REGOLAMENTO SULLA PROTEZIONE DEI DATI PERSONALI
ATTUATIVO DEL DECRETO LEGISLATIVO 30 GIUGNO 2003, N.196


Articolo 1
Oggetto

Il presente Regolamento contiene disposizioni attuative del Decreto Legislativo 30 giugno 2003 n. 196 “Codice in materia di protezione dei dati personali” relative al diritto alla protezione dei dati personali degli utenti e di tutti coloro che hanno rapporti con le strutture, le unità operative e i presidi dell’Azienda Sanitaria n.4 di Cosenza.
In particolare esso è volto al conseguimento delle finalità contenute nell’articolo 2, nell’articolo 3 e nelle indicazioni dell’Allegato B del suddetto Decreto:

• la garanzia che il trattamento dei dati personali si svolga nel rispetto dei diritti delle libertà fondamentali, nonché della dignità dell’interessato , persona fisica o giuridica, con particolare riferimento alla riservatezza, all’identità personale e al diritto della protezione dei dati personali;
• il rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità con le quali è esercitata la tutela dei diritti e delle libertà degli interessati o sono adempiuti gli obblighi previsti a carico dell’Azienda Sanitaria.;
• il rispetto del principio di necessità, in base al quale i dati personali o identificativi possono essere utilizzati solo se indispensabili per il raggiungimento delle finalità consentite e non anche quando i medesimi obiettivi possano essere raggiunti mediante l’uso di dati anonimi o che comunque consentano una più circoscritta identificazione degli interessati;
• l’osservanza delle misure minime di sicurezza previste dal nuovo Disciplinare Tecnico ed oggetto di specifico DPS (Documento Programmatico di Sicurezza) aziendale.
  

Articolo 2
Trattamento dei dati personali e sensibili

Con l’espressione trattamento, ai sensi dell’art. 4, comma 1, lettera a, del Decreto Legislativo 196/2003, deve intendersi qualunque operazione o complesso di operazioni, (effettuati anche senza l’ausilio di strumenti elettronici o non registrati in una banca dati), concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati personali ( di cui all’art.4, comma b, D.Lgs.196/2003) e sensibili (di cui all’art.4, comma d, D.Lgs.196/2003).

Articolo 3
Dati personali sensibili idonei a rilevare lo stato di salute e la vita sessuale dell’interessato

Ai sensi dell’art. 22 del Decreto Legislativo 196/2003, i dati idonei a rivelare lo stato di
salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che richiedono il loro utilizzo.
I medesimi dati contenuti in elenchi, registri o banche di dati, anche senza l’ausilio di
strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici
identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
I dati idonei a rilevare lo stato di salute non possono essere diffusi.

Articolo 4
Il Titolare dei Trattamenti

Il Titolare dei Trattamenti, ai sensi dell’art. 1, comma 1, lettera f, del D.Lgs. 196/2003, è l’Azienda Sanitaria n.4 di Cosenza, rappresentata dal Direttore Generale, cui competono le decisioni in ordine alle finalità, alle modalità di trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza e ogni rapporto con il Garante (notificazioni, richieste di autorizzazione, comunicazioni).
Per l’assunzione di tali decisioni e la tenuta dei rapporti di cui sopra, il Titolare può avvalersi della collaborazione del Referente Aziendale della Privacy.

Articolo 5
Referente Aziendale per la Privacy – Ufficio Privacy

Il Referente Aziendale per la Privacy, designato con atto del Direttore Generale, è Responsabile dell’Ufficio Privacy, istituito all’interno del Dipartimento Amministrativo.
Il Referente Aziendale per la Privacy svolge i seguenti compiti:

1. garantisce il necessario supporto alla Direzione Aziendale per quanto riguarda gli
   adempimenti derivanti dalla normativa in materia,;
2. garantisce la tenuta di una aggiornato Documento Programmatico per la Sicurezza,
   avvalendosi al riguardo della collaborazione del SISA (Servizio Informativo Statistico Aziendale);
3. redige ed aggiorna il regolamento aziendale sulla privacy, curandone la diffusione e verificandone l’osservanza da parte di tutte le strutture aziendali interessate;
4. tiene ed aggiorna il censimento dei trattamenti aziendali dei dati personali e sensibili
   sulla base delle comunicazioni effettuate dai Responsabili del Trattamento;
5. redige e cura la diffusione del Vademecum Aziendale sulla Privacy, della modulistica
   e di altro materiale informativo aggiornato, avvalendosi della collaborazione
   dell’URP (Ufficio Relazioni con il Pubblico) Centrale;
6. redige, aggiorna e diffonde gli elenchi dei Responsabili e degli Incaricati dei
   Trattamenti.
   L’Azienda garantisce all’Ufficio Privacy ed al Referente Aziendale per la Privacy adeguato supporto per lo svolgimento dei compiti assegnati.
   

Articolo 6
Responsabili dei Trattamenti dei dati personali

I Responsabili dei Trattamenti dei dati personali sono designati, con atto del Direttore Generale, su proposta del Direttore del Dipartimento Amministrativo, fra i ruoli dirigenziali dei servizi e delle strutture aziendali che effettuano trattamenti, soprattutto di dati sensibili.
I Responsabili dei Trattamenti:

• compiono tutto quanto è necessario per il rispetto delle vigenti disposizioni in tema di riservatezza;
• hanno il dovere di osservare le precauzioni individuate nel piano di sicurezza dei dati personali elaborato dall’Azienda;
• individuano e nominano gli Incaricati dei Trattamenti, comunicandoli al Direttore del Dipartimento Amministrativo e al Referente Aziendale per la Privacy;
• collaborano con il Referente Aziendale fornendo le informazioni richieste e
  comunicando l’inizio di ogni nuovo trattamento nonché la cessazione o la modifica dei trattamenti già in essere all’interno del proprio settore di competenza ai fini dell’aggiornamento dell’anagrafe aziendale dei trattamenti di dati personali.
  

Articolo 7
Individuazione dei Responsabili del Trattamento

I Responsabili dei Trattamenti dei dati personali finora individuati sono:

1)    Direttore Dipartimento Servizi Amministrativi e U.O.C. Affari Generali;
2)    Responsabile Ufficio Segreteria, Gestione delibere e Protocollo dell’U.O.C. Affari Generali
3)    Direttore U.O.C. Risorse Umane
4)    Direttore U.O.C. Acquisizione Beni e Servizi
5)    Direttore U.O.C. Servizi Finanziari
6)    Direttore U.O.C. Servizi Patrimoniali e Tecnici
7)    Responsabile Ufficio Legale
8)    Responsabile URP Centrale
9)    Direttore SISA (Servizio Informativo Statistico Aziendale)
10) Direttore Dipartimento di Prevenzione e U.O.C. Igiene Alimenti e Nutrizione
11) Direttore U.O.C. Epidemiologia e Statistica Sanitaria
12) Direttore U.O.C. Promozione della Salute ed Educazione Sanitaria
13) Direttore U.O.C. Medicina dello Sport
14) Direttore U.O.C. Medicina del Lavoro e Sorveglianza Sanitaria
15) Direttore U.O.C. Medicina legale
16) Direttore U.O.C. Igiene Pubblica e Medicina Preventiva
17) Responsabile Centro Oftalmico
18) Responsabile Centro Audiologico
19) Responsabile Centro Igiene Sociale
20) Responsabile Servizio Veterinario Area A
21) Responsabile Servizio Veterinario Area B
22) Responsabile Servizio Veterinario Area C
23) Direttore Dipartimento Salute Mentale e SPDC di Cosenza
24) Direttore SPDC del Presidio Ospedaliero di Acri
25) Direttore CSM Distretto Sanitario di Cosenza
26) Direttore CSM Distretto Sanitario di Rende
27) Direttore CSM Distretto Sanitario di Rogliano
28) Direttore CSM Distretto Sanitario di Montalto
29) Direttore CSM Distretto Sanitario di Acri
30) Direttore Dipartimento Dipendenze Patologiche e U.O.C. SERT
31) Responsabile U.O. Osservatorio delle Dipendenze
32) Responsabile U.O. Alcologia e Patologie Correlate
33) Direttore Dipartimento Servizi Sociali
34) Direttore Sanitario Presidio Ospedaliero Acri
35) Direttore Dipartimento Servizi sanitari Diretti e Indiretti
36) Direttore U.O.C. Cure Specialistiche
37) Direttore U.O.C. Spedalità
38) Direttore U.O.C. Servizio Farmaceutico
39) Responsabile Ufficio farmacie a gestione diretta
40) Direttore U.O.C. SUEM
41) Direttore U.O.C. Medicina di Base
42) Direttore U.O.C. Protesi ed Ausili
43) Responsabile U.O. Neurologia ad indirizzo riabilitativo Distretto di Cosenza;
44)Responsabile U.O. Neurologia ad indirizzo riabilitativo Distretto di Rende;
45)Responsabile U.O. Riabilitazione Età Evolutiva Distretti di Cosenza, Acri e Montalto;
46)Responsabile U.O. Riabilitazione Età Evolutiva Distretti di Rende e Rogliano;
47)Responsabile U.O. Neurologia Distretto di Cosenza;
48)Responsabile U.O. Riabilitazione Distretto di Cosenza;
49)Responsabile U.O. Riabilitazione Distretto di Rende;
50)Responsabile U.O. Riabilitazione Distretto di Rogliano;
60) Direttore Dipartimento Materno Infantile
61) Responsabile Centro Genetica Medica
62)   Responsabile Pediatria di Comunità
63)   Responsabile Neuropsichiatria Infantile
64)   Direttore Distretto Sanitario di Cosenza
65)   Direttore Distretto Sanitario di Rende
66)   Direttore Distretto Sanitario di Rende
67)   Direttore Distretto Sanitario di Acri
68)   Direttore Distretto Sanitario di Montalto
69)   Direttore Distretto Sanitario di Rogliano
70)   Responsabile Poliambulatorio Cosenza
71)   Responsabile Poliambulatorio Casole Bruzio
72)   Responsabile Poliambulatorio Luzzi
73)   Responsabile Poliambulatorio Rende
74)   Responsabile Poliambulatorio Castrolibero
75)   Responsabile Poliambulatorio Acri
76)   Responsabile Poliambulatorio Montalto
77)   Responsabile Poliambulatorio Bisignano
78)   Responsabile Poliambulatorio Rogliano
79)   Responsabile Centro Dialisi e Nefrologia

Articolo 8
Incaricati dei trattamenti

I Responsabili dei Trattamenti individuano e nominano per iscritto gli Incaricati dei Trattamenti, comunicando i nominativi al Direttore del Dipartimento Amministrativo ed al Referente Aziendale per la Privacy.
Gli incaricati, identificati in tutti coloro che materialmente effettuano le operazioni di trattamento dei dati, sono tenuti all’osservanza di tutto quanto previsto dalla normativa vigente, dal presente regolamento e dal DPS (Documento Programmatico di Sicurezza) aziendale.

Articolo 9
Trattamenti affidati all’esterno

Al rappresentante legale di enti, organismi e strutture accreditate o altri soggetti esterni è attribuita la qualità di Responsabile dei Trattamenti, ai sensi dell’articolo 11, comma 1 e 2 del Decreto Legislativo 30 giugno 2003 n.196.
Negli accordi con le strutture accreditate e nei contratti di affidamento di attività o di servizi all’esterno dell’Azienda deve essere inserita apposita clausola di garanzia in cui il soggetto accreditato od affidatario si impegna all’osservanza delle norme di legge sulla protezione dei dati personali e delle disposizioni aziendali in materia.

Articolo 10
Informativa e consenso dell’interessato

I Responsabili dei Trattamenti devono verificare che, prima dell’inizio di ogni trattamento, siano state esperite le procedure informative e sia stato acquisito, là dove necessario, il consenso dell’interessato.

Articolo 11
Emergenze e tutela della salute e dell’incolumità fisica

I dati sensibili possono essere oggetto di trattamento anche senza il consenso scritto dell’interessato, né previa autorizzazione del garante, quando il trattamento è necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo.
Se la stessa finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità di intendere e di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato.
L’informativa, ai sensi dell’art.82 del Decreto Legislativo 196/2003, e il consenso al trattamento dei dati personali possono altresì intervenire senza ritardo, successivamente alla prestazione, in caso di:

• impossibilità fisica, incapacità di agire o incapacità di intendere e di volere dell’interessato, quando non è possibile acquisire il consenso di chi esercita legalmente la potestà, ovvero da
  un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato;
• rischio grave, imminente ed irreparabile per la salute o l’incolumità fisica dell’interessato;
• in caso di prestazione medica che può essere pregiudicata dall’acquisizione preventiva del consenso, in termini di tempestività o efficacia.

Articolo 12
Diritti dell’interessato

I diritti dell’interessato e le modalità del loro esercizio (artt.8, 9 e 10 del D.Lgs. 196/2003) sono garantiti dal Referente Aziendale sulla Privacy (che si avvale, al riguardo della necessaria collaborazione del Responsabile dell ’URP Centrale e dell’ Ufficio Legale), attraverso:

• la predisposizione e la diffusione ai Responsabili del Trattamento di adeguata modulistica concernente:
• informativa sul trattamento dei dati;
• consenso al trattamento dei dati sensibili
• richiesta di accesso al trattamento
• riscontro all’interessato
• la consulenza sugli adempimenti relativi all’esercizio dei diritti dell’interessato.
  

Articolo 13
Modalità di esercizio del diritto di accesso ai trattamenti

Gli interessati possono presentare richiesta di accesso al trattamento dei propri dati personali ai Responsabili e/o agli Incaricati dei Trattamenti, inclusi negli elenchi disponibili presso l’Ufficio Privacy e l’URP Centrale.
La richiesta può essere presentata in forma orale, compilando l’apposita modulistica disponibile o mediante raccomandata, fax o posta elettronica.
La richiesta deve essere necessariamente accolta, senza che l’interessato debba presentare le proprie motivazioni, a meno che egli voglia opporsi al trattamento dei dati che lo riguardano per motivi legittimi.
Per l’esercizio dei suoi diritti l’interessato può conferire delega scritta o procura a persone fisiche, enti, associazioni ed organismi e/o farsi assistere da una persona di fiducia.
I diritti riferiti a dati concernenti persone decedute possono essere esercitati da chi ha un interesse proprio, o agisce a tutela dell’interessato o per ragioni familiari meritevoli di protezione.
La risposta del Responsabile alle richieste avanzate deve giungere senza ritardo, entro e non oltre il termine di tre giorni dal deposito dell’istanza.
I dati sono estratti a cura degli Incaricati e possono essere comunicati al richiedente anche oralmente, ovvero offerti in visione mediante strumenti elettronici.
Su apposita richiesta, si provvede alla trasposizione dei dati su supporto cartaceo o informatico, oppure alla loro trasmissione per via telematica.
Quando l’estrazione dei dati risulta particolarmente difficoltosa, l’evasione della richiesta può avvenire anche attraverso l’esibizione o la consegna in copia di atti e documenti contenenti i dati richiesti.

Articolo 15
Richiesta di accesso ai dati personali idonei a rivelare lo stato di salute

I dati personali idonei a rivelare lo stato di salute possono essere resi noti all’interessato, (o ai soggetti che, per impossibilità fisica, per incapacità di agire o per incapacità di o per incapacità di intendere e di volere, agiscono in sua vece: cioè chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato) solo per il tramite di un medico designato dall’interessato o dall’AS n.4.
L’AS n.4 o i Responsabili dei Trattamenti possono autorizzare, per iscritto, esercenti le professioni sanitarie diversi dai medici, che nell’esercizio dei propri compiti intrattengono rapporti diretti con i pazienti e sono incaricati di trattare dati personali idonei a rivelare lo stato di salute, a rendere noti i medesimi dati attraverso appropriate modalità e cautele rapportate al contesto nei quale è effettuato il trattamento dei dati.

Articolo 16
Cartelle cliniche

Nella redazione e conservazione delle cartelle cliniche devono essere adottati opportuni accorgimenti per assicurare la comprensibilità dei dati e per distinguere i dati relativi al paziente da quelli eventualmente riguardanti altri interessati, ivi comprese informazioni relativi a nascituri.
Eventuali richieste di presa visione o rilascio di copia della cartella e dell’acclusa scheda di dimissione ospedaliera da parte di soggetti diversi dall’interessato, possono essere accolte, in tutto o in parte, solo se la richiesta è giustificata dalla documentata necessità:

• di far valere o difendere un diritto in sede giudiziaria, di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale inviolabile;
• di tutelare, in conformità alla disciplina sull’accesso ai documenti amministrativi, una situazione giuridicamente rilevante di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale inviolabile;
  

Articolo 17
Trattamento dei dati genetici

Il trattamento dei dati genetici è consentito nei soli casi previsti da apposita autorizzazione
rilasciata dal Garante sentito il Ministro della salute, che acquisisce, a tal fine, il parere del
Consiglio Superiore di Sanità.


Articolo 18
Trattamento dei dati per la ricerca medica, biomedica ed epidemiologica

Poiché l’AS n.4 deve comunicare previamente al Garante e senza il consenso dell’interessato il trattamento dei dati idonei a rilevare lo stato di salute previsto dal programma di ricerca medica, biomedica ed epidemiologica, sarà cura dei Responsabili dei Trattamenti la tempestiva segnalazione al Referente Aziendale Privacy di ogni nuova iniziativa al riguardo.
Il trattamento oggetto di comunicazione può essere iniziato decorsi 45 giorni dal ricevimento della comunicazione, salvo diversa determinazione anche successiva del Garante.

Articolo 19
Modalità di notificazione

La notificazione al Garante è effettuata quando i trattamenti riguardano:

• dati genetici;
• dati idonei a rilevare lo stato di salute e la vita sessuale, trattati ai fini di procreazione assistita, prestazione di servizi sanitari per via telematica relativi a banche di dati o alla fornitura di beni e servizi, indagini epidemiologiche, rilevazione di malattie mentali, infettive e diffusive, sieropositività, trapianto d’organi e di tessuti e monitoraggio della spesa sanitaria.

La comunicazione è inviata utilizzando il modello predisposto e reso disponibile dal Garante e trasmessa a quest’ultimo per via telematica, osservando le modalità di sottoscrizione con firma
digitale e conferma del ricevimento della notificazione.
La notificazione deve presentata al Garante prima dell’inizio del trattamento.
Sarà cura dei Responsabili dei Trattamenti la tempestiva segnalazione al Referente Aziendale Privacy di ogni nuova iniziativa al riguardo.
Il trattamento oggetto di comunicazione può essere iniziato decorsi 45 giorni dal ricevimento della comunicazione, salvo diversa determinazione anche successiva del Garante

Articolo 20
Sicurezza degli archivi cartacei

L’accesso agli archivi aziendali deve essere controllato e devono essere identificati e registrati i soggetti che vi sono ammessi.
Il Responsabile degli Archivi cartacei dovrà curarne la custodia in modo da ridurre al minimo i rischi di distruzione e perdita, anche accidentale dei dati personali contenuti nei documenti archiviati.
Gli archivi delle schede degli utenti presso le strutture sanitarie dell’Azienda sono sotto la
responsabilità dei Responsabili delle suddette strutture e del Direttore del Distretto dove le strutture sono ubicate.
Gli archivi delle cartelle cliniche del Presidio Ospedaliero di Acri sono sotto la responsabilità del Direttore Sanitario della struttura.