| Gazzetta n. 184 del 9 agosto 2006 (vai al sommario) |
| MINISTERO DELL'INTERNO |
| DECRETO 21 giugno 2006, n. 244 |
| Regolamento recante identificazione dei dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministero dell'interno, in attuazione degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196. |
| IL MINISTRO DELL'INTERNO Visti gli articoli 20, commi 2 e 3, 21, comma 2, e 181, comma 1, lettera a) del decreto legislativo 30 giugno 2003, n. 196 «Codice in materia di protezione dei dati personali» e successive modifiche ed integrazioni; Visto l'articolo 17, commi 3 e 4, della legge 23 agosto 1988, n. 400; Considerata la necessita' di provvedere ad individuare i tipi di dati sensibili e giudiziari trattati dall'Amministrazione dell'interno e le finalita' di interesse pubblico perseguite, fatti salvi i trattamenti effettuati ai sensi dell'articolo 53 del Codice in materia di protezione dei dati personali; Ritenuta la necessita' di provvedere ad individuare, altresi', i tipi di dati sensibili e giudiziari trattati dal «Fondo di assistenza per il personale della pubblica sicurezza», istituito con legge 12 novembre 1964, n. 1279 e dall"'«Opera nazionale di assistenza per il personale del Corpo nazionale dei Vigili del fuoco"», di cui al decreto del Presidente della Repubblica 30 giugno 1959, n. 630, posti sotto la vigilanza del Ministero dell'interno; Acquisite le indicazioni dei titolari degli Uffici centrali del Ministero dell'interno e delle Prefetture - - Uffici territoriali del Governo; Considerato che possono spiegare effetti maggiormente significativi per l'interessato le operazioni svolte, in particolare, pressoche' interamente mediante i siti web o volte a definire in forma completamente automatizzata profili o personalita' degli interessati, le interconnessioni e i raffronti tra banche di dati gestite da diversi titolari, oppure con altre informazioni sensibili e giudiziarie detenute dal medesimo titolare del trattamento, nonche' la comunicazione dei dati a terzi; Ritenuto necessario indicare analiticamente nelle schede allegate, con riferimento alle predette operazioni, quelle che possono spiegare effetti maggiormente significativi per l'interessato ed in particolare le operazioni di comunicazione a terzi, di interconnessione, raffronti e diffusione; Ritenuto, altresi', di indicare sinteticamente anche le operazioni ordinarie che questa Amministrazione deve necessariamente svolgere per perseguire le finalita' di rilevante interesse pubblico individuate per legge (operazioni di raccolta, registrazione, organizzazione, conversazione, consultazione, elaborazione, modificazione, selezione, estrazione, utilizzo, blocco, cancellazione e distruzione); Verificato, per quanto concerne i trattamenti di cui sopra, il rispetto dei principi e delle garanzie previste dall'articolo 22 del Codice in materia di protezione dei dati personali, con particolare riferimento alla pertinenza, non eccedenza ed indispensabilita' dei dati sensibili e giudiziari utilizzati rispetto alle finalita' perseguite, all'indispensabilita' delle predette operazioni per il perseguimento delle finalita' di rilevante interesse pubblico individuate per legge, nonche' all'esistenza di fonti normative idonee a legittimare l'effettuazione delle medesime operazioni; Considerato che le disposizioni di legge, citate nella parte descrittiva delle fonti normative delle allegate schede, si intendono come recanti le successive modifiche ed integrazioni; Visto il provvedimento generale del Garante della protezione dei dati personali del 30 giugno 2005, pubblicato nella Gazzetta Ufficiale n. 170 del 23 luglio 2005; Vista l'autorizzazione n. 7/2005 al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici, pubblicata nella Gazzetta Ufficiale - serie generale - n. 2, del 3 gennaio 2006; Acquisito in data 28 aprile 2006 il parere del Garante per la protezione dei dati personali ai sensi dell'art. 154, comma 1, lettera g) del decreto legislativo n. 196/2003; Udito il parere del Consiglio di Stato espresso dalla sezione consultiva per gli atti normativi nell'adunanza del 6 giugno 2006, n. 5367/06; Visto il nulla osta della Presidenza del Consiglio dei Ministri, rilasciato con nota n. 5306 del 14 giugno 2006; Adotta il seguente regolamento: Art. 1. Oggetto del regolamento Il presente regolamento, in attuazione del decreto legislativo 30 giugno 2003, n. 196, identifica i tipi di dati sensibili e giudiziari e le operazioni eseguibili da parte dell'Amministrazione dell'interno nello svolgimento delle proprie funzioni istituzionali, nonche' dal «Fondo di assistenza per il personale della pubblica sicurezza», istituito con legge 12 novembre 1964, n. 1279 e dall"'«Opera nazionale di assistenza per il personale del Corpo nazionale dei Vigili del fuoco"» di cui al decreto del Presidente della Repubblica 30 giugno 1959, n. 630. Avvertenza: Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con decreto del Presidente della Repubblica 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. Note alle premesse: - Si riporta il testo degli articoli 20, commi 2 e 3, 21, comma 2, 22, 53, 154, comma 1, lettera. g), e 181, comma 1, lettera a), del decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di protezione dei dati personali): «2. Nei casi in cui una disposizione di legge specifica la finalita' di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento e' consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalita' perseguite nei singoli casi e nel rispetto dei principi di cui all'art. 22, con atto di natura regolamentare adottato in conformita' al parere espresso dal Garante ai sensi dell'art. 154, comma 1, lettera g), anche su schemi tipo». 3. Se il trattamento non e' previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attivita', tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalita' di rilevante interesse pubblico e per le quali e' conseguentemente autorizzato, ai sensi dell'art. 26, comma 2, il trattamento dei dati sensibili. Il trattamento e' consentito solo se il soggetto pubblico provvede altresi' a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.». «2. Le disposizioni di cui all'art. 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.». «Art. 22 (Principi applicabili al trattamento di dati sensibili e giudiziari). - 1. I soggetti pubblici conformano il trattamento dei dati sensibili e giudiziari secondo modalita' volte a prevenire violazioni dei diritti, delle liberta' fondamentali e della dignita' dell'interessato. 2. Nel fornire l'informativa di cui all'art. 13 i soggetti pubblici fanno espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale e' effettuato il trattamento dei dati sensibili e giudiziari. 3. I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attivita' istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa. 4. I dati sensibili e giudiziari sono raccolti, di regola, presso l'interessato. 5. In applicazione dell'art. 11, comma 1, lettere c), d) ed e), i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonche' la loro pertinenza, completezza, non eccedenza e indispensabilita' rispetto alle finalita' perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. Al fine di assicurare che i dati sensibili e giudiziari siano indispensabili rispetto agli obblighi e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli adempimenti. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione e' prestata per la verifica dell'indispensabilita' dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti. 6. I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi e' autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessita'. 7. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalita' che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalita' di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici. 8. I dati idonei a rivelare lo stato di salute non possono essere diffusi. 9. Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del comma 3, i soggetti pubblici sono autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalita' per le quali il trattamento e' consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi. 10. I dati sensibili e giudiziari non possono essere trattati nell'ambito di test psico-attitudinali volti a definire il profilo o la personalita' dell'interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonche' i trattamenti di dati sensibili e giudiziari ai sensi dell'art. 14, sono effettuati solo previa annotazione scritta dei motivi. 11. In ogni caso, le operazioni e i trattamenti di cui al comma 10, se effettuati utilizzando banche di dati di diversi titolari, nonche' la diffusione dei dati sensibili e giudiziari, sono ammessi solo se previsti da espressa disposizione di legge. 12. Le disposizioni di cui al presente art. recano principi applicabili, in conformita' ai rispettivi ordinamenti, ai trattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla Corte costituzionale.». «Art. 53 (Ambito applicativo e titolari dei trattamenti). - 1. Al trattamento di dati personali effettuato dal Centro elaborazione dati del Dipartimento di pubblica sicurezza o da forze di polizia sui dati destinati a confluirvi in base alla legge, ovvero da organi di pubblica sicurezza o altri soggetti pubblici per finalita' di tutela dell'ordine e della sicurezza pubblica, prevenzione, accertamento o repressione dei reati, effettuati in base ad espressa disposizione di legge che preveda specificamente il trattamento, non si applicano le seguenti disposizioni del codice: a) articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38, commi da 1 a 5, e da 39 a 45; b) articoli da 145 a 151. 2. Con decreto del Ministro dell'interno sono individuati, nell'allegato C) al presente codice, i trattamenti non occasionali di cui al comma 1 effettuati con strumenti elettronici, e i relativi titolari.». «Art. 154 (Compiti). - 1. Oltre a quanto previsto da specifiche disposizioni, il Garante, anche avvalendosi dell'Ufficio e in conformita' al presente codice, ha il compito di: a) - f) (omissis); g) esprimere pareri nei casi previsti;». Art. 181 (Altre disposizioni transitorie). - 1. Per i trattamenti di dati personali iniziati prima del 1° gennaio 2004, in sede di prima applicazione del presente codice: a) l'identificazione con atto di natura regolamentare dei tipi di dati e di operazioni ai sensi degli articoli 20, commi 2 e 3, e 21, comma 2, e' effettuata, ove mancante, entro il 31 dicembre 2006.». - Si riporta il testo dell'art. 17, commi 3 e 4, della legge 23 agosto 1988, n. 400 (Disciplina dell'attivita' di Governo e ordinamento della Presidenza del Consiglio dei Ministri): «3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del ministro o di autorita' sottordinate al Ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di piu' Ministri, possono essere adottati con decreti interministeriali, ferma restando la necessita' di apposita autorizzazione da parte della legge. I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei Ministri prima della loro emanazione. 4. I regolamenti di cui al comma 1 ed i regolamenti ministeriali ed interministeriali, che devono recare la denominazione di «regolamento», sono adottati previo parere del Consiglio di Stato, sottoposti al visto ed alla registrazione della Corte dei conti e pubblicati nella Gazzetta Ufficiale». - La legge 12 novembre 1964, n. 1279, reca: «Istituzione del Fondo di assistenza per il personale di pubblica sicurezza». - Il decreto del Presidente della Repubblica 30 giugno 1959, n. 630, reca: «Opera Nazionale di Assistenza per il personale dei Servizi antincendi e della Protezione civile». - Il provvedimento generale del Garante per la protezione dei dati personali, del 30 giugno 2005 (pubblicato in Gazzetta Ufficiale serie generale n. 170 del 23 luglio 2005), reca: «Trattamento dei dati sensibili nella pubblica amministrazione». Note all'art. 1: - Per l'argomento del decreto legislativo 30 giugno 2003, n. 196, vedi nelle note alle premesse. - Per l'argomento della legge 12 novembre 1964, n. 1279, vedi nelle note alle premesse. - Per l'argomento del Presidente della Repubblica 30 giugno 1959, n. 630, vedi nelle note alle premesse. |
| Art. 2. Individuazione dei tipi di dati e di operazioni eseguibili 1. Le schede, di cui agli allegati contraddistinti dai numeri da 1 a 28, sono parte integrante del presente regolamento. Esse identificano i tipi di dati sensibili e giudiziari per cui e' consentito il relativo trattamento, nonche' le operazioni eseguibili in riferimento alle specifiche finalita' di rilevante interesse pubblico perseguite nei singoli casi ed individuate nel decreto legislativo 30 giugno 2003, n. 196. 2. I dati sensibili e giudiziari individuati dal presente regolamento sono trattati previa verifica della loro pertinenza, completezza e indispensabilita' rispetto alle finalita' perseguite nei singoli casi, specie nel caso in cui la raccolta non avvenga presso l'interessato. 3. Le operazioni di interconnessione, raffronto, comunicazione e diffusione individuate nel presente regolamento sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o compiti di volta in volta indicati, per il perseguimento delle rilevanti finalita' di interesse pubblico specificate e nel rispetto delle disposizioni rilevanti in materia di protezione dei dati personali, nonche' degli altri limiti stabiliti dalla legge e dai regolamenti. 4. I raffronti e le interconnessioni con le altre informazioni sensibili e giudiziarie detenute dall'Amministrazione dell'interno sono consentite soltanto previa verifica della loro stretta indispensabilita' nei singoli casi ed indicazione scritta dei motivi che ne giustificano l'effettuazione. Le predette operazioni, se effettuate utilizzando banche di dati di diversi titolari del trattamento, nonche' la diffusione di dati sensibili e giudiziari, sono ammesse esclusivamente previa verifica della loro stretta indispensabilita' nei singoli casi e nel rispetto dei limiti e con le modalita' stabiliti dalle disposizioni legislative che le prevedono. 5. Sono inutilizzabili i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali. Il presente decreto, munito del sigillo dello Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare. Roma, 21 giugno 2006 Il Ministro: Amato Visto, il Guardasigilli: Mastella Registrato alla Corte dei conti il 26 luglio 2006 Ministeri istituzionali, registro n. 9, foglio n. 266 Nota all'art. 2: - Per l'argomento del decreto legislativo 30 giugno 2003, n. 196, vedi nelle note alle premesse. |
| Allegato ----> Vedere allegato da pag. 7 a pag. 35 del S.O. <---- |
|