Regioni (ed enti collegati), Asl e ospedali avranno presto un nuovo regolamento per il trattamento dei dati sensibili e giudiziari. È arrivato dalle Regioni il via libera al nuovo testo
Il testo è stato messo a punto per adeguare le regole che discendono dalla legge 196/2003 (privacy) con le modifiche legislative via via intervenute.
Il nuovo regolamento indica una lunga lista di competenze per Regioni, enti e agenzie regionali, degli enti controllati e vigilati dalla Regione e per Asl, aziende ospedaliere, Irccs, aziende universitarie di qualsiasi tipo e natura che operano nel Ssn.
Il regolamento prevede una serie di schede da compilare per il trattamento dei dati che devono prevedere alcuni punti fermi.
Il primo è cosa si intende per “trattamento”. La denominazione deve individuare categorie omogenee di attività abbastanza ampie, in grado di poter includere nella stessa scheda i trattamenti che riguardano tutte le fasi relative a quella specifica attività (es. instaurazione e gestione del rapporto di lavoro del personale).
Il trattamento deve avere finalità di rilevante interesse pubblico. La finalità deve essere compresa tra quelle individuate dal Dlgs 196/03 (scopi storici, statistici scientifici), oppure espressamente dichiarata “di rilevante interesse pubblico” dalla legge di riferimento o da un provvedimento del Garante. I soggetti pubblici, ricorda il provvedimento, possono trattare solo i dati sensibili e giudiziari indispensabili alle attività istituzionali che non possono essere adempiute, caso per caso, con il trattamento di dati anonimi o di dati personali di natura diversa.
Le operazioni eseguite col trattamento dei dati sono standard o particolari.
Tra le operazioni standard rientrano la raccolta del dato, la registrazione, organizzazione, conservazione, elaborazione, modificazione, selezione, estrazione, utilizzo, blocco, accesso, distruzione del dato.
Nella seconda categoria – operazioni particoalri – rientrano invece l’interconnessione e il raffronto con altri trattamenti o archivi, sia dello stesso Ente sia di altri soggetti, e la comunicazione e la diffusione del dato.
Sarà inoltre necessario specificare se le operazioni eseguite sul tipo di dato sono effettuate con procedure informatizzate e quindi contenute su supporti informatici oppure con attività manuale e quindi contenute solo su supporti cartacei. In questo caso infatti la legge prevede un trattamento con tecniche di cifratura o con l’utilizzo di codici identificativi o altre soluzioni che li rendono “temporaneamente” non leggibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
IL TESTO DELLO SCHEMA DEL NUOVO REGOLAMENTO
Il Sole 24 Ore Sanita – 20 giugno 2012