IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
Nella riunione odierna, in presenza del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del
dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del
cons. Filippo Patroni Griffi, segretario generale;
Visto il Codice in materia di protezione dei dati personali
(decreto legislativo 30 giugno 2003, n. 196, di seguito «Codice»);
Visto il provvedimento adottato il 16 luglio 2009 con il quale
l'Autorita' ha individuato le «Linee guida in tema di Fascicolo
sanitario elettronico (Fse) e di dossier sanitario» ed ha previsto
che i trattamenti di dati personali effettuati attraverso il Fse
devono essere resi noti al Garante mediante una apposita
comunicazione da effettuarsi secondo un modello da adottare con
specifico provvedimento, ai sensi dell'art. 154, comma 1, lettera c)
del Codice;
Considerato che il Fse, costituendo un insieme logico di
informazioni e documenti sanitari condiviso da piu' titolari del
trattamento e volto a documentare la storia clinica di un individuo,
deve essere improntato a criteri di massima trasparenza nella sua
strutturazione e nel suo funzionamento;
Considerato che, secondo quanto indicato nelle suddette Linee
guida, il trattamento di dati personali effettuato tramite il Fse
coinvolge piu' titolari del trattamento operanti, piu'
frequentemente, ma non esclusivamente, in un medesimo ambito
territoriale;
Rilevato che e' generalmente affidato ad una struttura, per lo piu'
regionale, il compito di coordinamento dell'iniziativa di Fse;
Considerate le osservazioni pervenute a seguito della consultazione
pubblica del provvedimento del 5 marzo 2009 (in
www.garanteprivacy.it, doc web. n. 1598313) ed, in particolare,
quelle volte a richiedere che eventuali dichiarazioni da rendere al
Garante in caso di iniziative Fse possano essere effettuate da parte
della citata struttura coordinatrice per l'insieme dei trattamenti
effettuati - nell'ambito del Fse - dai diversi titolari del
trattamento coinvolti;
Ritenuta la necessita' di prescrivere ai titolari del trattamento e
alle menzionate strutture coordinatrici, ai sensi dell'art. 143,
comma 1, lettera b) e dell'art. 154, comma 1, lettera c) del Codice,
l'obbligo di comunicare al Garante i trattamenti dei dati personali
effettuati tramite Fse;
Ritenuto che a tale obbligo di comunicazione debba assolvere di
regola la struttura coordinatrice dell'iniziativa di Fse e in via
residuale, in caso di assenza di tale struttura, i singoli titolari
del trattamento coinvolti;
Ritenuto di dover adottare l'allegato modello di comunicazione
(Allegato n. 1), che forma parte integrante del presente
provvedimento, da compilare e inviare al Garante prima dell'inizio
del trattamento all'indirizzo dell'Autorita': piazza di Monte Citorio
n. 121 - 00186 Roma, ovvero alla casella di posta elettronica
fse_comunicazione@garanteprivacy.it;
Ritenuto di individuare il termine del 31 dicembre 2009 per l'invio
della suddetta comunicazione nei casi di iniziative di Fse gia' in
corso alla data di adozione del presente provvedimento;
Considerato che dall'invio delle suddette comunicazioni non puo'
desumersi alcuna approvazione implicita da parte dell'Autorita'
dell'iniziative di Fse oggetto della comunicazione;
Considerato che per l'invio delle suddette comunicazioni non e'
previsto alcun pagamento di diritti di segreteria;
Tenuto conto che, ai sensi dell'art. 162, comma 2-ter del Codice,
in caso di inosservanza del presente provvedimento prescrittivo, e'
applicata in sede amministrativa, in ogni caso, la sanzione del
pagamento di una somma da trentamila euro a centottantamila euro;
Tenuto conto, inoltre, che, ai sensi dell'art. 164-bis, comma 2,
del Codice, in caso di piu' violazioni di un'unica o di piu'
disposizioni relative a violazioni amministrative, commesse anche in
tempi diversi in relazione a banche di dati di particolare rilevanza
o dimensioni, si applica la sanzione amministrativa del pagamento di
una somma da cinquantamila euro a trecentomila euro;
Tenuto conto, infine, che ai sensi dell'art. 168 del Codice,
chiunque, in comunicazioni, atti, documenti o dichiarazioni resi o
esibiti in un procedimento dinanzi al Garante o nel corso di
accertamenti, dichiara o attesta falsamente notizie o circostanze o
produce atti o documenti falsi, e' punito, salvo che il fatto
costituisca piu' grave reato, con la reclusione da sei mesi a tre
anni;
Vista la documentazione in atti;
Viste le osservazioni dell'Ufficio, formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000
del 28 giugno 2000;
Relatore il dott. Giuseppe Fortunato;
Tutto cio' premesso il garante
ai sensi degli articoli 143, comma 1, lettera b) e 154, comma 1,
lettera c) del Codice, prescrive alle strutture coordinatrici delle
iniziative di Fse e, in via residuale, in caso di assenza di tale
struttura, ai singoli titolari del trattamento coinvolti di
comunicare al Garante i trattamenti dei dati personali effettuati
tramite Fse, prima dell'inizio del trattamento e, nei casi di
iniziative di Fse gia' in corso, entro il termine del 31 dicembre
2009, attraverso il modello di comunicazione allegato al presente
provvedimento (Allegato n. 1).
Si dispone la trasmissione di copia del presente provvedimento al
Ministero della giustizia - Ufficio pubblicazione leggi e decreti,
per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica
italiana.
Roma, 16 luglio 2009
Il presidente: Pizzetti
Il relatore: Fortunato
Il segretario generale: Patroni Griffi