IL MINISTRO DELL'ECONOMIA
E DELLE FINANZE
Visto l'articolo 17, commi 3 e 4, della legge 23 agosto 1988, n.
400;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante
«Codice in materia di protezione dei dati personali» e in particolare
gli articoli 20, commi 2 e 3, 21, comma 2 che fissano i principi
applicabili al trattamento dei dati sensibili e giudiziari ed il
termine per l'identificazione, con atto di natura regolamentare, dei
tipi di dati trattati e delle operazioni effettuate;
Visto il decreto legislativo 27 gennaio 2010, n. 39, recante
Attuazione della direttiva 2006/43/CE, relativa alle revisioni legali
dei conti annuali e dei conti consolidati, che modifica le direttive
78/660/CEE e 83/349/CEE, e che abroga la direttiva 84/253/CEE ed in
particolare, l'articolo 21 dello stesso decreto, che attribuisce al
Ministero dell'economia e delle finanze, tra l'altro, competenze e
poteri in materia di tenuta del Registro dei revisori legali e del
Registro del tirocinio;
Visto il decreto ministeriale 29 novembre 2007, n. 255, recante
«Regolamento di attuazione degli articoli 20, 21, e 181 del decreto
legislativo 30 giugno 2003, n. 196, recante "Codice in materia di
protezione dei dati personali"», che identifica i tipi di dati e le
operazioni eseguibili nel trattamento dei dati personali, sensibili o
giudiziari, autorizzati per legge, per il Ministero dell'economia e
delle finanze, la Scuola superiore dell'economia e delle finanze,
l'Amministrazione autonoma dei monopoli di Stato, la Guardia di
finanza e il Fondo di previdenza per il personale del Ministero delle
finanze;
Considerata la necessita' di identificare i tipi di dati sensibili
e giudiziari trattati e le operazioni eseguibili in relazione alle
finalita' di interesse pubblico, individuate da parte del Ministero
dell'economia e delle finanze, con riferimento alle funzioni di
abilitazione e di iscrizione al Registro dei revisori legali e del
relativo Registro del tirocinio, nonche' di tenuta e vigilanza dei
menzionati registri;
Considerata, in particolare, la necessita' di acquisire presso gli
interessati o presso l'Autorita' giudiziaria dati personali
concernenti il possesso ed il mantenimento del requisito
dell'onorabilita' ai fini dell'iscrizione o del mantenimento
dell'iscrizione nel Registro dei revisori legali e nel Registro del
tirocinio;
Verificato il rispetto dei principi e delle garanzie previste
dall'articolo 22 del Codice in materia di protezione dei dati
personali, con particolare riferimento alla pertinenza, non eccedenza
ed indispensabilita' dei dati sensibili e giudiziari utilizzati
rispetto alle finalita' perseguite, all'indispensabilita' delle
operazioni eseguibili per il perseguimento delle finalita' di
rilevante interesse pubblico individuate per legge, nonche'
all'esistenza di fonti normative idonee a legittimare l'effettuazione
delle medesime operazioni;
Acquisito il parere del Garante per la protezione dei dati
personali, iscritto nel relativo Registro dei provvedimenti in data
15 dicembre 2011, al n. 485, parere richiesto ai sensi degli articoli
20, comma 3, 21, comma 2, 154, commi 1, lettera g), 4 e 5, del
decreto legislativo 30 giugno 2003, n. 196;
Udito il parere del Consiglio di Stato, adottato dalla Sezione
consultiva per gli atti normativi nell'adunanza dell'11 novembre
2012;
Vista la comunicazione effettuata alla Presidenza del Consiglio dei
Ministri - Dipartimento per gli affari giuridici e legislativi, a
norma dell'articolo 17, comma 3, della legge 23 agosto 1988, n. 400,
con nota, n. 16113 del 9 novembre 2012, dell'Ufficio legislativo
Economia e «il nulla osta all'ulteriore corso del provvedimento»
rilasciato dalla Presidenza del Consiglio dei Ministri, con foglio
del 29 novembre 2012 n. 10977;
Adotta
il seguente regolamento:
Art. 1
Integrazione al decreto ministeriale 29 novembre 2007, n. 255
1. Il presente regolamento, con l'allegata scheda, che ne
costituisce parte integrante, individua i tipi di dati e di
operazioni che il Ministero dell'economia e delle finanze e'
autorizzato, rispettivamente, a trattare e ad effettuare, in
applicazione della normativa sul funzionamento del Registro dei
revisori legali e del relativo Registro del tirocinio, istituiti con
il decreto legislativo 27 gennaio 2010, n. 39.
2. La scheda indicata nel primo comma, contrassegnata come Scheda
18-bis, e' inserita nell'Allegato n. 1 al decreto del Ministro
dell'economia e delle finanze 29 novembre 2007, n. 255, dopo la
scheda n. 18.
Il presente decreto, munito del sigillo dello Stato, sara' inserito
nella Raccolta ufficiale degli atti normativi della Repubblica
italiana. E' fatto obbligo a chiunque spetti di osservarlo e di farlo
osservare.
Roma, 28 dicembre 2012
Il Ministro: Grilli
Visto, il Guardasigilli: Severino
Registrato alla Corte dei conti il 4 febbraio 2013
Ufficio di controllo sugli atti del Ministero dell'economia e delle
finanze, registro n. 1 Economia e finanze, foglio n. 293
Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art. 10, comma 3, del testo unico delle disposizioni
sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle
pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo
fine di facilitare la lettura delle disposizioni di legge
alle quali e' operato il rinvio. Restano invariati il
valore e l'efficacia degli atti legislativi qui trascritti.
Note alle premesse:
- Si riporta il testo dei commi 3 e 4 dell'art. 17
della legge 23 agosto 1988, n. 400 (Disciplina
dell'attivita' di Governo e ordinamento della Presidenza
del Consiglio dei Ministri):
«3. Con decreto ministeriale possono essere adottati
regolamenti nelle materie di competenza del Ministro o di
autorita' sottordinate al Ministro, quando la legge
espressamente conferisca tale potere. Tali regolamenti, per
materie di competenza di piu' Ministri, possono essere
adottati con decreti interministeriali, ferma restando la
necessita' di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono
dettare norme contrarie a quelle dei regolamenti emanati
dal Governo. Essi debbono essere comunicati al Presidente
del Consiglio dei Ministri prima della loro emanazione.
4. I regolamenti di cui al comma 1 ed i regolamenti
ministeriali ed interministeriali, che devono recare la
denominazione di "regolamento", sono adottati previo parere
del Consiglio di Stato, sottoposti al visto ed alla
registrazione della Corte dei conti e pubblicati nella
Gazzetta Ufficiale.».
- Si riporta il testo dei commi 2 e 3 dell'art. 20 del
decreto legislativo 30 giugno 2003, n. 196 (Codice in
materia di protezione dei dati personali):
«2. Nei casi in cui una disposizione di legge specifica
la finalita' di rilevante interesse pubblico, ma non i tipi
di dati sensibili e di operazioni eseguibili, il
trattamento e' consentito solo in riferimento ai tipi di
dati e di operazioni identificati e resi pubblici a cura
dei soggetti che ne effettuano il trattamento, in relazione
alle specifiche finalita' perseguite nei singoli casi e nel
rispetto dei principi di cui all'art. 22, con atto di
natura regolamentare adottato in conformita' al parere
espresso dal Garante ai sensi dell'art. 154, comma 1,
lettera g), anche su schemi tipo.
3. Se il trattamento non e' previsto espressamente da
una disposizione di legge i soggetti pubblici possono
richiedere al Garante l'individuazione delle attivita', tra
quelle demandate ai medesimi soggetti dalla legge, che
perseguono finalita' di rilevante interesse pubblico e per
le quali e' conseguentemente autorizzato, ai sensi
dell'art. 26, comma 2, il trattamento dei dati sensibili.
Il trattamento e' consentito solo se il soggetto pubblico
provvede altresi' a identificare e rendere pubblici i tipi
di dati e di operazioni nei modi di cui al comma 2.».
- Si riporta il testo dell'art. 21, comma 2, del citato
decreto legislativo 30 giugno 2003, n. 196:
«2. Le disposizioni di cui all'art. 20, commi 2 e 4, si
applicano anche al trattamento dei dati giudiziari.».
- Si riporta il testo dell'art. 21 del decreto
legislativo 27 gennaio 2010, n. 39 (Attuazione della
direttiva 2006/43/CE, relativa alle revisioni legali dei
conti annuali e dei conti consolidati, che modifica le
direttive 78/660/CEE e 83/349/CEE, e che abroga la
direttiva 84/253/CEE), pubblicato nella Gazzetta Ufficiale
23 marzo 2010, n. 68, supplemento ordinario:
«Art. 21 (Competenze e poteri del Ministero
dell'economia e delle finanze) (In vigore dal 7 aprile
2010). - 1. Il Ministero dell'economia e delle finanze
provvede al controllo della qualita' sui revisori legali e
le societa' di revisione legale che non hanno incarichi di
revisione legale su enti di interesse pubblico, nonche' in
merito a:
a) l'abilitazione, ivi compreso lo svolgimento del
tirocinio, e l'iscrizione nel Registro dei revisori legali
e delle societa' di revisione legale;
b) la tenuta del Registro e del registro del tirocinio;
c) la formazione continua;
d) il rispetto delle disposizioni del presente decreto
legislativo da parte dei revisori legali e delle societa'
di revisione legale che non hanno incarichi di revisione
legale su enti di interesse pubblico.
2. Il Ministero dell'economia e delle finanze puo'
avvalersi su base convenzionale di enti pubblici o privati
per lo svolgimento dei compiti, anche di indagine e
accertamento, connessi all'abilitazione dei revisori legali
e delle societa' di revisione legale, alla tenuta del
Registro e del registro del tirocinio, allo svolgimento
della formazione continua e al controllo della qualita'.
3. Gli enti di cui al comma 2 svolgono i compiti in
conformita' alle disposizioni del presente decreto
legislativo, dei suoi regolamenti di attuazione, e di una
convenzione stipulata con il Ministero dell'economia e
delle finanze.
4. Gli enti di cui al comma 2 si dotano di procedure
idonee a prevenire, rilevare e gestire conflitti di
interesse o altre circostanze che, nello svolgimento dei
compiti delegati, possono compromettere l'indipendenza
rispetto agli iscritti nel Registro o nel registro del
tirocinio.
5. Il Ministero dell'economia e delle finanze vigila
sul corretto e indipendente svolgimento dei compiti
delegati da parte degli enti di cui al comma 2, puo'
indirizzare loro raccomandazioni e puo', in ogni momento,
recedere senza oneri dalle convenzioni di cui al comma 3,
avocando i compiti delegati.
6. Nell'esercizio della vigilanza di cui ai commi 1 e
5, il Ministero dell'economia e delle finanze puo':
a) richiedere la comunicazione, anche periodica, di
dati e notizie e la trasmissione di atti e documenti, con
le modalita' e nei termini dalla stessa stabiliti;
b) eseguire ispezioni e assumere notizie e chiarimenti,
anche mediante audizione, dai revisori legali e dai soci,
dagli amministratori, dai membri degli organi di controllo
e dai dirigenti della societa' di revisione legale;
c) richiedere notizie, dati o documenti sotto qualsiasi
forma stabilendo il termine per la relativa comunicazione e
procedere ad audizione personale, nei confronti di chiunque
possa essere informato dei fatti.
7. Lo svolgimento delle funzioni attribuite al
Ministero dell'economia e delle finanze e al Ministero
della giustizia dal presente decreto e' finanziato dai
contributi degli iscritti nel Registro. Gli iscritti nel
Registro sono tenuti al versamento dei contributi entro il
31 gennaio di ciascun anno. In caso di omesso o ritardato
pagamento dei contributi, il Ministero dell'economia e
delle finanze puo' adottare i provvedimenti di cui all'art.
24.
8. Con decreto del Ministro dell'economia e delle
finanze, di concerto con il Ministro della giustizia, sono
definiti annualmente l'entita' dei contributi, commisurati
al mero costo del servizio reso, nonche' la ripartizione
degli stessi tra i due Ministeri. Per le funzioni il cui
costo varia in relazione alla complessita' dell'attivita'
svolta dall'iscritto nel Registro, il contributo e'
commisurato all'ammontare dei ricavi e dei corrispettivi
realizzati dagli iscritti e in misura tale da garantire
l'integrale copertura del costo del servizio.
9. Entro il 30 aprile di ciascun anno il Ministero
dell'economia e delle finanze pubblica sul proprio sito
internet una relazione sull'attivita' svolta. Nella
relazione sono illustrati, tra l'altro, i risultati
complessivi dei controlli della qualita'.».
- Il decreto del Ministero dell'economia e delle
finanze 29 novembre 2007, n. 255 (Regolamento di attuazione
degli articoli 20, 21 e 181 del decreto legislativo 30
giugno 2003, n. 196, recante «Codice in materia di
protezione dei dati personali») e' pubblicato nella
Gazzetta Ufficiale 9 gennaio 2008, n. 7, supplemento
ordinario.
- Si riporta il testo dell'art. 22 del citato decreto
legislativo 30 giugno 2003, n. 196:
«Art. 22 (Principi applicabili al trattamento di dati
sensibili e giudiziari) (In vigore dal 1° gennaio 2004). -
1. I soggetti pubblici conformano il trattamento dei dati
sensibili e giudiziari secondo modalita' volte a prevenire
violazioni dei diritti, delle liberta' fondamentali e della
dignita' dell'interessato.
2. Nel fornire l'informativa di cui all'art. 13 i
soggetti pubblici fanno espresso riferimento alla normativa
che prevede gli obblighi o i compiti in base alla quale e'
effettuato il trattamento dei dati sensibili e giudiziari.
3. I soggetti pubblici possono trattare solo i dati
sensibili e giudiziari indispensabili per svolgere
attivita' istituzionali che non possono essere adempiute,
caso per caso, mediante il trattamento di dati anonimi o di
dati personali di natura diversa.
4. I dati sensibili e giudiziari sono raccolti, di
regola, presso l'interessato.
5. In applicazione dell'art. 11, comma 1, lettere c),
d) ed e), i soggetti pubblici verificano periodicamente
l'esattezza e l'aggiornamento dei dati sensibili e
giudiziari, nonche' la loro pertinenza, completezza, non
eccedenza e indispensabilita' rispetto alle finalita'
perseguite nei singoli casi, anche con riferimento ai dati
che l'interessato fornisce di propria iniziativa. Al fine
di assicurare che i dati sensibili e giudiziari siano
indispensabili rispetto agli obblighi e ai compiti loro
attribuiti, i soggetti pubblici valutano specificamente il
rapporto tra i dati e gli adempimenti. I dati che, anche a
seguito delle verifiche, risultano eccedenti o non
pertinenti o non indispensabili non possono essere
utilizzati, salvo che per l'eventuale conservazione, a
norma di legge, dell'atto o del documento che li contiene.
Specifica attenzione e' prestata per la verifica
dell'indispensabilita' dei dati sensibili e giudiziari
riferiti a soggetti diversi da quelli cui si riferiscono
direttamente le prestazioni o gli adempimenti.
6. I dati sensibili e giudiziari contenuti in elenchi,
registri o banche di dati, tenuti con l'ausilio di
strumenti elettronici, sono trattati con tecniche di
cifratura o mediante l'utilizzazione di codici
identificativi o di altre soluzioni che, considerato il
numero e la natura dei dati trattati, li rendono
temporaneamente inintelligibili anche a chi e' autorizzato
ad accedervi e permettono di identificare gli interessati
solo in caso di necessita'.
7. I dati idonei a rivelare lo stato di salute e la
vita sessuale sono conservati separatamente da altri dati
personali trattati per finalita' che non richiedono il loro
utilizzo. I medesimi dati sono trattati con le modalita' di
cui al comma 6 anche quando sono tenuti in elenchi,
registri o banche di dati senza l'ausilio di strumenti
elettronici.
8. I dati idonei a rivelare lo stato di salute non
possono essere diffusi.
9. Rispetto ai dati sensibili e giudiziari
indispensabili ai sensi del comma 3, i soggetti pubblici
sono autorizzati ad effettuare unicamente le operazioni di
trattamento indispensabili per il perseguimento delle
finalita' per le quali il trattamento e' consentito, anche
quando i dati sono raccolti nello svolgimento di compiti di
vigilanza, di controllo o ispettivi.
10. I dati sensibili e giudiziari non possono essere
trattati nell'ambito di test psico-attitudinali volti a
definire il profilo o la personalita' dell'interessato. Le
operazioni di raffronto tra dati sensibili e giudiziari,
nonche' i trattamenti di dati sensibili e giudiziari ai
sensi dell'art. 14, sono effettuati solo previa annotazione
scritta dei motivi.
11. In ogni caso, le operazioni e i trattamenti di cui
al comma 10, se effettuati utilizzando banche di dati di
diversi titolari, nonche' la diffusione dei dati sensibili
e giudiziari, sono ammessi solo se previsti da espressa
disposizione di legge.
12. Le disposizioni di cui al presente articolo recano
principi applicabili, in conformita' ai rispettivi
ordinamenti, ai trattamenti disciplinati dalla Presidenza
della Repubblica, dalla Camera dei deputati, dal Senato
della Repubblica e dalla Corte costituzionale.».
- Si riporta il testo dell'art. 154 del citato decreto
legislativo 30 giugno 2003, n. 196:
«Art. 154 (Compiti)(In vigore dal 3 luglio 2008). - 1.
Oltre a quanto previsto da specifiche disposizioni, il
Garante, anche avvalendosi dell'Ufficio e in conformita' al
presente codice, ha il compito di:
a) controllare se i trattamenti sono effettuati nel
rispetto della disciplina applicabile e in conformita' alla
notificazione, anche in caso di loro cessazione e con
riferimento alla conservazione dei dati di traffico;
b) esaminare i reclami e le segnalazioni e provvedere
sui ricorsi presentati dagli interessati o dalle
associazioni che li rappresentano;
c) prescrivere anche d'ufficio ai titolari del
trattamento le misure necessarie o opportune al fine di
rendere il trattamento conforme alle disposizioni vigenti,
ai sensi dell'art. 143;
d) vietare anche d'ufficio, in tutto o in parte, il
trattamento illecito o non corretto dei dati o disporne il
blocco ai sensi dell'art. 143, e di adottare gli altri
provvedimenti previsti dalla disciplina applicabile al
trattamento dei dati personali;
e) promuovere la sottoscrizione di codici ai sensi
dell'art. 12 e dell'art. 139;
f) segnalare al Parlamento e al Governo l'opportunita'
di interventi normativi richiesti dalla necessita' di
tutelare i diritti di cui all'art. 2 anche a seguito
dell'evoluzione del settore;
g) esprimere pareri nei casi previsti;
h) curare la conoscenza tra il pubblico della
disciplina rilevante in materia di trattamento dei dati
personali e delle relative finalita', nonche' delle misure
di sicurezza dei dati;
i) denunciare i fatti configurabili come reati
perseguibili d'ufficio, dei quali viene a conoscenza
nell'esercizio o a causa delle funzioni;
l) tenere il registro dei trattamenti formato sulla
base delle notificazioni di cui all'art. 37;
m) predisporre annualmente una relazione sull'attivita'
svolta e sullo stato di attuazione del presente codice, che
e' trasmessa al Parlamento e al Governo entro il 30 aprile
dell'anno successivo a quello cui si riferisce.
2. Il Garante svolge altresi', ai sensi del comma 1, la
funzione di controllo o assistenza in materia di
trattamento dei dati personali prevista da leggi di
ratifica di accordi o convenzioni internazionali o da
regolamenti comunitari e, in particolare:
a) dalla legge 30 settembre 1993, n. 388, e successive
modificazioni, di ratifica ed esecuzione dei protocolli e
degli accordi di adesione all'accordo di Schengen e alla
relativa convenzione di applicazione;
b) dalla legge 23 marzo 1998, n. 93, e successive
modificazioni, di ratifica ed esecuzione della convenzione
istitutiva dell'Ufficio europeo di polizia (Europol);
c) dal regolamento (CE) n. 515/97 del Consiglio, del 13
marzo 1997, e dalla legge 30 luglio 1998, n. 291, e
successive modificazioni, di ratifica ed esecuzione della
convenzione sull'uso dell'informatica nel settore doganale;
d) dal regolamento (CE) n. 2725/2000 del Consiglio,
dell'11 dicembre 2000, che istituisce l'"Eurodac" per il
confronto delle impronte digitali e per l'efficace
applicazione della convenzione di Dublino;
e) nel capitolo IV della convenzione n. 108 sulla
protezione delle persone rispetto al trattamento
automatizzato di dati di carattere personale, adottata a
Strasburgo il 28 gennaio 1981 e resa esecutiva con legge 21
febbraio 1989, n. 98, quale autorita' designata ai fini
della cooperazione tra Stati ai sensi dell'art. 13 della
convenzione medesima.
3. Il Garante coopera con altre autorita'
amministrative indipendenti nello svolgimento dei
rispettivi compiti. A tale fine, il Garante puo' anche
invitare rappresentanti di un'altra autorita' a partecipare
alle proprie riunioni, o essere invitato alle riunioni di
altra autorita', prendendo parte alla discussione di
argomenti di comune interesse; puo' richiedere, altresi',
la collaborazione di personale specializzato addetto ad
altra autorita'.
4. Il Presidente del Consiglio dei Ministri e ciascun
Ministro consultano il Garante all'atto della
predisposizione delle norme regolamentari e degli atti
amministrativi suscettibili di incidere sulle materie
disciplinate dal presente codice.
5. Fatti salvi i termini piu' brevi previsti per legge,
il parere del Garante e' reso nei casi previsti nel termine
di quarantacinque giorni dal ricevimento della richiesta.
Decorso il termine, l'amministrazione puo' procedere
indipendentemente dall'acquisizione del parere. Quando, per
esigenze istruttorie, non puo' essere rispettato il termine
di cui al presente comma, tale termine puo' essere
interrotto per una sola volta e il parere deve essere reso
definitivamente entro venti giorni dal ricevimento degli
elementi istruttori da parte delle amministrazioni
interessate.
6. Copia dei provvedimenti emessi dall'autorita'
giudiziaria in relazione a quanto previsto dal presente
codice o in materia di criminalita' informatica e'
trasmessa, a cura della cancelleria, al Garante.».
Note all'art. 1:
- Per i riferimenti al decreto legislativo n. 39 del
2010, si veda nelle note alle premesse.
- Per il riferimento al citato decreto del Ministero
dell'economia e delle finanze 29 novembre 2007, n. 255, si
veda nelle note alle premesse.