Gazzetta n. 101 del 3 maggio 2000 - PRESIDENZA DEL CONSIGLIO DEI MINISTRI

Gazzetta n. 101 del 3 maggio 2000 (vai al sommario)

PRESIDENZA DEL CONSIGLIO DEI MINISTRI

CIRCOLARE 19 aprile 2000, n. 643

Ricognizione, ai sensi dell'art. 5 del decreto legislativo n. 135/1999, del tipo di dati sensibili e delle operazioni eseguibili sugli stessi da parte dei soggetti pubblici. Chiarimenti.

A tutti i Ministeri
Ai comuni e alle province
Agli enti pubblici non economici
All'ANCI
All'UPI
e, per conoscenza:
Al Garante per la protezione dei
dati personali
Questa Presidenza, con circolare 24 dicembre 1999, n. DAGL/643 - PRES.98, ha fornito alcune indicazioni sugli adempimenti ai quali sono tenuti i soggetti pubblici, ai sensi dell'art. 5, comma 3, del decreto legislativo n. 135/1999.
Gli elementi pervenuti a seguito della richiamata circolare, riguardanti un campione significativo di amministrazioni, locali e centrali, inducono questa Presidenza a ritenere necessarie alcune ulteriori precisazioni, sia per quanto attiene ai tipi di dati sia, e soprattutto, con riferimento alle operazioni eseguibili ed agli adempimenti successivi alla ricognizione effettuata.
Si forniscono, dunque, i seguenti chiarimenti, ai fini di un corretto ed omogeneo espletamento degli adempimenti sopra richiamati.
Va premesso in proposito, che la finalita' dell'individuazione dei tipi di dati e di operazioni eseguibili consiste, da un lato, nella verifica della rispondenza di detti elementi a quanto previsto dalla legge n. 675 del 1996 e successive modificazioni, nonche' dai provvedimenti comunque attuativi di quella legge delega; dall'altro, nella pubblicita' che, tramite la pubblicazione nella Gazzetta Ufficiale, e' data a tali trattamenti, eseguiti dall'ente pubblico in vista delle finalita' di rilevante interesse pubblico. Finalita' tutte individuate da atti aventi valore di legge o da autorizzazioni del Garante dei dati personali.
Naturalmente, ove nell'esercizio dell'attivita' di individuazione e verifica, si riscontrasse che alcuni tipi di dati o di operazioni non sono conformi ai principi fissati dalla stessa legge n. 675 e dalle norme di attuazione della stessa, particolarmente con riferimento alla stretta attinenza alla finalita' di interesse pubblico sopra richiamata, sara' compito del soggetto pubblico procedente adeguare al nuovo quadro normativo la propria attivita'.
Cio' premesso, si osserva piu' nel dettaglio quanto segue:
1. Innanzitutto va precisato che l'individuazione di cui all'oggetto attiene esclusivamente ai dati sensibili o ai dati di carattere giudiziario. Dati sensibili sono quelli che attengono all'origine razziale o etnica, alle convinzioni religiose o filosofiche, alle opinioni politiche, all'adesione a partiti e sindacati, associazioni a carattere religioso, filosofico, politico o sindacale, allo stato di salute e alla vita e abitudini sessuali. Vanno, quindi, esclusi dalla richiamata ricognizione i tipi di dati personali che, pur essendo correlati alle finalita' di rilevante interesse pubblico indicate dagli articoli 7 e seguenti del decreto legislativo n. 135/1999 e nell'atto di autorizzazione del Garante 30 dicembre 1999-13 gennaio 2000 (nella Gazzetta Ufficiale n. 24 del 2 febbraio 2000), non possono qualificarsi come "sensibili". Cosi', non rientrano nella predetta ricognizione i dati che attengono alla condizione economica, a status professionali o sociali, a requisiti culturali, alla rappresentativita' o al ruolo dei soggetti interessati all'interno di associazioni di carattere diverso da quello indicato nell'articolo 22 della legge n. 675/1996. Vanno, altresi', esclusi i dati che, identificati genericamente come attinenti ai requisiti morali e alle doti di irreprensibilita' o di carattere possedute, o al decoro e al comportamento tenuto, non rientrano in nessuna delle categorie sopra indicate, in quanto non idonee a rivelare le abitudini sessuali o le convinzioni religiose, politiche, filosofiche, ecc.
2. In secondo luogo, occorre che, ciascuna delle finalita' di rilevante interesse pubblico, siano identificati i tipi di dati sensibili o di carattere giudiziario cui si fa riferimento. E' necessario, cioe', specificare quale tipo di dato sensibile sia trattato dal soggetto pubblico per quella determinata finalita' di interesse pubblico. Considerata, infatti, la varieta' di tali dati sensibili, richiamati al punto 1, soltanto in tal modo e' possibile verificare la pertinenza e la necessita' del trattamento. Il richiamo generico alla categoria "dati sensibili" puo' ritenersi consentito limitatamente ai casi nei quali non e' possibile individuare puntualmente e preliminarmente il particolare tipo di dato sensibile che puo' essere oggetto di trattazione per il perseguimento della finalita' di interesse pubblico individuata come sopra ricordato. (Ad es., per le ipotesi relative alle sanzioni disciplinari o alle interrogazioni parlamentari, potenzialmente estese a qualunque dato sensibile).
3. La ricognizione dovra' essere estesa anche alle finalita' di carattere socio-assistenziale, che legittimano il trattamento dei dati sensibili, in conformita' a quanto previsto nel provvedimento di autorizzazione emanato dal Garante per la protezione dei dati personali, ad integrazione della individuazione effettuata dalle disposizioni legislative contenute nel Capo II del decreto legislativo n. 135/1999. Va, in proposito, sottolineato che i dati relativi alla condizione dello straniero, all'origine razziale ed etnica o all'appartenenza religiosa, riportati su atti provenienti dall'estero, possono essere trattati, oltre che per le finalita' indicate dal decreto legislativo n. 135/1999, soltanto se strettamente pertinenti e necessari per il perseguimento dei fini indicati nel provvedimento del Garante.
4. Va particolarmente richiamata l'attenzione delle amministrazioni in indirizzo sulla circostanza che l'individuazione dei tipi di dati e di operazioni eseguibili non deve esaurirsi nell'indicazione dell'attivita' procedimentale che riguarda detti dati e dette operazioni; ne' puo' consistere nel mero richiamo delle norme di rango primario vigenti. L'individuazione deve riguardare i tipi di dati effettivamente trattati e le operazioni effettivamente eseguite. Al fine di chiarire meglio le modalita' dell'attivita' richiesta a codeste amministrazioni, e' allegato alla presente uno schema, che intende fornire un ausilio pratico ed un suggerimento operativo per dare attuazione completa agli adempimenti prescritti.
5. Va precisato, a chiarimento dello schema e della conseguente individuazione richiesta all'amministrazione, che la descrizione dei trattamenti effettuati sui dati sensibili potra' essere realizzata in forma semplificata e cioe' senza l'analitico riferimento alle operazioni descritte nell'art. 1, comma 1, lettera b), della legge n. 675 del 1996. Dette operazioni, infatti, possono essere raggruppate in categorie piu' ampie, come:
a) la raccolta, con la precisazione se essa avvenga presso l'interessato o meno;
b) l'attivita' svolta all'interno della stessa amministrazione (conservazione, registrazione, organizzazione, modificazione, cancellazione, distruzione, con l'eventuale indicazione dei termini di dette operazioni);
c) l'attivita' di trasmissione all'esterno (comunicazione, diffusione), per finalita' di rilevante interesse pubblico perseguite da altri soggetti;
d) evidenziazione dei casi nei quali il trattamento e' di tipo statico, e cioe' di mera conservazione e trascrizione dei dati, o di tipo dinamico (costituzione di banche-dati, effettuazione di elaborazioni complesse, selezione, estrazione, aggregazione, correlazione ecc.).
6. L'attivita' imposta alle amministrazioni dalle disposizioni del decreto legislativo n. 135/1999, non si conclude con la verifica del rispetto e con l'eventuale conformazione del trattamento effettuato ai criteri e principi stabiliti dalla normativa. Obbligo essenziale previsto dall'art. 5 del decreto legislativo citato e' infatti la pubblicazione degli elementi richiamati, in modo da consentire la conoscenza e il controllo degli interessati sul trattamento dei dati sensibili da parte di ciascun soggetto pubblico autorizzato. La pubblicazione deve essere effettuata nelle forme che conseguono la finalita' della piu' ampia diffusione delle informazioni.
Va, infine, segnalato che l'individuazione dei tipi di dati e di operazioni eseguibili dovra' essere oggetto di verifica anche successiva, ai fini sia del completamento di detta rilevazione sia del necessario continuo aggiornamento degli elementi rilevati e resi pubblici.

Il capo del Dipartimento
per gli affari giuridici e legislativi

Allegato ----> Vedere ALLEGATO a Pag. 58 della G.U. <----