al d.lgs. 196/2003 - burlo garofolo · di trieste, nella persona del commissario straordinario. i...

23.11.2006: ultimo aggiornamento

al D.lgs. 196/2003


3 introduzione

4 i dati personali 5 i dati sensibili 6 il trattamento dei dati personali

7 il garante 8 i soggetti della legge

il titolare il responsabile l’interessato l’incaricato

10 la notifica

12 l’informativa 15 il consenso 20 per saperne di più


3

introduzione Il 1 gennaio 2004 è entrato in vigore il decreto legislativo n. 196 del 30 giugno 2003, denominato “Codice in materia di protezione dei dati personali”. Il Codice riunisce in un testo unico la precedente legge e gli altri decreti legislativi, regolamenti e codici deontologici che si sono succeduti in questi anni e contiene anche importanti innovazioni tenendo conto delle decisioni del Garante e della direttiva Ue 2000/58 sulla riservatezza nelle comunicazioni elettroniche. Il Testo unico è ispirato all’introduzione di nuove garanzie per i cittadini, alla razionalizzazione delle norme esistenti, alla semplificazione degli adempimenti e sostituisce la legge “madre” sulla protezione dei dati, la n. 675 del 1996. Questa guida non ha pretese di completezza, ma vuole essere solo una semplice e rapida introduzione al D.lgs. 196/2003 ed ai suoi ambiti di applicazione.


4

i dati personali Il Decreto legislativo 30 giugno 2003, n. 196 definisce dato personale qualunque informazione, relativa a persona fisica o giuridica, che ne consenta, direttamente o indirettamente, l’identificazione. Sono dati personali, per esempio:: nome, cognome, indirizzo, numero di telefono, codice fiscale, partita IVA, numero di iscrizione CCIAA.

Buongiorno, sono Davide Rossi...

questi sono i miei “dati personali”.


5

i dati sensibili I dati sensibili sono informazioni che riguardano:

convinzioni religiose, filosofiche o di altro genere

opinioni politiche; adesione a partiti, sindacati, associazioni o organizzazioni a carattere religioso, filosofico, politico o sindacale

origine razziale ed etnica

stato di salute

vita sessuale Io penso, credo, scelgo, preferisco. Questi sono i miei “dati sensibili”


6

il trattamento dei dati personali Si definisce trattamento qualunque operazione, automatizzata o meno, che riguardi la raccolta, la registrazione, l’organizzazione, la conservazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati.

Volete utilizzare queste informazioni?

State eseguendo un “trattamento dei miei

dati personali”


7

il garante Garante per la PRIVACY

organo di 4 membri, di cui un presidente, esperti di diritto e di informatica

arbitro del contesto regolato dalla legge organo nominato dal Parlamento

Chi intende trattare dati personali sensibili oppure in caso di trattamenti effettuati con strumenti elettronici, nel campo della profilazione dei consumatori, oppure in relazione a procedure di selezione del personale e ricerche di marketing, nonché in ipotesi di utilizzo di informazioni commerciali e relative alla solvibilità, deve inviare a questo organismo la“notifica”, che viene inserita in un apposito registro. Se vuoi operare sui miei dati, ricordati di contattare il “garante”


8

i soggetti della legge

il titolare del trattamento Titolare è colui che ha potere decisionale sulle finalità e modalità del trattamento, cioè chi decide cosa fare e come farlo. Al Titolare competono molti degli adempimenti previsti dalla legge, come la notifica al Garante, la formulazione dell’informativa, la raccolta del consenso, la nomina degli eventuali responsabili e il controllo sul loro operato. Puoi decidere come e perché usare questi dati? Sei “il titolare del trattamento”

il responsabile del trattamento È Responsabile del trattamento colui che, sulla base delle istruzioni del Titolare, opera il trattamento dei dati. Vista la gerarchia esistente tra Titolare e Responsabile, anche l’operato di quest’ultimo può comportare forme di responsabilità per il Titolare. Il Responsabile, tra l’altro, individua gli Incaricati del trattamento, cioè coloro che materialmente lo effettuano e vigila sul loro operato. Sei tu che, preposto dal titolare, lavorerai concretamente sui dati? Sei “il responsabile del trattamento”


9

l’ incaricato Gli incaricati sono coloro che sono autorizzati a compiere operazioni di trattamento dei dati dal Responsabile, sotto la sua diretta autorità. Sei tu che, preposto dal titolare, lavorerai concretamente sui dati? Sei “l’incaricato”

l’interessato

Persona fisica o giuridica a cui si riferiscono i dati trattati. La legge riconosce agli Interessati, in particolare, il diritto di conoscere i propri dati oggetto di trattamento e quello di opporsi, in tutto o in parte, al trattamento stesso, esercitando questi diritti nei confronti del Titolare o del/i Responsabile/i. Questi hanno l’obbligo di rispondere senza ritardo alle istanze degli interessati che, in caso contrario o di risposta insoddisfacente, possono far valere i propri diritti rivolgendosi al Garante o alla autorità giudiziaria.

I dati parlano di

Davide Rossi? Sei tu

“l’interessato”


10

la notifica Che cosa è La notificazione è la dichiarazione con la quale il Titolare del trattamento rende nota al Garante per la protezione dei dati personali l’esistenza di un’attività di raccolta e di utilizzazione dei dati personali. A chi è trasmessa Al Garante, tramite il sito www.garanteprivacy.it e utilizzando la procedura indicata nelle istruzioni. In quale momento Per le attività di trattamento dei dati che non esistevano prima del 1° gennaio 2004, la notificazione va effettuata prima che inizi il trattamento medesimo. Per le attività che erano già in essere prima del 1° gennaio 2004, la notificazione si è già effettuata entro i termini previsti dalla legge.

Come fare? Devi inviargli una “notifica”


11

Quante volte si notifica Una sola volta, indipendentemente dalla durata, dal tipo e dal numero delle operazioni di trattamento, sia che si effettui un solo trattamento, sia che si curino più attività di trattamento con finalità correlate tra loro. Cosa è cambiato dal 1° gennaio 2004 A partire da tale data sono tenuti a notificare solo alcuni soggetti, ossia solo i Titolari che effettuano una o più attività di trattamento tra quelle specificamente indicate dal Codice (la precedente normativa, invece, prevedeva per tutti i Titolari l’obbligo di effettuare la notificazione, a meno che potessero avvalersi dei casi di esonero o di possibile utilizzazione di una notificazione semplificata). Il Garante potrà individuare, con un proprio provvedimento, nell’ambito dei trattamenti che devono essere notificati, alcuni trattamenti che presentano minori rischi per i diritti degli Interessati e che possono pertanto essere esonerati dalla notificazione; potrà, al contrario, anche indicare altri trattamenti al momento non indicati espressamente dalla legge, che dovranno essere notificati. A quale obbligo è soggetto chi non deve notificare? Il Titolare che non è tenuto alla notificazione deve comunque fornire le notizie contenute nel modello di notificazione a chi ne fa richiesta (nell’esercizio del diritto di accesso e degli altri diritti riconosciuti pubblici registri, elenchi, atti o documenti conoscibili da chiunque. Cosa accade se si omette la notificazione o la si presenta in ritardo o incompleta? Il Titolare è punito con una sanzione pecuniaria e con la pena accessoria della pubblicazione dell’ordinanza che applica la sanzione stessa in uno o più giornali, per intero o per estratto. Cosa accade se nella notificazione ci sono notizie non veritiere? La falsa dichiarazione è un reato, punito con la reclusione.

12


l’informativa

La legge sulla protezione dei dati prevede che gli Interessati, cioè coloro i cui dati sono oggetto di trattamento, debbano essere informati dal Titolare al momento della raccolta dei dati o, se la raccolta non avviene direttamente presso l’Interessato e ne sia prevista la comunicazione, non oltre il primo atto di divulgazione. Questa informativa deve consentire, tra l’altro, di identificare il Titolare e gli eventuali Responsabili, le finalità e le modalità del trattamento, e deve contenere un riferimento ai diritti dell’Interessato. L’omissione dell’informativa o la formulazione di un’informativa non corretta espone a responsabilità sia il Titolare sia il Responsabile.

L’informativa al Burlo Garofolo

Art. 13 Dlgs 196/2003 Codice Privacy Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali L’Istituto per l’Infanzia “Ospedale Infantile e Pie Fondazioni Burlo Garofolo e dott. Alessandro ed Aglaia de Manussi”- Istituto di ricovero e cura a carattere scientifico – ha come fine istituzionale l’erogazione ai cittadini di prestazioni di prevenzione, cura e riabilitazione e di conseguenza tratta una serie di dati personali riferiti agli utenti e in particolare quelli attinenti lo stato di salute classificati come dati sensibili.


13

I dati forniti dall’interessato vengono utilizzati per adempiere a specifici obblighi e compiti previsti da leggi e regolamenti, connessi o strumentali all’attività sanitaria e/o amministrativa che vengono conservati negli archivi dell’Azienda (es.: compilazione cartelle cliniche, certificati, etc.). I dati personali vengono trattati nel rispetto dei princìpi stabiliti dal Dlgs 196/2003 solo da personale autorizzato, vincolato al segreto professionale e al segreto d’ufficio, garantendo diritti, libertà fondamentali e dignità dei soggetti cui si riferiscono, con particolare riguardo alla riservatezza. I dati raccolti potranno essere comunicati ad altri organismi od enti identificati per legge o per regolamento o per esigenze del Servizio Sanitario Nazionale e verranno resi anonimi nei casi stabiliti dalla legge e in quelli previsti dalle Autorizzazioni del Garante. L’interessato in relazione al trattamento dei dati personali può esercitare i diritti previsti dall’art. 7 del Dlgs 196/2003 riportato di seguito I diritti di cui all’art. 7 possono essere esercitati da chiunque vi abbia interesse, anche riguardo ai dati concernenti persone decedute.

Il TITOLARE dei dati personali degli utenti è l’IRCCS Burlo Garofolo di Trieste, nella persona del Commissario Straordinario.

I RESPONSABILI dei dati personali degli utenti, compresi quelli attinenti lo stato di salute, sono i Responsabili delle Strutture Operative Aziendali (Primari, Dirigenti di Struttura).

Art. 7 – D I R I T T I D E L L’ I N T E R E S S A T O

1. L’INTERESSATO HA DIRITTO DI OTTENERE: a) la conferma dell’esistenza o meno di dati personali che lo

riguardano, anche se non ancora registrati, e la loro comunicazione in forma intelligibile.


14

2. L’INTERESSATO HA DIRITTO DI OTTENERE L’INDICAZIONE:

a) dell’origine dei dati personali, b) delle finalità e modalità del trattamento, c) della logica applicata in caso di trattamento effettuato con

l’ausilio di strumenti elettronici, d) degli estremi identificativi del titolare, dei responsabili e del

rappresentante designato ai sensi dell’art. 5, comma 2 e) dei soggetti e delle categorie di soggetti ai quali i dati

personali possono essere comunicati o che possono venire a conoscenza in qualità di rappresentante designato nel territorio dello Stato, di responsabili o incaricati.

3. L’ INTERESSATO HA DIRITTO DI OTTENERE: a) l’aggiornamento, la rettificazione ovvero, quando vi ha

interesse, l’integrazione dei dati. b) la cancellazione, la trasformazione in forma anonima o il

blocco dei dati trattati in violazione di legge, compresi quelli di cui non è necessaria la conservazione in relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati,

c) l’attestazione che le operazioni di cui alle lettere a) e b) sono state portate a conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si rivela impossibile o comporta un impiego di mezzi manifestamente sproporzionato rispetto al diritto tutelato.

4. L’INTERESSATO HA DIRITTO DI OPPORSI, IN TUTTO 0 IN PARTE

a) per motivi legittimi al trattamento dei dati personali che lo riguardano, ancorché pertinenti allo scopo della raccolta,

b) al trattamento dei dati personali che lo riguardano ai fini di invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale.


15

il consenso

Il trattamento dei dati è consentito col consenso dell’interessato. Il consenso per il trattamento dei dati sensibili deve essere manifestato in forma scritta. L’interessato che esprime il consenso deve naturalmente aver prima ricevuto l’informativa. la dichiarazione di consenso al Burlo Garofolo

Gentile signora/e, desideriamo informarLa che: 1) La legge citata prevede la tutela dei dati personali che La

riguardano, nel pieno rispetto dei diritti e delle libertà fondamentali e della Sua dignità, oltre che delle norme sul segreto professionale e d’ufficio. Ai sensi della legge, è necessario acquisire il Suo consenso per effettuare il trattamento dei dati sensibili “idonei a rivelare lo stato di salute”, cioè quelli indispensabili per perseguire una finalità di tutela della salute o dell’incolumità fisica. Il trattamento dei dati è finalizzato all’erogazione complessiva delle attività di prevenzione, diagnosi, cura e riabilitazione che La interessano. Tale acquisizione viene effettuata da una Azienda con riferimento a tutte le strutture sanitarie pubbliche e private accreditate della Regione Friuli-Venezia Giulia

2) Il conferimento dei Suoi dati per l'esecuzione delle attività svolte

da tutte le strutture sanitarie pubbliche e private accreditate della Regione Friuli-Venezia Giulia ha natura facoltativa ma il rifiuto di fornire il consenso al trattamento dei dati sensibili impedisce l’erogazione delle prestazioni sanitarie richieste.

3) Ai fini della legge citata ciascuna Azienda erogatrice è titolare del

trattamento dei dati che la riguardano, per tramite del suo legale rappresentante, per quanto di propria pertinenza.


16

4) I responsabili del trattamento dei dati, in relazione alla loro

specifica funzione e sede, sono riportati in un apposito elenco presso l’Ufficio per le Relazioni con il Pubblico delle Aziende Sanitarie Regionali.

5) Lei ha diritto in ogni momento, ai sensi dell’art. 7 del D.Lgs 196/2003, di ottenere la conferma dell'esistenza dei dati che la riguardano e la loro comunicazione in maniera intelligibile; ha inoltre diritto di conoscere le categorie di soggetti ai quali i dati personali possono essere comunicati o che possono venirne a conoscenza. Lei ha inoltre diritto di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei Suoi dati personali.

6) Il trattamento dei dati sensibili che La riguardano è consentito

dalla legge per lo svolgimento delle funzioni istituzionali (accettazione, visite specialistiche, diagnosi, esami clinici, predisposizione di terapie ecc.…) e/o quando è previsto da una norma di legge o di regolamento (Normativa per l'accertamento dell'invalidità civile, della condizione di handicap e dell'accertamento di disabilità ai fini dell'inserimento lavorativo, norme in materia di adempimenti fiscali ed amministrativi interni, norme in materia di esenzione ticket ecc..).

7) I Suoi dati personali vengono trattati con strumenti elettronici e

con procedure non automatizzate, nonché memorizzati su supporti informatici, su supporti cartacei o su altro tipo di supporto idoneo e sono custoditi e controllati in modo da ridurre al minimo, mediante l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alla finalità della raccolta.


17

8) Il consenso che Le viene richiesto ha efficacia in tutte le strutture

sanitarie pubbliche e private accreditate della Regione Friuli-Venezia Giulia anche in riferimento ad una pluralità di prestazioni. Ciò comporta che con il presente atto Lei acconsente esplicitamente al complessivo trattamento, ed alla comunicazione interna, dei Suoi dati personali necessari per attività di prevenzione, diagnosi, cura e riabilitazione nell'ambito delle Aziende Sanitarie della Regione Friuli Venezia Giulia, nonché acconsente alla comunicazione dei suddetti dati ad altri organismi sanitari pubblici e privati accreditati regionali esclusivamente ai fini suddetti che La riguardano anche attraverso il sistema informativo elettronico regionale, per via telematica. Si sottolinea che tutte le persone che tratteranno i suoi dati sono individualmente incaricate ed autorizzate e sono vincolate, oltre che al rispetto delle norme dettate dal D.Lgs 196/2003, al segreto professionale e d’ufficio.

9) L’Amministrazione distribuisce ai cittadini una carta con

microprocessore che potrà essere utilizzata come Carta per l’accesso ai servizi in rete che la Pubblica Amministrazione renderà progressivamente disponibili: in particolare, consentirà l’accesso a servizi delle diverse Pubbliche Amministrazioni statali, dei Comuni, della Regione, oltre a rendere disponibili funzioni di pagamento elettronico. A questo scopo, la carta contiene anche certificati elettronici come definito dal d.lgs. 82/2005, art 1/e.

10) La carta che le viene consegnata potrà anche contenere dati

personali sanitari in funzione dei servizi che potranno essere resi disponibili nel tempo. L’informativa di seguito rilasciata copre tutte le possibili funzioni che potranno essere associate alla carta anche se all’atto della distribuzione tali funzioni potranno essere totalmente assenti o essere attivate successivamente.


18

L’Amministrazione, nell’ambito delle competenze in materia socio-sanitaria che le sono riconosciute dalla normativa vigente, si avvale di sistemi informatici e cartacei per trattare le informazioni amministrative e sanitarie. Le informazioni trattate sono solo quelle necessarie per finalità amministrative ed attività di prevenzione, diagnosi, terapia ed assistenza per tutti i cittadini assistiti presso le strutture pubbliche, private accreditate, socio-assistenziali operanti nel territorio. A questo scopo la carta conterrà anche certificati elettronici come definito dal d.lgs. 82/2005, art 1/e. La carta potrà riportare al suo interno esenzioni alla spesa sanitaria potrà rappresentare, lo strumento per l’uso dei servizi socio-sanitari del Sistema.

DICHIARAZIONE DI CONSENSO

(Art. 76 e 81 D.Lgs 30/6/03 n. 196)

Il/La sottoscritto/a(cognome e nome)……………………………………………………………………………………………………………………………… Nato/a ………………………………………………………………………………………. il ………………………………………………………………………………………….. Residente a ………………………………………………………Via/P.zza…………………………………………………………………………………………………..….. In qualità di diretto/a interessato/a Oppure (in caso di rappresentante legale): in qualità di ⃞ esercente la potestà di genitore ⃞ tutore ⃞ curatore ⃞ amministratore di sostegno di (cognome e nome)…………………………………………………………………………………………………………………………………………………………………. nato/a a………………………………………………………………………………………………………………………………………………………………………………………. residente a……………………………………………… Via/P.zza…………………………………………………………………………………………………………….….


19

DICHIARA

di aver ricevuto e compreso l’informativa per il consenso al trattamento dei dati personali e sensibili fornitagli ai sensi dell’art. 13 del Codice privacy e conseguentemente

ESPRIME IL CONSENSO

al trattamento e alla comunicazione dei dati personali e sensibili, per le finalità di tutela della salute e della incolumità fisica, con riferimento alle prestazioni sanitarie. Località e data

..........................................

........................................................(firma leggibile) Spazio riservato all’ufficio (in caso di consenso orale) Il sottoscritto ......................................................................., in qualità di .......................................... dichiara di aver consegnato il modulo avente ad oggetto l’Informativa per il trattamento dei dati personali e sensibili e di aver ricevuto la manifestazione orale di consenso al trattamento da parte di (indicare nome e cognome) ........................................................., nato a................................., il........................., identificato previa esibizione di ...................................

(indicare gli estremi del documento di riconoscimento)

Località e data

............................... FIRMA DELL’ADDETTO

..............................................


20

Per maggiori informazioni su novità, modelli e formulari: www.garanteprivacy.it www.burlo.trieste.it [email protected]

al d.lgs. 196/2003 - burlo garofolo · di trieste, nella persona del commissario straordinario. i...

Documents