Normattiva - Il portale della legge vigente

Testo in vigore dal: 17-2-2007

              IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
    Vista  la  legge  23 agosto  1988,  n. 400, recante la disciplina
dell'attivita'  di  Governo  e  l'ordinamento  della  Presidenza  del
Consiglio dei Ministri e, in particolare, l'articolo 17, commi 3 e 4,
e successive modificazioni e integrazioni;
    Visto  il  decreto  legislativo  30 luglio  1999, n. 303, recante
norme  sul riordinamento della Presidenza del Consiglio dei Ministri,
e successive modificazioni e integrazioni;
    Visto  il  decreto  del  Presidente  del  Consiglio  dei Ministri
23 luglio  2002, recante l'ordinamento delle strutture generali della
Presidenza  del  Consiglio dei Ministri, e successive modificazioni e
integrazioni;
    Visto   il   decreto-legge   18 maggio   2006,  n.  181,  recante
«Disposizioni urgenti in materia di riordino delle attribuzioni della
Presidenza  del  Consiglio  dei Ministri e dei Ministeri», convertito
con modificazioni dalla legge 17 luglio 2006, n. 233;
    Visto  il  decreto legislativo 30 giugno 2003, n. 196, recante il
«Codice   in   materia  di  protezione  dei  dati  personali»  e,  in
particolare,  gli  articoli 18 e seguenti che dettano i principi e le
regole  applicabili  al  trattamento  di  dati sensibili e giudiziari
effettuati da soggetti pubblici;
    Visti  gli  articoli 20,  21 e 22 del Codice, ai sensi dei quali,
nei  casi in cui una disposizione di legge specifichi la finalita' di
rilevante  interesse  pubblico,  ma  non  i  tipi di dati sensibili e
giudiziari  trattabili  ed i tipi di operazioni su questi eseguibili,
il  trattamento e' consentito solo in riferimento a quei tipi di dati
e  di operazioni identificati e resi pubblici a cura dei soggetti che
ne  effettuano il trattamento, in relazione alle specifiche finalita'
perseguite nei singoli casi;
    Considerato  che, ai sensi dell'articolo 20, comma 2, del Codice,
detta  identificazione deve avvenire con atto di natura regolamentare
adottato  in  conformita'  al  parere  espresso dal Garante, ai sensi
dell'articolo 154, comma 1, lettera g), del Codice;
    Considerato   che  possono  spiegare  effetti  significativi  per
l'interessato  le  operazioni  volte,  in  particolare, a definire in
forma   completamente  automatizzata  profili  o  personalita'  degli
interessati,  le  interconnessioni  e  i  raffronti  tra  banche dati
gestite da diversi titolari oppure con altre informazioni sensibili e
giudiziarie  detenute  dal medesimo titolare del trattamento, nonche'
la comunicazione a terzi e la diffusione;
    Ritenuto   necessario   indicare   analiticamente   nelle  schede
allegate, con riferimento alle predette operazioni, quelle effettuate
dalla  Presidenza  del  Consiglio  dei  Ministri che possono spiegare
effetti  per  l'interessato  ed,  in  particolare,  le  operazioni di
comunicazione a terzi e diffusione;
    Ritenuto,   altresi',   di   indicare   sinteticamente  anche  le
operazioni  ordinarie  che  la  Presidenza del Consiglio dei Ministri
deve   necessariamente   svolgere  per  perseguire  le  finalita'  di
rilevante  interesse  pubblico  individuate  per legge (operazioni di
raccolta,      registrazione,      organizzazione,     conservazione,
consultazione,  elaborazione,  modificazione,  selezione, estrazione,
utilizzo, blocco, cancellazione e distruzione);
    Considerato  che,  per quanto concerne i trattamenti previsti dal
presente  regolamento, e' stato verificato il rispetto dei principi e
delle  garanzie previste dall'articolo 22 del Codice, con particolare
riferimento  alla  pertinenza,  non eccedenza e indispensabilita' dei
dati  sensibili  e  giudiziari  utilizzati rispetto alle finalita' da
perseguire,  all'indispensabilita'  delle  predette operazioni per il
perseguimento   delle   finalita'  di  rilevante  interesse  pubblico
individuate  per  legge,  nonche'  all'esistenza  di  fonti normative
idonee  a  rendere  lecite  le  medesime operazioni o, ove richiesta,
all'indicazione scritta dei motivi;
    Visto  il provvedimento generale del Garante della protezione dei
dati personali del 30 giugno 2005;
    Vista   l'autorizzazione   n.  7/2005  al  trattamento  dei  dati
giudiziari  da  parte  di  privati,  di  enti pubblici economici e di
soggetti   pubblici,   pubblicata   nella  Gazzetta  Ufficiale  della
Repubblica italiana serie generale n. 2, del 3 gennaio 2006;
    Sentito   il  Garante  per  la  protezione  dei  dati  personali,
espressosi con parere del 17 maggio 2006, ai sensi dell'articolo 154,
comma 1, lettera g), del Codice;
    Udito  il  parere  del Consiglio di Stato, espresso dalla Sezione
Consultiva per gli atti normativi nell'adunanza del 23 ottobre 2006;
                               Adotta
                      il seguente regolamento:
                               Art. 1.
                       Oggetto del regolamento
    1. Il  presente  regolamento,  in  attuazione  degli articoli 20,
comma 2,  e  21,  comma 2, del decreto legislativo 30 giugno 2003, n.
196,  recante  il Codice in materia di protezione dei dati personali,
identifica  i  tipi  di  dati  sensibili e giudiziari e le operazioni
eseguibili  da  parte della Presidenza del Consiglio dei Ministri per
perseguire le finalita' di rilevante interesse pubblico espressamente
individuate da apposita previsione di legge.

          Avvertenza:
              Il  testo  della  nota  qui pubblicato e' stato redatto
          dall'amministrazione   competente  per  materia,  ai  sensi
          dell'art.  10,  comma 3, del testo unico delle disposizioni
          sulla   promulgazione   delle  leggi,  sull'emanazione  dei
          decreti   del   Presidente   della   Repubblica   e   sulle
          pubblicazioni    ufficiali   della   Repubblica   italiana,
          approvato  con  decreto  del  Presidente  della  Repubblica
          28 dicembre  1985,  n.  1092, al solo fine di facilitare la
          lettura  della  disposizione di legge alla quale e' operato
          il  rinvio  e  della  quale  restano  invariati il valore e
          l'efficacia.
          Note alle premesse:
              - Si  riporta il testo dell'art. 17, commi 3 e 4, della
          legge 23 agosto 1988, n. 400:
              «3.  Con  decreto  ministeriale possono essere adottati
          regolamenti  nelle  materie di competenza del Ministro o di
          autorita'   sottordinate   al  Ministro,  quando  la  legge
          espressamente conferisca tale potere. Tali regolamenti, per
          materie  di  competenza  di  piu'  Ministri, possono essere
          adottati  con  decreti interministeriali, ferma restando la
          necessita' di apposita autorizzazione da parte della legge.
          I regolamenti ministeriali ed interministeriali non possono
          dettare  norme  contrarie  a quelle dei regolamenti emanati
          dal  Governo.  Essi debbono essere comunicati al Presidente
          del Consiglio dei Ministri prima della loro emanazione.
              4.  I  regolamenti  di  cui al comma 1 ed i regolamenti
          ministeriali  ed  interministeriali,  che  devono recare la
          denominazione di "regolamento", sono adottati previo parere
          del  Consiglio  di  Stato,  sottoposti  al  visto  ed  alla
          registrazione  della  Corte  dei  conti  e pubblicati nella
          Gazzetta Ufficiale».
              - Si riporta il testo degli articoli 18, 19, 20, 21, 22
          e   154,   comma 1,   lettera g)  del  decreto  legislativo
          30 giugno 2003, n. 196:
              «Art.  18  (Principi  applicabili a tutti i trattamenti
          effettuati  da soggetti pubblici). - 1. Le disposizioni del
          presente capo riguardano tutti i soggetti pubblici, esclusi
          gli enti pubblici economici.
              2.  Qualunque trattamento di dati personali da parte di
          soggetti pubblici e' consentito soltanto per lo svolgimento
          delle funzioni istituzionali.
              3.  Nel  trattare i dati il soggetto pubblico osserva i
          presupposti e i limiti stabiliti dal presente codice, anche
          in  relazione  alla  diversa natura dei dati, nonche' dalla
          legge e dai regolamenti.
              4.  Salvo  quanto  previsto  nella  Parte  II  per  gli
          esercenti le professioni sanitarie e gli organismi sanitari
          pubblici,  i  soggetti  pubblici  non  devono richiedere il
          consenso dell'interessato.
              5.  Si  osservano le disposizioni di cui all'art. 25 in
          tema di comunicazione e diffusione.».
              «Art.  19  (Principi applicabili al trattamento di dati
          diversi   da   quelli   sensibili  e  giudiziari). - 1.  Il
          trattamento  da  parte  di un soggetto pubblico riguardante
          dati   diversi   da   quelli   sensibili  e  giudiziari  e'
          consentito,  fermo  restando  quanto previsto dall'art. 18,
          comma 2,  anche  in  mancanza  di  una  norma di legge o di
          regolamento che lo preveda espressamente.
              2. La comunicazione da parte di un soggetto pubblico ad
          altri  soggetti  pubblici  e' ammessa quando e' prevista da
          una  norma  di  legge o di regolamento. In mancanza di tale
          norma  la  comunicazione  e'  ammessa  quando  e'  comunque
          necessaria  per  lo svolgimento di funzioni istituzionali e
          puo'  essere  iniziata  se  e'  decorso  il  termine di cui
          all'art.  39,  comma 2,  e non e' stata adottata la diversa
          determinazione ivi indicata.
              3.  La comunicazione da parte di un soggetto pubblico a
          privati  o  a  enti  pubblici  economici e la diffusione da
          parte  di  un  soggetto  pubblico  sono  ammesse unicamente
          quando   sono   previste   da  una  norma  di  legge  o  di
          regolamento.».
              «Art.  20  (Principi applicabili al trattamento di dati
          sensibili). - 1. Il trattamento dei dati sensibili da parte
          di  soggetti  pubblici e' consentito solo se autorizzato da
          espressa disposizione di legge nella quale sono specificati
          i  tipi di dati che possono essere trattati e di operazioni
          eseguibili  e  le finalita' di rilevante interesse pubblico
          perseguite.
              2.  Nei casi in cui una disposizione di legge specifica
          la finalita' di rilevante interesse pubblico, ma non i tipi
          di   dati   sensibili   e   di  operazioni  eseguibili,  il
          trattamento  e'  consentito  solo in riferimento ai tipi di
          dati  e  di  operazioni identificati e resi pubblici a cura
          dei soggetti che ne effettuano il trattamento, in relazione
          alle specifiche finalita' perseguite nei singoli casi e nel
          rispetto  dei  principi  di  cui  all'art.  22, con atto di
          natura  regolamentare  adottato  in  conformita'  al parere
          espresso  dal  Garante  ai  sensi  dell'art.  154, comma 1,
          lettera g), anche su schemi tipo.
              3.  Se  il trattamento non e' previsto espressamente da
          una  disposizione  di  legge  i  soggetti  pubblici possono
          richiedere al Garante l'individuazione delle attivita', tra
          quelle  demandate  ai  medesimi  soggetti  dalla legge, che
          perseguono  finalita' di rilevante interesse pubblico e per
          le   quali   e'   conseguentemente  autorizzato,  ai  sensi
          dell'art.  26,  comma 2, il trattamento dei dati sensibili.
          Il  trattamento  e' consentito solo se il soggetto pubblico
          provvede  altresi' a identificare e rendere pubblici i tipi
          di dati e di operazioni nei modi di cui al comma 2.
              4.  L'identificazione  dei tipi di dati e di operazioni
          di   cui   ai   commi 2  e  3  e'  aggiornata  e  integrata
          periodicamente.».
              «Art.  21 (Principi applicabili al trattamento dei dati
          giudiziari). - 1.  Il  trattamento  di  dati  giudiziari da
          parte   di   soggetti   pubblici   e'  consentito  solo  se
          autorizzato   da   espressa   disposizione   di   legge   o
          provvedimento  del Garante che specifichino le finalita' di
          rilevante  interesse  pubblico  del  trattamento, i tipi di
          dati trattati e di operazioni eseguibili.
              2.  Le disposizioni di cui all'art. 20, commi 2 e 4, si
          applicano anche al trattamento dei dati giudiziari.».
              «Art.  22  (Principi applicabili al trattamento di dati
          sensibili) - 1. I    soggetti    pubblici   conformano   il
          trattamento   dei   dati  sensibili  e  giudiziari  secondo
          modalita'  volte  a prevenire violazioni dei diritti, delle
          liberta' fondamentali e della dignita' dell'interessato.
              2.  Nel  fornire  l'informativa  di  cui  all'art. 13 i
          soggetti pubblici fanno espresso riferimento alla normativa
          che  prevede gli obblighi o i compiti in base alla quale e'
          effettuato il trattamento dei dati sensibili e giudiziari.
              3.  I  soggetti  pubblici  possono trattare solo i dati
          sensibili   e   giudiziari   indispensabili   per  svolgere
          attivita'  istituzionali  che non possono essere adempiute,
          caso per caso, mediante il trattamento di dati anonimi o di
          dati personali di natura diversa.
              4.  I  dati  sensibili  e  giudiziari sono raccolti, di
          regola, presso l'interessato.
              5.    In    applicazione    dell'art.    11,   comma 1,
          lettere c), d)   ed e),   i  soggetti  pubblici  verificano
          periodicamente   l'esattezza  e  l'aggiornamento  dei  dati
          sensibili   e   giudiziari,  nonche'  la  loro  pertinenza,
          completezza,  non  eccedenza  e  indispensabilita' rispetto
          alle  finalita'  perseguite  nei  singoli  casi,  anche con
          riferimento  ai  dati che l'interessato fornisce di propria
          iniziativa.  Al  fine  di assicurare che i dati sensibili e
          giudiziari siano indispensabili rispetto agli obblighi e ai
          compiti  loro  attribuiti,  i  soggetti  pubblici  valutano
          specificamente  il rapporto tra i dati e gli adempimenti. I
          dati  che,  anche  a  seguito  delle  verifiche,  risultano
          eccedenti o non pertinenti o non indispensabili non possono
          essere utilizzati, salvo che per l'eventuale conservazione,
          a  norma  di  legge,  dell'atto  o  del  documento  che  li
          contiene.  Specifica attenzione e' prestata per la verifica
          dell'indispensabilita'  dei  dati  sensibili  e  giudiziari
          riferiti  a  soggetti  diversi da quelli cui si riferiscono
          direttamente le prestazioni o gli adempimenti.
              6.  I dati sensibili e giudiziari contenuti in elenchi,
          registri   o  banche  di  dati,  tenuti  con  l'ausilio  di
          strumenti   elettronici,  sono  trattati  con  tecniche  di
          cifratura    o    mediante    l'utilizzazione   di   codici
          identificativi  o  di  altre  soluzioni che, considerato il
          numero   e   la   natura  dei  dati  trattati,  li  rendono
          temporaneamente  inintelligibili anche a chi e' autorizzato
          ad  accedervi  e permettono di identificare gli interessati
          solo in caso di necessita'.
              7.  I  dati  idonei  a rivelare lo stato di salute e la
          vita  sessuale  sono conservati separatamente da altri dati
          personali trattati per finalita' che non richiedono il loro
          utilizzo. I medesimi dati sono trattati con le modalita' di
          cui  al  comma 6  anche  quando  sono  tenuti  in  elenchi,
          registri  o  banche  di  dati  senza l'ausilio di strumenti
          elettronici.
              8.  I  dati  idonei  a  rivelare lo stato di salute non
          possono essere diffusi.
              9.    Rispetto   ai   dati   sensibili   e   giudiziari
          indispensabili  ai  sensi  del comma 3, i soggetti pubblici
          sono  autorizzati ad effettuare unicamente le operazioni di
          trattamento   indispensabili  per  il  perseguimento  delle
          finalita'  per le quali il trattamento e' consentito, anche
          quando i dati sono raccolti nello svolgimento di compiti di
          vigilanza, di controllo o ispettivi.
              10.  I  dati  sensibili e giudiziari non possono essere
          trattati  nell'ambito  di  test  psicoattitudinali  volti a
          definire  il profilo o la personalita' dell'interessato. Le
          operazioni  di  raffronto  tra dati sensibili e giudiziari,
          nonche'  i  trattamenti  di  dati sensibili e giudiziari ai
          sensi dell'art. 14, sono effettuati solo previa annotazione
          scritta dei motivi.
              11.  In ogni caso, le operazioni e i trattamenti di cui
          al  comma 10,  se  effettuati utilizzando banche di dati di
          diversi  titolari, nonche' la diffusione dei dati sensibili
          e  giudiziari,  sono  ammessi  solo se previsti da espressa
          disposizione di legge.
              12.  Le disposizioni di cui al presente articolo recano
          principi   applicabili,   in   conformita'   ai  rispettivi
          ordinamenti,  ai  trattamenti disciplinati dalla Presidenza
          della  Repubblica,  dalla  Camera  dei deputati, dal Senato
          della Repubblica e dalla Corte costituzionale.».
              «Art.  154  (Compiti). - 1.  Oltre a quanto previsto da
          specifiche  disposizioni,  il  Garante,  anche  avvalendosi
          dell'Ufficio  e  in  conformita'  al presente codice, ha il
          compito di:
                a) - f) (omissis);
                g) esprimere pareri nei casi previsti.
          Nota all'art. 1:
              - Per  il  riferimento  agli articoli 20, comma 2 e 21,
          comma 2  del decreto legislativo 30 giugno 2003, n. 196, si
          vedano le note alle premesse.