stai visualizzando l'atto

DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 28 dicembre 2006, n. 318

Regolamento per il trattamento dei dati sensibili e giudiziari del Centro nazionale per l'informatica nella pubblica amministrazione, in attuazione degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196.

note: Entrata in vigore del provvedimento: 7/4/2007
nascondi
vigente al 29/03/2024
  • Articoli
  • 1
  • 2
  • Allegati
Testo in vigore dal:  7-4-2007

IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

Visto il decreto del Presidente del Consiglio dei Ministri 15 giugno 2006, recante delega di funzioni del Presidente del Consiglio dei Ministri in materia di riforme e innovazioni nella pubblica amministrazione al Ministro senza portafoglio prof. Luigi Nicolais;
Vista la direttiva n. 95/46/CE del Parlamento Europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché della libera circolazione dei dati;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il «Codice in materia di protezione dei dati personali», con particolare riferimento agli articoli 18, 20, 21, 22 e 181, comma 1, lettera a);
Visto il provvedimento del Garante del 30 giugno 2005, concernente il regolamento in materia di trattamento dei dati sensibili e giudiziari;
Vista la proposta dello schema di Regolamento per il trattamento dei dati sensibili e giudiziari del CNIPA inviata alla Presidenza del Consiglio dei Ministri in data 16 febbraio 2006;
Ravvisata la necessità, ai fini dell'attuazione degli articoli 20 e 21, del decreto legislativo n. 196/2003, di identificare: i tipi di dati sensibili e giudiziari trattati nell'ambito delle attività istituzionali del Centro nazionale per l'informatica nella pubblica amministrazione; le finalità di rilevante interesse pubblico perseguite dal trattamento e le operazioni eseguite con gli stessi dati;
Ritenuto di indicare sinteticamente le operazioni ordinarie per perseguire le finalità di rilevante interesse pubblico individuate per legge (operazioni di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, utilizzo, blocco, cancellazione e distruzione);
Considerato che possono spiegare effetti per l'interessato le operazioni svolte, pressoché interamente mediante siti web, o volte a definire in forma completamente automatizzata profili o personalità di interessati, nonché le interconnessioni e i raffronti tra banche di dati gestite da diversi titolari, oppure i raffronti con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento, nonché infine la comunicazione dei dati a terzi;
Ritenuto, altresì, di individuare analiticamente nelle schede allegate al presente Regolamento, con riferimento alle predette operazioni che possono spiegare effetti maggiormente significativi per l'interessato, con riguardo alle operazioni di interconnessione, raffronto tra banche di dati gestite da diversi titolari, oppure con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento, nonché di comunicazione a terzi;
Considerato che per quanto concerne tutti i trattamenti di cui sopra è stato verificato il rispetto dei principi e delle garanzie previste dall'articolo 22 del Codice, con particolare riferimento alla pertinenza, non eccedenza e indispensabilità dei dati sensibili e giudiziari utilizzati rispetto alle finalità perseguite; all'indispensabilità delle predette operazioni per il perseguimento delle finalità di rilevante interesse pubblico individuate per legge, nonché all'esistenza di fonti normative idonee a rendere lecite le medesime operazioni o, ove richiesta, all'indicazione scritta dei motivi;
Visto il parere del Garante per la protezione dei dati personali emesso in data 12 gennaio 2006;
Udito il parere del Consiglio di Stato espresso dalla sezione consultiva per gli atti normativi nell'adunanza del 20 dicembre 2006;
Vista la comunicazione al Presidente del Consiglio dei Ministri del 27 dicembre 2006;

Adotta

il seguente regolamento per il trattamento dei dati sensibili e giudiziari del CNIPA:

Art. 1

Oggetto


Il presente Regolamento, in attuazione del Codice in materia di protezione dei dati personali (articolo 20, comma 2 e articolo 21, comma 2, del decreto legislativo 30 giugno 2003, n. 196, identifica le tipologie di dati sensibili e giudiziari, nonché le operazioni eseguibili per lo svolgimento delle finalità istituzionali del Centro nazionale per l'informatica nella pubblica amministrazione, di seguito CNIPA.
Avvertenza:

Il testo delle note qui pubblicato è stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, commi 2 e 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, al solo fine di facilitare la lettura delle disposizioni di legge alle quali è operato il rinvio.
Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti.
Per le direttive CE vengono forniti gli estremi di pubblicazione nella Gazzetta Ufficiale della Comunità Europea (G.U.C.E.).

Note alle premesse:

- Si riporta il testo dell'art. 5 del decreto legislativo 12 febbraio 1993, n. 39 (Norme in materia di sistemi informativi automatizzati delle amministrazioni pubbliche, a norma dell'art. 2, comma 1, lettera mm), della legge 23 ottobre 1992, n. 421), pubblicato nella Gazzetta Ufficiale n. 42 del 20 febbraio 1993:
«Art. 5. - 1. Il Centro nazionale propone al Presidente del Consiglio dei Ministri l'adozione di regolamenti concernenti la sua organizzazione, il suo funzionamento, l'amministrazione del personale, l'ordinamento delle carriere, nonché la gestione delle spese nei limiti previsti dal presente decreto.
2. L'Autorità provvede all'autonoma gestione delle spese per il proprio funzionamento e per la realizzazione dei progetti innovativi da essa direttamente gestiti, nei limiti dei fondi da iscriversi in due distinti capitoli dello stato di previsione della spesa della Presidenza del Consiglio dei Ministri. I fondi sono iscritti mediante variazione compensativa disposta con decreto del Ministro del tesoro. Detti capitoli sono destinati, rispettivamente, alle spese di funzionamento e alla realizzazione dei citati progetti innovativi. La gestione finanziaria è sottoposta al controllo consuntivo della Corte dei conti.».
- Si riporta il testo dell'art. 17 della legge 23 agosto 1988, n. 400 (Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri):
«Art. 17 (Regolamenti). - 1. Con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei Ministri, sentito il parere del Consiglio di Stato che deve pronunziarsi entro novanta giorni dalla richiesta, possono essere emanati regolamenti per disciplinare:
a) l'esecuzione delle leggi e dei decreti legislativi, nonché dei regolamenti comunitari.
b) l'attuazione e l'integrazione delle leggi e dei decreti legislativi recanti norme di principio, esclusi quelli relativi a materie riservate alla competenza regionale;
c) le materie in cui manchi la disciplina da parte di leggi o di atti aventi forza di legge, sempre che non si tratti di materie comunque riservate alla legge;
d) l'organizzazione ed il funzionamento delle amministrazioni pubbliche secondo le disposizioni dettate dalla legge;
e) .
2. Con decreto del Presidente della Repubblica, previa deliberazione del Consiglio dei Ministri, sentito il Consiglio di Stato, sono emanati i regolamenti per la disciplina delle materie, non coperte da riserva assoluta di legge prevista dalla Costituzione, per le quali le leggi della Repubblica, autorizzando l'esercizio della potestà regolamentare del Governo, determinano le norme generali regolatrici della materia e dispongono l'abrogazione delle norme vigenti, con effetto dall'entrata in vigore delle norme regolamentari.
3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del Ministro o di autorità sottordinate al Ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di più Ministri, possono essere adottati con decreti interministeriali, ferma restando la necessità di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei Ministri prima della loro emanazione.
4. I regolamenti di cui al comma 1 ed i regolamenti ministeriali ed interministeriali, che devono recare la denominazione di «regolamento», sono adottati previo parere del Consiglio di Stato, sottoposti al visto ed alla registrazione della Corte dei conti e pubblicati nella Gazzetta Ufficiale.
4-bis. L'organizzazione e la disciplina degli uffici dei Ministeri sono determinate, con regolamenti emanati ai sensi del comma 2, su proposta del Ministro competente d'intesa con il Presidente del Consiglio dei Ministri e con il Ministro del tesoro, nel rispetto dei principi posti dal decreto legislativo 3 febbraio 1993, n. 29, e successive modificazioni, con i contenuti e con l'osservanza dei criteri che seguono:
a) riordino degli uffici di diretta collaborazione con i Ministri ed i Sottosegretari di Stato, stabilendo che tali uffici hanno esclusive competenze di supporto dell'organo di direzione politica e di raccordo tra questo e l'amministrazione;
b) individuazione degli uffici di livello dirigenziale generale, centrali e periferici, mediante diversificazione tra strutture con funzioni finali e con funzioni strumentali e loro organizzazione per funzioni omogenee e secondo criteri di flessibilità eliminando le duplicazioni funzionali;
c) previsione di strumenti di verifica periodica dell'organiz-zazione e dei risultati;
d) indicazione e revisione periodica della consistenza delle piante organiche;
e) previsione di decreti ministeriali di natura non regolamentare per la definizione dei compiti delle unità dirigenziali nell'ambito degli uffici dirigenziali generali.».
- La direttiva n. 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché della libera circolazione dei dati, è pubblicata nella G.U.C.E. 23 novembre 1995, n. L 281.
- Si riporta il testo degli articoli 18, 20, comma 2, 21, commi 1 e 2, 22 e 181, comma 1, lettera a) del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali), pubblicato nella Gazzetta Ufficiale del 29 luglio 2003, n. 174, supplemento ordinario:
«Art. 18 (Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici). - 1. Le disposizioni del presente capo riguardano tutti i soggetti pubblici, esclusi gli enti pubblici economici.
2. Qualunque trattamento di dati personali da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni istituzionali.
3. Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal presente codice, anche in relazione alla diversa natura dei dati, nonché dalla legge e dai regolamenti.
4. Salvo quanto previsto nella Parte II per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, i soggetti pubblici non devono richiedere il consenso dell'interessato.
5. Si osservano le disposizioni di cui all'art. 25 in tema di comunicazione e diffusione.».
«Art. 20 (Principi applicabili al trattamento dei dati sensibili). - 1. (Omissis).
2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all'art. 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'art. 154, comma 1, lettera g), anche su schemi tipo.».
«Art. 21 (Principi applicabili al trattamento di dati giudiziari). - 1. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.
2. Le disposizioni di cui all'art. 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.».
«Art. 22 (Principi applicabili al trattamento di dati sensibili e giudiziari). - 1. I soggetti pubblici conformano il trattamento dei dati sensibili e giudiziari secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato.
2. Nel fornire l'informativa di cui all'art. 13 i soggetti pubblici fanno espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento dei dati sensibili e giudiziari.
3. I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.
4. I dati sensibili e giudiziari sono raccolti, di regola, presso l'interessato.
5. In applicazione dell'art. 11, comma 1, lettere c), d) ed e), i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. Al fine di assicurare che i dati sensibili e giudiziari siano indispensabili rispetto agli obblighi e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli adempimenti. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione è prestata per la verifica dell'indispensabilità dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti.
6. I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
7. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici.
8. I dati idonei a rivelare lo stato di salute non possono essere diffusi.
9. Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del comma 3, i soggetti pubblici sono autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalità per le quali il trattamento è consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi.
10. I dati sensibili e giudiziari non possono essere trattati nell'ambito di test psico-attitudinali volti a definire il profilo o la personalità dell'interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonché i trattamenti di dati sensibili e giudiziari ai sensi dell'art. 14, sono effettuati solo previa annotazione scritta dei motivi.
11. In ogni caso, le operazioni e i trattamenti di cui al comma 10, se effettuati utilizzando banche di dati di diversi titolari, nonché la diffusione dei dati sensibili e giudiziari, sono ammessi solo se previsti da espressa disposizione di legge.
12. Le disposizioni di cui al presente articolo recano principi applicabili, in conformità ai rispettivi ordinamenti, ai trattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla Corte costituzionale.».
Art. 181 (Altre disposizioni transitorie). - 1. Per i trattamenti di dati personali iniziati prima del 1° gennaio 2004, in sede di prima applicazione del presente codice:
a) l'identificazione con atto di natura regolamentare dei tipi di dati e di operazioni ai sensi degli articoli 20, commi 2 e 3, e 21, comma 2, è effettuata, ove mancante, entro il 28 febbraio 2007;».
- Il provvedimento del Garante per la protezione dei dati personali sul «Trattamento dei dati sensibili nella pubblica amministrazione» è pubblicato nella Gazzetta Ufficiale n. 170 del 23 luglio 2005.
Nota all'art. 1:
- Il testo degli articoli 20, comma 2 e art. 21, comma 2, del citato decreto legislativo n. 196 del 2003 è riportato nelle note alle premesse.