• AGGIORNAMENTO A SEGUITO DEL GDPR 2016/679
• Regolamento Regione Piemonte 9/R/2016

AGGIORNAMENTO A SEGUITO DEL GDPR 2016/679

Il 24 maggio 2018 è diventato pienamente operativo il Regolamento europeo 2016/679 sulla protezione dei dati e l'Italia, con il D.Lgs. 101 del 10 agosto 2018 ha adeguato il proprio Codice.

La modifica al Codice ha abrogato  gli art. 20 e 21 in base ai quali è stato emanato il Regolamento regionale, tuttavia  il Regolamento resta applicabile fino alle nuove indicazioni da parte dell'Autorità di Controllo (Garante).

Si suggerisce la lettura  dell'articolo   Sanità pubblica e modifiche al codice per il trattamento dei dati sanitari in Italia pubblicato su questo sito a Settembre 2018, riportato a fianco fra gli articoli correlati. 

Regolamento Regione Piemonte 9/R/2016

Il 4 luglio 2016 la Regione Piemonte ha emanato il nuovo regolamento n. 9/R per il trattamento dei dati sensibili e giudiziari della regione, delle aziende sanitarie, degli enti ed agenzie regionali, degli enti vigilati dalla Regione, ai sensi degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali). Il Regolamento abroga  il regolamento n. 3/R del maggio 2006 che andava a disciplinare, per la prima volta, la materia di protezione dei dati personali di competenza della Regione.

Il regolamento nasce da un’esigenza prevista dal Codice privacy che sostiene che, gli enti pubblici, per trattare i dati, hanno bisogno di acquisire il consenso dell’interessato oppure di  avere una norma di legge che definisca il trattamento. La norma di legge deve essere completata con un regolamento che individui in modo più specifico il tipo di dati e il tipo di operazioni che gli enti sono autorizzati a compiere. Il regolamento deve essere adottato in conformità di un parere del Garante per la protezione dei dati personali fornito su uno schema-tipo comune alle Regioni e approvato dalla conferenza Stato-Regioni.

Infatti, per trattare i dati sensibili (fra cui  vi sono tutti quelli relativi alla salute)  il d. lgs.  196/2003 prevede agli artt 20, comma 2, e 21, comma 2,  che nei casi in cui una disposizione di legge specifichi la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e giudiziari trattabili ed i tipi di operazioni su questi eseguibili, il trattamento è consentito solo in riferimento a quei tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi.

Questo quadro normativo offre garanzie  ai cittadini  rispetto  all’uso legittimo delle informazioni  più delicate della loro vita,  nell’interesse dei singoli e della società nel suo complesso.  Si pensi agli scopi di giustizia o di  amministrazione delle risorse pubbliche, di  sanità pubblica,  di autorizzazioni, certificazioni e sanzioni che sono una prerogativa dell’ente pubblico.

Il primo regolamento regionale tutelava  la riservatezza dei dati personali in sanità, con la descrizione dei trattamenti, di competenza della regione  e degli altri enti  regionali  (allegato A) e delle ASL, ASO  e altri istituti di cura (allegato B)  a cui tutti gli uffici dovevano attenersi.  Il Regolamento era frutto di un minuzioso lavoro di elaborazione condotto dai rappresentanti delle regioni unitamente ai funzionari dell’ufficio Garante della Privacy;  questo gruppo di lavoro nel 2010 riprese il testo del regolamento per aggiornarlo secondo nuove normative introdotte e alla luce dell’esperienza di gestione fatta.

Le novità rispetto al precedente riguardano una più puntuale identificazione dei dati  sensibili che è necessario trattare, caso per caso  (ad es. i dati relativi all’adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale vengono esclusi per i trattamenti relativi a scopi di programmazione; in alcune schede, si introducono  le modalità di trattamento mediante “supporto video” necessarie per i prelievi di campioni biologici per le verifiche antidoping.

Nel nuovo regolamento alcune descrizioni di trattamenti sono state riviste, rese più comprensibili e puntuali, l’elenco delle fonti normative nazionali e regionali è  stato integrato  con quelle emanate dopo il 2006.  Sono stati integrati quindi, ad esempio, i trattamenti che  riguardano la domiciliarità e l’integrazione sanitaria, (scheda 14), i trattamenti delle “fasce deboli” (scheda 6), l’assistenza in regime semiresidenziale o residenziale (scheda 15). E’ stata eliminata la scheda 41 sulla videosorveglianza ritenuta superflua.

Rispetto  al trattamento dei dati per scopi di programmazione e verifica dei servizi sanitari (scheda 12 trattamenti della Giunta regionale), ma anche  riguardo alla gestione farmaceutica e specialistica ambulatoriale, si  descrive specificamente il trattamento dei dati utile per il monitoraggio della spesa sanitaria e di verifica dell’appropriatezza prescrittiva, mediante l’uso dei dati delle prescrizioni di farmaci e di prestazioni specialistiche. Per gli scopi di governo, dove è indispensabile trattare le basi di dati sanitari  mediante tecniche di record linkage, si ribadisce l’uso dei dati privi di identificativi diretti (cosiddetta anonimizzazione reversibile o, secondo le nuove terminologie del Regolamento Europeo”pseudonimizzazione” dei dati )

Rispetto ai trattamenti delle ASL, in cui  sono  strettamente intrecciati i compiti di cura e quelli amministrativi, il testo del regolamento non dà conto dei primi. Va ricordato che per le finalità di cura vige l’obbligo di acquisire il consenso del paziente (o dei genitori o, per i TSO,  dell’autorità preposta) mentre il regolamento  è rivolto ai trattamenti  di dati amministrativi (raccolti dagli uffici) per i quali il consenso non va richiesto.

Regolamento n. 9/R per il trattamento dei dati sensibili e giudiziari