Titolo completo "FSEr: nomina da parte della Giunta regionale, quale Titolare del trattamento per finalità di governo e di ricerca, ex art.4, punto 7 del Regolamento UE 2016/679, della Azienda Zero quale Responsabile Trattamento dati, ex art. 4, punto 8 del Regolamdento UE 2016/679, e approvazione del relativo schema di convenzione. Costituzione Gruppo di Lavoro di supporto al Titolare del Trattamento dati personali FSEr (Gruppo di Lavoro FSEr)"
Pubblicata nel Bur n. 77 del 23/05/2020
- La Giunta Regionale, in qualità di Titolare del trattamento dei dati personali, provvede, (in conformità alle previsioni normative di cui al Regolamento (UE) 2016/679 del Parlamento Europeo e del Consiglio del 27 aprile 2016 (GDPR), della L.R. 19/2016, del D.lgs. 178/2015, della L.R. n. 48 del 28.12.2018, nonché alle indicazioni di cui alla DGR n. 596 dell'8 maggio 2018), a nominare Azienda Zero quale Responsabile del trattamento dei dati personali, con riferimento ai dati sanitari e socio sanitari trattati attraverso e all'interno del Fascicolo Sanitario Elettronico regionale (FSEr), per finalità di governo e ricerca. In relazione a ciò, si provvede ad approvare il relativo schema di convenzione la cui efficacia decorrerà dalla data di sottoscrizione. Contestualmente, si provvede alla costituzione Gruppo di Lavoro di supporto al Titolare del trattamento dati personali FSEr.
Parole d’interesse: protezione dati personali
L'Assessore Manuela Lanzarin, di concerto con il Vicepresidente Gianluca Forcolin, riferisce quanto segue.
A) Inquadramento giuridico normativo
Come noto, con L.R. n. 19 del 25 ottobre 2016 è stata istituita Azienda Zero, quale ente del servizio sanitario regionale, per la razionalizzazione, l'integrazione e l'efficientamento dei servizi sanitari, socio-sanitari e tecnico-amministrativi del SSR.
Tra le funzioni assegnate, in base all'art. 2 della citata legge regionale, ad Azienda Zero, è indicata "la gestione di attività tecnico - specialistiche per il sistema e per gli enti del servizio sanitario regionale, quali (...) le infrastrutture di tecnologia informatica, connettività, sistemi informativi e flussi dati in un'ottica di omogeneizzazione e sviluppo del sistema ICT", nonché "la attivazione del fascicolo sanitario elettronico e la conseguente tessera sanitaria elettronica per tutta la popolazione veneta".
Particolare rilevanza assumono le attività volte alla realizzazione del Fascicolo Sanitario Elettronico regionale, (come disciplinato dall'art. 12 del D.L. n. 179 del 18.10.2018, convertito con legge n. 98 del 2013, e successiva regolamentazione di cui al DPCM n. 178 del 2015).
È, difatti, previsto che "Azienda Zero, sentita la commissione consiliare competente, approva i decreti attuativi del fascicolo sanitario elettronico, con particolare riferimento alla realizzazione di un'unica rete regionale per interconnettere tutte le aziende sanitarie e gli enti socio-sanitari".
La digitalizzazione della sanità costituisce una sfida che la Regione del Veneto, ormai da anni, ha intrapreso in maniera puntuale, attenta e performante.
La implementazione, difatti, del Sistema Informativo Socio Sanitario Regionale costituisce obiettivo strategico individuato dalla Regione del Veneto, da ultimo, con espressa previsione con L.R. n. 48 del 28.12.2018.
Invero, il Piano Socio Sanitario Regionale 2019-2023, approvato con Legge Regionale n. 48 del 28 dicembre 2018, con riferimento agli obiettivi di governo del sistema sociosanitario regionale, definisce quale obiettivo strategico "Sviluppare un modello di governance multilivello consolidando il ruolo di indirizzo e pianificazione del livello centrale, il ruolo di gestione e controllo del livello intermedio, il ruolo di produzione ed erogazione dei servizi delle Aziende Sanitarie e il ruolo di supporto degli enti strumentali".
Il Piano, in relazione alla gestione del patrimonio informativo regionale, precisa che "L'obiettivo è sfruttare le potenzialità del digitale per rispondere alle sfide legate ai nuovi bisogni di salute. Data la particolare rilevanza dell'argomento in questione e
al fine di raggiungere gli obiettivi preposti, assume ancora maggior valore il tema dello sviluppo del Fascicolo Socio Sanitario Elettronico regionale".
Tra gli obiettivi strategici individuati dal Piano Socio Sanitario Regionale figurano il mantenimento e l'evoluzione del Fascicolo Sanitario Elettronico, nonché il garantire la sua alimentazione continuativa con dati e documenti digitali, permettendo agli assistiti l'accesso, la consultazione e la gestione di essi. Il Piano precisa inoltre che "spetta ad Azienda Zero strutturare un sistema informativo, costantemente aggiornato e facilmente consultabile".
Il ruolo di Azienda Zero quale ente istituito per il governo della Sanità della Regione del Veneto è stato oggetto di puntuale regolamentazione con provvedimenti deliberativi della Giunta regionale.
Con DGR n. 733 del 2017, è stato precisato che "tenendo presente che deve procedere nell'alveo della semplificazione e della sostenibilità organizzativa, l'Azienda Zero garantisce l'unitarietà a livello regionale della gestione dei processi relativi alle funzioni di cui all'articolo 2, comma 2 della L.R. 19/2016. Tale assegnazione di funzioni, oltre a rappresentare una evidente garanzia di coordinamento e di efficienza, consente una indubbia razionalizzazione delle risorse assegnate, determinando altresì un risparmio nelle spese collegate all'amministrazione del SSR".
Nella medesima deliberazione è stato evidenziato che Azienda Zero "gestisce tutte le tecnologie ICT nell'ambito dei processi di prevenzione, diagnosi, cura e riabilitazione e nell'ambito amministrativo, contabile e della logistica dei beni, del Sistema Sanitario della Regione del Veneto, anche attraverso il coordinamento delle unità organizzative dei sistemi informativi delle aziende sanitarie".
Per quanto concerne, in particolare, la attuazione del Fascicolo Sanitario Elettronico regionale (FESr) vanno inoltre richiamati anche i seguenti provvedimenti deliberativi assunti dalla Giunta regionale:
- DGR n. 1671 del 2012, avente ad oggetto "Realizzazione Progetto Fascicolo Sanitario Elettronico Regionale".
• DGR n. 2703 del 2014, "Progetto Fascicolo Sanitario Elettronico Regionale: rimodulazione delle attività progettuali e proroga del termine"; - DGR n. 1785 del 7 novembre 2016, "Potenziamento e razionalizzazione del Sistema Informativo Socio Sanitario.Linee di intervento e progetto Fascicolo Sanitario Elettronico regionale fase II";
- DGR n. 733 del 29 maggio 2017, con la quale, in attuazione della L.R. 25 ottobre 2016, n. 19, si prevede che Azienda Zero, attraverso le proprie articolazioni organizzative, tra l'altro, "gestisce tutte le tecnologie ICT nell'ambito dei processi di prevenzione, diagnosi, cura e riabilitazione e nell'ambito amministrativo, contabile e della logistica dei beni, del Sistema Sanitario della Regione del Veneto, anche attraverso il coordinamento delle unità organizzative dei sistemi informativi delle aziende sanitarie" precisando che "tutte le attività svolte in tal senso devono raccordarsi con le specifiche nazionali e regionali sul Fascicolo Sanitario Elettronico;".
Con riferimento alla normativa statale volta a disciplinare il Fascicolo Sanitario Elettronico, appare opportuno richiamare, in particolare, la previsione di cui all'art. 12 del D.L. n. 179 del 18.10.2018, convertito con legge n. 98 del 2013, e successiva regolamentazione di cui al DPCM n. 178 del 2015. L'articolo 12 del D.L. 18 ottobre 2012, n. 179 ha previsto la istituzione del Fascicolo Sanitario Elettronico quale "insieme dei dati e documenti digitali di tipo sanitario e socio-sanitario generati da eventi clinici presenti e trascorsi, riguardanti l'assistito", ponendone la competenza in capo alle regioni e alle province autonome. Con successivo DPCM n. 178 del 2015 è stata dettata una puntuale regolamentazione dello stesso.
Il combinato disposto del D.L. 179 del 2012 e del DPCM 178/2015 delinea in maniera puntuale, la disciplina e la regolamentazione riferita al Fascicolo Sanitario Elettronico, chiarendo, tra l'altro, le funzioni perseguite nonché la titolarità di dette funzioni.
Le regioni e le province autonome sono chiamate, oltre che all'istituzione del Fascicolo Sanitario Elettronico, anche al trattamento dei dati, privati dei dati identificativi, per finalità di ricerca scientifica e di governo.
Appare di tutta evidenza la stretta interrelazione che la disciplina normativa del Fascicolo Sanitario Elettronico ha con la disciplina volta alla tutela del trattamento dei dati personali contenuta, principalmente, nel Regolamento Europeo 2016/679, e nel D.lgs. 196/2003, "Codice della Privacy" come coordinato ed aggiornato, da ultimo, con le modifiche apportate dal D.L. 14 giugno 2019 n. 53, dal D.M. 15 marzo 2019, e dal Decreto di adeguamento al GDPR, D.lgs. 10 agosto 2018, n. 101.
Le regioni, così come le province autonome, come già evidenziato, sono titolari della competenza e della funzione della istituzione del Fascicolo Sanitario Elettronico.
Inoltre, con riferimento alla normativa che disciplina la protezione dei dati personali, sono titolari del trattamento dei dati, secondo la definizione dell'art. 4, punto 7, del Regolamento Europeo 2016/679, "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che, singolarmente o insieme ad altri, determina le finalità e i mezzi del trattamento di dati personali; quando le finalità e i mezzi di tale trattamento sono determinate dal diritto dell'Unione o degli Stati membri, il titolare del trattamento o i criteri specifici applicabili alla sua designazione possono essere stabiliti dal diritto dell'Unione o degli Stati membri".
B) La nomina del Responsabile del trattamento ex art. 28 Regolamento UE 2016/679
In ragione della organizzazione che, con legge regionale 19 del 2016, si è data al Servizio Sanitario Regionale, in coerenza e piena osservanza delle disposizioni nazionali richiamate, ed in particolare del D.L. 179 del 2012, la Regione del Veneto conserva la titolarità della funzione di istituzione del Fascicolo Sanitario Elettronico, pur avendo demandato le attività volte alla attivazione dello stesso ad Azienda Zero.
Infatti, la Regione del Veneto ha, con L.R. 19 del 2016, posto in capo ad Azienda Zero l'attivazione del Fascicolo Sanitario Elettronico; invero, pur mantenendo in capo a sé, nel rispetto della normativa nazionale, la titolarità della funzione di istituzione del Fascicolo Sanitario Elettronico, ha ritenuto di avvalersi dell'ausilio dell'ente di governance regionale, Azienda Zero. Azienda Zero, pertanto, viene a porsi, per quanto concerne la normativa che regola la protezione dei dati personali, quale Responsabile del trattamento. L'art. 4, punto 8, del Regolamento Europeo 2016/679, definisce "Responsabile del Trattamento" "la persona fisica o giuridica, l'autorità pubblica, il servizio o altro organismo che tratta dati personali per conto del titolare del trattamento".
Come prevede l'art. 28 del Regolamento Europeo 2016/679, "i trattamenti da parte di un responsabile del trattamento sono disciplinati da un contratto o da altro atto giuridico a norma del diritto dell'Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento".
Diviene, pertanto, necessario provvedere a disciplinare i trattamenti riferiti al Fascicolo Sanitario Elettronico regionale, posti in essere da Azienda Zero per conto della Regione.
L'obiettivo è regolare i rapporti tra Titolare del trattamento e Responsabile del trattamento, in ottemperanza delle previsioni normative, nella maniera più efficace, armoniosa e costruttiva possibile al fine di assicurare una linea di azione e di intervento condivisa tra le amministrazioni coinvolte nei ruoli di Titolare e Responsabile che garantisca la protezione dei dati trattati.
Va evidenziato che Azienda Zero risulta soddisfare la previsione di cui all'art. 28, comma 1, del Regolamento Europeo 2016/679, in base al quale "qualora un trattamento debba essere effettuato per conto del Titolare del trattamento, quest'ultimo ricorre unicamente a Responsabili del trattamento che presentino garanzie sufficienti per mettere in atto misure tecniche e organizzative adeguate in modo tale che il trattamento soddisfi i requisiti del presente regolamento e garantisca la tutela dei diritti dell'interessato".
Invero, Azienda Zero corrisponde a quanto richiesto dalla norma citata, tra l'altro, alla luce:
- delle previsioni di cui all'art. 2 della L.R. 19/2016;
- delle risorse umane e tecnologiche nonché delle competenze professionali possedute;
- dell'incarico, già attribuito ad Azienda Zero con DGR 1894/2019, di svolgimento delle attività e delle funzioni di Autorità Nis (Network and Information Security) in ambito sanitario, come previsto dall'art. 7 del D.Lgs. 65/2018, nonché delle attività correlate al ruolo regionale di coordinatore per le regioni e province autonome delle iniziative e degli adempimenti previsti in attuazione del D.Lgs. 65/2018 per il perimetro sanità, (ossia a diffondere e sensibilizzare l'adozione delle linee guida, predisposte dalle Autorità competenti NIS in materia di cybersecurity, con particolare attenzione alle metodiche analisi del rischio cyber, alle misure di sicurezza e alle procedure di notifica degli incidenti);
- della pluriennale esperienza già maturata con particolare riferimento al Fascicolo Sanitario Elettronico regionale;
- del Piano Sistema Informativo Socio Sanitario Regionale 2019-2023, approvato da Azienda Zero e recepito con DGR 252 del 2 marzo 2020 e della individuazione, per quanto di interesse, del seguente obiettivo strategico: mantenere ed evolvere il Fascicolo Sanitario Elettronico regionale e garantire la sua alimentazione continuativa con dati e documenti digitali permettendo agli assistiti l'accesso, la consultazione e la gestione di essi. Costituisce obiettivo strategico del Piano garantire la protezione e la sicurezza dei dati attraverso un approccio di data protection fondato sui principi di privacy by default e privacy by design.
- della previsione, all'interno del Piano del Sistema Informativo Socio Sanitario 2019/2023 di una apposita Cabina di Regia il cui coordinamento è stato posto in capo alla UOC Sistemi Informativi di Azienda Zero che risulta avere assorbito, in ordine al Fascicolo Sanitario Elettronico, ruolo e funzioni in precedenza svolte dall'organismo regionale "Unità di Regia del progetto FSEr".
Si propone, pertanto, in forza di quanto sopra, di nominare Azienda Zero quale Responsabile del trattamento in ordine al Fascicolo Sanitario Elettronico regionale per le finalità di governo e ricerca.
A tal fine si propone di approvare lo schema di convenzione che andrà a disciplinare i contenuti della nomina stessa, che costituisce l'Allegato A alla presente deliberazione, e i cui effetti decorreranno dalla data di sottoscrizione della convenzione.
Si propone inoltreche lo schema di convenzione possa essere integrato e modificato, in ragione di mutamenti della normativa nonché di sviluppi informativi e tecnologici che dovessero intervenire, nonché per motivate ragioni organizzative, con idoneo provvedimento del Direttore dell'Area Sanità e Sociale quale Coordinatore del Gruppo di Lavoro FSEr che si andrà a illustrare infra.
C) La titolarità del trattamento
In ragione delle peculiarità che connotano il Fascicolo Sanitario Elettronico elettronico, appare opportuno evidenziare quanto segue.
Il Fascicolo Sanitario Elettronico costituisce uno strumento di indubbia rilevanza strategica per il perseguimento della salute pubblica da parte del Servizio Sanitario Nazionale e Regionale. L'istituzione del FSEr è un compito e una funzione che, pur presentando una indubbia e immediata rilevanza sotto il profilo sanitario e socio sanitario, investe l'ente Regione nel suo complesso. Difatti, anche alla luce del dato letterale dell'art. 12 del D.L. 179/2012, nel quale si fa espressamente riferimento alle regioni e alle province autonome, nonché delle caratteristiche che gli sono proprie (e che ne fanno uno strumento sostanzialmente informatico che consente la trasmissione di dati di valenza sanitaria e sociale), e, non ultimo, della previsione di cui all'art. 2 della L.R. 19/2016, che vede quale soggetto chiamato a curarne l'attivazione e la gestione un ente altro rispetto alla Regione, non è possibile individuare una struttura regionale che possa dirsi, in via esclusiva, competente in ordine al Fascicolo Sanitario Elettronico regionale.
Tale riflessione appare di estrema rilevanza laddove si voglia adottare, anche in ordine al Fascicolo Sanitario Elettronico regionale, il modello organizzativo che si è introdotto, per quanto concerne la disciplina della protezione dei dati personali, con DGR n. 596 dell'8 maggio 2018, "Regolamento 2016/679/UE del Parlamento Europeo e del Consiglio del 27 aprile 2016, General Data Protection Regulation (GDPR). Misure relative alla protezione dei dati personali. Istruzioni per i trattamenti di dati personali. Costituzione "Gruppo di Lavoro GDPR" ".
Come noto, con il provvedimento deliberativo citato, in una logica di responsabilizzazione condivisa, ed al fine di creare una rete di soggetti chiamati a rispondere dell'osservanza delle disposizioni di cui al Regolamento Europeo 2016/679, si è provveduto a introdurre, quale sorta di fictio iuris, la figura, non prevista né dalla normativa europea né da quella nazionale, del Delegato al Trattamento, da individuarsi nel Direttore competente per materia; tale competenza deve individuarsi in ragione dell'incarico ricoperto.
Nella DGR n. 596 del 2018 si prevede che: "In base al nuovo assetto organizzativo, il "Titolare del trattamento" di dati personali effettuati dalle strutture regionali afferenti alla Giunta Regionale, in linea con quanto fino ad ora sempre disposto, rimane la Giunta Regionale.
La figura del Responsabile "interno", invece, non è più prevista e al suo posto si ritiene opportuno introdurre la nuova figura del "Delegato al trattamento" di dati personali.
Tenuto conto della complessità e della molteplicità delle funzioni istituzionali dell'Amministrazione Regionale, in cui le scelte di gestione finanziaria, tecnica e amministrativa (compresa la possibilità di stipulare contratti) rientrano tra le specifiche competenze dei Dirigenti (chiamati a dare attuazione alla programmazione dell'organo politico ed a realizzare gli obiettivi prefissati) nonché del loro ruolo centrale nel trattamento dei dati personali, si ritiene opportuno - fermo restando quanto disposto in tema di assetto organizzativo dell'Amministrazione Regionale - delegare tutti i Dirigenti in servizio presso l'Amministrazione Regionale, ognuno per la parte di propria competenza, al trattamento di dati personali effettuato nello svolgimento dell'incarico ricevuto, secondo quanto previsto dal rispettivo contratto individuale di lavoro.
I predetti Delegati al trattamento, nell'esercizio del proprio incarico, dovranno osservare quanto disposto dalle "Istruzioni per i trattamenti di dati personali" di cui all'Allegato A e, nell'ambito delle proprie funzioni, al fine di poter fare efficacemente fronte alle diverse incombenze proprie del ruolo e di seguito indicate, si avvarranno della fattiva collaborazione dei Referenti privacy e delle persone autorizzate al trattamento, adeguatamente responsabilizzati sul tema".
Il trattamento dati riferito al Fascicolo Sanitario Elettronico regionale, pur rinvenendo al pari di tutti i trattamenti dati quale Titolare, ex art. 4, punto 7, del Regolamento Europeo 2016/679, la Giunta Regionale, difficilmente consente di individuare un Delegato al trattamento come introdotto e delineato con DGR n. 596 del 2018.
Ciò in ragione della singolare e peculiare trasversalità, già ricordata, del trattamento che coinvolge la Regione nel suo complesso e che, nel concreto, potrà riguardare una pluralità di strutture e relativi Direttori di Aree così come di Direzioni e di Unità Organizzative, coinvolti in ragione delle competenze e delle funzioni loro assegnate.
A rendere ancor più complessa la possibilità di sovrapporre al trattamento in argomento il modello organizzativa di cui alla DGR n. 596/2018, si aggiunge la ricordata attribuzione del FSEr, per gli aspetti dell'attivazione, dell'implementazione e del sostanziale governo e controllo ad Azienda Zero.
Con riferimento alle strutture regionali, appare evidente la duplice componente e valenza socio-sanitaria ed informatica del Fascicolo Sanitario Elettronico. In ragione di ciò si ritiene di non poter ricondurre il Fascicolo Sanitario Elettronico regionale alla competenza di un unico Delegato al trattamento. Vanno, inoltre, ricordati gli importanti e rilevanti aspetti giuridici e legali, anche per quanto concerne i possibili contenziosi, che dovrebbero in ragione della delicatezza dello strumento, essere costantemente monitorati e presidiati dalle strutture regionali a ciò deputate.
Si ritiene pertanto opportuno introdurre un modello organizzativo specifico per il trattamento dati personali del Fascicolo Sanitario Elettronico regionale, prevedendo a costituzione di un apposito Gruppo di Lavoro a supporto del Titolare del trattamento dati FSEr, con plurime e differenziate competenze, atto a garantire piena e costante padronanza sui processi, sulle responsabilità, sulle attività correlate connesse al ruolo di Titolare posto in capo alla Regione del Veneto.
Il Gruppo di Lavoro di supporto al Titolare del trattamento dati FSEr, dovrà, attraverso il proprio coordinatore o attraverso i propri componenti correlarsi, laddove necessario, con Azienda Zero, quale Responsabile del trattamento; ciò nel rispetto delle competenze e delle funzioni che, alla luce della L.R. n. 19 del 2016, sono state poste in capo all'Azienda stessa in merito al Fascicolo Sanitario Elettronico regionale.
Si propone, pertanto, la costituzione di un Gruppo di Lavoro FSEr con funzioni di supporto al Titolare del trattamento dati di cui al Fascicolo Sanitario Elettronico regionale, che assicuri lo svolgimento delle funzioni e dei compiti che, nel modello organizzativo di cui alla DGR n. 596 del 2018, risultato posti in capo ai Delegati al trattamento.
Tale Gruppo di Lavoro di supporto al Titolare del trattamento dati FSEr vedrà al proprio interno componenti stabili, la cui presenza si ritiene indefettibile per il corretto operare, in ragione delle competenze possedure, e altri componenti la cui partecipazione sarà modulata e richiesta in ragione delle particolari esigenze che dovessero emergere.
In ragione delle competenze per materia, si propone di individuare quali componenti stabili del gruppo:
- il Direttore dell'Area Sanità e Sociale o suo Vicario a ciò espressamente delegato con Decreto;
- il Direttore della Direzione ICT e Agenda Digitale, od un suo delegato;
- il Direttore della Direzione Affari Legislativi o un suo delegato.
Qualora ciò risulti necessario anche al fine di apprestare, anche in via preventiva, una difesa degli interessi e della posizione della Regione del Veneto, in ordine a ogni possibile contenzioso, giudiziale e stragiudiziale, che dovesse insorgere con riferimento al Fascicolo Sanitario Elettronico, il team potrà essere integrato dal Coordinatore dell'Avvocatura Regionale o da suo delegato.
Il Gruppo di Lavoro FSEr potrà essere integrato, in ragione delle competenze ritenute di volta in volta utili e necessarie, su indicazione dei componenti stabili, con ulteriori componenti, senza necessità di previa formalizzazione con atto regionale.
Il DPO regionale potrà partecipare agli incontri del Gruppo di lavoro, per esercitare le funzioni di cui all'art. 39 del GDPR.
Il Gruppo di Lavoro FSEr regionale è interlocutore, per conto del Titolare del trattamento, di Azienda Zero per tutti gli aspetti disciplinati dalla convenzione, in particolare:
- impartisce le necessarie e opportune istruzioni al Responsabile del trattamento;
- è destinatario delle comunicazioni, informazioni, relazioni poste in essere dal Responsabile del trattamento rivolte al Titolare del trattamento, come previste dalla convenzione e dalla normativa vigente;
- effettua, qualora ciò si rendesse necessario e casi previsti dalla convenzione, la contestazione dei fatti al Responsabile ai fini dell'eventuale revoca della nomina da parte delle Giunta regionale;
- autorizza, per iscritto, le eventuali richieste di nomina di sub-responsabili che venissero presentate da parte del Responsabile del trattamento;
- coordina le verifiche, gli audit e le richieste di accertamenti e controlli disposti nei confronti del Responsabile;
- provvede a valutare la necessità e l'opportunità di disporre l'aggiornamento delle condizioni e del contenuti della convenzione di nomina del Responsabile del trattamento, che saranno approvate con decreto del Coordinatore del Gruppo di Lavoro;
- mantiene i contatti con Azienda Zero, quale Responsabile del trattamento;
- mantiene i necessari contatti e collegamenti con i soggetti interni ed esterni alla Regione, quali, tra gli altri, la Giunta regionale quale Titolare del trattamento in argomento e l'Autorità di Controllo, nei casi in cui ciò si rivelasse necessario e opportuno.
Al Direttore dell'Area Sanità e Sociale (o ad un suo delegato), in ragione della rilevanza sotto il profilo sanitario del Fascicolo Elettronico Regionale, si propone di affidare il compito di coordinare il Gruppo di Lavoro FSEr .
Si propone, inoltre, di delegare al Coordinatore del suddetto gruppo di lavoro la sottoscrizione, in nome e per conto del Titolare del Trattamento, dell'atto di nomina del Responsabile del Trattamento.
Il Gruppo di Lavoro FSEr verificherà i rapporti periodici delle attività di audit interni forniti da Azienda Zero secondo il programma concordato e definito preventivamente volte a verificare e valutare regolarmente l'efficacia delle misure tecniche di sicurezza e organizzative implementate al fine di assicurare la loro adeguatezza in relazione al trattamento dei dati effettuato.
La costituzione del Gruppo di Lavoro di Supporto al Titolare Trattamento dati FSEr (Gruppo di Lavoro FSEr) è prevista a far data dalla data di approvazione del presente provvedimento. Pertanto da quella data il Gruppo di Lavoro risulterà formalmente costituito e potrà avviare la propria attività.
D) Informativa alla Giunta
Appare utile richiamare quanto previsto con DGR n. 252 del 2 marzo 2020, di presa d'atto del Piano PSISSR 2019-2023 approvato da Azienda Zero, laddove si prevedeva che "in ragione degli obiettivi strategici che il PSISSR 2019-2023 intende conseguire all'interno delle indicazioni formulate dal Piano Socio Sanitario 2019-2023, nonché della previsione di cui al già citato art. 5 della L.R. n. 48 del 2018, Azienda Zero dovrà trasmettere al Direttore Generale dell'Area Sanità e Sociale, entro il 31 marzo di ciascun anno, una dettagliata relazione, riferita all'anno precedente, circa l'attuazione del Piano con particolare attenzione ad attuazione, aggiornamento ed evoluzione del progetto Fascicolo Sanitario Elettronico regionale.
La relazione dovrà inoltre dare puntuale evidenza delle misure organizzative e tecnologiche adottate al fine di garantire il rispetto della protezione dei dati personali secondo la vigente disciplina normativa. (...)
In ragione dei peculiari contenuti del Piano, nell'esame della relazione periodica che verrà trasmessa da parte di Azienda Zero, si propone che l'Area regionale Sanità e Sociale possa avvalersi della collaborazione, per quanto di loro competenza, di altre strutture regionali, in particolare, per quanto riguarda gli aspetti di natura tecnico informatica, della Direzione ICT Agenda Digitale e, per quanto concerne gli aspetti della tutela dei dati personali, del Data Protection Officer (DPO).
Data la particolare rilevanza strategica che assume il Piano Sistema Informativo Socio Sanitario Regionale 2019-2023, anche in ragione del fatto che comprende la piena implementazione del Fascicolo Sanitario Elettronico regionale, a fronte della relazione trasmessa da Azienda Zero e dell'esame sulla stessa effettuato dall'Area Sanità e Sociale, (eventualmente con la collaborazione delle ulteriori competenti strutture regionali), si propone venga predisposta annualmente una apposita Informativa con la quale la Giunta Regionale venga pienamente informata sullo stato di attuazione del Piano stesso".
Al fine di coordinare le previsioni del presente provvedimento con quelle della citata DGR n. 252 del 2020, evitando duplicazioni di organismi e processi, appare opportuno che la relazione di Azienda Zero venga integrata anche in relazione al ruolo di Responsabile del trattamento dati di cui alla nomina in argomento.
Si propone di prevedere che l'analisi della relazione trasmessa da Azienda Zero, a parziale modifica di quanto previsto con la citata DGR n. 252 del 2020, venga assicurata dall'intero Gruppo di Lavoro FSEr. Conseguentemente, si propone che l'Informativa che l'Area Sanità e Sociale, anche in ragione del ruolo di coordinamento del Gruppo di Lavoro di supporto al
Titolare del Trattamento, deve, come già da previsione di cui alla DGR n. 252/2020, effettuare a favore della Giunta regionale, contenga una sezione dedicata al trattamento dati di cui al Fascicolo Sanitario Elettronico regionale nella quale si dia conto anche: a) dei report di verifica, controllo e audit effettuati dalla competente Direzione ICT Agenda Digitale; b) delle osservazioni, analisi, suggerimenti o altri apporti provenienti dal Data Protection Officer.
In tal modo si intende assicurare che la Giunta regionale, quale Titolare del trattamento dati, venga pienamente e costantemente informata oltre che in merito all'attuazione Piano PSISSR 2019-2023, del Fascicolo Sanitario Elettronico regionale anche per quanto concerne gli aspetti della tutela del trattamento dati.
Si propone, infine, di incaricare l'Area Sanità e Sociale dell'esecuzione del presente atto.
Il relatore conclude la propria relazione e propone all'approvazione della Giunta regionale il seguente provvedimento.
LA GIUNTA REGIONALE
UDITO il relatore, il quale dà atto che la struttura competente ha attestato, con i visti rilasciati a corredo del presente atto, l'avvenuta regolare istruttoria della pratica, anche in ordine alla compatibilità con la vigente legislazione statale e regionale, e che successivamente alla definizione di detta istruttoria non sono pervenute osservazioni in grado di pregiudicare l'approvazione del presente atto;
VISTO il D.L. 179 del 2012 convertito, con modificazioni, con L. 221 del 2012;
VISTO il D.P.C.M. 29 settembre 2015 n. 178;
VISTE la L.R. 25 ottobre 2016, n. 19 e la L.R. 28 dicembre 2018, n. 48;
VISTE le DD.GG.RR. n. 1671 del 7 agosto 2012, n. 2703 del 29 dicembre 2014, n. 1785 del 7 novembre 2016, n. 733 del 29 maggio 2017, n. 1940 del 27 novembre 2017;
VISTA la DGR n. 252 del 2 marzo 2020;
VISTO l'art. 2, comma 2, lett. o) della Legge Regionale n. 54 del 31 dicembre 2012;
delibera
- di approvare quanto illustrato in premessa che costituisce parte integrante e sostanziale della presente deliberazione;
- di nominare, per le ragioni indicate in premessa, Azienda Zero quale Responsabile del trattamento in ordine al Fascicolo Sanitario Elettronico regionale, con riferimento alle finalità che, per legge, sono poste in capo alle regioni; gli effetti della nomina decorreranno dalla data di sottoscrizione della relativa convenzione, di cui al punto 3; (protezione dati personali)
- di approvare lo schema di convenzione che andrà a disciplinare i contenuti della nomina di Azienda Zero quale Responsabile del trattamento, che costituisce l'Allegato A alla presente deliberazione; (protezione dati personali)
- di costituire, a far data dalla approvazione del presente atto, il Gruppo di Lavoro di supporto al Titolare del Trattamento dati personali FSEr (Gruppo di Lavoro FSEr) in ordine al Fascicolo Sanitario Elettronico regionale, nella composizione e con i compiti e le funzioni indicate in premessa;
- di affidare al Direttore dell'Area Sanità e Sociale (o ad un suo delegato), in ragione della rilevanza sotto il profilo socio sanitario del Fascicolo Sanitario Elettronico Regionale, il coordinamento del Gruppo di Lavoro FSEr;
- di delegare il Direttore dell'Area Sanità e Sociale, quale coordinatore del Gruppo di lavoro di cui al punto precedente, alla sottoscrizione, in nome e per conto del Titolare del trattamento, della convenzione di nomina di Azienda Zero quale Responsabile del trattamento;
- di prevedere che lo schema di convenzione di cui al punto 3 possa essere integrato e modificato, in ragione di mutamenti della normativa nonché di sviluppi informatici e tecnologici che dovessero intervenire, nonché per motivate ragioni organizzative, con idoneo provvedimento del Direttore dell'Area Sanità e Sociale quale Coordinatore del Gruppo di Lavoro FSEr;
- di integrare le indicazioni di cui alla precedente DGR 252/2020 come segue:
a) la relazione che Azienda Zero è chiamata a trasmettere all'Area Sanità e Sociale, annualmente, di norma entro il 31 marzo dell'anno successivo a quello al quale si riferisce, dovrà dar conto anche degli aspetti riferiti al trattamento dei dati personali di cui al Fascicolo Sanitario Elettronico regionale con riferimento al ruolo di Azienda Zero di Responsabile del trattamento;
b) l'Informativa che l'Area Sanità e Sociale, anche in ragione del ruolo di Coordinamento del Gruppo di Lavoro di supporto al Titolare del Trattamento (Gruppo di lavoro FSEr), è chiamata ad effettuare, in ragione di quanto disposto con DGR n. 252/2020, alla Giunta, dovrà contenere una apposita sezione dedicata al trattamento dati di cui al Fascicolo Sanitario Elettronico regionale. Tale sezione dovrà dar conto anche dei report di verifica, controllo e audit effettuati dalla competenze Direzione ICT Agenda Digitale e delle osservazioni, analisi, suggerimenti o altri apporti provenienti dal Data Protection Officer; - di trasmettere il presente provvedimento ad Azienda Zero per gli adempimenti conseguenti;
- di dare atto che la presente deliberazione non comporta spesa a carico del bilancio regionale;
- di incaricare la Direzione Risorse Strumentali SSR dell'Area Sanità e Sociale dell'esecuzione del presente atto; 12. di pubblicare il presente atto nel Bollettino Ufficiale della Regione.