REGOLAMENTO ATTUATIVO DELLALEGGE 31.12.96 N.675 PER LA TUTELA DELLE PERSONE E DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO DEI DATI PERSONALI

TITOLO I

TRATTAMENTO DEI DATI PERSONALI

Art. 1

Oggetto

Il presente regolamento contiene disposizioni attuative della legge 31 dicembre 1996 n. 675 e sue modifiche (D.P.R. 28 luglio n. 318, a norma dell’art. 15, comma 2, della legge 31.12.1996 n.675; del D. Lgs. 30 luglio 1999 n. 282 e del D. Lgs. 11 maggio 1999, n. 135), nell’ambito delle strutture con lo scopo di garantire che il trattamento dei dati personali avvenga nel rispetto dei diritti, delle libertà fondamentali, nonché della dignità delle persone fisiche e giuridiche, con particolare riferimento alla riservatezza ed all’identità personale degli utenti e di tutti coloro che hanno rapporti con la medesima.

L’Azienda assicura le misure di sicurezza idonee ad evitare situazioni di rischio e di non conformità o di alterazione dei dati.

Art. 2

Dati personali

Il dato personale rappresenta qualunque informazione relativa a persona fisica, giuridica, ente o associazione identificata o identificabili, anche indirettamente mediante riferimento a qualsiasi informazione ivi compreso un numero di identificazione personale.

I dati personali sensibili, ai sensi dell’art. 22 della legge 675/96, sono quei dati idonei a rilevare l’origine razziale, religiose, filosofiche, politiche, l’adesione a partiti politici, sindacati e lo stato di salute e la vita sessuale dell’interessato.

Art. 3

Trattamento dati personali

Ai sensi dell’art. 1 lettera b) della legge 31.12.1996 n.675, deve intendersi qualunque operazione o complesso di operazioni, svolti con o senza l’ausilio di mezzi elettronici o comunque automatizzati concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati.

Art. 4

Titolare del trattamento dei dati personali

Il titolare, tramite il referente Aziendale di cui all’art. 5 del presente regolamento, provvede nei casi previsti dalla legge:

- a) ad assolvere l’obbligo di notificazione al Garante;

b) a richiedere al Garante l'autorizzazione al trattamento dei dati sensibili, ove necessario;

c) ad adottare per quanto di competenza, le misure necessarie a garantire al sicurezza dei dati personali;

d) ad impartire ai responsabili le necessarie istruzioni per la corretta gestione e tutela dei dati personali: ivi compresa la salvaguardia della loro integrità e sicurezza.

Le istruzioni ai Responsabili dovranno essere impartite dal Titolare del trattamento dei dati al momento della nomina;

e) a verificare periodicamente l’osservanza dell’attività svolta dai Responsabili rispetto alle istruzioni impartite, anche con riguardo agli aspetti relativi alla sicurezza dei dati.

Art. 5

Referente aziendale per la privacy

L’azienda individua un Referente aziendale per la Privacy e gli garantisce adeguato supporto per lo svolgimento dei compiti assegnati.

Il Referente Aziendale per la Privacy viene nominato con atto dal Direttore Generale su proposta del Direttore Amministrativo.

Il Referente Aziendale per la Privacy svolge i seguenti compiti:

a) assiste la Direzione aziendale nei rapporti con il Garante e nei rapporti con altri soggetti pubblici o privati per quanto riguarda gli adempimenti derivanti dalla nomina in materia;

b) assicura la propria collaborazione per la stesura del documento programmatico per la sicurezza dei dati.

c) vigila sull’osservanza del regolamento aziendale sulla privacy fornendo la necessaria consulenza in ordine alle problematiche in tema di riservatezza;

d) tiene ed aggiorna il censimento dei trattamenti dei dati personali sensibili sulla base di comunicazioni effettuati dai responsabili del trattamento;

e) tiene ed aggiorna l’elenco degli archivi cartacei e/o magnetici dati personali e/o sensibili custoditi a livello aziendale;

f) svolge attività di formazione a livello aziendale in tema di normativa sulla riservatezza dei dati.

Art. 6

Responsabile del trattamento dei dati personali

I responsabili del trattamento dei dati personali vengono nominati con atto del Direttore Generale su proposta del Direttore Amministrativo, del Direttore Sanitario o del Coordinatore dei Servizi Sociali, secondo la rispettiva competenza.

L’atto di nomina, che dovrà essere notificato per iscritto ai soggetti individuati,prevede anche la designazione dei sostituti in caso di assenza o impedimento dei responsabili del trattamento.

I Responsabili del trattamento dei dati personali compiono tutto quanto è necessario per il rispetto delle vigente disposizioni in tema di

riservatezza; in particolare hanno il dovere di osservare le precauzioni individuate nel piano di sicurezza dei dati personali elaborato dall’Azienda.

I responsabili del trattamento dei dati personali nominano gli incaricati al trattamento.

I Responsabili, inoltre, collaborano con il referente aziendale provvedendo a:

a) fornire le informazioni richieste.

Regolamento di Tutela Trattamento Dati Personali

b) metterlo a conoscenza, tempestivamente, di tutte le questioni rilevanti ai fini della legge 675/96;

c) comunicare l’inizio di ogni nuovo trattamento nonché la cessazione o la modifica dei trattamenti già presenti all’interno del proprio settore di competenza ai fini dell’aggiornamento dell’anagrafe dei trattamenti dei dati personali aziendali;

Il responsabile, sulla base del provvedimento di assegnazione, fa in modo che i dati personali siano trattati in modo lecito e corretto: siano esatti ed aggiornati, pertinenti, completi e non eccedenti le finalità per le quali sono raccolti e trattati.

Il Responsabile fa in modo che i dati siano custoditi in modo da garantire la sicurezza, evitandone la divulgazione, la perdita, la distruzione, l’uso improprio.

Art. 7

Individuazione dei responsabili

del trattamento

a) Area amministrativa e tecnica. Il responsabile del trattamento dei dati è il responsabile di Unità Operativa Amministrativa, Tecnica , di Staff, come previsto dal vigente regolamento;

b) U.O. Segreteria Affari Generali e Legali: il responsabile della U.O. è anche il responsabile del trattamento dei dati personali effettuato presso quegli organismi di cui U.O. cura la segreteria;

c) Attività territoriali: i responsabili delle Unità Funzionali collocate in ambito distrettuale sono i responsabili dei dati personali effettuato all’interno delle medesime: per i trattamenti che coinvolgono più Unità Funzionali il Responsabile del trattamento è identificabile nel Responsabile del Distretto.

Per quanto riguarda il trattamento di dati effettuato all’interno dell’UU.OO. territoriali, il responsabile è il Direttore di ciascuna U.O. individuata;

d) Dipartimento di prevenzione: il responsabile del trattamento è il Responsabile delle unità funzionali di ciascuna Zona

e) Dipartimento Salute Mentale: il responsabile del trattamento è il Responsabile delle unità funzionali di ciascuna Zona.

e) Dipartimento delle Dipendenze: il responsabile del trattamento è il Responsabile delle unità funzionali di ciascuna Zona.

Art. 8

Criteri di organizzazione

Spettano alla Direzione Generale i poteri di indirizzo e di definizione dei profili organizzativi in materia di trattamento dei dati personali.

L’Azienda Sanitaria, nell’ambito della propria organizzazione e dell’attuazione dei fini istituzionali garantisce una corretta ed appropriata tenuta dei dati e dei documenti relativi agli utenti dei servizi, assicurando l’adozione di misura di sicurezza, anche preventive, idonee ad evitare situazioni di rischio e di non conformità o di alterazione dei dati.

Le scelte operative devono garantire una generale correttezza delle informazioni effettuate con o senza l'ausilio di mezzi automatizzati.

Art. 9

Modalità dei trattamenti dei dati sensibili

Il trattamento dei dati sensibili di cui all’art. 22 della legge 675/99, fatto salvo quanto previsto dalla legge stessa, deve avvenire previo consenso dell’interessato.

I dati di cui al comma precedente sono conoscibili:

a) da parte del diretto interessato;

b) da parte di chi esercita la podestà e/o la tutela;

c) dall’autorità giudiziaria;

d) dagli eredi;

e) dal medico curante;

f) ai soggetti individuati dalla legge o dal regolamento per l’assolvimento di funzioni istituzionali.

Art. 10

Modalità di trattamento dei dati sensibili

Per la tipologia delle prestazioni dell’Azienda i dati sensibili relativi agli utenti possono distinguersi in dati:

a) Sanitari (riguardante lo stato di salute delle persone)

b) Genetici (riguardante i caratteri ereditari di un individuo, le modalità di trasmissione dei medesimi, le ricerche sul patrimonio genetico)

c) Sessuali.

 Salve diverse previsioni di leggi, i dati riguardanti lo stato di salute devono essere trattati in forma anonima.

Relativamente ai dati genetici, è fatto divieto di trattamento secondo quanto previsto dalla legge e regolamenti.

I dati relativi allo stato di salute possono essere comunicati all’interessato per il tramite del medico curante o altro medico designato dall’interessato o designato dall’Ente.

Art. 11

Informativa all’interessato

Il responsabile del trattamento dei dati personali deve verificare che gli incaricati forniscano all’interessato oralmente o per iscritto, antecedente o al momento della raccolta, le informazioni di cui all’art. 10 della legge 675/96 relativamente a:

- le finalità per le quali e le modalità con le

quali verranno trattati i dati;

- l’obbligatorietà o meno del conferimento dei dati;

- le conseguenze di un eventuale rifiuto a fornire i dati;

- i soggetti.

TITOLO II

DISPOSIZIONI FINALI

Art. 12

Rapporti con il Garante

Ogni rapporto con il Garante è di competenza del Titolare, il quale vi provvede tramite il Referente Aziendale.

In particolare il Titolare deve procedere a nuova notificazione dei trattamenti di dati personali svolti nell’ambito dell’Azienda Sanitaria come indicati nel comma 4 dell’art. 7 della legge 675/96.

Deve inoltre, provvedere a richiedere al Garante le autorizzazioni per procedere al trattamento di taluni dati sensibili, qualora si rendano necessarie ai sensi degli artt. 22 e 23 della legge 75/96. Regolamento di Tutela Trattamento Dati Personali AS 4 Cosenza

Art. 13

Adozioni delle misure di sicurezza informatiche

Per i dati elaborati con mezzo elettronico, agli incaricati del trattamento dei dati personali deve essere assegnata una parola chiave per l’accesso ai dati.

Nell’ipotesi in cui vi sia più di un incaricato del trattamento e sono in uso più parole chiave devono essere individuati per iscritto i soggetti preposti alla loro custodia o che hanno accesso ad informazioni che concernono le medesime.

Nel caso di trattamenti effettuati con elaboratori accessibili in rete sia da altri elaboratori sia mediante una rete di telecomunicazione devono essere adottate le seguenti misure:

a) a ciascun utente od incaricato del trattamento deve essere attribuito un codice identificativo personale per l’utilizzazione dell’elaboratore: uno stesso codice, fatta eccezione per gli amministratori di sistema relativamente ai sistemi operativi che prevedono un unico livello di accesso per tale funzione, non può, neppure in tempi diversi, essere assegnato a persone diverse.

b) i codici identificativi personali devono essere assegnati e gestiti in modo che ne sia prevista la disattivazione in caso di perdita della qualità che consentiva l’accesso all’elaboratore o di mancato utilizzo dei medesimi per un periodo superiore a sei mesi;

c) gli elaboratori devono essere protetti contro il rischio di intrusione ad opera dei programmi di cui all’art. 615 quinquies del codice penale mediante idonei programmi, la cui efficacia ed aggiornamento sono verificati con cadenza almeno semestrale.