DECRETO DEL PRESIDENTE DEL CONSIGLIO DEI MINISTRI 28 dicembre 2006, n. 318

Regolamento per il trattamento dei dati sensibili e giudiziari del Centro nazionale per l'informatica nella pubblica amministrazione, in attuazione degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196.

note: Entrata in vigore del provvedimento: 7/4/2007
vigente al 01/03/2021
  • Articoli
  • 1
  • 2
  • Allegati
Testo in vigore dal: 7-4-2007
attiva riferimenti normativi
              IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

  Visto l'articolo 5 del decreto legislativo 12 febbraio 1993, n. 39;
  Visto  l'articolo  17,  commi  3 e 4 della legge 23 agosto 1988, n.
400;
  Visto   il  decreto  del  Presidente  del  Consiglio  dei  Ministri
15 giugno  2006,  recante  delega  di  funzioni  del  Presidente  del
Consiglio  dei  Ministri  in  materia  di riforme e innovazioni nella
pubblica  amministrazione  al  Ministro senza portafoglio prof. Luigi
Nicolais;
  Vista  la  direttiva  n.  95/46/CE  del  Parlamento  Europeo  e del
Consiglio,  del  24 ottobre  1995, relativa alla tutela delle persone
fisiche con riguardo al trattamento dei dati personali, nonche' della
libera circolazione dei dati;
  Visto  il  decreto  legislativo  30 giugno 2003, n. 196, recante il
«Codice in materia di protezione dei dati personali», con particolare
riferimento agli articoli 18, 20, 21, 22 e 181, comma 1, lettera a);
  Visto  il provvedimento del Garante del 30 giugno 2005, concernente
il  regolamento  in  materia  di  trattamento  dei  dati  sensibili e
giudiziari;
  Vista  la  proposta  dello schema di Regolamento per il trattamento
dei dati sensibili e giudiziari del CNIPA inviata alla Presidenza del
Consiglio dei Ministri in data 16 febbraio 2006;
  Ravvisata  la necessita', ai fini dell'attuazione degli articoli 20
e 21, del decreto legislativo n. 196/2003, di identificare: i tipi di
dati  sensibili  e  giudiziari  trattati  nell'ambito delle attivita'
istituzionali  del  Centro nazionale per l'informatica nella pubblica
amministrazione;   le   finalita'  di  rilevante  interesse  pubblico
perseguite  dal  trattamento  e le operazioni eseguite con gli stessi
dati;
  Ritenuto  di  indicare  sinteticamente  le operazioni ordinarie per
perseguire  le  finalita' di rilevante interesse pubblico individuate
per  legge  (operazioni  di  raccolta, registrazione, organizzazione,
conservazione, consultazione, elaborazione, modificazione, selezione,
estrazione, utilizzo, blocco, cancellazione e distruzione);
  Considerato  che  possono  spiegare  effetti  per  l'interessato le
operazioni  svolte, pressoche' interamente mediante siti web, o volte
a   definire   in   forma   completamente   automatizzata  profili  o
personalita'   di   interessati,  nonche'  le  interconnessioni  e  i
raffronti  tra  banche  di dati gestite da diversi titolari, oppure i
raffronti con altre informazioni sensibili e giudiziarie detenute dal
medesimo  titolare  del  trattamento, nonche' infine la comunicazione
dei dati a terzi;
  Ritenuto,  altresi',  di  individuare  analiticamente  nelle schede
allegate  al  presente  Regolamento,  con  riferimento  alle predette
operazioni  che  possono  spiegare effetti maggiormente significativi
per  l'interessato, con riguardo alle operazioni di interconnessione,
raffronto  tra banche di dati gestite da diversi titolari, oppure con
altre  informazioni  sensibili  e  giudiziarie  detenute dal medesimo
titolare del trattamento, nonche' di comunicazione a terzi;
  Considerato  che  per  quanto  concerne  tutti i trattamenti di cui
sopra  e'  stato verificato il rispetto dei principi e delle garanzie
previste  dall'articolo 22  del  Codice,  con particolare riferimento
alla pertinenza, non eccedenza e indispensabilita' dei dati sensibili
e   giudiziari   utilizzati   rispetto   alle  finalita'  perseguite;
all'indispensabilita'  delle predette operazioni per il perseguimento
delle  finalita'  di  rilevante  interesse  pubblico  individuate per
legge,  nonche'  all'esistenza  di  fonti  normative idonee a rendere
lecite  le  medesime  operazioni  o,  ove  richiesta, all'indicazione
scritta dei motivi;
  Visto  il  parere  del Garante per la protezione dei dati personali
emesso in data 12 gennaio 2006;
  Udito  il  parere  del  Consiglio  di  Stato espresso dalla sezione
consultiva per gli atti normativi nell'adunanza del 20 dicembre 2006;
  Vista la comunicazione al Presidente del Consiglio dei Ministri del
27 dicembre 2006;

                             A d o t t a

il  seguente  regolamento  per  il  trattamento  dei dati sensibili e
                        giudiziari del CNIPA:

                               Art. 1.

                               Oggetto

  Il  presente  Regolamento,  in  attuazione del Codice in materia di
protezione  dei  dati  personali (articolo 20, comma 2 e articolo 21,
comma 2,  del  decreto legislativo 30 giugno 2003, n. 196, identifica
le  tipologie  di  dati sensibili e giudiziari, nonche' le operazioni
eseguibili  per  lo  svolgimento  delle  finalita'  istituzionali del
Centro nazionale per l'informatica nella pubblica amministrazione, di
seguito CNIPA.
          Avvertenza:

              Il  testo  delle  note  qui pubblicato e' stato redatto
          dall'amministrazione   competente  per  materia,  ai  sensi
          dell'art.   10,   commi 2   e  3,  del  testo  unico  delle
          disposizioni     sulla     promulgazione    delle    leggi,
          sull'emanazione dei decreti del Presidente della Repubblica
          e  sulle pubblicazioni ufficiali della Repubblica italiana,
          approvato  con  D.P.R.  28 dicembre  1985,  al solo fine di
          facilitare  la  lettura  delle  disposizioni  di legge alle
          quali e' operato il rinvio.
              Restano  invariati  il  valore e l'efficacia degli atti
          legislativi qui trascritti.
              Per  le  direttive  CE  vengono  forniti gli estremi di
          pubblicazione  nella  Gazzetta  Ufficiale  della  Comunita'
          Europea (G.U.C.E.).

          Note alle premesse:

              - Si   riporta   il   testo  dell'art.  5  del  decreto
          legislativo  12 febbraio  1993,  n. 39 (Norme in materia di
          sistemi  informativi  automatizzati  delle  amministrazioni
          pubbliche, a norma dell'art. 2, comma 1, lettera mm), della
          legge  23 ottobre  1992, n. 421), pubblicato nella Gazzetta
          Ufficiale n. 42 del 20 febbraio 1993:
              «Art. 5. - 1. Il Centro nazionale propone al Presidente
          del   Consiglio  dei  Ministri  l'adozione  di  regolamenti
          concernenti  la  sua  organizzazione, il suo funzionamento,
          l'amministrazione   del   personale,   l'ordinamento  delle
          carriere,  nonche'  la  gestione  delle  spese  nei  limiti
          previsti dal presente decreto.
              2.  L'Autorita'  provvede  all'autonoma  gestione delle
          spese  per  il proprio funzionamento e per la realizzazione
          dei  progetti  innovativi da essa direttamente gestiti, nei
          limiti  dei  fondi  da  iscriversi in due distinti capitoli
          dello  stato di previsione della spesa della Presidenza del
          Consiglio  dei  Ministri.  I  fondi  sono iscritti mediante
          variazione  compensativa  disposta con decreto del Ministro
          del tesoro. Detti capitoli sono destinati, rispettivamente,
          alle spese di funzionamento e alla realizzazione dei citati
          progetti  innovativi. La gestione finanziaria e' sottoposta
          al controllo consuntivo della Corte dei conti.».
              - Si   riporta   il  testo  dell'art.  17  della  legge
          23 agosto   1988,  n.  400  (Disciplina  dell'attivita'  di
          Governo  e  ordinamento  della Presidenza del Consiglio dei
          Ministri):
              «Art. 17 (Regolamenti). - 1. Con decreto del Presidente
          della  Repubblica,  previa  deliberazione del Consiglio dei
          Ministri, sentito il parere del Consiglio di Stato che deve
          pronunziarsi  entro novanta giorni dalla richiesta, possono
          essere emanati regolamenti per disciplinare:
                a) l'esecuzione    delle    leggi   e   dei   decreti
          legislativi, nonche' dei regolamenti comunitari.
                b) l'attuazione  e  l'integrazione  delle leggi e dei
          decreti  legislativi  recanti  norme  di principio, esclusi
          quelli   relativi   a  materie  riservate  alla  competenza
          regionale;
                c) le materie in cui manchi la disciplina da parte di
          leggi  o  di  atti aventi forza di legge, sempre che non si
          tratti di materie comunque riservate alla legge;
                d) l'organizzazione   ed   il   funzionamento   delle
          amministrazioni  pubbliche  secondo le disposizioni dettate
          dalla legge;
                e) .
              2.  Con decreto del Presidente della Repubblica, previa
          deliberazione   del  Consiglio  dei  Ministri,  sentito  il
          Consiglio  di  Stato,  sono  emanati  i  regolamenti per la
          disciplina  delle  materie, non coperte da riserva assoluta
          di legge prevista dalla Costituzione, per le quali le leggi
          della  Repubblica,  autorizzando l'esercizio della potesta'
          regolamentare  del  Governo,  determinano le norme generali
          regolatrici  della materia e dispongono l'abrogazione delle
          norme  vigenti,  con  effetto  dall'entrata in vigore delle
          norme regolamentari.
              3.  Con  decreto  ministeriale  possono essere adottati
          regolamenti  nelle  materie di competenza del Ministro o di
          autorita'   sottordinate   al  Ministro,  quando  la  legge
          espressamente conferisca tale potere. Tali regolamenti, per
          materie  di  competenza  di  piu'  Ministri, possono essere
          adottati  con  decreti interministeriali, ferma restando la
          necessita' di apposita autorizzazione da parte della legge.
          I regolamenti ministeriali ed interministeriali non possono
          dettare  norme  contrarie  a quelle dei regolamenti emanati
          dal  Governo.  Essi debbono essere comunicati al Presidente
          del Consiglio dei Ministri prima della loro emanazione.
              4.  I  regolamenti  di  cui al comma 1 ed i regolamenti
          ministeriali  ed  interministeriali,  che  devono recare la
          denominazione di «regolamento», sono adottati previo parere
          del  Consiglio  di  Stato,  sottoposti  al  visto  ed  alla
          registrazione  della  Corte  dei  conti  e pubblicati nella
          Gazzetta Ufficiale.
              4-bis.  L'organizzazione  e  la disciplina degli uffici
          dei  Ministeri sono determinate, con regolamenti emanati ai
          sensi  del  comma 2,  su  proposta  del Ministro competente
          d'intesa con il Presidente del Consiglio dei Ministri e con
          il Ministro del tesoro, nel rispetto dei principi posti dal
          decreto  legislativo  3 febbraio  1993, n. 29, e successive
          modificazioni,  con  i  contenuti  e  con  l'osservanza dei
          criteri che seguono:
                a) riordino  degli  uffici  di diretta collaborazione
          con i Ministri ed i Sottosegretari di Stato, stabilendo che
          tali   uffici   hanno   esclusive  competenze  di  supporto
          dell'organo  di direzione politica e di raccordo tra questo
          e l'amministrazione;
                b) individuazione    degli    uffici    di    livello
          dirigenziale  generale,  centrali  e  periferici,  mediante
          diversificazione  tra  strutture  con funzioni finali e con
          funzioni  strumentali  e  loro  organizzazione per funzioni
          omogenee  e  secondo criteri di flessibilita' eliminando le
          duplicazioni funzionali;
                c) previsione  di  strumenti  di  verifica  periodica
          dell'organiz-zazione e dei risultati;
                d) indicazione    e    revisione    periodica   della
          consistenza delle piante organiche;
                e) previsione  di  decreti ministeriali di natura non
          regolamentare  per  la definizione dei compiti delle unita'
          dirigenziali    nell'ambito   degli   uffici   dirigenziali
          generali.».
              - La direttiva n. 95/46/CE del Parlamento europeo e del
          Consiglio,  del 24 ottobre 1995, relativa alla tutela delle
          persone  fisiche  con  riguardo  al  trattamento  dei  dati
          personali,  nonche'  della libera circolazione dei dati, e'
          pubblicata nella G.U.C.E. 23 novembre 1995, n. L 281.
              - Si  riporta  il testo degli articoli 18, 20, comma 2,
          21,  commi 1 e 2, 22 e 181, comma 1, lettera a) del decreto
          legislativo  30 giugno  2003,  n. 196 (Codice in materia di
          protezione  dei  dati personali), pubblicato nella Gazzetta
          Ufficiale   del   29 luglio   2003,   n.  174,  supplemento
          ordinario:
              «Art.  18  (Principi  applicabili a tutti i trattamenti
          effettuati  da soggetti pubblici). - 1. Le disposizioni del
          presente capo riguardano tutti i soggetti pubblici, esclusi
          gli enti pubblici economici.
              2.  Qualunque trattamento di dati personali da parte di
          soggetti pubblici e' consentito soltanto per lo svolgimento
          delle funzioni istituzionali.
              3.  Nel  trattare i dati il soggetto pubblico osserva i
          presupposti e i limiti stabiliti dal presente codice, anche
          in  relazione  alla  diversa natura dei dati, nonche' dalla
          legge e dai regolamenti.
              4.  Salvo  quanto  previsto  nella  Parte  II  per  gli
          esercenti le professioni sanitarie e gli organismi sanitari
          pubblici,  i  soggetti  pubblici  non  devono richiedere il
          consenso dell'interessato.
              5.  Si  osservano le disposizioni di cui all'art. 25 in
          tema di comunicazione e diffusione.».
              «Art.  20 (Principi applicabili al trattamento dei dati
          sensibili). - 1. (Omissis).
              2.  Nei casi in cui una disposizione di legge specifica
          la finalita' di rilevante interesse pubblico, ma non i tipi
          di   dati   sensibili   e   di  operazioni  eseguibili,  il
          trattamento  e'  consentito  solo in riferimento ai tipi di
          dati  e  di  operazioni identificati e resi pubblici a cura
          dei soggetti che ne effettuano il trattamento, in relazione
          alle specifiche finalita' perseguite nei singoli casi e nel
          rispetto  dei  principi  di  cui  all'art.  22, con atto di
          natura  regolamentare  adottato  in  conformita'  al parere
          espresso  dal  Garante  ai  sensi  dell'art.  154, comma 1,
          lettera g), anche su schemi tipo.».
              «Art.  21  (Principi applicabili al trattamento di dati
          giudiziari).  -  1. Il  trattamento  di  dati giudiziari da
          parte   di   soggetti   pubblici   e'  consentito  solo  se
          autorizzato   da   espressa   disposizione   di   legge   o
          provvedimento  del Garante che specifichino le finalita' di
          rilevante  interesse  pubblico  del  trattamento, i tipi di
          dati trattati e di operazioni eseguibili.
              2.  Le disposizioni di cui all'art. 20, commi 2 e 4, si
          applicano anche al trattamento dei dati giudiziari.».
              «Art.  22  (Principi applicabili al trattamento di dati
          sensibili   e   giudiziari).   -  1.  I  soggetti  pubblici
          conformano  il  trattamento dei dati sensibili e giudiziari
          secondo modalita' volte a prevenire violazioni dei diritti,
          delle    liberta'    fondamentali    e    della    dignita'
          dell'interessato.
              2.  Nel  fornire  l'informativa  di  cui  all'art. 13 i
          soggetti pubblici fanno espresso riferimento alla normativa
          che  prevede gli obblighi o i compiti in base alla quale e'
          effettuato il trattamento dei dati sensibili e giudiziari.
              3.  I  soggetti  pubblici  possono trattare solo i dati
          sensibili   e   giudiziari   indispensabili   per  svolgere
          attivita'  istituzionali  che non possono essere adempiute,
          caso per caso, mediante il trattamento di dati anonimi o di
          dati personali di natura diversa.
              4.  I  dati  sensibili  e  giudiziari sono raccolti, di
          regola, presso l'interessato.
              5.    In    applicazione    dell'art.    11,   comma 1,
          lettere c), d)   ed e),   i  soggetti  pubblici  verificano
          periodicamente   l'esattezza  e  l'aggiornamento  dei  dati
          sensibili   e   giudiziari,  nonche'  la  loro  pertinenza,
          completezza,  non  eccedenza  e  indispensabilita' rispetto
          alle  finalita'  perseguite  nei  singoli  casi,  anche con
          riferimento  ai  dati che l'interessato fornisce di propria
          iniziativa.  Al  fine  di assicurare che i dati sensibili e
          giudiziari siano indispensabili rispetto agli obblighi e ai
          compiti  loro  attribuiti,  i  soggetti  pubblici  valutano
          specificamente  il rapporto tra i dati e gli adempimenti. I
          dati  che,  anche  a  seguito  delle  verifiche,  risultano
          eccedenti o non pertinenti o non indispensabili non possono
          essere utilizzati, salvo che per l'eventuale conservazione,
          a  norma  di  legge,  dell'atto  o  del  documento  che  li
          contiene.  Specifica attenzione e' prestata per la verifica
          dell'indispensabilita'  dei  dati  sensibili  e  giudiziari
          riferiti  a  soggetti  diversi da quelli cui si riferiscono
          direttamente le prestazioni o gli adempimenti.
              6.  I dati sensibili e giudiziari contenuti in elenchi,
          registri   o  banche  di  dati,  tenuti  con  l'ausilio  di
          strumenti   elettronici,  sono  trattati  con  tecniche  di
          cifratura    o    mediante    l'utilizzazione   di   codici
          identificativi  o  di  altre  soluzioni che, considerato il
          numero   e   la   natura  dei  dati  trattati,  li  rendono
          temporaneamente  inintelligibili anche a chi e' autorizzato
          ad  accedervi  e permettono di identificare gli interessati
          solo in caso di necessita'.
              7.  I  dati  idonei  a rivelare lo stato di salute e la
          vita  sessuale  sono conservati separatamente da altri dati
          personali trattati per finalita' che non richiedono il loro
          utilizzo. I medesimi dati sono trattati con le modalita' di
          cui  al  comma 6  anche  quando  sono  tenuti  in  elenchi,
          registri  o  banche  di  dati  senza l'ausilio di strumenti
          elettronici.
              8.  I  dati  idonei  a  rivelare lo stato di salute non
          possono essere diffusi.
              9.    Rispetto   ai   dati   sensibili   e   giudiziari
          indispensabili  ai  sensi  del comma 3, i soggetti pubblici
          sono  autorizzati ad effettuare unicamente le operazioni di
          trattamento   indispensabili  per  il  perseguimento  delle
          finalita'  per le quali il trattamento e' consentito, anche
          quando i dati sono raccolti nello svolgimento di compiti di
          vigilanza, di controllo o ispettivi.
              10.  I  dati  sensibili e giudiziari non possono essere
          trattati  nell'ambito  di  test  psico-attitudinali volti a
          definire  il profilo o la personalita' dell'interessato. Le
          operazioni  di  raffronto  tra dati sensibili e giudiziari,
          nonche'  i  trattamenti  di  dati sensibili e giudiziari ai
          sensi dell'art. 14, sono effettuati solo previa annotazione
          scritta dei motivi.
              11.  In ogni caso, le operazioni e i trattamenti di cui
          al  comma 10,  se  effettuati utilizzando banche di dati di
          diversi  titolari, nonche' la diffusione dei dati sensibili
          e  giudiziari,  sono  ammessi  solo se previsti da espressa
          disposizione di legge.
              12.  Le disposizioni di cui al presente articolo recano
          principi   applicabili,   in   conformita'   ai  rispettivi
          ordinamenti,  ai  trattamenti disciplinati dalla Presidenza
          della  Repubblica,  dalla  Camera  dei deputati, dal Senato
          della Repubblica e dalla Corte costituzionale.».
              Art.  181  (Altre disposizioni transitorie). - 1. Per i
          trattamenti di dati personali iniziati prima del 1° gennaio
          2004, in sede di prima applicazione del presente codice:
                a) l'identificazione con atto di natura regolamentare
          dei   tipi   di   dati  e  di  operazioni  ai  sensi  degli
          articoli 20, commi 2 e 3, e 21, comma 2, e' effettuata, ove
          mancante, entro il 28 febbraio 2007;».
              - Il  provvedimento  del  Garante per la protezione dei
          dati  personali  sul  «Trattamento dei dati sensibili nella
          pubblica  amministrazione»  e'  pubblicato  nella  Gazzetta
          Ufficiale n. 170 del 23 luglio 2005.
          Nota all'art. 1:
              - Il  testo  degli  articoli 20,  comma 2  e  art.  21,
          comma 2,  del citato decreto legislativo n. 196 del 2003 e'
          riportato nelle note alle premesse.