MINISTERO DELLA SALUTE

DECRETO 12 dicembre 2007, n. 277

Regolamento di attuazione dell'articolo 20, commi 2 e 3, dell'articolo 21 e dell'articolo 181, comma 1, lettera a) del decreto legislativo 30 giugno 2003, n. 196, recante: «Codice in materia di protezione dei dati personali».

note: Entrata in vigore del provvedimento: 2/4/2008
vigente al 28/09/2022
  • Allegati
Testo in vigore dal: 2-4-2008
                      IL MINISTRO DELLA SALUTE
    Visto  l'articolo 17, commi 3 e 4, della legge 23 agosto 1988, n.
400;
    Visto  il  decreto del Presidente della Repubblica 28 marzo 2003,
n.   129,   con   il   quale  e'  stato  emanato  il  regolamento  di
organizzazione del Ministero della salute;
    Visto  il  decreto  legislativo 30 giugno 2003, n. 196 «Codice in
materia  di  protezione  dei  dati  personali», di seguito denominato
Codice;
    Considerato che
      gli  articoli 20, comma 2, e l'articolo 21, comma 2 del Codice,
stabiliscono che nei casi in cui una disposizione di legge specifichi
la  finalita'  di rilevante interesse pubblico, ma non i tipi di dati
sensibili  e  giudiziari trattabili ed i tipi di operazioni su questi
eseguibili,  il  trattamento e' consentito solo in riferimento a quei
tipi  di dati e di operazioni identificati e resi pubblici a cura dei
soggetti   che  ne  effettuano  il  trattamento,  in  relazione  alle
specifiche finalita' perseguite nei singoli casi;
      ai sensi del citato articolo 20, comma 2, l'identificazione dei
tipi   di  dati  e  operazioni  deve  avvenire  con  atto  di  natura
regolamentare  adottato in conformita' al parere espresso dal Garante
per  la  protezione dei dati personali (di seguito denominato Garante
ovvero  Autorita'  Garante),  ai  sensi  dell'articolo 154,  comma 1,
lettera g);
      l'articolo 20,     comma 4,    del    Codice,    prevede    che
l'identificazione  di  cui  all'articolo 20,  comma 2,  debba  essere
aggiornata e integrata periodicamente;
      l'articolo 22,  comma 5,  del  Codice,  prevede  che i soggetti
pubblici  verificano periodicamente l'esattezza e l'aggiornamento dei
dati sensibili e giudiziari, nonche' la loro pertinenza, completezza,
non  eccedenza e indispensabilita' rispetto alle finalita' perseguite
nei  singoli  casi,  anche  con riferimento ai dati che l'interessato
fornisce di propria iniziativa;
    Ritenuto  che  si rende necessaria la redazione di un regolamento
per  il  trattamento  dei dati sensibili e giudiziari ex articolo 20,
comma 2,  e  articolo  21,  comma 2 del Codice, di cui e' titolare il
Ministero della salute;
    Ritenuto che nel presente regolamento non sono inseriti i tipi di
dati  e  le  operazioni  eseguibili concernenti dati non compresi tra
quelli  sensibili  o giudiziari, nonche' i trattamenti effettuati per
finalita'   di   tutela   della   salute  o  dell'incolumita'  fisica
dell'interessato,  di  un terzo o della collettivita', per i quali si
osservano  le  disposizioni  di  cui  all'articolo 76,  comma 1,  del
Codice;
    Vista  l'autorizzazione del Garante n. 7, relativa al trattamento
di  dati  giudiziari  ai  fini  dell'applicazione  della normativa in
materia  di  comunicazioni e certificazioni antimafia o in materia di
prevenzione  della delinquenza di tipo mafioso e di altre gravi forme
di manifestazione di pericolosita' sociale, che specifica, oltre alle
rilevanti finalita' di interesse pubblico, anche le tipologie di dati
e  le  operazioni  eseguibili  ai sensi dell'articolo 21, comma 1 del
Codice;
    Considerato  che tra le operazioni effettuate dal Ministero della
salute  che  possono  spiegare effetti maggiormente significativi per
l'interessato,  rientrano,  in  particolare, quelle svolte pressoche'
interamente   mediante   siti  web,  o  volte  a  definire  in  forma
completamente automatizzata profili o personalita' di interessati, le
interconnessioni  e i raffronti tra banche di dati gestite da diversi
titolari,  oppure  con  altre  informazioni  sensibili  e giudiziarie
detenute   dal   medesimo   titolare   del  trattamento,  nonche'  il
trasferimento di dati all'estero, la comunicazione e la diffusione;
    Acquisito  il  parere  del  Garante  per  la  protezione dei dati
personali,  reso ai sensi dell'articolo 154, comma 1, lettera g), del
decreto legislativo 30 giugno 2003, n. 196 in data 28 febbraio 2007;
    Vista  la comunicazione al Presidente del Consiglio dei Ministri,
a  norma  dell'articolo 17,  comma 3,  della  citata legge n. 400 del
1988,  con nota del 7 novembre 2007 e il relativo nulla osta con nota
del 16 novembre 2007;
    Udito  il  parere  del  Consiglio di Stato espresso dalla Sezione
consultiva  per  gli  atti  normativi  nell'adunanza del 17 settembre
2007;
                             A d o t t a
                      il seguente regolamento:
                               Art. 1.
                               Oggetto
    1.  Il presente regolamento, in attuazione degli articoli 20 e 21
del decreto legislativo 30 giugno 2003, n. 196, recante il «codice in
materia  di protezione dei dati personali», identifica i tipi di dati
sensibili  e  giudiziari  e  le  operazioni  eseguibili  da parte del
Ministero della salute nello svolgimento:
      a) delle attivita' istituzionali strumentali al funzionamento e
all'organizzazione del Ministero;
      b) delle   attivita'  amministrative  correlate  alla  gestione
dell'assistenza sanitaria al personale navigante (SASN);
      c) delle  attivita' istituzionali del Ministero nell'ambito del
Sistema sanitario nazionale.
          Avvertenza:
              Il  testo  delle  note  qui pubblicato e' stato redatto
          dall'amministrazione   competente   per  materia  ai  sensi
          dell'art.  10,  comma 3, del testo unico delle disposizioni
          sulla   promulgazione   delle  leggi,  sull'emanazione  dei
          decreti   del   Presidente   della   Repubblica   e   sulle
          pubblicazioni    ufficiali   della   Repubblica   italiana,
          approvato con D.P.R. 28 dicembre 1985, n. 109, al solo fine
          di  facilitare  la lettura delle disposizioni di legge alle
          quali  e'  operato il rinvio. Restano invariati il valore e
          l'efficacia degli atti legislativi qui trascritti.
          Note al titolo:
              - Si  riporta  il  testo  degli  articoli  20  e 21 del
          decreto  legislativo  30 giugno  2003,  n.  196  (Codice in
          materia di protezione dei dati personali):
              «Art.  20  (Principi applicabili al trattamento di dati
          sensibili). - 1. Il trattamento dei dati sensibili da parte
          di  soggetti  pubblici e' consentito solo se autorizzato da
          espressa disposizione di legge nella quale sono specificati
          i  tipi di dati che possono essere trattati e di operazioni
          eseguibili  e  le finalita' di rilevante interesse pubblico
          perseguite.
              2.  Nei casi in cui una disposizione di legge specifica
          la finalita' di rilevante interesse pubblico, ma non i tipi
          di   dati   sensibili   e   di  operazioni  eseguibili,  il
          trattamento  e'  consentito  solo in riferimento ai tipi di
          dati  e  di  operazioni identificati e resi pubblici a cura
          dei soggetti che ne effettuano il trattamento, in relazione
          alle specifiche finalita' perseguite nei singoli casi e nel
          rispetto  dei  principi  di  cui  all'art.  22, con atto di
          natura  regolamentare  adottato  in  conformita'  al parere
          espresso  dal  Garante  ai  sensi  dell'art.  154, comma 1,
          lettera g), anche su schemi tipo.
              3.  Se  il trattamento non e' previsto espressamente da
          una  disposizione  di  legge  i  soggetti  pubblici possono
          richiedere al Garante l'individuazione delle attivita', tra
          quelle  demandate  ai  medesimi  soggetti  dalla legge, che
          perseguono  finalita' di rilevante interesse pubblico e per
          le   quali   e'   conseguentemente  autorizzato,  ai  sensi
          dell'art.  26,  comma 2, il trattamento dei dati sensibili.
          Il  trattamento  e' consentito solo se il soggetto pubblico
          provvede  altresi' a identificare e rendere pubblici i tipi
          di dati e di operazioni nei modi di cui al comma 2.
              4.  L'identificazione  dei tipi di dati e di operazioni
          di   cui   ai   commi 2  e  3  e'  aggiornata  e  integrata
          periodicamente.».
              «Art.  21  (Principi applicabili al trattamento di dati
          giudiziari).  -  1. Il  trattamento  di  dati giudiziari da
          parte   di   soggetti   pubblici   e'  consentito  solo  se
          autorizzato   da   espressa   disposizione   di   legge   o
          provvedimento  del Garante che specifichino le finalita' di
          rilevante  interesse  pubblico  del  trattamento, i tipi di
          dati trattati e di operazioni eseguibili.
              2.  Le disposizioni di cui all'art. 20, commi 2 e 4, si
          applicano anche al trattamento dei dati giudiziari.».
              - Il  comma 1,  lettera  a),  dell'art. 181 del decreto
          legislativo  30 giugno  2003,  n. 196 (Codice in materia di
          protezione dei dati personali) e' il seguente:
              «Art.  181 (Altre disposizioni transitorie). - 1. Per i
          trattamenti di dati personali iniziati prima del 1° gennaio
          2004, in sede di prima applicazione del presente codice: a)
          l'identificazione con atto di natura regolamentare dei tipi
          di dati e di operazioni ai sensi degli articoli 20, commi 2
          e  3,  e 21, comma 2, e' effettuata, ove mancante, entro il
          30 settembre 2004.».
          Note alle premesse:
              - I  commi 3  e  4  dell'art.  17 della legge 23 agosto
          1988,  n.  400  (Disciplina  dell'attivita'  di  Governo  e
          ordinamento  della  Presidenza  del Consiglio dei Ministri)
          sono i seguenti:
              «3.  Con  decreto  ministeriale possono essere adottati
          regolamenti  nelle  materie di competenza del Ministro o di
          autorita'   sottordinate   al  Ministro,  quando  la  legge
          espressamente conferisca tale potere. Tali regolamenti, per
          materie  di  competenza  di  piu'  Ministri, possono essere
          adottati  con  decreti interministeriali, ferma restando la
          necessita' di apposita autorizzazione da parte della legge.
          I regolamenti ministeriali ed interministeriali non possono
          dettare  norme  contrarie  a quelle dei regolamenti emanati
          dal  Governo.  Essi debbono essere comunicati al Presidente
          del Consiglio dei Ministri prima della loro emanazione.
              4.  I  regolamenti  di  cui al comma 1 ed i regolamenti
          ministeriali  ed  interministeriali,  che  devono recare la
          denominazione di "regolamento", sono adottati previo parere
          del  Consiglio  di  Stato,  sottoposti  al  visto  ed  alla
          registrazione  della  Corte  dei  conti  e pubblicati nella
          Gazzetta Ufficiale.».
              - Il  decreto  del Presidente della Repubblica 28 marzo
          2003,  n.  129 (Regolamento di organizzazione del Ministero
          della  salute) e' stato pubblicato nella Gazzetta Ufficiale
          n. 129 del 6 giugno 2003.
              - Il  comma 5  dell'art.  22  del  decreto  legislativo
          30 giugno 2003, n. 196 (Codice in materia di protezione dei
          dati personali) e' il seguente:
              «Art.  22  (Principi applicabili al trattamento di dati
          sensibili e giudiziari). - 1.-4. (Omissis).
              5.    In    applicazione    dell'art.    11,   comma 1,
          lettere c), d)   ed e),   i  soggetti  pubblici  verificano
          periodicamente   l'esattezza  e  l'aggiornamento  dei  dati
          sensibili   e   giudiziari,  nonche'  la  loro  pertinenza,
          completezza,  non  eccedenza  e  indispensabilita' rispetto
          alle  finalita'  perseguite  nei  singoli  casi,  anche con
          riferimento  ai  dati che l'interessato fornisce di propria
          iniziativa.  Al  fine  di assicurare che i dati sensibili e
          giudiziari siano indispensabili rispetto agli obblighi e ai
          compiti  loro  attribuiti,  i  soggetti  pubblici  valutano
          specificamente  il rapporto tra i dati e gli adempimenti. I
          dati  che,  anche  a  seguito  delle  verifiche,  risultano
          eccedenti o non pertinenti o non indispensabili non possono
          essere utilizzati, salvo che per l'eventuale conservazione,
          a  norma  di  legge,  dell'atto  o  del  documento  che  li
          contiene.  Specifica attenzione e' prestata per la verifica
          dell'indispensabilita'  dei  dati  sensibili  e  giudiziari
          riferiti  a  soggetti  diversi da quelli cui si riferiscono
          direttamente le prestazioni o gli adempimenti.
              - Il  comma 1  dell'art.  76  del  decreto  legislativo
          30 giugno 2003, n. 196 (Codice in materia di protezione dei
          dati personali) e' il seguente:
              «Art.  76  (Esercenti professioni sanitarie e organismi
          sanitari  pubblici).  -  1.  Gli  esercenti  le professioni
          sanitarie   e   gli   organismi  sanitari  pubblici,  anche
          nell'ambito di un'attivita' di rilevante interesse pubblico
          ai  sensi  dell'art. 85, trattano i dati personali idonei a
          rivelare lo stato di salute:
                a)  con  il  consenso  dell'interessato e anche senza
          l'autorizzazione  del  Garante,  se il trattamento riguarda
          dati   e   operazioni  indispensabili  per  perseguire  una
          finalita'  di tutela della salute o dell'incolumita' fisica
          dell'interessato;
                b)  anche senza il consenso dell'interessato e previa
          autorizzazione  del  Garante,  se  la finalita' di cui alla
          lettera a) riguarda un terzo o la collettivita'.».
              - Il  comma 1,  lettera  g),  dell'art. 154 del decreto
          legislativo  30 giugno 2003, n. 196 - (Codice in materia di
          protezione dei dati personali) e' il seguente:
              «Art.  154  (Compiti).  - 1. Oltre a quanto previsto da
          specifiche  disposizioni,  il  Garante,  anche  avvalendosi
          dell'Ufficio  e  in  conformita'  al presente codice, ha il
          compito di:
                a)-f) (omissis);
                g) esprimere pareri nei casi previsti.».