Garante per la protezione
    dei dati personali

La notificazione del trattamento di dati sulla salute da parte di un'azienda ospedaliera va effettuata in forma semplificata a prescindere dalla mancata menzione dell'art.23 nella disposizione relativa a tale notificazione

Roma, 22 maggio 1998                

Prot. n.                

Azienda ospedaliera                
C.T.O./C.R.F/Adelaide                
via Zuretti, 29                
10126 Torino                

OGGETTO: Quesito sull'obbligo di notificazione da parte di un azienda sanitaria pubblica (art. 7 legge 31 dicembre 1996 n. 675).

Codesta Azienda ha chiesto di sapere se è esonerata dall'obbligo di notificare al Garante i trattamenti dei dati relativi alla salute dei cittadini assistiti, in ragione del fatto che tali trattamenti sono necessari per assolvere un compito previsto dalla legge.

Al riguardo si osserva che i soggetti pubblici, come le aziende sanitarie, devono notificare una tantum al Garante, in forma semplificata, il trattamento dei dati sensibili (art. 7, comma 5 bis, lett. a)). Tale obbligo sussiste anche se i trattamenti sono previsti come obbligatori da norme di legge a meno che i dati, anche sensibili, siano utilizzati per adempiere a specifici obblighi contabili, retributivi, previdenziali, assistenziali e fiscali (art. 7, comma 5 ter lett. e)).

Codesta Azienda ritiene che le aziende sanitarie siano esonerate dall'obbligo di notificazione poiché trattano dati sulla salute per finalità di tutela dell'incolumità fisica delle persone e della loro salute. Ciò in quanto tali finalità sono indicate in una disposizione di legge (art.23 legge n. 675/1996) che non è richiamata nella norma che regola la notificazione semplificata (art. 7, comma 5 bis lett.a)).

Ora, è pur vero che l'art. 23 della legge a. 675/1996 non è menzionato dal comma 5 bis, lett. a) del citato art. 7. Va tuttavia osservato che l'art. 23 si limita ad individuare una finalità (quella di tutela dell'incolumità e della salute) per il trattamento dei dati sulla salute che sono e restano ricompresi nell'elenco dei dati sensibili previsti dall'art. 22 (norma, quest'ultima citata nella medesima lett. a)).

Sono, invece esonerati dall'obbligo di notificazione i trattamenti di dati "ordinari" (diversi, cioè da quelli "sensibili"), effettuati da soggetti sia pubblici sia privati, necessari all'adempimento di un obbligo di legge, di regolamento o della normativa comunitaria (art. 7, comma 5 ter lett. a)).

Si coglie l'occasione per inviare copia di una deliberazione adottata in data 12 novembre 1997 da questa Autorità e relativa al trattamento di dati inerenti alla salute da parte di una struttura sanitaria pubblica.

IL PRESIDENTE