stai visualizzando l'atto

DECRETO LEGISLATIVO 11 maggio 1999, n. 135

Disposizioni integrative della legge 31 dicembre 1996, n. 675, sul trattamento di dati sensibili da parte dei soggetti pubblici.

note: Entrata in vigore del decreto: 18-5-1999 (Ultimo aggiornamento all'atto pubblicato il 29/07/2003)
nascondi
Testo in vigore dal:  18-5-1999 al: 31-12-2003
aggiornamenti all'articolo

IL PRESIDENTE DELLA REPUBBLICA

Vista la legge 31 dicembre 1996, n. 675, e successive modifiche ed integrazioni;
Vista la legge 31 dicembre 1996, n. 676, recante delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e le raccomandazioni del Consiglio d'Europa ivi citate;
Sentito il Garante per la protezione dei dati personali;
Sentita l'Autorità per l'informatica nella pubblica amministrazione;
Vista la preliminare deliberazione del Consiglio dei Ministri, adottata nella riunione del 21 aprile 1999;
Acquisito il parere delle competenti Commissioni della Camera dei deputati e del Senato della Repubblica;
Vista la deliberazione del Consiglio dei Ministri, adottata nella riunione del 7 maggio 1999;
Sulla proposta del Presidente del Consiglio dei Ministri, di concerto con i Ministri per la funzione pubblica, per la solidarietà sociale, di grazia e giustizia, dell'interno, degli affari esteri, delle finanze, del tesoro, del bilancio e della programmazione economica, per i beni e le attività culturali, della sanità, della pubblica istruzione e dell'università e della ricerca scientifica e tecnologica;
Emana
il seguente decreto legislativo:
Capo I

Principi

generali in materia di trattamento di dati particolari da parte di soggetti pubblici

Art. 1

Ambito di applicazione e definizioni
1. Il presente decreto:
a) definisce i principi generali in base ai quali i soggetti pubblici sono autorizzati a trattare dati sensibili o attinenti a particolari provvedimenti giudiziari ai sensi degli articoli 22, comma 3, e 24 della legge 31 dicembre 1996, n. 675, nel rispetto delle altre disposizioni previste dalla medesima legge;
b) individua, inoltre, alcune rilevanti finalità di interesse pubblico, per il cui perseguimento è consentito detto trattamento, nonché le operazioni eseguibili e i tipi di dati che possono essere trattati.
2. Il presente decreto non si applica:
b) agli enti pubblici economici, ai quali restano applicabili le disposizioni previste per i soggetti privati, ai sensi della legge 31 dicembre 1996, n. 675;
c) ai trattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla Corte costituzionale, in conformità ai rispettivi ordinamenti.
3. Ai fini del presente decreto:
a) si applicano le definizioni elencate nell'articolo 1 della legge 31 dicembre 1996, n. 675, di seguito denominata "legge";
b) per "dati" si intendono i dati sensibili o attinenti a provvedimenti giudiziari indicati negli articoli 22, comma 1, e 24 della legge.
4. Salvo quanto previsto dal comma 2, i principi di cui al presente Capo si applicano in ogni caso di trattamento dei dati comunque effettuato da soggetti pubblici.
5. Resta fermo quanto previsto dall'articolo 1, lettera b), n. 1), della legge 31 dicembre 1996, n. 676, e dall'articolo 1, comma 2, della legge 8 aprile 1998, n. 94, per la compiuta disciplina della riservatezza dei dati personali in ambito sanitario.
Avvertenza:
Il testo delle note qui pubblicato è stato redatto ai sensi dell'art. 10, commi 2 e 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge modificate o alle quali è operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti.
Note alle premesse:
- L'art. 76 della Costituzione stabilisce che l'esercizio della funzione legislativa non può essere delegato al Governo se non con determinazione di principi e criteri direttivi e soltanto per il tempo limitato e per oggetti definiti.
- L'art. 87 della Costituzione conferisce, tra l'altro, al Presidente della Repubblica il potere di promulgare le leggi e di emanare i decreti aventi valore di legge ed i regolamenti.
- La legge 23 agosto 1988, n. 400, pubblicata nella Gazzetta Ufficiale n. 214 del 12 settembre 1988, supplemento ordinario, concerne la "Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri"; in particolare il testo dell'art. 14 è il seguente:
"Art. 14 (Decreti legislativi). - 1. I decreti legislativi adottati dal Governo ai sensi dell'art. 76 della Costituzione sono emanati dal Presidente della Repubblica con la denominazione di "decreto legislativo" e con l'indicazione, nel preambolo, della legge di delegazione, della deliberazione del Consiglio dei Ministri e degli altri adempimenti del procedimento prescritti dalla legge di delegazione.
2. L'emanazione del decreto legislativo deve avvenire entro il termine fissato dalla legge di delegazione; il testo del decreto legislativo adottato dal Governo è trasmesso al Presidente della Repubblica, per la emanazione, almeno venti giorni prima della scadenza.
3. Se la delega legislativa si riferisce ad una pluralità di oggetti distinti suscettibili di separata disciplina, il Governo può esercitarla mediante più atti successivi per uno o più degli oggetti predetti. In relazione al termine finale stabilito dalla legge di delegazione, il Governo informa periodicamente le Camere sui criteri che segue nell'organizzazione dell'esercizio della delega.
4. In ogni caso, qualora il termine previsto per l'esercizio della delega ecceda i due anni, il Governo è tenuto a richiedere il parere delle Camere sugli schemi dei decreti delegati. Il parere è espresso dalle commissioni permanenti delle due Camere competenti per materia entro sessanta giorni, indicando specificamente le eventuali disposizioni non ritenute corrispondenti alle direttive della legge di delegazione. Il Governo, nei trenta giorni successivi, esaminato il parere, ritrasmette con le sue osservazioni e con eventuali modificazioni, i testi alle commissioni per il parere definitivo che deve essere espresso entro trenta giorni.
- La legge 31 dicembre 1996, n. 675, pubblicata nella Gazzetta Ufficiale n. 5 dell'8 gennaio 1997, reca norme in materia di "Tutela delle persone o di altri soggetti rispetto al trattamento dei dati personali".
- La legge 31 dicembre 1996, n. 676, pubblicata nella Gazzetta Ufficiale n. 5 dell'8 gennaio 1997, reca norme di "Delega al Governo in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali".
- La legge 6 ottobre 1998, n. 344, reca: "Differimento del termine per l'esercizio della delega prevista dalla legge 31 dicembre 1996, n. 676, in materia di trattamento dei dati personali".
- Il decreto legislativo 6 novembre 1998, n. 389, pubblicato nella Gazzetta Ufficiale n. 262 del 9 novembre 1998, reca: "Disposizioni in materia di trattamento di dati particolari da parte di soggetti pubblici".
Note all'art. 1:
- L'art. 22 della legge 31 dicembre 1996, n. 675, come modificato dal presente decreto legislativo è il seguente:
"Art. 22 (Dati sensibili). - 1. I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante.
1-bis. Il comma 1 non si applica ai dati relativi agli aderenti alle confessioni religiose i cui rapporti con lo Stato siano regolati da accordi o intese ai sensi degli articoli 7 e 8 della Costituzione, nonché relativi ai soggetti che con riferimento a finalità di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, che siano trattati dai relativi organi o enti civilmente riconosciuti, semprechè i dati non siano comunicati o diffusi fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati.
2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro trenta giorni, decorsi i quali la mancata pronuncia equivale a rigetto.
Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante può prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento è tenuto ad adottare.
3. Il trattamento dei dati indicati al comma 1 da parte di soggetti pubblici, esclusi gli enti pubblici economici, è consentito solo se autorizzato da espressa disposizione di legge, nella quale siano specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite. In mancanza di espressa disposizione di legge e fuori dai casi previsti dai decreti legislativi di modificazione ed integrazione della presente legge, emanati in attuazione della legge 31 dicembre 1996, n. 676, i soggetti pubblici possono richiedere al Garante, nelle more della specificazione legislativa, l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono rilevanti finalità di interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi del comma 2, il trattamento dei dati indicati al comma 1.
3-bis. Nei casi in cui è specificata, a norma del comma 3, la finalità di rilevante interesse pubblico, ma non sono specificati i tipi di dati e le operazioni eseguibili, i soggetti pubblici, in applicazione di quanto previsto dalla presente legge e dai decreti legislativi di attuazione della legge 31 dicembre 1996, n. 676, in materia di dati sensibili, identificano e rendono pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei singoli casi, aggiornando tale identificazione periodicamente.
4. I dati personali idonei a rivelare lo stato di salute e la vista sessuale possono essere oggetto di trattamento previa autorizzazione del Garante, qualora il trattamento sia necessario ai fini dello svolgimento delle investigazioni di cui all'art. 38 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, approvate con decreto legislativo 28 luglio 1989, n. 271, e successive modificazioni, o, comunque, per far valere o difendere in sede giudiziaria un diritto di rango pari a quello dell'interessato, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Il Garante prescrive le misure e gli accorgimenti di cui al comma 2 e promuove la sottoscrizione di un apposito codice di deontologia e di buona condotta secondo le modalità di cui all'art. 31, comma 1, lettera h). Resta fermo quanto previsto dall'art. 43, comma 2".
- L'art. 24 della legge 31 dicembre 1996, n. 675, è il seguente:
"Art. 24 (Dati relativi ai provvedimenti di cui all'art. 686 del codice di procedura penale). - 1. Il trattamento dei dati personali idonei a rivelare provvedimenti di cui all'art. 686, commi 1, lettere a) e d), 2 e 3, del codice di procedura penale, è ammesso soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e le precise operazioni autorizzate".
- L'art. 4 della legge 31 dicembre 1996, n. 675, è il seguente:
"Art. 4 (Particolari trattamenti in ambito pubblico).
- 1. La presente legge non si applica al trattamento di dati personali effettuato:
a) dal centro elaborazione dati di cui all'art. 8 della legge 1 aprile 1981, n. 121, come modificato dall'art. 43, comma 1, della presente legge, ovvero sui dati destinati a confluirvi in base alla legge, nonché in virtù dell'accordo di adesione alla Convenzione di applicazione dell'accordo di Schengen, reso esecutivo con
legge 30 settembre 1993, n. 388;
b) dagli organismi di cui agli articoli 3, 4 e 6 della legge 24 ottobre 1977, n. 801, ovvero sui dati coperti da segreto di Stato ai sensi dell'art. 12 della medesima legge;
c) nell'ambito del servizio del casellario giudiziale di cui al titolo IV del libro decimo del codice di procedura penale e al regio decreto 18 giugno 1931, n. 778, e successive modificazioni, o, in base alla legge, nell'ambito del servizio dei carichi pendenti nella materia penale;
d) in attuazione dell'art. 371-bis, comma 3, del codice di procedura penale o, per ragioni di giustizia, nell'ambito di uffici giudiziari, del Consiglio superiore della magistratura e del Ministero di grazia e giustizia;
e) da altri soggetti pubblici per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento o repressione dei reati, in base ad espresse disposizioni di legge che prevedano specificamente il trattamento.
2. Ai trattamenti di cui al comma 1 si applicano in ogni caso le disposizioni di cui agli articoli 9, 15, 17, 18, 31, 32, commi 6 e 7, e 36, nonché, fatta eccezione per i trattamenti di cui alla lettera b) del comma 1, le disposizioni di cui agli articoli 7 e 34".
- L'art. 1 della legge 31 dicembre 1996, n. 676, come modificato dall'art. 5, comma 2, del D.Lgs. 9 maggio 1997, n. 123, è il seguente:
"Art. 1 (Delega per l'emanazione di disposizioni integrative della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento di dati personali). - 1. Il Governo della Repubblica è delegato ad emanare, entro diciotto mesi dalla data di entrata in vigore della presente legge, uno o più decreti legislativi recanti disposizioni integrative della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, con l'osservanza dei seguenti principi e criteri direttivi:
a) specificare le modalità di trattamento dei dati personali utilizzati a fini storici, di ricerca e di statistica, tenendo conto dei principi contenuti nella raccomandazione n. R. (83) 10, adottata il 23 settembre 1983 dal Consiglio d'Europa, e successive modificazioni, con particolare riferimento alla durata della loro conservazione ed alle garanzie adeguate
prescritte dalla normativa comunitaria riguardo ai dati raccolti per scopi diversi da quelli statistici, storici o scientifici e successivamente conservati per tali, diverse, finalità;
b) garantire la piena attuazione dei principi previsti dalla legislazione in materia di dati personali nell'ambito dei diversi settori di attività, nel rispetto dei criteri direttivi e dei principi della normativa comunitaria e delle seguenti raccomandazioni adottate dal Consiglio d'Europa:
1) n. R. (81) 1, del 23 gennaio 1981, in materia di dati sanitari, e successive modificazioni;
2) n. R. (85) 20, del 25 ottobre 1985, sui dati utilizzati per fini di direct marketing;
3) n. R. (86) 1, del 23 gennaio 1986, sui dati impiegati per scopi di sicurezza sociale;
4) n. R. (89) 2, del 18 gennaio 1989, sui dati utilizzati per finalità di lavoro;
5) n. R. (90) 19, del 13 settembre 1990, in materia di dati personali utilizzati per finalità di pagamento e di altre operazioni connesse;
6) n. R. (91) 10, del 9 settembre 1991, sulla comunicazione a terzi dei dati personali detenuti da organi pubblici;
7) n. R. (95) 4, del 7 febbraio 1995, sulla protezione dei dati personali nel settore dei servizi di telecomunicazione, con particolare riguardo ai servizi telefonici;
c) razionalizzare il trattamento economico del personale del Garante per la protezione dei dati personali in relazione a quello previsto dall'ordinamento per ogni altra Autorità di garanzia secondo il tendenziale criterio dell'uniformità a parità di responsabilità costituzionale;
d) individuare i presupposti per l'attribuzione di un numero di identificazione personale, ivi compreso il codice fiscale, e per il trattamento del medesimo e delle informazioni ad esso connesse, nonché per il collegamento con altri dati, sentita l'Autorità per l'informatica nella pubblica amministrazione, prevedendo nella pubblica amministrazione, prevedendo adeguate garanzie con riferimento ai numeri di identificazione personale connessi a dati di carattere sensibile o idonei a rivelare i provvedimenti di cui all'art. 686, commi 1, lettere a) e d), 2 e 3 del codice di procedura penale;
e) stabilire le modalità e i termini per l'aggiornamento, per la rettificazione e per le altre modificazioni dei dati effettuati in conseguenza dell'esercizio dei diritti dell'interessato o di un provvedimento del Garante per la protezione dei dati personali, quando i dati personali sono riprodotti su disco ottico;
f) prevedere forme semplificate di notificazione del trattamento dei dati personali e del loro trasferimento all'estero, con particolare riguardo ai trattamenti non automatizzati di dati diversi da quelli sensibili e da quelli di cui all'art. 686 del codice di procedura penale, ed ulteriori casi di esonero dal relativo obbligo per trattamenti da individuare preventivamente che, in ragione delle relative modalità o della natura dei dati personali, non presentino rischi di un danno all'interessato, ferma restando l'applicabilità delle altre disposizioni di legge;
g) prevedere forme di semplificazione degli adempimenti a carico delle piccole imprese e di coloro che esercitano imprese artigiane;
h) estendere l'applicazione delle disposizioni relative al trattamento dei dati da parte di chi esercita la professione di giornalista, ad eccezione delle disposizioni concernenti i dati sensibili, ai soggetti che esercitano con carattere di continuità l'attività di pubblicista o di praticante giornalista iscritti, rispettivamente, negli elenchi di cui agli articoli 26 e 33 della legge 3 febbraio 1963, n. 69;
i) adattare, ai trattamenti in ambito pubblico esclusi dall'applicazione della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali, i principi desumibili dalla medesima legislazione, sulla base dei seguenti criteri:
1) pieno recepimento dei principi medesimi;
2) rispetto dei principi stabiliti dalla Convenzione n. 108 sulla protezione delle persone rispetto al trattamento automatizzato di dati di carattere personale, adottata a Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21 febbraio 1989, n. 96, nonché della normativa comunitaria, tenendo conto dei criteri di cui alla raccomandazione n. R. (87) 15, adottata il 17 settembre 1987 dal Consiglio d'Europa;
3) ricognizione puntuale dei soggetti pubblici titolari dei trattamenti esclusi, nonché dei medesimi trattamenti;
4) introduzione degli adattamenti resi indispensabili dalla specificità degli interessi perseguiti dai suddetti trattamenti in ambito pubblico;
5) particolare considerazione per i trattamenti di dati che implichino maggiori rischi di un danno all'interessato;
6) specificazione delle modalità attraverso le quali si svolge il controllo sul rispetto delle disposizioni di legge che presiedono ai suddetti trattamenti in ambito pubblico;
l) prevedere norme che favoriscano lo sviluppo dell'informatica giuridica e le modalità di collegamento, per l'autorità giudiziaria e per l'autorità di pubblica sicurezza, con le banche dati della pubblica amministrazione;
m) mantenere il raccordo tra le attività del Garante per la protezione dei dati personali e quelle dell'Autorità per l'informatica nella pubblica amministrazione, anche modificando le disposizioni della legislazione in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali e del decreto legislativo 12 febbraio 1993, n. 39, e successive modificazioni, nonché l'armonizzazione dello stato giuridico del relativo personale;
n) stabilire le modalità applicative della legislazione in materia di protezione dei dati personali ai servizi di comunicazione e di informazione offerti per via telematica, individuando i titolari del trattamento di dati inerenti i servizi accessibili al pubblico e la corrispondenza privata, nonché i compiti del gestore anche in rapporto alle connessioni con reti sviluppate su base internazionale;
o) individuare i casi in cui, all'atto della comunicazione o della diffusione di dati personali provenienti da archivi, registri, elenchi, atti o documenti tenuti da pubbliche amministrazioni, debba essere indicata la fonte di acquisizione dei dati".
- La legge 8 aprile 1998, n. 94, pubblicata nella Gazzetta Ufficiale n. 86 del 14 aprile 1998, reca: "Conversione in legge, con modificazioni, del decreto-legge 17 febbraio 1998, n. 23, recante disposizioni urgenti in materia di sperimentazioni cliniche in campo oncologico e altre misure in materia sanitaria". L'art. 1 della predetta legge è il seguente:
"Art. 1. - 1. Il decreto-legge 17 febbraio 1998, n. 23, recante disposizioni urgenti in materia di sperimentazioni cliniche in campo oncologico e altre misure in materia sanitaria, è convertito in legge con le modificazioni riportate in allegato alla presente legge.
2. Con i decreti legislativi di cui alla legge 31 dicembre 1996, n. 676, e sulla base dei principi contenuti nella medesima legge nel decreto-legge 17 febbraio 1998, n. 23, come modificato dalla presente legge, è disciplinata l'intera materia della riservatezza dei dati personali connessi alle prescrizioni mediche.
3. La presente legge entra in vigore il giorno successivo a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana".