LA BANCA D'ITALIA
Visto il decreto legislativo 30 giugno 2003, n. 196;
Visti in particolare gli articoli 20, comma 2, e 21, comma 2, del
decreto legislativo 30 giugno 2003, n. 196, che stabiliscono che nei
casi in cui una disposizione di legge specifichi la finalita' di
rilevante interesse pubblico, ma non i tipi di dati sensibili e
giudiziari trattabili ed i tipi di operazioni su questi eseguibili,
il trattamento e' consentito solo in riferimento a quei tipi di dati
e di operazioni da questi identificati e resi pubblici a cura dei
soggetti che ne effettuano il trattamento, in relazione alle
specifiche finalita' perseguite nei singoli casi;
Considerato che, ai sensi del medesimo art. 20, comma 2, del
decreto legislativo 30 giugno 2003, n. 196, detta identificazione
deve avvenire con atto di natura regolamentare adottato in
conformita' al parere espresso dal Garante per la protezione dei dati
personali (di seguito Garante), ai sensi dell'art. 154, comma 1,
lettera g);
Visto il provvedimento generale del Garante del 30 giugno 2005
(pubblicato nella Gazzetta Ufficiale n. 170 del 23 luglio 2005);
Viste le restanti disposizioni del decreto legislativo 30 giugno
2003, n. 196;
Visto l'art. 6 del decreto legislativo 21 novembre 2007, n. 231,
che ha istituito presso la Banca d'Italia (di seguito Banca) l'Unita'
di Informazione Finanziaria (di seguito UIF) alla quale sono affidati
compiti di prevenzione e contrasto dei fenomeni di riciclaggio di
denaro e di finanziamento del terrorismo;
Considerato che, in base al Regolamento per l'organizzazione e il
funzionamento della UIF, adottato dalla Banca ai sensi del suddetto
art. 6, per il perseguimento dei propri fini istituzionali la UIF si
avvale di risorse umane e tecniche, di mezzi finanziari e di beni
strumentali della Banca;
Ritenuto di individuare i tipi di dati e le operazioni eseguibili
in relazione ai trattamenti che questa Banca d'Italia e la UIF devono
necessariamente svolgere per perseguire le finalita' di rilevante
interesse pubblico individuate dalla legge;
Ritenuto in particolare di individuare analiticamente nelle tabelle
allegate le operazioni che possono spiegare effetti maggiormente
significativi per l'interessato, con particolare riguardo alle
operazioni di comunicazione a terzi nonche' di trasferimento di dati
giudiziari all'estero ai sensi dell'art. 43 del decreto legislativo
30 giugno 2003, n. 196;
Ritenuto, altresi', di indicare sinteticamente anche le operazioni
ordinarie che devono essere necessariamente svolte per perseguire le
finalita' di rilevante interesse pubblico individuate dalla legge
(operazioni di raccolta, registrazione, organizzazione,
conservazione, consultazione, elaborazione, modificazione, selezione,
estrazione, utilizzo, blocco, cancellazione e distruzione);
Considerato che il trattamento dei dati giudiziari contenuti nella
Centrale d'Allarme Interbancaria e' gia' compiutamente disciplinato
dalla legge istitutiva di tale archivio e dalla relativa disciplina
di attuazione (art. 10-bis legge 15 dicembre 1990, n. 386; decreto
ministeriale 7 novembre 2001, n. 458; Regolamento Banca d'Italia 29
gennaio 2002);
Considerato che risulta altresi' gia' compiutamente disciplinato
dall'autorizzazione generale del Garante n. 7/2014 il trattamento dei
dati giudiziari necessario per la verifica del requisito di idoneita'
morale di coloro che partecipano a gare di appalto o entrano in
rapporti contrattuali con la Banca;
Considerato inoltre che e' compiutamente disciplinato
dall'autorizzazione del Garante n. 357 del 18 giugno 2015 il
trattamento dei dati giudiziari dei soggetti esterni (dipendenti di
ditte appaltatrici di servizi e/o lavori, manutentori, consulenti,
altri soggetti autorizzati a titolo continuativo) che accedono, in
ragione della loro attivita' lavorativa, ad ambienti della Banca
classificati come «sensibili» sotto il profilo della sicurezza;
Tenuto conto pertanto, che dei predetti trattamenti (in quanto
autorizzati da espressa disposizione di legge o provvedimento del
Garante ai sensi dell'art. 21, comma 1, decreto legislativo n.
196/2003) non e' necessaria l'identificazione nel regolamento di cui
agli articoli 20, comma 2, e 21, comma 2, decreto legislativo n.
196/2003;
Considerato che il trattamento di dati sensibili e giudiziari da
parte della Banca d'Italia e della UIF avviene nel rispetto dei
principi e delle garanzie previsti dall'art. 22 del decreto
legislativo 30 giugno 2003, n. 196;
Visto il parere espresso in data 10 settembre 2015 dal Garante;
Adotta il seguente regolamento per il trattamento dei dati sensibili
e giudiziari, di cui le schede allegate costituiscono parte
integrante.
1. Oggetto del regolamento
Il presente regolamento identifica, in attuazione degli articoli
20, comma 2, e 21, comma 2, del decreto legislativo 30 giugno 2003,
n. 196, le tipologie di dati sensibili e giudiziari e le operazioni
eseguibili da parte della Banca e della UIF per perseguire finalita'
di rilevante interesse pubblico individuate da espresse disposizioni
di legge.
2. Individuazione dei tipi di dati e di operazioni eseguibili
In attuazione delle disposizioni di cui agli articoli 20, comma 2,
e 21, comma 2, del decreto legislativo 30 giugno 2003, n. 196, le
schede allegate identificano i tipi di dati sensibili e giudiziari e
le operazioni eseguibili in riferimento alle specifiche finalita' di
rilevante interesse pubblico perseguite nei singoli casi.
3. Abrogazioni
Il Regolamento della Banca d'Italia del 22 marzo 2011 recante
l'individuazione dei dati sensibili e giudiziari e delle operazioni
eseguibili, e' abrogato.
Roma, 6 novembre 2015
Il Governatore: Visco