DECRETO 12 dicembre 2007, n. 277

MINISTERO DELLA SALUTE

DECRETO 12 dicembre 2007, n. 277

Regolamento di attuazione dell'articolo 20, commi 2 e 3, dell'articolo 21 e dell'articolo 181, comma 1, lettera a) del decreto legislativo 30 giugno 2003, n. 196, recante: «Codice in materia di protezione dei dati personali».

note: Entrata in vigore del provvedimento: 2/4/2008

(GU n.66 del 18-03-2008 - Suppl. Ordinario n. 63) visualizza atto intero

nascondi

vigente al 19/04/2024

Articoli
1
2
3

Allegati

Elenco Allegati
Elenco Allegati
Allegato A
01
02
Allegato B
01
02
03
Allegato C
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17

articolo successivo

Testo in vigore dal: 2-4-2008

IL MINISTRO DELLA SALUTE

Visto l'articolo 17, commi 3 e 4, della legge 23 agosto 1988, n. 400;

Visto il decreto del Presidente della Repubblica 28 marzo 2003, n. 129, con il quale è stato emanato il regolamento di organizzazione del Ministero della salute;

Visto il decreto legislativo 30 giugno 2003, n. 196 «Codice in materia di protezione dei dati personali», di seguito denominato Codice;

Considerato che

gli articoli 20, comma 2, e l'articolo 21, comma 2 del Codice, stabiliscono che nei casi in cui una disposizione di legge specifichi la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e giudiziari trattabili ed i tipi di operazioni su questi eseguibili, il trattamento è consentito solo in riferimento a quei tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi;

ai sensi del citato articolo 20, comma 2, l'identificazione dei tipi di dati e operazioni deve avvenire con atto di natura regolamentare adottato in conformità al parere espresso dal Garante per la protezione dei dati personali (di seguito denominato Garante ovvero Autorità Garante), ai sensi dell'articolo 154, comma 1, lettera g);

l'articolo 20, comma 4, del Codice, prevede che l'identificazione di cui all'articolo 20, comma 2, debba essere aggiornata e integrata periodicamente;

l'articolo 22, comma 5, del Codice, prevede che i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa;

Ritenuto che si rende necessaria la redazione di un regolamento per il trattamento dei dati sensibili e giudiziari ex articolo 20, comma 2, e articolo 21, comma 2 del Codice, di cui è titolare il Ministero della salute;

Ritenuto che nel presente regolamento non sono inseriti i tipi di dati e le operazioni eseguibili concernenti dati non compresi tra quelli sensibili o giudiziari, nonché i trattamenti effettuati per finalità di tutela della salute o dell'incolumità fisica dell'interessato, di un terzo o della collettività, per i quali si osservano le disposizioni di cui all'articolo 76, comma 1, del Codice;

Vista l'autorizzazione del Garante n. 7, relativa al trattamento di dati giudiziari ai fini dell'applicazione della normativa in materia di comunicazioni e certificazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di manifestazione di pericolosità sociale, che specifica, oltre alle rilevanti finalità di interesse pubblico, anche le tipologie di dati e le operazioni eseguibili ai sensi dell'articolo 21, comma 1 del Codice;

Considerato che tra le operazioni effettuate dal Ministero della salute che possono spiegare effetti maggiormente significativi per l'interessato, rientrano, in particolare, quelle svolte pressoché interamente mediante siti web, o volte a definire in forma completamente automatizzata profili o personalità di interessati, le interconnessioni e i raffronti tra banche di dati gestite da diversi titolari, oppure con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento, nonché il trasferimento di dati all'estero, la comunicazione e la diffusione;

Acquisito il parere del Garante per la protezione dei dati personali, reso ai sensi dell'articolo 154, comma 1, lettera g), del decreto legislativo 30 giugno 2003, n. 196 in data 28 febbraio 2007;

Vista la comunicazione al Presidente del Consiglio dei Ministri, a norma dell'articolo 17, comma 3, della citata legge n. 400 del 1988, con nota del 7 novembre 2007 e il relativo nulla osta con nota del 16 novembre 2007;

Udito il parere del Consiglio di Stato espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 17 settembre 2007;

Adotta

il seguente regolamento:

Art. 1

Oggetto

1. Il presente regolamento, in attuazione degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196, recante il «codice in materia di protezione dei dati personali», identifica i tipi di dati sensibili e giudiziari e le operazioni eseguibili da parte del Ministero della salute nello svolgimento:

a) delle attività istituzionali strumentali al funzionamento e all'organizzazione del Ministero;

b) delle attività amministrative correlate alla gestione dell'assistenza sanitaria al personale navigante (SASN);

c) delle attività istituzionali del Ministero nell'ambito del Sistema sanitario nazionale.

Avvertenza:
Il testo delle note qui pubblicato è stato redatto dall'amministrazione competente per materia ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 109, al solo fine di facilitare la lettura delle disposizioni di legge alle quali è operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti.
Note al titolo:
- Si riporta il testo degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali):
«Art. 20 (Principi applicabili al trattamento di dati sensibili). - 1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all'art. 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'art. 154, comma 1, lettera g), anche su schemi tipo.
3. Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell'art. 26, comma 2, il trattamento dei dati sensibili.
Il trattamento è consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.
4. L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente.».
«Art. 21 (Principi applicabili al trattamento di dati giudiziari). - 1. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.
2. Le disposizioni di cui all'art. 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.».
- Il comma 1, lettera a), dell'art. 181 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) è il seguente:
«Art. 181 (Altre disposizioni transitorie). - 1. Per i trattamenti di dati personali iniziati prima del 1° gennaio 2004, in sede di prima applicazione del presente codice: a) l'identificazione con atto di natura regolamentare dei tipi di dati e di operazioni ai sensi degli articoli 20, commi 2 e 3, e 21, comma 2, è effettuata, ove mancante, entro il 30 settembre 2004.».
Note alle premesse:
- I commi 3 e 4 dell'art. 17 della legge 23 agosto 1988, n. 400 (Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri) sono i seguenti:
«3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del Ministro o di autorità sottordinate al Ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di più Ministri, possono essere adottati con decreti interministeriali, ferma restando la necessità di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei Ministri prima della loro emanazione.
4. I regolamenti di cui al comma 1 ed i regolamenti ministeriali ed interministeriali, che devono recare la denominazione di "regolamento", sono adottati previo parere del Consiglio di Stato, sottoposti al visto ed alla registrazione della Corte dei conti e pubblicati nella Gazzetta Ufficiale.».
- Il decreto del Presidente della Repubblica 28 marzo 2003, n. 129 (Regolamento di organizzazione del Ministero della salute) è stato pubblicato nella Gazzetta Ufficiale n. 129 del 6 giugno 2003.
- Il comma 5 dell'art. 22 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) è il seguente:
«Art. 22 (Principi applicabili al trattamento di dati sensibili e giudiziari). - 1.-4. (Omissis).
5. In applicazione dell'art. 11, comma 1, lettere c), d) ed e), i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. Al fine di assicurare che i dati sensibili e giudiziari siano indispensabili rispetto agli obblighi e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli adempimenti. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione è prestata per la verifica dell'indispensabilità dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti.
- Il comma 1 dell'art. 76 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali) è il seguente:
«Art. 76 (Esercenti professioni sanitarie e organismi sanitari pubblici). - 1. Gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, anche nell'ambito di un'attività di rilevante interesse pubblico ai sensi dell'art. 85, trattano i dati personali idonei a rivelare lo stato di salute:
a) con il consenso dell'interessato e anche senza l'autorizzazione del Garante, se il trattamento riguarda dati e operazioni indispensabili per perseguire una finalità di tutela della salute o dell'incolumità fisica dell'interessato;
b) anche senza il consenso dell'interessato e previa autorizzazione del Garante, se la finalità di cui alla lettera a) riguarda un terzo o la collettività.».
- Il comma 1, lettera g), dell'art. 154 del decreto legislativo 30 giugno 2003, n. 196 - (Codice in materia di protezione dei dati personali) è il seguente:
«Art. 154 (Compiti). - 1. Oltre a quanto previsto da specifiche disposizioni, il Garante, anche avvalendosi dell'Ufficio e in conformità al presente codice, ha il compito di:
a)-f) (omissis);
g) esprimere pareri nei casi previsti.».

articolo successivo

nascondi