IL MINISTRO DELL'INTERNO
Visti gli articoli 20, commi 2 e 3, 21, comma 2, e 181, comma 1,
lettera a) del decreto legislativo 30 giugno 2003, n. 196 «Codice in
materia di protezione dei dati personali» e successive modifiche ed
integrazioni;
Visto l'articolo 17, commi 3 e 4, della legge 23 agosto 1988, n.
400;
Considerata la necessita' di provvedere ad individuare i tipi di
dati sensibili e giudiziari trattati dall'Amministrazione
dell'interno e le finalita' di interesse pubblico perseguite, fatti
salvi i trattamenti effettuati ai sensi dell'articolo 53 del Codice
in materia di protezione dei dati personali;
Ritenuta la necessita' di provvedere ad individuare, altresi', i
tipi di dati sensibili e giudiziari trattati dal «Fondo di assistenza
per il personale della pubblica sicurezza», istituito con legge
12 novembre 1964, n. 1279 e dall"'«Opera nazionale di assistenza per
il personale del Corpo nazionale dei Vigili del fuoco"», di cui al
decreto del Presidente della Repubblica 30 giugno 1959, n. 630, posti
sotto la vigilanza del Ministero dell'interno;
Acquisite le indicazioni dei titolari degli Uffici centrali del
Ministero dell'interno e delle Prefetture - - Uffici territoriali del
Governo;
Considerato che possono spiegare effetti maggiormente
significativi per l'interessato le operazioni svolte, in particolare,
pressoche' interamente mediante i siti web o volte a definire in
forma completamente automatizzata profili o personalita' degli
interessati, le interconnessioni e i raffronti tra banche di dati
gestite da diversi titolari, oppure con altre informazioni sensibili
e giudiziarie detenute dal medesimo titolare del trattamento, nonche'
la comunicazione dei dati a terzi;
Ritenuto necessario indicare analiticamente nelle schede
allegate, con riferimento alle predette operazioni, quelle che
possono spiegare effetti maggiormente significativi per l'interessato
ed in particolare le operazioni di comunicazione a terzi, di
interconnessione, raffronti e diffusione;
Ritenuto, altresi', di indicare sinteticamente anche le
operazioni ordinarie che questa Amministrazione deve necessariamente
svolgere per perseguire le finalita' di rilevante interesse pubblico
individuate per legge (operazioni di raccolta, registrazione,
organizzazione, conversazione, consultazione, elaborazione,
modificazione, selezione, estrazione, utilizzo, blocco, cancellazione
e distruzione);
Verificato, per quanto concerne i trattamenti di cui sopra, il
rispetto dei principi e delle garanzie previste dall'articolo 22 del
Codice in materia di protezione dei dati personali, con particolare
riferimento alla pertinenza, non eccedenza ed indispensabilita' dei
dati sensibili e giudiziari utilizzati rispetto alle finalita'
perseguite, all'indispensabilita' delle predette operazioni per il
perseguimento delle finalita' di rilevante interesse pubblico
individuate per legge, nonche' all'esistenza di fonti normative
idonee a legittimare l'effettuazione delle medesime operazioni;
Considerato che le disposizioni di legge, citate nella parte
descrittiva delle fonti normative delle allegate schede, si intendono
come recanti le successive modifiche ed integrazioni;
Visto il provvedimento generale del Garante della protezione dei
dati personali del 30 giugno 2005, pubblicato nella Gazzetta
Ufficiale n. 170 del 23 luglio 2005;
Vista l'autorizzazione n. 7/2005 al trattamento dei dati
giudiziari da parte di privati, di enti pubblici economici e di
soggetti pubblici, pubblicata nella Gazzetta Ufficiale - serie
generale - n. 2, del 3 gennaio 2006;
Acquisito in data 28 aprile 2006 il parere del Garante per la
protezione dei dati personali ai sensi dell'art. 154, comma 1,
lettera g) del decreto legislativo n. 196/2003;
Udito il parere del Consiglio di Stato espresso dalla sezione
consultiva per gli atti normativi nell'adunanza del 6 giugno 2006, n.
5367/06;
Visto il nulla osta della Presidenza del Consiglio dei Ministri,
rilasciato con nota n. 5306 del 14 giugno 2006;
Adotta
il seguente regolamento:
Art. 1.
Oggetto del regolamento
Il presente regolamento, in attuazione del decreto legislativo
30 giugno 2003, n. 196, identifica i tipi di dati sensibili e
giudiziari e le operazioni eseguibili da parte dell'Amministrazione
dell'interno nello svolgimento delle proprie funzioni istituzionali,
nonche' dal «Fondo di assistenza per il personale della pubblica
sicurezza», istituito con legge 12 novembre 1964, n. 1279 e
dall"'«Opera nazionale di assistenza per il personale del Corpo
nazionale dei Vigili del fuoco"» di cui al decreto del Presidente
della Repubblica 30 giugno 1959, n. 630.
Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art. 10, comma 3, del testo unico delle disposizioni
sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle
pubblicazioni ufficiali della Repubblica italiana,
approvato con decreto del Presidente della Repubblica
28 dicembre 1985, n. 1092, al solo fine di facilitare la
lettura delle disposizioni di legge alle quali e' operato
il rinvio. Restano invariati il valore e l'efficacia degli
atti legislativi qui trascritti.
Note alle premesse:
- Si riporta il testo degli articoli 20, commi 2 e 3,
21, comma 2, 22, 53, 154, comma 1, lettera. g), e 181,
comma 1, lettera a), del decreto legislativo 30 giugno
2003, n. 196 (Codice in materia di protezione dei dati
personali):
«2. Nei casi in cui una disposizione di legge specifica
la finalita' di rilevante interesse pubblico, ma non i tipi
di dati sensibili e di operazioni eseguibili, il
trattamento e' consentito solo in riferimento ai tipi di
dati e di operazioni identificati e resi pubblici a cura
dei soggetti che ne effettuano il trattamento, in relazione
alle specifiche finalita' perseguite nei singoli casi e nel
rispetto dei principi di cui all'art. 22, con atto di
natura regolamentare adottato in conformita' al parere
espresso dal Garante ai sensi dell'art. 154, comma 1,
lettera g), anche su schemi tipo».
3. Se il trattamento non e' previsto espressamente da
una disposizione di legge i soggetti pubblici possono
richiedere al Garante l'individuazione delle attivita', tra
quelle demandate ai medesimi soggetti dalla legge, che
perseguono finalita' di rilevante interesse pubblico e per
le quali e' conseguentemente autorizzato, ai sensi
dell'art. 26, comma 2, il trattamento dei dati sensibili.
Il trattamento e' consentito solo se il soggetto pubblico
provvede altresi' a identificare e rendere pubblici i tipi
di dati e di operazioni nei modi di cui al comma 2.».
«2. Le disposizioni di cui all'art. 20, commi 2 e 4, si
applicano anche al trattamento dei dati giudiziari.».
«Art. 22 (Principi applicabili al trattamento di dati
sensibili e giudiziari). - 1. I soggetti pubblici
conformano il trattamento dei dati sensibili e giudiziari
secondo modalita' volte a prevenire violazioni dei diritti,
delle liberta' fondamentali e della dignita'
dell'interessato.
2. Nel fornire l'informativa di cui all'art. 13 i
soggetti pubblici fanno espresso riferimento alla normativa
che prevede gli obblighi o i compiti in base alla quale e'
effettuato il trattamento dei dati sensibili e giudiziari.
3. I soggetti pubblici possono trattare solo i dati
sensibili e giudiziari indispensabili per svolgere
attivita' istituzionali che non possono essere adempiute,
caso per caso, mediante il trattamento di dati anonimi o di
dati personali di natura diversa.
4. I dati sensibili e giudiziari sono raccolti, di
regola, presso l'interessato.
5. In applicazione dell'art. 11, comma 1,
lettere c), d) ed e), i soggetti pubblici verificano
periodicamente l'esattezza e l'aggiornamento dei dati
sensibili e giudiziari, nonche' la loro pertinenza,
completezza, non eccedenza e indispensabilita' rispetto
alle finalita' perseguite nei singoli casi, anche con
riferimento ai dati che l'interessato fornisce di propria
iniziativa. Al fine di assicurare che i dati sensibili e
giudiziari siano indispensabili rispetto agli obblighi e ai
compiti loro attribuiti, i soggetti pubblici valutano
specificamente il rapporto tra i dati e gli adempimenti. I
dati che, anche a seguito delle verifiche, risultano
eccedenti o non pertinenti o non indispensabili non possono
essere utilizzati, salvo che per l'eventuale conservazione,
a norma di legge, dell'atto o del documento che li
contiene. Specifica attenzione e' prestata per la verifica
dell'indispensabilita' dei dati sensibili e giudiziari
riferiti a soggetti diversi da quelli cui si riferiscono
direttamente le prestazioni o gli adempimenti.
6. I dati sensibili e giudiziari contenuti in elenchi,
registri o banche di dati, tenuti con l'ausilio di
strumenti elettronici, sono trattati con tecniche di
cifratura o mediante l'utilizzazione di codici
identificativi o di altre soluzioni che, considerato il
numero e la natura dei dati trattati, li rendono
temporaneamente inintelligibili anche a chi e' autorizzato
ad accedervi e permettono di identificare gli interessati
solo in caso di necessita'.
7. I dati idonei a rivelare lo stato di salute e la
vita sessuale sono conservati separatamente da altri dati
personali trattati per finalita' che non richiedono il loro
utilizzo. I medesimi dati sono trattati con le modalita' di
cui al comma 6 anche quando sono tenuti in elenchi,
registri o banche di dati senza l'ausilio di strumenti
elettronici.
8. I dati idonei a rivelare lo stato di salute non
possono essere diffusi.
9. Rispetto ai dati sensibili e giudiziari
indispensabili ai sensi del comma 3, i soggetti pubblici
sono autorizzati ad effettuare unicamente le operazioni di
trattamento indispensabili per il perseguimento delle
finalita' per le quali il trattamento e' consentito, anche
quando i dati sono raccolti nello svolgimento di compiti di
vigilanza, di controllo o ispettivi.
10. I dati sensibili e giudiziari non possono essere
trattati nell'ambito di test psico-attitudinali volti a
definire il profilo o la personalita' dell'interessato. Le
operazioni di raffronto tra dati sensibili e giudiziari,
nonche' i trattamenti di dati sensibili e giudiziari ai
sensi dell'art. 14, sono effettuati solo previa annotazione
scritta dei motivi.
11. In ogni caso, le operazioni e i trattamenti di cui
al comma 10, se effettuati utilizzando banche di dati di
diversi titolari, nonche' la diffusione dei dati sensibili
e giudiziari, sono ammessi solo se previsti da espressa
disposizione di legge.
12. Le disposizioni di cui al presente art. recano
principi applicabili, in conformita' ai rispettivi
ordinamenti, ai trattamenti disciplinati dalla Presidenza
della Repubblica, dalla Camera dei deputati, dal Senato
della Repubblica e dalla Corte costituzionale.».
«Art. 53 (Ambito applicativo e titolari dei
trattamenti). - 1. Al trattamento di dati personali
effettuato dal Centro elaborazione dati del Dipartimento di
pubblica sicurezza o da forze di polizia sui dati destinati
a confluirvi in base alla legge, ovvero da organi di
pubblica sicurezza o altri soggetti pubblici per finalita'
di tutela dell'ordine e della sicurezza pubblica,
prevenzione, accertamento o repressione dei reati,
effettuati in base ad espressa disposizione di legge che
preveda specificamente il trattamento, non si applicano le
seguenti disposizioni del codice:
a) articoli 9, 10, 12, 13 e 16, da 18 a 22, 37, 38,
commi da 1 a 5, e da 39 a 45;
b) articoli da 145 a 151.
2. Con decreto del Ministro dell'interno sono
individuati, nell'allegato C) al presente codice, i
trattamenti non occasionali di cui al comma 1 effettuati
con strumenti elettronici, e i relativi titolari.».
«Art. 154 (Compiti). - 1. Oltre a quanto previsto da
specifiche disposizioni, il Garante, anche avvalendosi
dell'Ufficio e in conformita' al presente codice, ha il
compito di:
a) - f) (omissis);
g) esprimere pareri nei casi previsti;».
Art. 181 (Altre disposizioni transitorie). - 1. Per i
trattamenti di dati personali iniziati prima del 1° gennaio
2004, in sede di prima applicazione del presente codice:
a) l'identificazione con atto di natura regolamentare
dei tipi di dati e di operazioni ai sensi degli
articoli 20, commi 2 e 3, e 21, comma 2, e' effettuata, ove
mancante, entro il 31 dicembre 2006.».
- Si riporta il testo dell'art. 17, commi 3 e 4, della
legge 23 agosto 1988, n. 400 (Disciplina dell'attivita' di
Governo e ordinamento della Presidenza del Consiglio dei
Ministri):
«3. Con decreto ministeriale possono essere adottati
regolamenti nelle materie di competenza del ministro o di
autorita' sottordinate al Ministro, quando la legge
espressamente conferisca tale potere. Tali regolamenti, per
materie di competenza di piu' Ministri, possono essere
adottati con decreti interministeriali, ferma restando la
necessita' di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono
dettare norme contrarie a quelle dei regolamenti emanati
dal Governo. Essi debbono essere comunicati al Presidente
del Consiglio dei Ministri prima della loro emanazione.
4. I regolamenti di cui al comma 1 ed i regolamenti
ministeriali ed interministeriali, che devono recare la
denominazione di «regolamento», sono adottati previo parere
del Consiglio di Stato, sottoposti al visto ed alla
registrazione della Corte dei conti e pubblicati nella
Gazzetta Ufficiale».
- La legge 12 novembre 1964, n. 1279, reca:
«Istituzione del Fondo di assistenza per il personale di
pubblica sicurezza».
- Il decreto del Presidente della Repubblica 30 giugno
1959, n. 630, reca: «Opera Nazionale di Assistenza per il
personale dei Servizi antincendi e della Protezione
civile».
- Il provvedimento generale del Garante per la
protezione dei dati personali, del 30 giugno 2005
(pubblicato in Gazzetta Ufficiale serie generale n. 170 del
23 luglio 2005), reca: «Trattamento dei dati sensibili
nella pubblica amministrazione».
Note all'art. 1:
- Per l'argomento del decreto legislativo 30 giugno
2003, n. 196, vedi nelle note alle premesse.
- Per l'argomento della legge 12 novembre 1964, n.
1279, vedi nelle note alle premesse.
- Per l'argomento del Presidente della Repubblica
30 giugno 1959, n. 630, vedi nelle note alle premesse.