MINISTERO DELLA SALUTE - DECRETO - 12 dicembre 2007, n. 277 - Regolamento di attuazione dell'articolo 20, commi 2 e 3, dell'articolo 21 e dell'articolo 181, comma 1, lettera a) del decreto legislativo 30 giugno 2003, n. 196, recante: «Codice in materia di protezione dei dati personali». (GU n. 66 del 18-3-2008 | Chimici.info

MINISTERO DELLA SALUTE – DECRETO – 12 dicembre 2007, n. 277 – Regolamento di attuazione dell’articolo 20, commi 2 e 3, dell’articolo 21 e dell’articolo 181, comma 1, lettera a) del decreto legislativo 30 giugno 2003, n. 196, recante: «Codice in materia di protezione dei dati personali». (GU n. 66 del 18-3-2008

MINISTERO DELLA SALUTE - DECRETO - 12 dicembre 2007, n. 277 - Regolamento di attuazione dell'articolo 20, commi 2 e 3, dell'articolo 21 e dell'articolo 181, comma 1, lettera a) del decreto legislativo 30 giugno 2003, n. 196, recante: «Codice in materia di protezione dei dati personali». (GU n. 66 del 18-3-2008 - Suppl. Ordinario n.63)

MINISTERO DELLA SALUTE

DECRETO 12 dicembre 2007 – , n. 277

Regolamento di attuazione dell’articolo 20, commi 2 e 3,
dell’articolo 21 e dell’articolo 181, comma 1, lettera a) del decreto
legislativo 30 giugno 2003, n. 196, recante: «Codice in materia di
protezione dei dati personali».

IL MINISTRO DELLA SALUTE
Visto l’articolo 17, commi 3 e 4, della legge 23 agosto 1988, n.
400;
Visto il decreto del Presidente della Repubblica 28 marzo 2003,
n. 129, con il quale e’ stato emanato il regolamento di
organizzazione del Ministero della salute;
Visto il decreto legislativo 30 giugno 2003, n. 196 «Codice in
materia di protezione dei dati personali», di seguito denominato
Codice;
Considerato che
gli articoli 20, comma 2, e l’articolo 21, comma 2 del Codice,
stabiliscono che nei casi in cui una disposizione di legge specifichi
la finalita’ di rilevante interesse pubblico, ma non i tipi di dati
sensibili e giudiziari trattabili ed i tipi di operazioni su questi
eseguibili, il trattamento e’ consentito solo in riferimento a quei
tipi di dati e di operazioni identificati e resi pubblici a cura dei
soggetti che ne effettuano il trattamento, in relazione alle
specifiche finalita’ perseguite nei singoli casi;
ai sensi del citato articolo 20, comma 2, l’identificazione dei
tipi di dati e operazioni deve avvenire con atto di natura
regolamentare adottato in conformita’ al parere espresso dal Garante
per la protezione dei dati personali (di seguito denominato Garante
ovvero Autorita’ Garante), ai sensi dell’articolo 154, comma 1,
lettera g);
l’articolo 20, comma 4, del Codice, prevede che
l’identificazione di cui all’articolo 20, comma 2, debba essere
aggiornata e integrata periodicamente;
l’articolo 22, comma 5, del Codice, prevede che i soggetti
pubblici verificano periodicamente l’esattezza e l’aggiornamento dei
dati sensibili e giudiziari, nonche’ la loro pertinenza, completezza,
non eccedenza e indispensabilita’ rispetto alle finalita’ perseguite
nei singoli casi, anche con riferimento ai dati che l’interessato
fornisce di propria iniziativa;
Ritenuto che si rende necessaria la redazione di un regolamento
per il trattamento dei dati sensibili e giudiziari ex articolo 20,
comma 2, e articolo 21, comma 2 del Codice, di cui e’ titolare il
Ministero della salute;
Ritenuto che nel presente regolamento non sono inseriti i tipi di
dati e le operazioni eseguibili concernenti dati non compresi tra
quelli sensibili o giudiziari, nonche’ i trattamenti effettuati per
finalita’ di tutela della salute o dell’incolumita’ fisica
dell’interessato, di un terzo o della collettivita’, per i quali si
osservano le disposizioni di cui all’articolo 76, comma 1, del
Codice;
Vista l’autorizzazione del Garante n. 7, relativa al trattamento
di dati giudiziari ai fini dell’applicazione della normativa in
materia di comunicazioni e certificazioni antimafia o in materia di
prevenzione della delinquenza di tipo mafioso e di altre gravi forme
di manifestazione di pericolosita’ sociale, che specifica, oltre alle
rilevanti finalita’ di interesse pubblico, anche le tipologie di dati
e le operazioni eseguibili ai sensi dell’articolo 21, comma 1 del
Codice;
Considerato che tra le operazioni effettuate dal Ministero della
salute che possono spiegare effetti maggiormente significativi per
l’interessato, rientrano, in particolare, quelle svolte pressoche’
interamente mediante siti web, o volte a definire in forma
completamente automatizzata profili o personalita’ di interessati, le
interconnessioni e i raffronti tra banche di dati gestite da diversi
titolari, oppure con altre informazioni sensibili e giudiziarie
detenute dal medesimo titolare del trattamento, nonche’ il
trasferimento di dati all’estero, la comunicazione e la diffusione;
Acquisito il parere del Garante per la protezione dei dati
personali, reso ai sensi dell’articolo 154, comma 1, lettera g), del
decreto legislativo 30 giugno 2003, n. 196 in data 28 febbraio 2007;
Vista la comunicazione al Presidente del Consiglio dei Ministri,
a norma dell’articolo 17, comma 3, della citata legge n. 400 del
1988, con nota del 7 novembre 2007 e il relativo nulla osta con nota
del 16 novembre 2007;
Udito il parere del Consiglio di Stato espresso dalla Sezione
consultiva per gli atti normativi nell’adunanza del 17 settembre
2007;
A d o t t a
il seguente regolamento:
Art. 1.
Oggetto
1. Il presente regolamento, in attuazione degli articoli 20 e 21
del decreto legislativo 30 giugno 2003, n. 196, recante il «codice in
materia di protezione dei dati personali», identifica i tipi di dati
sensibili e giudiziari e le operazioni eseguibili da parte del
Ministero della salute nello svolgimento:
a) delle attivita’ istituzionali strumentali al funzionamento e
all’organizzazione del Ministero;
b) delle attivita’ amministrative correlate alla gestione
dell’assistenza sanitaria al personale navigante (SASN);
c) delle attivita’ istituzionali del Ministero nell’ambito del
Sistema sanitario nazionale.

Avvertenza:
Il testo delle note qui pubblicato e’ stato redatto
dall’amministrazione competente per materia ai sensi
dell’art. 10, comma 3, del testo unico delle disposizioni
sulla promulgazione delle leggi, sull’emanazione dei
decreti del Presidente della Repubblica e sulle
pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 109, al solo fine
di facilitare la lettura delle disposizioni di legge alle
quali e’ operato il rinvio. Restano invariati il valore e
l’efficacia degli atti legislativi qui trascritti.
Note al titolo:
– Si riporta il testo degli articoli 20 e 21 del
decreto legislativo 30 giugno 2003, n. 196 (Codice in
materia di protezione dei dati personali):
«Art. 20 (Principi applicabili al trattamento di dati
sensibili). – 1. Il trattamento dei dati sensibili da parte
di soggetti pubblici e’ consentito solo se autorizzato da
espressa disposizione di legge nella quale sono specificati
i tipi di dati che possono essere trattati e di operazioni
eseguibili e le finalita’ di rilevante interesse pubblico
perseguite.
2. Nei casi in cui una disposizione di legge specifica
la finalita’ di rilevante interesse pubblico, ma non i tipi
di dati sensibili e di operazioni eseguibili, il
trattamento e’ consentito solo in riferimento ai tipi di
dati e di operazioni identificati e resi pubblici a cura
dei soggetti che ne effettuano il trattamento, in relazione
alle specifiche finalita’ perseguite nei singoli casi e nel
rispetto dei principi di cui all’art. 22, con atto di
natura regolamentare adottato in conformita’ al parere
espresso dal Garante ai sensi dell’art. 154, comma 1,
lettera g), anche su schemi tipo.
3. Se il trattamento non e’ previsto espressamente da
una disposizione di legge i soggetti pubblici possono
richiedere al Garante l’individuazione delle attivita’, tra
quelle demandate ai medesimi soggetti dalla legge, che
perseguono finalita’ di rilevante interesse pubblico e per
le quali e’ conseguentemente autorizzato, ai sensi
dell’art. 26, comma 2, il trattamento dei dati sensibili.
Il trattamento e’ consentito solo se il soggetto pubblico
provvede altresi’ a identificare e rendere pubblici i tipi
di dati e di operazioni nei modi di cui al comma 2.
4. L’identificazione dei tipi di dati e di operazioni
di cui ai commi 2 e 3 e’ aggiornata e integrata
periodicamente.».
«Art. 21 (Principi applicabili al trattamento di dati
giudiziari). – 1. Il trattamento di dati giudiziari da
parte di soggetti pubblici e’ consentito solo se
autorizzato da espressa disposizione di legge o
provvedimento del Garante che specifichino le finalita’ di
rilevante interesse pubblico del trattamento, i tipi di
dati trattati e di operazioni eseguibili.
2. Le disposizioni di cui all’art. 20, commi 2 e 4, si
applicano anche al trattamento dei dati giudiziari.».
– Il comma 1, lettera a), dell’art. 181 del decreto
legislativo 30 giugno 2003, n. 196 (Codice in materia di
protezione dei dati personali) e’ il seguente:
«Art. 181 (Altre disposizioni transitorie). – 1. Per i
trattamenti di dati personali iniziati prima del 1° gennaio
2004, in sede di prima applicazione del presente codice: a)
l’identificazione con atto di natura regolamentare dei tipi
di dati e di operazioni ai sensi degli articoli 20, commi 2
e 3, e 21, comma 2, e’ effettuata, ove mancante, entro il
30 settembre 2004.».
Note alle premesse:
– I commi 3 e 4 dell’art. 17 della legge 23 agosto
1988, n. 400 (Disciplina dell’attivita’ di Governo e
ordinamento della Presidenza del Consiglio dei Ministri)
sono i seguenti:
«3. Con decreto ministeriale possono essere adottati
regolamenti nelle materie di competenza del Ministro o di
autorita’ sottordinate al Ministro, quando la legge
espressamente conferisca tale potere. Tali regolamenti, per
materie di competenza di piu’ Ministri, possono essere
adottati con decreti interministeriali, ferma restando la
necessita’ di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono
dettare norme contrarie a quelle dei regolamenti emanati
dal Governo. Essi debbono essere comunicati al Presidente
del Consiglio dei Ministri prima della loro emanazione.
4. I regolamenti di cui al comma 1 ed i regolamenti
ministeriali ed interministeriali, che devono recare la
denominazione di “regolamento”, sono adottati previo parere
del Consiglio di Stato, sottoposti al visto ed alla
registrazione della Corte dei conti e pubblicati nella
Gazzetta Ufficiale.».
– Il decreto del Presidente della Repubblica 28 marzo
2003, n. 129 (Regolamento di organizzazione del Ministero
della salute) e’ stato pubblicato nella Gazzetta Ufficiale
n. 129 del 6 giugno 2003.
– Il comma 5 dell’art. 22 del decreto legislativo
30 giugno 2003, n. 196 (Codice in materia di protezione dei
dati personali) e’ il seguente:
«Art. 22 (Principi applicabili al trattamento di dati
sensibili e giudiziari). – 1.-4. (Omissis).
5. In applicazione dell’art. 11, comma 1,
lettere c), d) ed e), i soggetti pubblici verificano
periodicamente l’esattezza e l’aggiornamento dei dati
sensibili e giudiziari, nonche’ la loro pertinenza,
completezza, non eccedenza e indispensabilita’ rispetto
alle finalita’ perseguite nei singoli casi, anche con
riferimento ai dati che l’interessato fornisce di propria
iniziativa. Al fine di assicurare che i dati sensibili e
giudiziari siano indispensabili rispetto agli obblighi e ai
compiti loro attribuiti, i soggetti pubblici valutano
specificamente il rapporto tra i dati e gli adempimenti. I
dati che, anche a seguito delle verifiche, risultano
eccedenti o non pertinenti o non indispensabili non possono
essere utilizzati, salvo che per l’eventuale conservazione,
a norma di legge, dell’atto o del documento che li
contiene. Specifica attenzione e’ prestata per la verifica
dell’indispensabilita’ dei dati sensibili e giudiziari
riferiti a soggetti diversi da quelli cui si riferiscono
direttamente le prestazioni o gli adempimenti.
– Il comma 1 dell’art. 76 del decreto legislativo
30 giugno 2003, n. 196 (Codice in materia di protezione dei
dati personali) e’ il seguente:
«Art. 76 (Esercenti professioni sanitarie e organismi
sanitari pubblici). – 1. Gli esercenti le professioni
sanitarie e gli organismi sanitari pubblici, anche
nell’ambito di un’attivita’ di rilevante interesse pubblico
ai sensi dell’art. 85, trattano i dati personali idonei a
rivelare lo stato di salute:
a) con il consenso dell’interessato e anche senza
l’autorizzazione del Garante, se il trattamento riguarda
dati e operazioni indispensabili per perseguire una
finalita’ di tutela della salute o dell’incolumita’ fisica
dell’interessato;
b) anche senza il consenso dell’interessato e previa
autorizzazione del Garante, se la finalita’ di cui alla
lettera a) riguarda un terzo o la collettivita’.».
– Il comma 1, lettera g), dell’art. 154 del decreto
legislativo 30 giugno 2003, n. 196 – (Codice in materia di
protezione dei dati personali) e’ il seguente:
«Art. 154 (Compiti). – 1. Oltre a quanto previsto da
specifiche disposizioni, il Garante, anche avvalendosi
dell’Ufficio e in conformita’ al presente codice, ha il
compito di:
a)-f) (omissis);
g) esprimere pareri nei casi previsti.».

Art. 2.
Disposizioni generali
1. Gli allegati A, B e C, con le schede in essi contenute e
riferiti, rispettivamente, ai trattamenti di cui alle lettere a), b)
e c) dell’articolo 1, comma 1, che formano parte integrante del
presente regolamento, individuano i dati sensibili e giudiziari per i
quali e’ consentito il relativo trattamento, nonche’ le operazioni
eseguibili, in riferimento alle specifiche finalita’ di rilevante
interesse pubblico perseguite.
2. I dati sensibili e giudiziari cosi’ raccolti sono trattati,
previa verifica della loro pertinenza, completezza ed
indispensabilita’ rispetto alle finalita’ perseguite nei singoli
casi, specie quando la raccolta non avviene presso l’interessato.
3. Le operazioni di comunicazione, raffronto e di trasferimento
di dati sulla salute all’estero individuate nel presente regolamento
sono ammesse soltanto se indispensabili allo svolgimento degli
obblighi o compiti di volta in volta indicati, per il perseguimento
delle rilevanti finalita’ di interesse pubblico specificato e nel
rispetto delle disposizioni in materia di protezione dei dati
personali, nonche’ degli altri limiti stabiliti dalla legge e dai
regolamenti.
I raffronti effettuati utilizzando banche di dati di diversi
titolari del trattamento sono ammessi esclusivamente previa verifica
della loro stretta indispensabilita’ nei singoli casi e nel rispetto
dei limiti e con le modalita’ stabiliti dalle disposizioni
legislative che le prevedono.
4. Sono inutilizzabili i dati trattati in violazione della
disciplina rilevante in materia di trattamento dei dati personali
(articoli 11 e 22, comma 5, del decreto legislativo 30 giugno 2003,
n. 196).

Note all’art. 2:
– L’art. 11 del decreto legislativo 30 giugno 2003, n.
196 (Codice in materia di protezione dei dati personali) e’
il seguente:
«Art. 11 (Modalita’ del trattamento e requisiti dei
dati). – 1. I dati personali oggetto di trattamento sono:
a) trattati in modo lecito e secondo correttezza;
b) raccolti e registrati per scopi determinati,
espliciti e legittimi, ed utilizzati in altre operazioni
del trattamento in termini compatibili con tali scopi;
c) esatti e, se necessario, aggiornati;
d) pertinenti, completi e non eccedenti rispetto alle
finalita’ per le quali sono raccolti o successivamente
trattati;
e) conservati in una forma che consenta
l’identificazione dell’interessato per un periodo di tempo
non superiore a quello necessario agli scopi per i quali
essi sono stati raccolti o successivamente trattati.
2. I dati personali trattati in violazione della
disciplina rilevante in materia di trattamento dei dati
personali non possono essere utilizzati.».
– Per il testo dell’art. 22, comma 5, del decreto
legislativo n. 196 del 2003, si veda nelle note alle
premesse.

Art. 3.
Riferimenti normativi
Al fine di una maggiore semplificazione e leggibilita’ del
presente regolamento, le disposizioni di legge, citate nella parte
descrittiva delle «fonti normative» delle schede, si intendono come
recanti le successive modifiche e integrazioni.
Il presente decreto, munito del sigillo dello Stato, sara’
inserito nella Raccolta ufficiale degli atti normativi della
Repubblica italiana. E’ fatto obbligo a chiunque spetti di osservarlo
e di farlo osservare.
Roma, 12 dicembre 2007
Il Ministro: Turco
Visto, il Guardasigilli: Scotti
Registrato alla Corte dei conti il 18 febbraio 2008
Ufficio di controllo preventivo sui Ministeri dei servizi alla
persona e dei beni culturali, registro n. 1, foglio n. 182

Allegati A, B e C

—-> Vedere allegati da pag. 7 a pag. 63

MINISTERO DELLA SALUTE – DECRETO – 12 dicembre 2007, n. 277 – Regolamento di attuazione dell’articolo 20, commi 2 e 3, dell’articolo 21 e dell’articolo 181, comma 1, lettera a) del decreto legislativo 30 giugno 2003, n. 196, recante: «Codice in materia di protezione dei dati personali». (GU n. 66 del 18-3-2008

Chimici.info