[doc. web n. 1272225]

Trattamento dei dati sensibili e giudiziari da effettuarsi presso le regioni, le province autonome e le aziende sanitarie - 13 aprile 2006

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la richiesta di parere sullo schema tipo di regolamento per il trattamento dei dati personali sensibili e giudiziari da effettuarsi presso le regioni e le province autonome, le aziende sanitarie, gli enti regionali/provinciali, gli enti vigilati e controllati dalle regioni e dalle province autonome, presentata dalla Conferenza delle regioni e delle province autonome (prot. n. 2393/A1 INFO-A4SAN del 23 giugno 2004 e n. 1359/A1 INFO/A4 SAN del 28 marzo 2006 );

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante, n. 1/2000;

Relatore il prof. Francesco Pizzetti;

PREMESSO:

La Conferenza delle regioni e delle province autonome ha chiesto il parere del Garante in ordine ad uno schema tipo di regolamento per il trattamento dei dati personali sensibili e giudiziari da effettuarsi presso le regioni e le province autonome, le aziende sanitarie, gli enti regionali/provinciali e gli enti vigilati e controllati dalle regioni e dalle province autonome.

Le regioni e le province autonome, le aziende sanitarie, gli enti regionali/provinciali e gli enti vigilati e controllati dalle regioni e dalle province autonome, al pari degli altri soggetti pubblici, possono trattare i dati sensibili e giudiziari (fatto salvo quanto previsto dagli artt. 75 e seguenti del Codice per i trattamenti effettuati dalle aziende sanitarie per finalità di diagnosi, prevenzione e cura della salute),  in base ad un'espressa disposizione di legge nella quale siano specificati i tipi di dati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. In presenza di una disposizione primaria che si limiti a specificare solo la finalità di rilevante interesse pubblico, è necessario identificare e rendere pubblici, in un atto di natura regolamentare conforme al parere reso dal Garante, i tipi di dati sensibili o giudiziari, nonché le operazioni eseguibili in relazione alle finalità perseguite nei singoli casi, al fine di rendere legittimo il trattamento.

A tale scopo, le regioni e le province autonome sono tenute ad adottare un atto di natura regolamentare conforme al parere reso dal Garante, che, in armonia con il principio di semplificazione nel quadro di un elevato livello di tutela dei diritti, può essere fornito anche su schemi-tipo (art. 20 del Codice).

In questa prospettiva, il Garante ha intrapreso alcune iniziative con la Conferenza delle regioni e delle province autonome, che ha così predisposto lo schema tipo di regolamento in esame al fine di identificare i tipi di dati che le regioni e le province autonome, le aziende sanitarie, gli enti regionali/provinciali e gli enti vigilati e controllati dalle regioni e dalle province autonome intendono trattare, con le operazioni individuate in relazione alle specifiche finalità perseguite nei singoli casi (art. 20, comma 2, del Codice).

Il regolamento che verrà predisposto dalle regioni e dalle province autonome per il trattamento dei dati personali sensibili e giudiziari da effettuarsi presso tali enti e presso le aziende sanitarie, gli enti regionali/provinciali e gli enti vigilati e controllati dalle regioni e dalle province autonome non dovrà essere sottoposto nuovamente al Garante per il parere, qualora sia adottato in conformità allo schema tipo.

Eventuali, ulteriori trattamenti di dati sensibili e/o giudiziari non considerati nello schema in esame non potranno essere effettuati. Laddove si renda indispensabile trattare ulteriori categorie di dati, o eseguire altre operazioni di trattamento per perseguire finalità di rilevante interesse pubblico individuate dalla legge, le integrazioni o modifiche dovranno essere sottoposte nuovamente al parere del Garante.

TUTTO CIÒ PREMESSO IL GARANTE:

ai sensi degli articoli 20, comma 2, e 154, comma 1, lett. g) del Codice, esprime parere favorevole sullo schema tipo di regolamento predisposto dalla Conferenza delle regioni e delle province autonome per il trattamento dei dati personali sensibili e giudiziari da effettuarsi presso le regioni e le province autonome, le aziende sanitarie, gli enti regionali/provinciali e gli enti vigilati e controllati dalle regioni e dalle province autonome in relazione alle finalità perseguite nei singoli casi.

Roma, 13 aprile 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Pizzetti

IL SEGRETARIO GENERALE
Buttarelli