Art. 10. Sistemi di elaborazione automatica dei dati 1. E' consentito l'impiego di sistemi di elaborazione automatica dei dati per la tenuta informatizzata dei registri e delle cartelle sanitarie e di rischio, di cui agli articoli 1 e 2, nel rispetto del principio di necessita' di cui all' articolo 3 del decreto legislativo 30 giugno 2003, n. 196 , nonche' delle condizioni previste nel presente articolo.
2. I datori di lavoro e i medici competenti adottano adeguate misure di sicurezza per il trattamento dei dati personali ai sensi del decreto legislativo 30 giugno 2003, n. 196 , anche mediante il ricorso a tecniche di cifratura dei dati personali sensibili o a codici identificativi che assicurano accessi selettivi ai dati trattati, nonche' il tracciamento degli accessi medesimi.
3. Le modalita' informatiche di acquisizione, comunicazione, elaborazione e di archiviazione dei dati riguardanti la gestione dei registri e delle cartelle sanitarie e di rischio devono assicurare che l'accesso alle funzioni del sistema sia consentito ai soli soggetti a cio' espressamente abilitati dal datore di lavoro e devono rispondere a quanto previsto dal decreto del Presidente della Repubblica del 10 novembre 1997, n. 513 ed al decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004. Ai fini della conservazione ed esibizione dei documenti con modalita' alternative al supporto cartaceo deve farsi riferimento alla deliberazione AIPA n. 24 del 30 luglio 1998 .
4. L'accesso alle funzioni del sistema e' consentito ai soli soggetti espressamente abilitati dal datore di lavoro all'inserimento dei dati da memorizzare o alla loro integrazione, come previsto dal successivo comma 5, quali incaricati del trattamento di dati personali.
5. Le operazioni di validazione delle informazioni, originarie o integrative, devono essere univocamente riconducibili al soggetto, al quale si riferisce l'adempimento della tenuta del registro o predisposizione della cartella sanitaria e di rischio, con l'apposizione al documento stesso della firma digitale di cui al decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni.
6. Le eventuali informazioni di modifica non debbono mai sostituire il dato originario gia' memorizzato, ma solo integrarlo.
7. Qualora la formazione del registro o della cartella sanitaria e di rischio non avvenga direttamente su supporto informatico non riscrivibile, di cui alla deliberazione AIPA n. 24 del 30 luglio 1998 , al fine di garantire,al termine della giornata lavorativa, la non modificabilita' delle informazioni comunque registrate, il relativo contenuto e' riversato su tale tipo di supporto che, duplicato, e' conservato dal datore di lavoro nel rispetto di quanto previsto dal decreto del Presidente del Consiglio dei Ministri del 13 gennaio 2004.
8. Deve essere garantita la riproduzione in stampa delle informazioni contenute sui supporti informatici, raccolte secondo le modalita' di cui agli articoli 1 e 2.
9. La rispondenza dei sistemi di elaborazione automatica dei dati ai requisiti di cui ai commi 2 e 3 e' dichiarata dal datore di lavoro.
10. In caso di cessazione del rapporto di lavoro, o di passaggio del dipendente di una pubblica amministrazione ad altri soggetti, pubblici o privati, l'estratto del registro contenente i dati relativi al singolo lavoratore e la cartella sanitaria e di rischio, riportati su supporto cartaceo e firmati dai responsabili dei dati e delle notizie in esso contenuti, e' inviato all'organo di vigilanza competente per territorio, nonche' all'Istituto superiore per la prevenzione e sicurezza del lavoro (ISPESL) come previsto dall' articolo 70, comma 4 del decreto legislativo 19 settembre 1994, n. 626 .
11. In caso di cessazione dell'attivita' dell'azienda, di trasferimento o conferimento di attivita', svolte da pubbliche amministrazioni ad altri soggetti, pubblici o privati, ovvero di soppressione di pubblica amministrazione, i registri e le cartelle sanitarie e di rischio sono trasmessi all'Istituto superiore per la prevenzione e sicurezza del lavoro (ISPESL) secondo le modalita' previste al comma 10.
12. Le comunicazioni effettuate ai sensi dell'articolo 70, comma 8, lettere a), b), c), e d), del decreto legislativo n. 626 del 1994 e successive modificazioni, possono essere effettuate anche mediante sistemi informatizzati con modalita' fissate dagli organismi destinatari di tali comunicazioni, idonee ad assicurare in maniera adeguata la riservatezza e la sicurezza dei dati comunicati, anche mediante l'eventuale ricorso a posta elettronica certificata (PEC) e cifratura con firma digitale delle informazioni trasmesse, o altri sistemi telematici che assicurano livelli equivalenti di sicurezza.
Note all'art. 10:
- Il testo dell' art. 3 del decreto legislativo 30 giugno 2003, n. 196 ( Codice in materia di protezione dei dati personali ), pubblicato nella Gazzetta Ufficiale 29 luglio 2003, n. 174, S.O., e' il seguente:
«Art. 3 (Principio di necessita' nel trattamento dei dati). - 1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalita' perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalita' che permettano di identificare l'interessato solo in caso di necessita'.».
- Il decreto del Presidente della Repubblica 10 novembre 1997, n. 513 reca: «Regolamento recante criteri e modalita' per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell' art. 15, comma 2, della legge 15 marzo 1997, n. 59 ».
- Il decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004 reca: «Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici».
- Il decreto legislativo 7 marzo 2005, n. 82 reca: « Codice dell'amministrazione digitale ».
- Per il testo dell'art. 70 del citato decreto legislativo 19 settembre 1994, n. 626 , si vedano le note alle premesse.
2. I datori di lavoro e i medici competenti adottano adeguate misure di sicurezza per il trattamento dei dati personali ai sensi del decreto legislativo 30 giugno 2003, n. 196 , anche mediante il ricorso a tecniche di cifratura dei dati personali sensibili o a codici identificativi che assicurano accessi selettivi ai dati trattati, nonche' il tracciamento degli accessi medesimi.
3. Le modalita' informatiche di acquisizione, comunicazione, elaborazione e di archiviazione dei dati riguardanti la gestione dei registri e delle cartelle sanitarie e di rischio devono assicurare che l'accesso alle funzioni del sistema sia consentito ai soli soggetti a cio' espressamente abilitati dal datore di lavoro e devono rispondere a quanto previsto dal decreto del Presidente della Repubblica del 10 novembre 1997, n. 513 ed al decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004. Ai fini della conservazione ed esibizione dei documenti con modalita' alternative al supporto cartaceo deve farsi riferimento alla deliberazione AIPA n. 24 del 30 luglio 1998 .
4. L'accesso alle funzioni del sistema e' consentito ai soli soggetti espressamente abilitati dal datore di lavoro all'inserimento dei dati da memorizzare o alla loro integrazione, come previsto dal successivo comma 5, quali incaricati del trattamento di dati personali.
5. Le operazioni di validazione delle informazioni, originarie o integrative, devono essere univocamente riconducibili al soggetto, al quale si riferisce l'adempimento della tenuta del registro o predisposizione della cartella sanitaria e di rischio, con l'apposizione al documento stesso della firma digitale di cui al decreto legislativo 7 marzo 2005, n. 82 e successive modificazioni.
6. Le eventuali informazioni di modifica non debbono mai sostituire il dato originario gia' memorizzato, ma solo integrarlo.
7. Qualora la formazione del registro o della cartella sanitaria e di rischio non avvenga direttamente su supporto informatico non riscrivibile, di cui alla deliberazione AIPA n. 24 del 30 luglio 1998 , al fine di garantire,al termine della giornata lavorativa, la non modificabilita' delle informazioni comunque registrate, il relativo contenuto e' riversato su tale tipo di supporto che, duplicato, e' conservato dal datore di lavoro nel rispetto di quanto previsto dal decreto del Presidente del Consiglio dei Ministri del 13 gennaio 2004.
8. Deve essere garantita la riproduzione in stampa delle informazioni contenute sui supporti informatici, raccolte secondo le modalita' di cui agli articoli 1 e 2.
9. La rispondenza dei sistemi di elaborazione automatica dei dati ai requisiti di cui ai commi 2 e 3 e' dichiarata dal datore di lavoro.
10. In caso di cessazione del rapporto di lavoro, o di passaggio del dipendente di una pubblica amministrazione ad altri soggetti, pubblici o privati, l'estratto del registro contenente i dati relativi al singolo lavoratore e la cartella sanitaria e di rischio, riportati su supporto cartaceo e firmati dai responsabili dei dati e delle notizie in esso contenuti, e' inviato all'organo di vigilanza competente per territorio, nonche' all'Istituto superiore per la prevenzione e sicurezza del lavoro (ISPESL) come previsto dall' articolo 70, comma 4 del decreto legislativo 19 settembre 1994, n. 626 .
11. In caso di cessazione dell'attivita' dell'azienda, di trasferimento o conferimento di attivita', svolte da pubbliche amministrazioni ad altri soggetti, pubblici o privati, ovvero di soppressione di pubblica amministrazione, i registri e le cartelle sanitarie e di rischio sono trasmessi all'Istituto superiore per la prevenzione e sicurezza del lavoro (ISPESL) secondo le modalita' previste al comma 10.
12. Le comunicazioni effettuate ai sensi dell'articolo 70, comma 8, lettere a), b), c), e d), del decreto legislativo n. 626 del 1994 e successive modificazioni, possono essere effettuate anche mediante sistemi informatizzati con modalita' fissate dagli organismi destinatari di tali comunicazioni, idonee ad assicurare in maniera adeguata la riservatezza e la sicurezza dei dati comunicati, anche mediante l'eventuale ricorso a posta elettronica certificata (PEC) e cifratura con firma digitale delle informazioni trasmesse, o altri sistemi telematici che assicurano livelli equivalenti di sicurezza.
Note all'art. 10:
- Il testo dell' art. 3 del decreto legislativo 30 giugno 2003, n. 196 ( Codice in materia di protezione dei dati personali ), pubblicato nella Gazzetta Ufficiale 29 luglio 2003, n. 174, S.O., e' il seguente:
«Art. 3 (Principio di necessita' nel trattamento dei dati). - 1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalita' perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalita' che permettano di identificare l'interessato solo in caso di necessita'.».
- Il decreto del Presidente della Repubblica 10 novembre 1997, n. 513 reca: «Regolamento recante criteri e modalita' per la formazione, l'archiviazione e la trasmissione di documenti con strumenti informatici e telematici, a norma dell' art. 15, comma 2, della legge 15 marzo 1997, n. 59 ».
- Il decreto del Presidente del Consiglio dei Ministri 13 gennaio 2004 reca: «Regole tecniche per la formazione, la trasmissione, la conservazione, la duplicazione, la riproduzione e la validazione, anche temporale, dei documenti informatici».
- Il decreto legislativo 7 marzo 2005, n. 82 reca: « Codice dell'amministrazione digitale ».
- Per il testo dell'art. 70 del citato decreto legislativo 19 settembre 1994, n. 626 , si vedano le note alle premesse.