IL MINISTRO DELLA PUBBLICA ISTRUZIONE

    Visto  il  decreto  legislativo  30 giugno  2003, n. 196, recante
«Codice in materia di protezione dei dati personali»;
    Visti in particolare gli articoli 20, comma 2, e 21, comma 2, del
citato decreto legislativo 30 giugno 2003, n. 196, i quali dispongono
che,  nel  caso  in  cui  una  disposizione  di  legge  specifichi la
finalita'  di  rilevante  interesse  pubblico,  ma non i tipi di dati
sensibili  e  giudiziari trattabili ed i tipi di operazioni su questi
eseguibili,  il  trattamento e' consentito solo in riferimento a quei
tipi  di dati e di operazioni identificati e resi pubblici a cura dei
soggetti   che  ne  effettuano  il  trattamento,  in  relazione  alle
specifiche finalita' perseguite nei singoli casi;
    Visto  in  particolare l'articolo 20, comma 2, del citato decreto
legislativo  30 giugno  2003,  n.  196, in cui e' stabilito che detta
identificazione  deve  avvenire  con  atto  di  natura  regolamentare
adottato  in  conformita'  al  parere  espresso dal Garante, ai sensi
dell'articolo 154,   comma 1,   lettera g)   del   medesimo   decreto
legislativo;
    Considerato    che    possono   spiegare   effetti   maggiormente
significativi per l'interessato le operazioni svolte, in particolare,
pressoche'  interamente mediante siti web o volte a definire in forma
completamente automatizzata profili o personalita' di interessati, le
interconnessioni  e  i  raffronti,  di  cui  all'articolo 4, comma 1,
lettera a) del citato decreto legislativo 30 giugno 2003, n. 196, tra
banche   di  dati  gestite  da  diversi  titolari  oppure  con  altre
informazioni  sensibili  e giudiziarie detenute dal medesimo titolare
del trattamento, nonche' la comunicazione dei dati a terzi;
    Ritenuto  di  individuare analiticamente nelle schede allegate al
presente  regolamento,  con  riferimento alle predette operazioni che
possono    spiegare    effetti    maggiormente    significativi   per
l'interessato,  quelle  effettuate  da  questa amministrazione, dalle
istituzioni  scolastiche  e  educative  e dagli istituti regionali di
ricerca educativa, in particolare le operazioni di interconnessione e
di  raffronto  tra banche di dati gestite da diversi titolari, oppure
con  altre informazioni sensibili e giudiziarie detenute dal medesimo
titolare del trattamento, nonche' di comunicazione a terzi;
    Ritenuto,   altresi',   di   indicare   sinteticamente  anche  le
operazioni  ordinarie  che  i  diversi titolari indicati nel presente
regolamento   devono   necessariamente  svolgere  per  perseguire  le
finalita'  di  rilevante  interesse  pubblico  individuate  per legge
(operazioni     di     raccolta,    registrazione,    organizzazione,
conservazione, consultazione, elaborazione, modificazione, selezione,
estrazione, utilizzo, blocco, cancellazione e distruzione);
    Considerato  che  per  quanto concerne tutti i trattamenti di cui
sopra  e'  stato verificato il rispetto dei principi e delle garanzie
previste  dall'articolo 22  del  citato decreto legislativo 30 giugno
2003,  n.  196,  con  particolare  riferimento  alla  pertinenza, non
eccedenza   e   indispensablita'  dei  dati  sensibili  e  giudiziari
utilizzati  rispetto alle finalita' perseguite, all'indispensabilita'
delle  predette  operazioni  per  il perseguimento delle finalita' di
rilevante   interesse   pubblico   individuate   per  legge,  nonche'
all'esistenza  di fonti normative idonee a rendere lecite le medesime
operazioni o, ove richiesta, all'indicazione scritta dei motivi;
    Visto  il provvedimento generale del Garante della protezione dei
dati  personali  del 30 giugno 2005 (pubblicato in Gazzetta Ufficiale
n. 170 del 23 luglio 2005);
    Visto  l'articolo 17, commi 3 e 4, della legge 23 agosto 1988, n.
400;
    Visto  il decreto del Presidente della Repubblica 11 agosto 2003,
n.  319  relativo al regolamento dell'organizzazione e delle funzioni
degli  uffici  di  livello dirigenziale generale dell'amministrazione
centrale e periferica del Ministero dell'istruzione, dell'universita'
e della ricerca;
    Vista  la  direttiva del Ministro della funzione pubblica in data
11 febbraio  2005,  riguardante le «Misure finalizzate all'attuazione
nelle  pubbliche  amministrazioni  delle  disposizioni  contenute nel
decreto legislativo 30 giugno 2003, n. 196»;
    Ravvisata   la   necessita'  di  provvedere  ad  identificare  le
tipologie   di  dati  sensibili  e  giudiziari  trattati  nell'ambito
dell'amministrazione   dell'istruzione,   le   finalita'  d'interesse
pubblico  perseguite  attraverso  il  trattamento  dei  citati  dati,
nonche' le operazioni eseguite con gli stessi;
    Sentito  il  Garante  per la protezione dei dati personali di cui
all'articolo 154,  comma 1, lettera g) del citato decreto legislativo
30 giugno 2003, n 196;
    Udito  il  parere  del  Consiglio di Stato espresso dalla Sezione
consultiva per gli atti normativi nell'adunanza del 6 novembre 2006;
    Vista  la  comunicazione al Presidente del Consiglio dei Ministri
effettuata,  a norma dell'articolo 17, comma 3, della citata legge n.
400 del 1988, con nota del 21 novembre 2006;

                             A d o t t a

                      il seguente regolamento:
                               Art. 1.

                       Oggetto del regolamento

    1.  Il  presente  regolamento,  in  attuazione degli articoli 20,
comma 2,  e  21,  comma 2, del decreto legislativo 30 giugno 2003, n.
196, recante «Codice in materia di protezione dei dati personali», di
seguito denominato «codice», identifica nelle schede allegate, che ne
formano parte integrante, le tipologie di dati sensibili e giudiziari
e   di   operazioni   indispensabili  per  la  gestione  del  sistema
dell'istruzione,  nel  perseguimento  delle  finalita'  di  rilevante
interesse   pubblico   individuate  dal  codice  e  dalle  specifiche
previsioni di legge.
 
                                  Avvertenza:

              Il  testo  delle  note  qui pubblicate e' stato redatto
          dall'amministrazione   competente  per  materia,  ai  sensi
          dell'art.  10,  comma 3, del testo unico delle disposizioni
          sulla   promulgazione   delle  leggi,  sull'emanazione  dei
          decreti   del   Presidente   della   Repubblica   e   sulle
          pubblicazioni   ufficiali,   della   Repubblica   italiana,
          approvato  con  D.P.R.  28  dicembre 1985, n. 1092, al solo
          fine  di  facilitare la lettura delle disposizioni di legge
          alle  quali  e'  operato  il  rinvio.  Restano invariati il
          valore e l'efficacia degli atti legislativi qui trascritti.

          Note al preambolo:

              - Si riporta il testo dell'art. 4, comma 1, lettera a),
          dell'art.  20, comma 2, dell'art. 21, comma 2, dell'art. 22
          e   dell'art.   154,   comma 1,   lettera g)   del  decreto
          legislativo 30 giugno 2003, n. 196:
              «Art. 4 (Definizioni). - 1. Ai fini del presente codice
          si intende per:
                a) «trattamento», qualunque operazione o complesso di
          operazioni,  effettuati  anche senza l'ausilio di strumenti
          elettronici,  concernenti  la  raccolta,  la registrazione,
          l'organizzazione,   la   conservazione,  la  consultazione,
          l'elaborazione,    la    modificazione,    la    selezione,
          l'estrazione, il raffronto, l'utilizzo, l'interconnessione,
          il    blocco,   la   comunicazione,   la   diffusione,   la
          cancellazione  e  la  distruzione  di  dati,  anche  se non
          registrati in una banca di dati;».
              «Art.  20  (Principi applicabili al trattamento di dati
          sensibili). - 1.  (Omissis ...).
              2.  Nei casi in cui una disposizione di legge specifica
          la finalita' di rilevante interesse pubblico, ma non i tipi
          di   dati   sensibili   e   di  operazioni  eseguibili,  il
          trattamento  e'  consentito  solo in riferimento ai tipi di
          dati  e  di  operazioni identificati e resi pubblici a cura
          dei soggetti che ne effettuano il trattamento, in relazione
          alle specifiche finalita' perseguite nei singoli casi e nel
          rispetto  dei  principi  di  cui  all'art.  22, con atto di
          natura  regolamentare  adottato  in  conformita'  al parere
          espresso  dal  Garante  ai  sensi  dell'art.  154, comma 1,
          lettera g), anche su schemi tipo.».
              «Art.  21  (Principi applicabili al trattamento di dati
          giudiziari). - 1. (Omissis ...).
              2.  Le disposizioni di cui all'art. 20, commi 2 e 4, si
          applicano anche al trattamento dei dati giudiziari.».
              «Art.  22  (Principi applicabili al trattamento di dati
          sensibili   e   giudiziari).   -  1.  I  soggetti  pubblici
          conformano  il  trattamento dei dati sensibili e giudiziari
          secondo modalita' volte a prevenire violazioni dei diritti,
          delle    liberta'    fondamentali    e    della    dignita'
          dell'interessato.
              2.  Nel  fornire  l'informativa  di  cui  all'art. 13 i
          soggetti pubblici fanno espresso riferimento alla normativa
          che  prevede gli obblighi o i compiti in base alla quale e'
          effettuato il trattamento dei dati sensibili e giudiziari.
              3.  I  soggetti  pubblici  possono trattare solo i dati
          sensibili   e   giudiziari   indispensabili   per  svolgere
          attivita'  istituzionali  che non possono essere adempiute,
          caso per caso, mediante il trattamento di dati anonimi o di
          dati personali di natura diversa.
              4.  I  dati  sensibili  e  giudiziari sono raccolti, di
          regola, presso l'interessato.
              5.    In    applicazione    dell'art.    11,   comma 1,
          lettere c), d)   ed e),   i  soggetti  pubblici  verificano
          periodicamente   l'esattezza  e  l'aggiornamento  dei  dati
          sensibili   e   giudiziari,  nonche'  la  loro  pertinenza,
          completezza,  non  eccedenza  e  indispensabilita' rispetto
          alle  finalita'  perseguite  nei  singoli  casi,  anche con
          riferimento  ai  dati che l'interessato fornisce di propria
          iniziativa.  Al  fine  di assicurare che i dati sensibili e
          giudiziari siano indispensabili rispetto agli obblighi e ai
          compiti  loro  attribuiti,  i  soggetti  pubblici  valutano
          specificamente  il rapporto tra i dati e gli adempimenti. I
          dati  che,  anche  a  seguito  delle  verifiche,  risultano
          eccedenti o non pertinenti o non indispensabili non possono
          essere utilizzati, salvo che per l'eventuale conservazione,
          a  norma  di  legge,  dell'atto  o  del  documento  che  li
          contiene.  Specifica attenzione e' prestata per la verifica
          dell'indispensabilita'  dei  dati  sensibili  e  giudiziari
          riferiti  a  soggetti  diversi da quelli cui si riferiscono
          direttamente le prestazioni o gli adempimenti.
              6.  I dati sensibili e giudiziari contenuti in elenchi,
          registri   o  banche  di  dati,  tenuti  con  l'ausilio  di
          strumenti   elettronici,  sono  trattati  con  tecniche  di
          cifratura    o    mediante    l'utilizzazione   di   codici
          identificativi  o  di  altre  soluzioni che, considerato il
          numero   e   la   natura  dei  dati  trattati,  li  rendono
          temporaneamente  inintelligibili anche a chi e' autorizzato
          ad  accedervi  e permettono di identificare gli interessati
          solo in caso di necessita'.
              7.  I  dati  idonei  a rivelare lo stato di salute e la
          vita  sessuale  sono conservati separatamente da altri dati
          personali trattati per finalita' che non richiedono il loro
          utilizzo. I medesimi dati sono trattati con le modalita' di
          cui  al  comma 6  anche  quando  sono  tenuti  in  elenchi,
          registri  o  banche  di  dati  senza l'ausilio di strumenti
          elettronici.
              8.  I  dati  idonei  a  rivelare lo stato di salute non
          possono essere diffusi.
              9.    Rispetto   ai   dati   sensibili   e   giudiziari
          indispensabili  ai  sensi  del comma 3, i soggetti pubblici
          sono  autorizzati ad effettuare unicamente le operazioni di
          trattamento   indispensabili  per  il  perseguimento  delle
          finalita'  per le quali il trattamento e' consentito, anche
          quando i dati sono raccolti nello svolgimento di compiti di
          vigilanza, di controllo o ispettivi.
              10.  I  dati  sensibili e giudiziari non possono essere
          trattati  nell'ambito  di  test  psicoattitudinali  volti a
          definire  il profilo o la personalita' dell'interessato. Le
          operazioni  di  raffronto  tra dati sensibili e giudiziari,
          nonche'  i  trattamenti  di  dati sensibili e giudiziari ai
          sensi dell'art. 14, sono effettuati solo previa annotazione
          scritta dei motivi.
              11.  In ogni caso, le operazioni e i trattamenti di cui
          al  comma 10,  se  effettuati utilizzando banche di dati di
          diversi  titolari, nonche' la diffusione dei dati sensibili
          e  giudiziari,  sono  ammessi  solo se previsti da espressa
          disposizione di legge.
              12.  Le disposizioni di cui al presente articolo recano
          principi   applicabili,   in   conformita'   ai  rispettivi
          ordinamenti,  ai  trattamenti disciplinati dalla Presidenza
          della  Repubblica,  dalla  Camera  dei deputati, dal Senato
          della Repubblica e dalla Corte costituzionale.».
              «Art.  154  (Compiti).  - 1. Oltre a quanto previsto da
          specifiche  disposizioni,  il  Garante,  anche  avvalendosi
          dell'Ufficio  e  in  conformita'  al presente codice, ha il
          compito di:
                a)-f) (omissis ...);
                g) esprimere pareri nei casi previsti;».
              - Il   provvedimento   generale   del   Garante   della
          protezione  dei  dati  personali  del  30 giugno 2005 reca:
          «Trattamento    dei    dati    sensibili   nella   pubblica
          amministrazione.».
              - Si  riporta il testo dell'art. 17, commi 3 e 4, della
          legge 23 agosto 1988, n. 400:
              «3.  Con  decreto  ministeriale possono essere adottati
          regolamenti  nelle  materie di competenza del Ministro o di
          Autorita'   sottordinate   al  Ministro,  quando  la  legge
          espressamente conferisca tale potere. Tali regolamenti, per
          materie  di  competenza  di  piu'  Ministri, possono essere
          adottati  con  decreti interministeriali, ferma restando la
          necessita' di apposita autorizzazione da parte della legge.
          I regolamenti ministeriali ed interministeriali non possono
          dettare  norme  contrarie  a quelle dei regolamenti emanati
          dal  Governo.  Essi debbono essere comunicati al Presidente
          del Consiglio dei Ministri prima della loro emanazione.
              4.  I  regolamenti  di  cui al comma 1 ed i regolamenti
          ministeriali  ed  interministeriali,  che  devono recare la
          denominazione di «Regolamento», sono adottati previo parere
          del  Consiglio  di  Stato,  sottoposti  al  visto  ed  alla
          registrazione  della  Corte  dei  conti  e pubblicati nella
          Gazzetta Ufficiale.».
              - Il  decreto del Presidente della Repubblica 11 agosto
          2003,  n.  319,  recante «Regolamento di organizzazione del
          Ministero   dell'istruzione,   dell'universita'   e   della
          ricerca»    e'   pubblicato   nella   Gazzetta   Ufficiale,
          supplemento ordinario n. 270 del 20 novembre 2003.

          Nota all'art. 1:
              - Per  il  testo dell'art. 20, comma 2, e dell'art. 21,
          comma 2,  del decreto legislativo 30 giugno 2003, n. 196 si
          vedano le note al preambolo.