il trattamento dei dati sensibili da parte di soggetti pubblici e' consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalita' di rilevante interesse pubblico perseguite. 2. Nei casi in cui una disposizione di legge specifica la finalita' di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento e' consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalita' perseguite nei singoli casi e nel rispetto dei principi di cui all'art. 22, con atto di natura regolamentare adottato in conformita' al parere espresso dal Garante ai sensi dell'art. 154, comma 1, lettera g), anche su schemi tipo. 3. Se il trattamento non e' previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attivita', tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalita' di rilevante interesse pubblico e per le quali e' conseguentemente autorizzato, ai sensi dell'art. 26, comma 2, il trattamento dei dati sensibili. Il trattamento e' consentito solo se il soggetto pubblico provvede altresi' a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2. 4. L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 e' aggiornata e integrata periodicamente.». «Art. 21 (Principi applicabili al trattamento di dati giudiziari). - 1. Il trattamento di dati giudiziari da parte di soggetti pubblici e' consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalita' di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. 2. Le disposizioni di cui all'art. 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.». - Il comma 1, lettera a), dell'art. 181 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) e' il seguente: «Art. 181 (Altre disposizioni transitorie). - 1. Per i trattamenti di dati personali iniziati prima del 1° gennaio 2004, in sede di prima applicazione del presente codice: a) l'identificazione con atto di natura regolamentare dei tipi di dati e di operazioni ai sensi degli articoli 20, commi 2 e 3, e 21, comma 2, e' effettuata, ove mancante, entro il 30 settembre 2004.». Note alle premesse: - I commi 3 e 4 dell'art. 17 della legge 23 agosto 1988, n. 400 (Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri) sono i seguenti: «3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del Ministro o di autorita' sottordinate al Ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di piu' Ministri, possono essere adottati con decreti interministeriali, ferma restando la necessita' di apposita autorizzazione da parte della legge. I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei Ministri prima della loro emanazione. 4. I regolamenti di cui al comma 1 ed i regolamenti ministeriali ed interministeriali, che devono recare la denominazione di "regolamento", sono adottati previo parere del Consiglio di Stato, sottoposti al visto ed alla registrazione della Corte dei conti e pubblicati nella Gazzetta Ufficiale.». - Il decreto del Presidente della Repubblica 28 marzo 2003, n. 129 (Regolamento di organizzazione del Ministero della salute) e' stato pubblicato nella Gazzetta Ufficiale n. 129 del 6 giugno 2003. - Il comma 5 dell'art. 22 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) e' il seguente: «Art. 22 (Principi applicabili al trattamento di dati sensibili e giudiziari). - 1.-4. (Omissis). 5. In applicazione dell'art. 11, comma 1, lettere c), d) ed e), i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonche' la loro pertinenza, completezza, non eccedenza e indispensabilita' rispetto alle finalita' perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. Al fine di assicurare che i dati sensibili e giudiziari siano indispensabili rispetto agli obblighi e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli adempimenti. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione e' prestata per la verifica dell'indispensabilita' dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti. - Il comma 1 dell'art. 76 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) e' il seguente: «Art. 76 (Esercenti professioni sanitarie e organismi sanitari pubblici). - 1. Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di un'attivita' di rilevante interesse pubblico ai sensi dell'art. 85, trattano i dati personali idonei a rivelare lo stato di salute: a) con il consenso dell'interessato e anche senza l'autorizzazione del Garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalita' di tutela della salute o dell'incolumita' fisica dell'interessato; b) anche senza il consenso dell'interessato e previa autorizzazione del Garante, se la finalita' di cui alla lettera a) riguarda un terzo o la collettivita'.». - Il comma 1, lettera g), dell'art. 154 del decreto legislativo 30 giugno 2003, n. 196 - (Codice in materia di protezione dei dati personali) e' il seguente: «Art. 154 (Compiti). - 1. Oltre a quanto previsto da specifiche disposizioni, il Garante, anche avvalendosi dell'Ufficio e in conformita' al presente codice, ha il compito di: a)-f) (omissis); g) esprimere pareri nei casi previsti.».   Art. 2. Disposizioni generali 1. Gli allegati A, B e C, con le schede in essi contenute e riferiti, rispettivamente, ai trattamenti di cui alle lettere a), b) e c) dell'articolo 1, comma 1, che formano parte integrante del presente regolamento, individuano i dati sensibili e giudiziari per i quali e' consentito il relativo trattamento, nonche' le operazioni eseguibili, in riferimento alle specifiche finalita' di rilevante interesse pubblico perseguite. 2. I dati sensibili e giudiziari cosi' raccolti sono trattati, previa verifica della loro pertinenza, completezza ed indispensabilita' rispetto alle finalita' perseguite nei singoli casi, specie quando la raccolta non avviene presso l'interessato. 3. Le operazioni di comunicazione, raffronto e di trasferimento di dati sulla salute all'estero individuate nel presente regolamento sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o compiti di volta in volta indicati, per il perseguimento delle rilevanti finalita' di interesse pubblico specificato e nel rispetto delle disposizioni in materia di protezione dei dati personali, nonche' degli altri limiti stabiliti dalla legge e dai regolamenti. I raffronti effettuati utilizzando banche di dati di diversi titolari del trattamento sono ammessi esclusivamente previa verifica della loro stretta indispensabilita' nei singoli casi e nel rispetto dei limiti e con le modalita' stabiliti dalle disposizioni legislative che le prevedono. 4. Sono inutilizzabili i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali (articoli 11 e 22, comma 5, del decreto legislativo 30 giugno 2003, n. 196). Note all'art. 2: - L'art. 11 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) e' il seguente: «Art. 11 (Modalita' del trattamento e requisiti dei dati). - 1. I dati personali oggetto di trattamento sono: a) trattati in modo lecito e secondo correttezza; b) raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati in altre operazioni del trattamento in termini compatibili con tali scopi; c) esatti e, se necessario, aggiornati; d) pertinenti, completi e non eccedenti rispetto alle finalita' per le quali sono raccolti o successivamente trattati; e) conservati in una forma che consenta l'identificazione dell'interessato per un periodo di tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o successivamente trattati. 2. I dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali non possono essere utilizzati.». - Per il testo dell'art. 22, comma 5, del decreto legislativo n. 196 del 2003, si veda nelle note alle premesse.   Art. 3. Riferimenti normativi Al fine di una maggiore semplificazione e leggibilita' del presente regolamento, le disposizioni di legge, citate nella parte descrittiva delle «fonti normative» delle schede, si intendono come recanti le successive modifiche e integrazioni. Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare. Roma, 12 dicembre 2007 Il Ministro: Turco Visto, il Guardasigilli: Scotti Registrato alla Corte dei conti il 18 febbraio 2008 Ufficio di controllo preventivo sui Ministeri dei servizi alla persona e dei beni culturali, registro n. 1, foglio n. 182   Allegati A, B e C ----> Vedere allegati da pag. 7 a pag. 63 <----