stai visualizzando l'atto

MINISTERO DELLE COMUNICAZIONI

DECRETO 7 maggio 2007, n. 69

Regolamento recante la disciplina del trattamento dei dati sensibili e giudiziari da parte del Ministero delle comunicazioni, ai sensi degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali).

note: Entrata in vigore del provvedimento: 27/6/2007
nascondi
  • Allegati
Testo in vigore dal:  27-6-2007

IL MINISTRO DELLE COMUNICAZIONI

Visto il decreto legislativo 30 luglio 1999, n. 300, recante «Riforma dell'organizzazione del Governo, a norma dell'articolo 11 della legge 15 marzo 1997, n. 59», nel testo modificato ed integrato da ultimo dal decreto legislativo 30 dicembre 2003, n. 366, concernente le funzioni e la struttura organizzativa del Ministero delle comunicazioni»;
Visto il decreto del Presidente della Repubblica 22 giugno 2004, n. 176, recante «Regolamento di organizzazione del Ministero delle comunicazioni»;
Visto il decreto del Ministro delle comunicazioni 16 dicembre 2004 di riorganizzazione del Ministero (Gazzetta Ufficiale n. 302 del 27 dicembre 2004), modificato con decreto 22 marzo 2006 (Gazzetta Ufficiale n. 87 del 13 aprile 2006);
Visto il decreto legislativo 30 marzo 2001, n. 165, recante «Norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche», ed in particolare l'articolo 2, comma 1-bis, che dispone che i criteri di organizzazione siano attuati nel rispetto della disciplina in materia di trattamento dei dati personali;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali», ed in particolare le disposizioni relative al trattamento di dati sensibili e giudiziari da parte di soggetti pubblici;
Visto l'articolo 20, comma 1, in materia di trattamento di dati sensibili, che dispone che lo stesso è consentito solo se autorizzato da espressa disposizione di legge;
Visto l'articolo 21, comma 1, in materia di trattamento di dati giudiziari, che dispone che lo stesso è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante per la protezione dei dati personali;
Considerato che i citati articoli 20 e 21 stabiliscono, altresì, che le disposizioni di legge o il provvedimento del Garante devono specificare le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili;
Considerato che gli articoli 20, comma 2, e 21, comma 2, stabiliscono che nei casi in cui una disposizione di legge specifichi la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e giudiziari trattabili ed i tipi di operazioni su questi eseguibili, il trattamento è consentito solo in riferimento a quei tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi dettati dall'articolo 22 dello stesso Codice in materia di protezione dei dati personali;
Considerato che ai sensi del citato articolo 20, commi 2 e 4, l'identificazione dei tipi di dati e di operazioni da parte dei soggetti pubblici deve avvenire con atto di natura regolamentare adottato in conformità al parere espresso dal Garante per la protezione dei dati personali, ai sensi dell'articolo 154, comma 1, lettera g), aggiornata e integrata periodicamente;
Visto l'articolo 17, commi 3 e 4, della legge 23 agosto 1988, n. 400, che disciplina l'adozione dei decreti ministeriali di natura regolamentare previsti per legge;
Visto il provvedimento generale del Garante per la protezione dei dati personali del 30 giugno 2005, contenente un modello di riferimento per redigere il regolamento sul trattamento dei dati sensibili e giudiziari (pubblicato in Gazzetta Ufficiale n. 170 del 23 luglio 2005);
Vista l'autorizzazione n. 7/2005 al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici, connesso in particolare all'adempimento di obblighi in materia di appalti e di comunicazioni e certificazioni antimafia, Capo IV, punto 2, di cui al provvedimento del Garante per la protezione dei dati personali del 21 dicembre 2005 (pubblicato in Gazzetta Ufficiale n. 2 del 3 gennaio 2006);
Considerato che i principi, i presupposti, le modalità ed i limiti per l'esercizio del diritto di accesso ai documenti amministrativi contenenti dati sensibili e giudiziari, con particolari garanzie per i dati idonei a rivelare lo stato di salute e la vita sessuale, restano disciplinati dalla legge 7 agosto 1990, n. 241, e successive modificazioni ed integrazioni;
Considerato che possono spiegare effetti maggiormente significativi per l'interessato alcune operazioni svolte, in particolare, mediante siti web, o volte a definire in forma completamente automatizzata profili o personalità di interessati, le interconnessioni e i raffronti con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento, oppure tra banche di dati gestite da diversi titolari, nonché la comunicazione dei dati a terzi o la loro diffusione;
Ritenuto di individuare analiticamente in particolare tra le predette operazioni quelle effettivamente svolte nel Ministero e in particolare la comunicazione a terzi di dati sensibili e giudiziari;
Ritenuto, altresì, di indicare sinteticamente anche le operazioni ordinarie che questo Ministero deve necessariamente svolgere per perseguire le finalità di rilevante interesse pubblico individuate per legge (operazioni di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, utilizzo, blocco, cancellazione e distruzione);
Visto il parere del Garante per la protezione dei dati personali ai sensi dell'articolo 154, comma 1, lettera g), del decreto legislativo 30 giugno 2003, n. 196, reso in data 1° febbraio 2007;
Udito il parere del Consiglio di Stato, espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 5 marzo 2007;
Vista la comunicazione al Presidente del Consiglio dei Ministri effettuata, a norma dell'articolo 17, comma 3, della predetta legge n. 400 del 1988, con nota in data 17 aprile 2007;

Adotta

il seguente regolamento:

Art. 1

Oggetto del regolamento e individuazione dei tipi di dati trattati
1. Il presente regolamento, in attuazione del decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali», di seguito denominato «Codice», ed in particolare delle disposizioni di cui agli articoli 20, comma 2, e 21, comma 2, identifica i tipi di dati sensibili e giudiziari che possono essere oggetto di trattamento da parte del Ministero delle comunicazioni, nonché le operazioni eseguibili nello svolgimento delle proprie funzioni istituzionali.
2. Gli allegati contraddistinti dai numeri da 1 a 7 ed il relativo indice riepilogativo, che sono parte integrante del presente regolamento, identificano i tipi di dati sensibili e giudiziari per i quali è consentito il relativo trattamento. Vengono identificate anche le operazioni eseguibili e indicate le finalità di rilevante interesse pubblico perseguite nei singoli casi, descrivendo il contesto nel quale è effettuato il trattamento e le caratteristiche principali del flusso informativo.
Avvertenza:

Il testo delle note qui pubblicato è stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge alle quali è operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti.

Note alle premesse:

- Il decreto legislativo 30 luglio 1999, n. 300, recante «Riforma dell'organizzazione del Governo, a norma dell'art. 11 della legge 15 marzo 1997, n. 59, è pubblicato nel supplemento ordinario alla Gazzetta Ufficiale del 30 agosto 1999, n. 203.
- Il decreto legislativo 30 dicembre 2003, n. 366, recante: «Modifiche ed integrazioni al decreto legislativo 30 luglio 1999, n. 300, concernente le funzioni e la struttura organizzativa del Ministero delle comunicazioni, a norma dell'art. 1 della legge 6 luglio 2002, n. 137», è pubblicato nella Gazzetta Ufficiale 8 gennaio 2004, n. 5.
- Il decreto del Presidente della Repubblica 22 giugno 2004, n. 176, recante: «Regolamento di organizzazione del Ministero delle comunicazioni», è pubblicato nella Gazzetta Ufficiale 19 luglio 2004, n. 167.
- Si riporta il comma 1-bis dell'art. 2 del decreto legislativo 30 marzo 2001, n. 165, recante «Norme generali sull'ordinamento del lavoro alle dipendenze delle amministrazioni pubbliche», pubblicato nel supplemento ordinario alla Gazzetta Ufficiale 9 maggio 2001, n. 106:
«1-bis. I criteri di organizzazione di cui al presente articolo sono attuati nel rispetto della disciplina in materia di trattamento dei dati personali.».
- Si riportano gli articoli 20, 21, 22 e 154, comma 1, lettera g) del decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali», pubblicato nel supplemento ordinario alla Gazzetta Ufficiale 29 luglio 2003, n. 174:
«Art. 20 (Principi applicabili al trattamento di dati sensibili). - 1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all'art. 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'art. 154, comma 1, lettera g), anche su schemi tipo.
3. Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell'art. 26, comma 2, il trattamento dei dati sensibili.
Il trattamento è consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.
4. L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente.».
«Art. 21 (Principi applicabili al trattamento di dati giudiziari). - 1. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.
2. Le disposizioni di cui all'art. 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.».
«Art. 22 (Principi applicabili al trattamento di dati sensibili e giudiziari). - 1. I soggetti pubblici conformano il trattamento dei dati sensibili e giudiziari secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell'interessato.
2. Nel fornire l'informativa di cui all'art. 13 i soggetti pubblici fanno espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento dei dati sensibili e giudiziari.
3. I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.
4. I dati sensibili e giudiziari sono raccolti, di regola, presso l'interessato.
5. In applicazione dell'art. 11, comma 1, lettere c), d) ed e), i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. Al fine di assicurare che i dati sensibili e giudiziari siano indispensabili rispetto agli obblighi e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli adempimenti.
I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione è prestata per la verifica dell'indispensabilità dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti.
6. I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
7. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici.
8. I dati idonei a rivelare lo stato di salute non possono essere diffusi.
9. Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del comma 3, i soggetti pubblici sono autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalità per le quali il trattamento è consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi.
10. I dati sensibili e giudiziari non possono essere trattati nell'ambito di test psico-attitudinali volti a definire il profilo o la personalità dell'interessato.
Le operazioni di raffronto tra dati sensibili e giudiziari, nonché i trattamenti di dati sensibili e giudiziari ai sensi dell'art. 14, sono effettuati solo previa annotazione scritta dei motivi.
11. In ogni caso, le operazioni e i trattamenti di cui al comma 10, se effettuati utilizzando banche di dati di diversi titolari, nonché la diffusione dei dati sensibili e giudiziari, sono ammessi solo se previsti da espressa disposizione di legge.
12. Le disposizioni di cui al presente articolo recano principi applicabili, in conformità ai rispettivi ordinamenti, ai trattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla Corte costituzionale.».
«Art. 154 (Compiti). - 1. Oltre a quanto previsto da specifiche disposizioni, il Garante, anche avvalendosi dell'Ufficio e in conformità al presente codice, ha il compito di:
a)-f)(omissis);
g) esprimere pareri nei casi previsti;».
- Si riporta l'art. 17, commi 3 e 4, della legge 23 agosto 1988, n. 400, recante: «Disciplina dell'attività di Governo e ordinamento della Presidenza del Consiglio dei Ministri», e pubblicata nel supplemento ordinario della Gazzetta Ufficiale 12 settembre 1988, n. 214:
«Art. 17 (Regolamenti). - 1.-2. (Omissis).
3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del Ministro o di autorità sottordinate al Ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di più Ministri, possono essere adottati con decreti interministeriali, ferma restando la necessità di apposita autorizzazione da parte della legge. I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei Ministri prima della loro emanazione.
4. I regolamenti di cui al comma 1 ed i regolamenti ministeriali ed interministeriali, che devono recare la denominazione di «regolamento», sono adottati previo parere del Consiglio di Stato, sottoposti al visto ed alla registrazione della Corte dei conti e pubblicati nella Gazzetta Ufficiale.».

Nota all'art. 1:
- Per gli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196, si vedano note alle premesse.