stai visualizzando l'atto

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 30 novembre 2006, n. 312

Regolamento concernente il trattamento dei dati sensibili e giudiziari presso la Presidenza del Consiglio dei Ministri.

note: Entrata in vigore del decreto: 17-2-2007 (Ultimo aggiornamento all'atto pubblicato il 19/05/2009)
nascondi
vigente al 28/03/2024
  • Articoli
  • 1
  • 2
  • Allegati
Testo in vigore dal:  17-2-2007

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Vista la legge 23 agosto 1988, n. 400, recante la disciplina dell'attività di Governo e l'ordinamento della Presidenza del Consiglio dei Ministri e, in particolare, l'articolo 17, commi 3 e 4, e successive modificazioni e integrazioni;
Visto il decreto legislativo 30 luglio 1999, n. 303, recante norme sul riordinamento della Presidenza del Consiglio dei Ministri, e successive modificazioni e integrazioni;
Visto il decreto del Presidente del Consiglio dei Ministri 23 luglio 2002, recante l'ordinamento delle strutture generali della Presidenza del Consiglio dei Ministri, e successive modificazioni e integrazioni;
Visto il decreto-legge 18 maggio 2006, n. 181, recante «Disposizioni urgenti in materia di riordino delle attribuzioni della Presidenza del Consiglio dei Ministri e dei Ministeri», convertito con modificazioni dalla legge 17 luglio 2006, n. 233;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il «Codice in materia di protezione dei dati personali» e, in particolare, gli articoli 18 e seguenti che dettano i principi e le regole applicabili al trattamento di dati sensibili e giudiziari effettuati da soggetti pubblici;
Visti gli articoli 20, 21 e 22 del Codice, ai sensi dei quali, nei casi in cui una disposizione di legge specifichi la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e giudiziari trattabili ed i tipi di operazioni su questi eseguibili, il trattamento è consentito solo in riferimento a quei tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi;
Considerato che, ai sensi dell'articolo 20, comma 2, del Codice, detta identificazione deve avvenire con atto di natura regolamentare adottato in conformità al parere espresso dal Garante, ai sensi dell'articolo 154, comma 1, lettera g), del Codice;
Considerato che possono spiegare effetti significativi per l'interessato le operazioni volte, in particolare, a definire in forma completamente automatizzata profili o personalità degli interessati, le interconnessioni e i raffronti tra banche dati gestite da diversi titolari oppure con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento, nonché la comunicazione a terzi e la diffusione;
Ritenuto necessario indicare analiticamente nelle schede allegate, con riferimento alle predette operazioni, quelle effettuate dalla Presidenza del Consiglio dei Ministri che possono spiegare effetti per l'interessato ed, in particolare, le operazioni di comunicazione a terzi e diffusione;
Ritenuto, altresì, di indicare sinteticamente anche le operazioni ordinarie che la Presidenza del Consiglio dei Ministri deve necessariamente svolgere per perseguire le finalità di rilevante interesse pubblico individuate per legge (operazioni di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, utilizzo, blocco, cancellazione e distruzione);
Considerato che, per quanto concerne i trattamenti previsti dal presente regolamento, è stato verificato il rispetto dei principi e delle garanzie previste dall'articolo 22 del Codice, con particolare riferimento alla pertinenza, non eccedenza e indispensabilità dei dati sensibili e giudiziari utilizzati rispetto alle finalità da perseguire, all'indispensabilità delle predette operazioni per il perseguimento delle finalità di rilevante interesse pubblico individuate per legge, nonché all'esistenza di fonti normative idonee a rendere lecite le medesime operazioni o, ove richiesta, all'indicazione scritta dei motivi;
Visto il provvedimento generale del Garante della protezione dei dati personali del 30 giugno 2005;
Vista l'autorizzazione n. 7/2005 al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici, pubblicata nella Gazzetta Ufficiale della Repubblica italiana serie generale n. 2, del 3 gennaio 2006;
Sentito il Garante per la protezione dei dati personali, espressosi con parere del 17 maggio 2006, ai sensi dell'articolo 154, comma 1, lettera g), del Codice;
Udito il parere del Consiglio di Stato, espresso dalla Sezione Consultiva per gli atti normativi nell'adunanza del 23 ottobre 2006;

Adotta

il seguente regolamento:

Art. 1

Oggetto del regolamento
1. Il presente regolamento, in attuazione degli articoli 20, comma 2, e 21, comma 2, del decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali, identifica i tipi di dati sensibili e giudiziari e le operazioni eseguibili da parte della Presidenza del Consiglio dei Ministri per perseguire le finalità di rilevante interesse pubblico espressamente individuate da apposita previsione di legge.
Avvertenza:
Il testo della nota qui pubblicato è stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con decreto del Presidente della Repubblica 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura della disposizione di legge alla quale è operato il rinvio e della quale restano invariati il valore e l'efficacia.
Note alle premesse:
- Si riporta il testo dell'art. 17, commi 3 e 4, della legge 23 agosto 1988, n. 400:
«3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del Ministro o di autorità sottordinate al Ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di più Ministri, possono essere adottati con decreti interministeriali, ferma restando la necessità di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei Ministri prima della loro emanazione.
4. I regolamenti di cui al comma 1 ed i regolamenti ministeriali ed interministeriali, che devono recare la denominazione di "regolamento", sono adottati previo parere del Consiglio di Stato, sottoposti al visto ed alla registrazione della Corte dei conti e pubblicati nella Gazzetta Ufficiale».
- Si riporta il testo degli articoli 18, 19, 20, 21, 22 e 154, comma 1, lettera g) del decreto legislativo 30 giugno 2003, n. 196:
«Art. 18 (Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici). - 1. Le disposizioni del presente capo riguardano tutti i soggetti pubblici, esclusi gli enti pubblici economici.
2. Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali.
3. Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal presente codice, anche in relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti.
4. Salvo quanto previsto nella Parte II per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, i soggetti pubblici non devono richiedere il consenso dell'interessato.
5. Si osservano le disposizioni di cui all'art. 25 in tema di comunicazione e diffusione.».
«Art. 19 (Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari). - 1. Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari è consentito, fermo restando quanto previsto dall'art. 18, comma 2, anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente.
2. La comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici è ammessa quando è prevista da una norma di legge o di regolamento. In mancanza di tale norma la comunicazione è ammessa quando è comunque necessaria per lo svolgimento di funzioni istituzionali e può essere iniziata se è decorso il termine di cui all'art. 39, comma 2, e non è stata adottata la diversa determinazione ivi indicata.
3. La comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento.».
«Art. 20 (Principi applicabili al trattamento di dati sensibili). - 1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all'art. 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'art. 154, comma 1, lettera g), anche su schemi tipo.
3. Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell'art. 26, comma 2, il trattamento dei dati sensibili.
Il trattamento è consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.
4. L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente.».
«Art. 21 (Principi applicabili al trattamento dei dati giudiziari). - 1. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.
2. Le disposizioni di cui all'art. 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.».
«Art. 22 (Principi applicabili al trattamento di dati sensibili) - 1. I soggetti pubblici conformano il trattamento dei dati sensibili e giudiziari secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato.
2. Nel fornire l'informativa di cui all'art. 13 i soggetti pubblici fanno espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento dei dati sensibili e giudiziari.
3. I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.
4. I dati sensibili e giudiziari sono raccolti, di regola, presso l'interessato.
5. In applicazione dell'art. 11, comma 1, lettere c), d) ed e), i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. Al fine di assicurare che i dati sensibili e giudiziari siano indispensabili rispetto agli obblighi e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli adempimenti. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione è prestata per la verifica dell'indispensabilità dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti.
6. I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
7. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici.
8. I dati idonei a rivelare lo stato di salute non possono essere diffusi.
9. Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del comma 3, i soggetti pubblici sono autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalità per le quali il trattamento è consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi.
10. I dati sensibili e giudiziari non possono essere trattati nell'ambito di test psicoattitudinali volti a definire il profilo o la personalità dell'interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonché i trattamenti di dati sensibili e giudiziari ai sensi dell'art. 14, sono effettuati solo previa annotazione scritta dei motivi.
11. In ogni caso, le operazioni e i trattamenti di cui al comma 10, se effettuati utilizzando banche di dati di diversi titolari, nonché la diffusione dei dati sensibili e giudiziari, sono ammessi solo se previsti da espressa disposizione di legge.
12. Le disposizioni di cui al presente articolo recano principi applicabili, in conformità ai rispettivi ordinamenti, ai trattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla Corte costituzionale.».
«Art. 154 (Compiti). - 1. Oltre a quanto previsto da specifiche disposizioni, il Garante, anche avvalendosi dell'Ufficio e in conformità al presente codice, ha il compito di:
a) - f) (omissis);
g) esprimere pareri nei casi previsti.
Nota all'art. 1:
- Per il riferimento agli articoli 20, comma 2 e 21, comma 2 del decreto legislativo 30 giugno 2003, n. 196, si vedano le note alle premesse.