IL MINISTRO DELLA DIFESA
Visto il decreto legislativo 30 giugno 2003, n. 196 "Codice in
materia di protezione dei dati personali" e, in particolare, gli
articoli 20, commi 2 e 3, 21, comma 2, e 181, comma 1, lettera a),
che fissano i principi applicabili al trattamento dei dati sensibili
e giudiziari ed il termine per l'identificazione, con atto di natura
regolamentare, dei tipi di dati trattati e delle operazioni
effettuate;
Visto il provvedimento generale del Garante per la protezione dei
dati personali del 30 giugno 2005 (pubblicato nella Gazzetta
Ufficiale della Repubblica italiana - serie generale - n. 170 del 23
luglio 2005);
Vista l'autorizzazione n. 7/2005 al trattamento dei dati giudiziari
da parte di privati, di enti pubblici economici e di soggetti
pubblici (pubblicata nel supplemento ordinario n. 1 alla Gazzetta
Ufficiale della Repubblica italiana - serie generale - n. 2 del 3
gennaio 2006);
Considerata la necessita' di provvedere ad individuare i tipi di
dati sensibili e giudiziari trattati dall'Amministrazione della
difesa e le finalita' di interesse pubblico perseguite, esclusi i
trattamenti effettuati ai sensi dell'articolo 53 del citato decreto
legislativo n. 196 del 2003;
Considerato che possono spiegare effetti maggiormente significativi
per l'interessato le operazioni svolte, in particolare, pressoche'
interamente mediante i siti web o volte a definire in forma
completamente automatizzata profili o personalita' degli interessati,
le interconnessioni e i raffronti tra banche di dati gestite da
diversi titolari, oppure con altre informazioni sensibili e
giudiziarie detenute dal medesimo titolare del trattamento, nonche'
la comunicazione dei dati a terzi;
Ritenuto necessario indicare analiticamente nelle schede allegate,
con riferimento alle predette operazioni che possono spiegare effetti
maggiormente significativi per l'interessato, quelle effettuate da
questa Amministrazione ed in particolare le operazioni di
comunicazione a terzi, nonche' di trasferimento di dati personali e
sensibili all'estero ai sensi dell'articolo 43 del "Codice in materia
di protezione dei dati personali";
Ritenuto altresi' di indicare sinteticamente anche le operazioni
ordinarie che questa Amministrazione deve necessariamente svolgere
per perseguire le finalita' di rilevante interesse pubblico
individuate per legge (operazioni di raccolta, registrazione,
organizzazione, conservazione, consultazione, elaborazione,
modificazione, selezione, estrazione, utilizzo, blocco, cancellazione
e distruzione);
Ritenuto di aver verificato, per i trattamenti di cui sopra, il
rispetto dei principi e delle garanzie previste dall'articolo 22 del
"Codice in materia di protezione dei dati personali", con particolare
riguardo alla pertinenza, non eccedenza ed indispensabilita' dei dati
sensibili e giudiziari rispetto alle finalita' perseguite,
all'indispensabilita' delle predette operazioni per il perseguimento
delle finalita' di rilevante interesse pubblico individuate per
legge, nonche' dell'esistenza di fonti normative idonee a legittimare
l'effettuazione delle medesime operazioni;
Visto il decreto 10 ottobre 2002 del Ministro della difesa
(pubblicato nel supplemento ordinario alla Gazzetta Ufficiale della
Repubblica italiana - serie generale - n. 296 del 18 dicembre 2002),
adottato in attuazione del decreto legislativo 11 maggio 1999, n.
135, recante "Disposizioni integrative della legge 31 dicembre 1996,
n. 675, sul trattamento dei dati sensibili da parte di soggetti
pubblici";
Acquisito in data 9 marzo 2006 il parere del Garante per la
protezione dei dati personali ai sensi dell'articolo 154, comma 1,
lettera g), del decreto legislativo 30 giugno 2003, n. 196;
Visto l'articolo 17, commi 3 e 4, della legge 23 agosto 1988, n.
400;
Udito il parere del Consiglio di Stato, espresso nell'adunanza
della Sezione consultiva per gli atti normativi del 27 marzo 2006;
Vista la comunicazione al Presidente del Consiglio dei Ministri, a
norma dell'articolo 17, comma 3, della citata legge n. 400 del 1988
(nota n. 8/17017, in data 11 aprile 2006);
A d o t t a
il presente regolamento:
Art. 1.
Oggetto del regolamento
1. Il presente regolamento, in attuazione del decreto legislativo
30 giugno 2003, n. 196, identifica i tipi di dati sensibili e
giudiziari e le operazioni eseguibili da parte dell'Amministrazione
della difesa nello svolgimento delle proprie funzioni istituzionali.
Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art. 10, comma 3, del testo unico delle disposizioni
sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle
pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo
fine di facilitare la lettura delle disposizioni di legge
ai quali e' operato il rinvio. Restano invariati il valore
e l'efficacia degli atti legislativi qui trascritti.
Note alle premesse:
- Si riporta il testo degli articoli 20, 21, 22, 43, 53
e 181, comma 1, lettera a), del decreto legislativo
30 giugno 2003, n. 196:
«Art. 20 (Principi applicabili al trattamento di dati
sensibili). - 1. Il trattamento dei dati sensibili da parte
di soggetti pubblici e' consentito solo se autorizzato da
espressa disposizione di legge nella quale sono specificati
i tipi di dati che possono essere trattati e di operazioni
eseguibili e le finalita' di rilevante interesse pubblico
perseguite.
2. Nei casi in cui una disposizione di legge specifica
la finalita' di rilevante interesse pubblico, ma non i tipi
di dati sensibili e di operazioni eseguibili, il
trattamento e' consentito solo in riferimento ai tipi di
dati e di operazioni identificati e resi pubblici a cura
dei soggetti che ne effettuano il trattamento, in relazione
alle specifiche finalita' perseguite nei singoli casi e nel
rispetto dei principi di cui all'art. 22, con atto di
natura regolamentare adottato in conformita' al parere
espresso dal Garante ai sensi dell'art. 154, comma 1,
lettera g), anche su schemi tipo.
3. Se il trattamento non e' previsto espressamente da
una disposizione di legge i soggetti pubblici possono
richiedere al Garante l'individuazione delle attivita', tra
quelle demandate ai medesimi soggetti dalla legge, che
perseguono finalita' di rilevante interesse pubblico e per
le quali e' conseguentemente autorizzato, ai sensi
dell'art. 26, comma 2, il trattamento dei dati sensibili.
Il trattamento e' consentito solo se il soggetto pubblico
provvede altresi' a identificare e rendere pubblici i tipi
di dati e di operazioni nei modi di cui al comma 2.
4. L'identificazione dei tipi di dati e di operazioni
di cui ai commi 2 e 3 e' aggiornata e integrata
periodicamente.».
«Art. 21 (Principi applicabili al trattamento di dati
giudiziari). - 1. Il trattamento di dati giudiziari da
parte di soggetti pubblici e' consentito solo se
autorizzato da espressa disposizione di legge o
provvedimento del Garante che specifichino le finalita' di
rilevante interesse pubblico del trattamento, i tipi di
dati trattati e di operazioni eseguibili.
2. Le disposizioni di cui all'art. 20, commi 2 e 4, si
applicano anche al trattamento dei dati giudiziari.».
«Art. 22 (Principi applicabili al trattamento di dati
sensibili e giudiziari). - 1. I soggetti pubblici
conformano il trattamento dei dati sensibili e giudiziari
secondo modalita' volte a prevenire violazioni dei diritti,
delle liberta' fondamentali e della dignita'
dell'interessato.
2. Nel fornire l'informativa di cui all'art. 13 i
soggetti pubblici fanno espresso riferimento alla normativa
che prevede gli obblighi o i compiti in base alla quale e'
effettuato il trattamento dei dati sensibili e giudiziari.
3. I soggetti pubblici possono trattare solo i dati
sensibili e giudiziari indispensabili per svolgere
attivita' istituzionali che non possono essere adempiute,
caso per caso, mediante il trattamento di dati anonimi o di
dati personali di natura diversa.
4. I dati sensibili e giudiziari sono raccolti, di
regola, presso l'interessato.
5. In applicazione dell'art. 11, comma 1,
lettere c), d) ed e), i soggetti pubblici verificano
periodicamente l'esattezza e l'aggiornamento dei dati
sensibili e giudiziari, nonche' la loro pertinenza,
completezza, non eccedenza e indispensabilita' rispetto
alle finalita' perseguite nei singoli casi, anche con
riferimento ai dati che l'interessato fornisce di propria
iniziativa. Al fine di assicurare che i dati sensibili e
giudiziari siano indispensabili rispetto agli obblighi e ai
compiti loro attribuiti, i soggetti pubblici valutano
specificamente il rapporto tra i dati e gli adempimenti. I
dati che, anche a seguito delle verifiche, risultano
eccedenti o non pertinenti o non indispensabili non possono
essere utilizzati, salvo che per l'eventuale conservazione,
a norma di legge, dell'atto o del documento che li
contiene. Specifica attenzione e' prestata per la verifica
dell'indispensabilita' dei dati sensibili e giudiziari
riferiti a soggetti diversi da quelli cui si riferiscono
direttamente le prestazioni o gli adempimenti.
6. I dati sensibili e giudiziari contenuti in elenchi,
registri o banche dati, tenuti con l'ausilio di strumenti
elettronici, sono trattati con tecniche di cifratura o
mediante l'utilizzazione di codici identificativi o di
altre soluzioni che, considerato il numero e la natura dei
dati trattati, li rendono temporaneamente inintelligibili
anche a chi e' autorizzato ad accedervi e permettono di
identificare gli interessati solo in caso di necessita'.
7. I dati idonei a rivelare lo stato di salute e la
vita sessuale sono conservati separatamente da altri dati
personali trattati per finalita' che non richiedono il loro
utilizzo. I medesimi dati sono trattati con le modalita' di
cui al comma 6 anche quando sono tenuti in elenchi,
registri o banche di dati senza l'ausilio di strumenti
elettronici.
8. I dati idonei a rivelare lo stato di salute non
possono essere diffusi.
9. Rispetto ai dati sensibili e giudiziari
indispensabili ai sensi del comma 3, i soggetti pubblici
sono autorizzati ad effettuare unicamente le operazioni di
trattamento indispensabili per il perseguimento delle
finalita' per le quali il trattamento e' consentito, anche
quando i dati sono raccolti nello svolgimento di compiti di
vigilanza, di controllo o ispettivi.
10. I dati sensibili e giudiziari non possono essere
trattati nell'ambito di test psico-attitudinali volti a
definire il profilo o la personalita' dell'interessato. Le
operazioni di raffronto tra dati sensibili e giudiziari,
nonche' i trattamenti di dati sensibili e giudiziari ai
sensi dell'art. 14, sono effettuati solo previa annotazione
scritta dei motivi.
11. In ogni caso, le operazioni e i trattamenti di cui
al comma 10, se effettuati utilizzando banche di dati di
diversi titolari, nonche' la diffusione dei dati sensibili
e giudiziari, sono ammessi solo se previsti da espressa
disposizione di legge.
12. Le disposizioni di cui al presente articolo recano
principi applicabili, in conformita' ai rispettivi
ordinamenti, ai trattamenti disciplinati dalla Presidenza
della Repubblica, dalla Camera dei deputati, dal Senato
della Repubblica e dalla Corte costituzionale.».
«Art. 43 (Trasferimenti consentiti in Paesi terzi). -
1. Il trasferimento anche temporaneo fuori del territorio
dello Stato, con qualsiasi forma o mezzo, di dati personali
oggetto di trattamento, se diretto verso un Paese non
appartenente all'Unione europea e' consentito quando:
a) l'interessato ha manifestato il proprio consenso
espresso o, se si tratta di dati sensibili, in forma
scritta;
b) e' necessario per l'esecuzione di obblighi
derivanti da un contratto del quale e' parte l'interessato
o per adempiere, prima della conclusione del contratto, a
specifiche richieste dell'interessato, ovvero per la
conclusione o per l'esecuzione di un contratto stipulato a
favore dell'interessato;
c) e' necessario per la salvaguardia di un interesse
pubblico rilevante individuato con legge o con regolamento
o, se il trasferimento riguarda dati sensibili o
giudiziari, specificato o individuato ai sensi degli
articoli 20 e 21;
d) e' necessario per la salvaguardia della vita o
dell'incolumita' fisica di un terzo. Se la medesima
finalita' riguarda l'interessato e quest'ultimo non puo'
prestare il proprio consenso per impossibilita' fisica, per
incapacita' di agire o per incapacita' di intendere o di
volere, il consenso e' manifestato da chi esercita
legalmente la potesta', ovvero da un prossimo congiunto, da
un familiare, da un convivente o, in loro assenza, dal
responsabile della struttura presso cui dimora
l'interessato. Si applica la disposizione di cui all'art.
82, comma 2;
e) e' necessario ai fini dello svolgimento delle
investigazioni difensive di cui alla legge 7 dicembre 2000,
n. 397, o, comunque, per far valere o difendere un diritto
in sede giudiziaria, sempre che i dati siano trasferiti
esclusivamente per tali finalita' e per il periodo
strettamente necessario al loro perseguimento, nel rispetto
della vigente normativa in materia di segreto aziendale e
industriale;
f) e' effettuato in accoglimento di una richiesta di
accesso ai documenti amministrativi, ovvero di una
richiesta di informazioni estraibili da un pubblico
registro, elenco, atto o documento conoscibile da chiunque,
con l'osservanza delle norme che regolano la materia;
g) e' necessario, in conformita' ai rispettivi codici
di deontologia di cui all'allegato A), per esclusivi scopi
scientifici o statistici, ovvero per esclusivi scopi
storici presso archivi privati dichiarati di notevole
interesse storico ai sensi dell'art. 6, comma 2, del
decreto legislativo 29 ottobre 1999, n. 490, di
approvazione del testo unico in materia di beni culturali e
ambientali o, secondo quanto previsto dai medesimi codici,
presso altri archivi privati;
h) il trattamento concerne dati riguardanti persone
giuridiche, enti o associazioni.».
«Art. 53 (Ambito applicativo e titolari dei
trattamenti). - 1. Al trattamento di dati personali
effettuato dal Centro elaborazione dati del Dipartimento di
pubblica sicurezza o da forze di polizia sui dati destinati
a confluirvi in base alla legge, ovvero da organi di
pubblica sicurezza o altri soggetti pubblici per finalita'
di tutela dell'ordine e della sicurezza pubblica,
prevenzione, accertamento o repressione dei reati,
effettuati in base ad espressa disposizione di legge che
preveda specificamente il trattamento, non si applicano le
seguenti disposizioni del codice:
a) articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38,
commi da 1 a 5, e da 39 a 45;
b) articoli da 145 a 151.
2. Con decreto del Ministro dell'interno sono
individuati, nell'allegato C) al presente codice, i
trattamenti non occasionali di cui al comma 1 effettuati
con strumenti elettronici, e i relativi titolari.».
«Art. 181 (Altre disposizioni transitorie). - 1. Per i
trattamenti di dati personali iniziati prima del 1° gennaio
2004, in sede di prima applicazione del presente codice:
a) l'identificazione con atto di natura regolamentare
dei tipi di dati e di operazioni ai sensi degli
articoli 20, commi 2 e 3, e 21, comma 2, e' effettuata, ove
mancante, entro il 15 maggio 2006;».
- Si riporta il testo dell'art. 17, commi 3 e 4, della
legge 23 agosto 1988, n. 400:
«3. Con decreto ministeriale possono essere adottati
regolamenti nelle materie di competenza del Ministro o di
autorita' sottordinate al Ministro, quando la legge
espressamente conferisca tale potere. Tali regolamenti, per
materie di competenza di piu' Ministri, possono essere
adottati con decreti interministeriali, ferma restando la
necessita' di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono
dettare norme contrarie a quelle dei regolamenti emanati
dal Governo. Essi debbono essere comunicati al Presidente
del Consiglio dei Ministri prima della loro emanazione.
4. I regolamenti di cui al comma 1 ed i regolamenti
ministeriali ed interministeriali, che devono recare la
denominazione di "regolamento", sono adottati previo parere
del Consiglio di Stato, sottoposti al visto ed alla
registrazione della Corte dei conti e pubblicati nella
Gazzetta Ufficiale.».