Deliberazione Privacy 26/09 - indice

  DELIBERAZIONE DEL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI N. 26, 16 LUGLIO 2009
(Gazzetta Ufficiale n. 178 del 03.08.09, pag. 50)

Prescrizioni in tema di fascicolo sanitario elettronico. (Deliberazione n. 26)

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del cons. Filippo Patroni Griffi, segretario generale;

Visto il Codice in materia di protezione dei dati personali (decreto legislativo 30 giugno 2003, n. 196, di seguito «Codice»);

Visto il provvedimento adottato il 16 luglio 2009 con il quale l'Autorità ha individuato le «Linee guida in tema di Fascicolo sanitario elettronico (Fse) e di dossier sanitario» ed ha previsto che i trattamenti di dati personali effettuati attraverso il Fse devono essere resi noti al Garante mediante una apposita comunicazione da effettuarsi secondo un modello da adottare con specifico provvedimento, ai sensi dell'art. 154, comma 1, lettera c) del Codice;

Considerato che il Fse, costituendo un insieme logico di informazioni e documenti sanitari condiviso da più titolari del trattamento e volto a documentare la storia clinica di un individuo, deve essere improntato a criteri di massima trasparenza nella sua strutturazione e nel suo funzionamento;

Considerato che, secondo quanto indicato nelle suddette Linee guida, il trattamento di dati personali effettuato tramite il Fse coinvolge più titolari del trattamento operanti, più frequentemente, ma non esclusivamente, in un medesimo ambito territoriale;

Rilevato che è generalmente affidato ad una struttura, per lo più regionale, il compito di coordinamento dell'iniziativa di Fse;

Considerate le osservazioni pervenute a seguito della consultazione pubblica del provvedimento del 5 marzo 2009 (in www.garanteprivacy.it, doc web. n. 1598313) ed, in particolare, quelle volte a richiedere che eventuali dichiarazioni da rendere al Garante in caso di iniziative Fse possano essere effettuate da parte della citata struttura coordinatrice per l'insieme dei trattamenti effettuati - nell'ambito del Fse - dai diversi titolari del trattamento coinvolti;

Ritenuta la necessità di prescrivere ai titolari del trattamento e alle menzionate strutture coordinatrici, ai sensi dell'art. 143, comma 1, lettera b) e dell'art. 154, comma 1, lettera c) del Codice, l'obbligo di comunicare al Garante i trattamenti dei dati personali effettuati tramite Fse;

Ritenuto che a tale obbligo di comunicazione debba assolvere di regola la struttura coordinatrice dell'iniziativa di Fse e in via residuale, in caso di assenza di tale struttura, i singoli titolari del trattamento coinvolti;

Ritenuto di dover adottare l'allegato modello di comunicazione (Allegato n. 1), che forma parte integrante del presente provvedimento, da compilare e inviare al Garante prima dell'inizio del trattamento all'indirizzo dell'Autorità: piazza di Monte Citorio n. 121 - 00186 Roma, ovvero alla casella di posta elettronica fse_comunicazione@garanteprivacy.it;

Ritenuto di individuare il termine del 31 dicembre 2009 per l'invio della suddetta comunicazione nei casi di iniziative di Fse già in corso alla data di adozione del presente provvedimento;

Considerato che dall'invio delle suddette comunicazioni non può desumersi alcuna approvazione implicita da parte dell'Autorità dell'iniziative di Fse oggetto della comunicazione;

Considerato che per l'invio delle suddette comunicazioni non è previsto alcun pagamento di diritti di segreteria;

Tenuto conto che, ai sensi dell'art. 162, comma 2-ter del Codice, in caso di inosservanza del presente provvedimento prescrittivo, è applicata in sede amministrativa, in ogni caso, la sanzione del pagamento di una somma da trentamila euro a centottantamila euro;

Tenuto conto, inoltre, che, ai sensi dell'art. 164-bis, comma 2, del Codice, in caso di più violazioni di un'unica o di più disposizioni relative a violazioni amministrative, commesse anche in tempi diversi in relazione a banche di dati di particolare rilevanza o dimensioni, si applica la sanzione amministrativa del pagamento di una somma da cinquantamila euro a trecentomila euro;

Tenuto conto, infine, che ai sensi dell'art. 168 del Codice, chiunque, in comunicazioni, atti, documenti o dichiarazioni resi o esibiti in un procedimento dinanzi al Garante o nel corso di accertamenti, dichiara o attesta falsamente notizie o circostanze o produce atti o documenti falsi, è punito, salvo che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni;

Vista la documentazione in atti;

Viste le osservazioni dell'Ufficio, formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000 del 28 giugno 2000;

Relatore il dott. Giuseppe Fortunato;

Tutto ciò premesso il garante

ai sensi degli articoli 143, comma 1, lettera b) e 154, comma 1, lettera c) del Codice, prescrive alle strutture coordinatrici delle iniziative di Fse e, in via residuale, in caso di assenza di tale struttura, ai singoli titolari del trattamento coinvolti di comunicare al Garante i trattamenti dei dati personali effettuati tramite Fse, prima dell'inizio del trattamento e, nei casi di iniziative di Fse già in corso, entro il termine del 31 dicembre 2009, attraverso il modello di comunicazione allegato al presente provvedimento (Allegato n. 1).

Si dispone la trasmissione di copia del presente provvedimento al Ministero della giustizia - Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 16 luglio 2009

Il presidente: Pizzetti
Il relatore: Fortunato
Il segretario generale: Patroni Griffi