Logo Governo Presidenza del Consiglio dei Ministri
Logo Normattiva

Normattiva - Il portale della legge vigente
Ricerca avanzata

stai visualizzando l'atto

vigente al
originario
multivigente
MINISTERO DELL'UNIVERSITA' E DELLA RICERCA

DECRETO 28 febbraio 2007, n. 54

Regolamento ai sensi dell'articolo 20, comma 2, e 21, comma 2, del decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali».

note: Entrata in vigore del provvedimento: 11/5/2007
(GU n.96 del 26-04-2007) visualizza atto intero
nascondi
  • Articoli
  • 1
  • 2
  • Allegati
articolo successivo 
Testo in vigore dal: 11-5-2007
            IL MINISTRO DELL'UNIVERSITA' E DELLA RICERCA

    Premesso  che gli articoli 20, comma 2, e 21, comma 2, del Codice
in  materia  di  protezione  dei  dati  personali  di  cui al decreto
legislativo  30 giugno  2003, n. 196, di seguito denominato «Codice»,
stabiliscono che nei casi in cui una disposizione di legge specifichi
la  finalita'  di rilevante interesse pubblico, ma non i tipi di dati
sensibili  e  giudiziari trattabili ed i tipi di operazioni su questi
eseguibili,  il  trattamento e' consentito solo in riferimento a quei
tipi  di dati e di operazioni identificati e resi pubblici a cura dei
soggetti   che  ne  effettuano  il  trattamento,  in  relazione  alle
specifiche finalita' perseguite nei singoli casi;
    Premesso, altresi', che ai sensi del citato articolo 20, comma 2,
detta identificazione deve avvenire con atto di natura regolamentare,
adottato  in  conformita'  al  parere  espresso dal Garante, ai sensi
dell'articolo 154, comma 1, lettera g);
    Viste le restanti disposizioni del Codice;
    Considerato  che  per  quanto  concerne  tutti  i  trattamenti in
disamina  e'  stato  verificato  il  rispetto  dei  principi  e delle
garanzie   previste  dall'articolo 22  del  Codice,  con  particolare
riferimento  alla  pertinenza,  non eccedenza e indispensabilita' dei
dati  sensibili  e  giudiziari  utilizzati  rispetto  alle  finalita'
perseguite,  all'indispensabilita'  delle  predette operazioni per il
perseguimento   delle   finalita'  di  rilevante  interesse  pubblico
individuate  per  legge,  nonche'  all'esistenza  di  fonti normative
idonee  a  rendere  lecite  le  medesime operazioni o, ove richiesta,
all'indicazione scritta dei motivi;
    Visto  il provvedimento generale del Garante della protezione dei
dati   personali   del  30 giugno  2005  (pubblicato  nella  Gazzetta
Ufficiale n. 170 del 23 luglio 2005);
    Vista l'autorizzazione generale del Garante del 21 dicembre 2005,
n.  7 al trattamento dei dati giudiziari da parte di privati, di enti
pubblici  economici e di soggetti pubblici, pubblicata nella Gazzetta
Ufficiale n. 2 del 3 gennaio 2006;
    Visto  l'articolo 17, commi 3 e 4, della legge 23 agosto 1988, n.
400;
    Visto   il   decreto-legge   18 maggio   2006,  n.  181,  recante
disposizioni  urgenti in materia di riordino delle attribuzioni della
Presidenza  del  Consiglio  dei  Ministri  e dei Ministeri. Delega al
Governo  per  il  coordinamento  delle  disposizioni  in  materia  di
funzioni e organizzazione della Presidenza del Consiglio dei Ministri
e  dei  Ministeri, convertito, con modificazioni, con legge 17 luglio
2006, n. 233.
    Vista  la  direttiva del Ministro della funzione pubblica in data
11 febbraio  2005,  riguardante le «Misure finalizzate all'attuazione
nelle  pubbliche  amministrazioni  delle  disposizioni  contenute nel
decreto legislativo 30 giugno 2003, n. 196»;
    Ravvisata   la   necessita'  di  provvedere  ad  identificare  le
tipologie   di   dati   sensibili   e   giudiziari   trattati  presso
l'Amministrazione  dell'universita'  e  della  ricerca,  le finalita'
d'interesse  pubblico perseguite attraverso il trattamento dei citati
dati nonche' le operazioni eseguite con gli stessi;
    Sentito,  ai  sensi  all'articolo 154,  comma 1,  lettera g)  del
Codice,  il Garante per la protezione dei dati personali, che ha reso
parere favorevole in data 28 dicembre 2006;
    Udito  il  parere  del Consiglio di Stato, espresso dalla Sezione
consultiva per gli atti normativi nell'adunanza del 5 febbraio 2007;
    Vista  la  comunicazione al Presidente del Consiglio dei Ministri
effettuata,  a norma dell'articolo 17, comma 3, della citata legge n.
400 del 1988, con nota del 20 febbraio 2007 n. GAB/3085/311/1.4.4/07;

                             A d o t t a
                      il seguente regolamento:
                               Art. 1.
                       Oggetto del regolamento

    1.  Il  presente  regolamento,  in  attuazione degli articoli 20,
comma 2,  e 21, comma 2, del Codice in materia di protezione dei dati
personali  di  cui  al decreto legislativo 30 giugno 2003, n. 196, di
seguito   denominato   «Codice»,  identifica  le  tipologie  di  dati
sensibili e giudiziari e di operazioni indispensabili per la gestione
del  sistema  dell'universita'  e della ricerca, nel perseguimento da
parte   di   questa  amministrazione  delle  finalita'  di  rilevante
interesse   pubblico   individuate  dal  Codice  e  dalle  specifiche
previsioni di legge.

          Avvertenza:

              Il  testo  delle  note  qui pubblicato e' stato redatto
          dall'amministrazione   competente  per  materia,  ai  sensi
          dell'art.  10, comma 3, del testo unico sulla promulgazione
          delle  leggi,  sull'emanazione  dei  decreti del Presidente
          della  Repubblica  e  sulle  pubblicazioni  ufficiali della
          Repubblica italiana, approvato con D.P.R. 28 dicembre 1985,
          n.  1092,  al  solo  fine  di  facilitare  la lettura delle
          disposizioni  di  legge  alle  quali  e' operato il rinvio.
          Restano  invariati  il  valore  e  l'efficacia  degli  atti
          legislativi qui trascritti.

          Note alle premesse:

              - Si  riporta  il testo degli articoli 20, comma 2, 21,
          comma 2,  22  e  154,  comma 1,  lettera  g),  del  decreto
          legislativo  30 giugno  2003,  n. 196 (Codice in materia di
          protezione dei dati personali):
              «Art.  20  (Principi applicabili al trattamento di dati
          sensibili). - 1. (Omissis).
              2. Nei  casi in cui una disposizione di legge specifica
          la finalita' di rilevante interesse pubblico, ma non i tipi
          di   dati   sensibili   e   di  operazioni  eseguibili,  il
          trattamento  e'  consentito  solo in riferimento ai tipi di
          dati  e  di  operazioni identificati e resi pubblici a cura
          dei soggetti che ne effettuano il trattamento, in relazione
          alle specifiche finalita' perseguite nei singoli casi e nel
          rispetto  dei  principi  di  cui  all'art.  22, con atto di
          natura  regolamentare  adottato  in  conformita'  al parere
          espresso  dal  Garante  ai  sensi  dell'art.  154, comma 1,
          lettera g), anche su schemi tipo.».
              «Art.  21  (Principi applicabili al trattamento di dati
          giudiziari). - 1. (Omissis).
              2.  Le disposizioni di cui all'art. 20, commi 2 e 4, si
          applicano anche al trattamento dei dati giudiziari.».
              «Art.  22  (Principi applicabili al trattamento di dati
          sensibili   e   giudiziari).   -  1.  I  soggetti  pubblici
          conformano  il  trattamento dei dati sensibili e giudiziari
          secondo modalita' volte a prevenire violazioni dei diritti,
          delle    liberta'    fondamentali    e    della    dignita'
          dell'interessato.
              2.  Nel  fornire  l'informativa  di  cui  all'art. 13 i
          soggetti pubblici fanno espresso riferimento alla normativa
          che  prevede gli obblighi o i compiti in base alla quale e'
          effettuato il trattamento dei dati sensibili e giudiziari.
              3.  I  soggetti  pubblici  possono trattare solo i dati
          sensibili   e   giudiziari   indispensabili   per  svolgere
          attivita'  istituzionali  che non possono essere adempiute,
          caso per caso, mediante il trattamento di dati anonimi o di
          dati personali di natura diversa.
              4.  I  dati  sensibili  e  giudiziari sono raccolti, di
          regola, presso l'interessato.
              5.    In    applicazione    dell'art.    11,   comma 1,
          lettere c), d)   ed e),   i  soggetti  pubblici  verificano
          periodicamente   l'esattezza  e  l'aggiornamento  dei  dati
          sensibili   e   giudiziari,  nonche'  la  loro  pertinenza,
          completezza,  non  eccedenza  e  indispensabilita' rispetto
          alle  finalita'  perseguite  nei  singoli  casi,  anche con
          riferimento  ai  dati che l'interessato fornisce di propria
          iniziativa.  Al  fine  di assicurare che i dati sensibili e
          giudiziari siano indispensabili rispetto agli obblighi e ai
          compiti  loro  attribuiti,  i  soggetti  pubblici  valutano
          specificamente  il rapporto tra i dati e gli adempimenti. I
          dati  che,  anche  a  seguito  delle  verifiche,  risultano
          eccedenti o non pertinenti o non indispensabili non possono
          essere utilizzati, salvo che per l'eventuale conservazione,
          a  norma  di  legge,  dell'atto  o  del  documento  che  li
          contiene.  Specifica attenzione e' prestata per la verifica
          dell'indispensabilita'  dei  dati  sensibili  e  giudiziari
          riferiti  a  soggetti  diversi da quelli cui si riferiscono
          direttamente le prestazioni o gli adempimenti.
              6.  I dati sensibili e giudiziari contenuti in elenchi,
          registri   o  banche  di  dati,  tenuti  con  l'ausilio  di
          strumenti   elettronici,  sono  trattati  con  tecniche  di
          cifratura    o    mediante    l'utilizzazione   di   codici
          identificativi  o  di  altre  soluzioni che, considerato il
          numero   e   la   natura  dei  dati  trattati,  li  rendono
          temporaneamente  inintelligibili anche a chi e' autorizzato
          ad  accedervi  e permettono di identificare gli interessati
          solo in caso di necessita'.
              7.  I  dati  idonei  a rivelare lo stato di salute e la
          vita  sessuale  sono conservati separatamente da altri dati
          personali trattati per finalita' che non richiedono il loro
          utilizzo. I medesimi dati sono trattati con le modalita' di
          cui  al  comma 6  anche  quando  sono  tenuti  in  elenchi,
          registri  o  banche  di  dati  senza l'ausilio di strumenti
          elettronici.
              8.  I  dati  idonei  a  rivelare lo stato di salute non
          possono essere diffusi.
              9.    Rispetto   ai   dati   sensibili   e   giudiziari
          indispensabili  ai  sensi  del comma 3, i soggetti pubblici
          sono  autorizzati ad effettuare unicamente le operazioni di
          trattamento   indispensabili  per  il  perseguimento  delle
          finalita'  per le quali il trattamento e' consentito, anche
          quando i dati sono raccolti nello svolgimento di compiti di
          vigilanza, di controllo o ispettivi.
              10.  I  dati  sensibili e giudiziari non possono essere
          trattati  nell'ambito  di  test  psico-attitudinali volti a
          definire  il profilo o la personalita' dell'interessato. Le
          operazioni  di  raffronto  tra dati sensibili e giudiziari,
          nonche'  i  trattamenti  di  dati sensibili e giudiziari ai
          sensi dell'art. 14, sono effettuati solo previa annotazione
          scritta dei motivi.
              11.  In ogni caso, le operazioni e i trattamenti di cui
          al  comma 10,  se  effettuati utilizzando banche di dati di
          diversi  titolari, nonche' la diffusione dei dati sensibili
          e  giudiziari,  sono  ammessi  solo se previsti da espressa
          disposizione di legge.
              12.  Le disposizioni di cui al presente articolo recano
          principi   applicabili,   in   conformita'   ai  rispettivi
          ordinamenti,  ai  trattamenti disciplinati dalla Presidenza
          della  Repubblica,  dalla  Camera  dei deputati, dal Senato
          della Repubblica e dalla Corte costituzionale.».
              «Art.  154  (Compiti).  - 1. Oltre a quanto previsto da
          specifiche  disposizioni,  il  Garante,  anche  avvalendosi
          dell'Ufficio  e  in  conformita'  al presente codice, ha il
          compito di:
                a) - f) (omissis);
                g) esprimere pareri nei casi previsti;».
              - Si  riporta  il testo dell'art. 17, commi 3 e 4 della
          legge  23 agosto 1988, n. 400 (Disciplina dell'attivita' di
          Governo  e  ordinamento  della Presidenza del Consiglio dei
          Ministri):
              «Art. 17 (Regolamenti). - (Omissis).
              3.  Con  decreto  ministeriale  possono essere adottati
          regolamenti  nelle  materie di competenza del Ministro o di
          autorita'   sottordinate   al  Ministro,  quando  la  legge
          espressamente conferisca tale potere. Tali regolamenti, per
          materie  di  competenza  di  piu'  Ministri, possono essere
          adottati  con  decreti interministeriali, ferma restando la
          necessita' di apposita autorizzazione da parte della legge.
          I regolamenti ministeriali ed interministeriali non possono
          dettare  norme  contrarie  a quelle dei regolamenti emanati
          dal  Governo.  Essi debbono essere comunicati al Presidente
          del Consiglio dei Ministri prima della loro emanazione.
              4. I regolamenti di cui al comma primo ed i regolamenti
          ministeriali  ed  interministeriali,  che  devono recare la
          denominazione di «regolamento», sono adottati previo parere
          del  Consiglio  di  Stato,  sottoposti  al  visto  ed  alla
          registrazione  della  Corte  dei  conti  e pubblicati nella
          Gazzetta Ufficiale.».
              - Il  decreto-legge  18 maggio  2006,  n.  181, recante
          «Disposizioni   urgenti   in   materia  di  riordino  delle
          attribuzioni  della Presidenza del Consiglio dei Ministri e
          dei  Ministeri»  convertito, con modificazioni, dalla legge
          17 luglio   2006,  n.  233  e'  pubblicato  nella  Gazzetta
          Ufficiale n. 114 del 18 maggio 2006.
              - La  direttiva  del  Ministro  della funzione pubblica
          11 febbraio    2005,   riguardante:   «Misure   finalizzate
          all'attuazione   nelle   pubbliche   amministrazioni  delle
          disposizioni  contenute  nel  decreto legislativo 30 giugno
          2003,  n.  196, recante Codice in materia di protezione dei
          dati  personali,  con  particolare  riguardo  alla gestione
          delle risorse umane» e' pubblicata nella Gazzetta Ufficiale
          del 28 aprile 2005, n. 97.
          Nota all'art. 1:
              - Per il testo degli articoli 20, comma 2 e 21, comma 2
          del  decreto  legislativo 30 giugno 2003, n. 196, si vedano
          le note alle premesse.
articolo successivo