IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI
Vista la legge 23 agosto 1988, n. 400, recante la disciplina
dell'attivita' di Governo e l'ordinamento della Presidenza del
Consiglio dei Ministri e, in particolare, l'articolo 17, commi 3 e 4
e successive modificazioni e integrazioni;
Visto il decreto legislativo 30 luglio 1999, n. 303, recante norme
sul riordinamento della Presidenza del Consiglio dei Ministri e
successive modificazioni e integrazioni;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante
approvazione del «Codice in materia di protezione dei dati personali»
(d'ora innanzi «Codice») e, in particolare, gli articoli 18 e
seguenti che dettano i principi e le regole applicabili al
trattamento di dati sensibili e giudiziari effettuati da soggetti
pubblici;
Visti gli articoli 20, 21 e 22 del Codice, che stabiliscono che nei
casi in cui una disposizione di legge specifichi la finalita' di
rilevante interesse pubblico, ma non i tipi di dati sensibili e
giudiziari trattabili ed i tipi di operazioni su questi eseguibili,
il trattamento e' consentito solo in riferimento a quei tipi di dati
e di operazioni identificati e resi pubblici a cura dei soggetti che
ne effettuano il trattamento, in relazione alle specifiche finalita'
perseguite nei singoli casi;
Considerato che, ai sensi dell'articolo 20, comma 2, del Codice,
detta identificazione deve avvenire con atto di natura regolamentare
adottato in conformita' al parere espresso dal Garante, ai sensi
dell'articolo 154, comma 1, lettera g), del Codice;
Visto, altresi', l'articolo 181, comma 1, lettera a) del Codice,
cosi' come modificato, da ultimo, dal comma 1 dell'articolo 6 del
decreto-legge 28 dicembre 2006, n. 300, con cui e' determinato il
termine ultimo per l'identificazione con atto di natura
regolamentare;
Visto il regio decreto 30 ottobre 1933, n. 1611, recante
l'approvazione del regolamento per l'esecuzione del testo unico delle
leggi e delle norme giuridiche sulla rappresentanza e difesa in
giudizio dello Stato e sull'ordinamento dell'Avvocatura dello Stato
e, in particolare, gli articoli 15 e 18;
Vista la nota del 3 marzo 2006 con la quale l'Avvocato generale
dello Stato ha trasmesso alla Presidenza del Consiglio dei Ministri
lo schema di regolamento sul trattamento dei dati sensibili e
giudiziari presso l'Avvocatura generale dello Stato e le Avvocature
distrettuali, ai fini dell'adozione del medesimo regolamento da parte
del Presidente del Consiglio dei Ministri;
Visti gli allegati allo schema di regolamento, nell'ambito dei
quali sono individuate le operazioni che possono spiegare effetti
significativi per l'interessato, effettuate dall'Avvocatura dello
Stato nei termini prescritti dal Codice e sono, altresi', descritte
sinteticamente le operazioni ordinarie che l'Avvocatura dello Stato
deve necessariamente svolgere per perseguire le finalita' di
rilevante interesse pubblico individuate per legge (operazioni di
raccolta, registrazione, organizzazione, conservazione,
consultazione, elaborazione, modificazione, selezione, estrazione,
utilizzo, blocco, cancellazione e distruzione);
Considerato che, per quanto concerne tutti i trattamenti di cui
sopra, e' stato verificato il rispetto dei principi e delle garanzie
previste dall'articolo 22 del Codice, con particolare riferimento
alla pertinenza, non eccedenza e indispensabilita' dei dati sensibili
e giudiziari utilizzati rispetto alle finalita' da perseguire;
all'indispensabilita' delle predette operazioni per il perseguimento
delle finalita' di rilevante interesse pubblico individuate per
legge, nonche' all'esistenza di fonti normative idonee a rendere
lecite le medesime operazioni o, ove richiesta, all'indicazione
scritta dei motivi;
Visto il provvedimento generale del Garante della protezione dei
dati personali del 30 giugno 2005;
Vista l'autorizzazione n. 7/2005 al trattamento dei dati giudiziari
da parte di privati, di enti pubblici economici e di soggetti
pubblici, pubblicata nella Gazzetta Ufficiale della Repubblica
italiana - serie generale - n. 2 del 3 gennaio 2006;
Sentito il Garante per la protezione dei dati personali, espressosi
con parere del 18 gennaio 2006, ai sensi dell'articolo 154, comma 1,
lettera g) del Codice;
Udito il parere del Consiglio di Stato, reso nella Adunanza del
13 giugno 2006, n. 5861/06;
Vista la nota dell'Avvocatura generale dello Stato in data 2 marzo
2007, con la quale si trasmette, per l'ulteriore corso, lo schema di
atto regolamentare sul trattamento dei dati sensibili e giudiziari;
Rilevato che il presente atto non comporta impegno di spesa a
carico del bilancio dello Stato e pertanto non assume rilevanza sotto
il profilo contabile, eccezion fatta delle spese eventualmente
sostenute per la sua diffusione;
A d o t t a
il seguente regolamento:
Art. 1.
Oggetto del Regolamento
1. Il presente regolamento, in attuazione del decreto legislativo
30 giugno 2003, n. 196, recante approvazione del «Codice in materia
di protezione dei dati personali», d'ora innanzi «Codice», identifica
i tipi di dati sensibili e giudiziari e le operazioni eseguibili da
parte dell'Avvocatura dello Stato e delle Avvocature distrettuali
nello svolgimento delle proprie funzioni istituzionali.
Avvertenza:
Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi dell'art. 10,
comma 3, del testo unico delle disposizioni sulla promulgazione delle
leggi, sull'emanazione dei decreti del Presidente della Repubblica e
sulle pubblicazioni ufficiali della Repubblica italiana, approvato
con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la
lettura delle disposizioni di legge alle quali e' operato il rinvio.
Restano invariati il valore e l'efficacia degli atti legislativi qui
trascritti.
Note alle premesse.
- Si riporta il testo dell'art. 17, commi 3 e 4, della
legge 23 agosto 1988, n. 400:
«3. Con decreto ministeriale possono essere adottati
regolamenti nelle materie di competenza del Ministro o di
autorita' sottordinate al Ministro, quando la legge
espressamente conferisca tale potere. Tali regolamenti, per
materie di competenza di piu' Ministri, possono essere
adottati con decreti interministeriali, ferma restando la
necessita' di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono
dettare norme contrarie a quelle dei regolamenti emanati
dal Governo. Essi debbono essere comunicati al Presidente
del Consiglio dei Ministri prima della loro emanazione.
4. I regolamenti di cui al comma 1 ed i regolamenti
ministeriali ed interministeriali, che devono recare la
denominazione di "regolamento", sono adottati previo parere
del Consiglio di Stato, sottoposti al visto ed alla
registrazione della Corte dei conti e pubblicati nella
Gazzetta Ufficiale».
- Si riporta il testo degli articoli 18, 19, 20, 21, 22
e 154, comma 1, lettera g) del decreto legislativo
30 giugno 2003, n. 196:
«Art. 18 (Principi applicabili a tutti i trattamenti
effettuati da soggetti pubblici). - 1. Le disposizioni del
presente capo riguardano tutti i soggetti pubblici, esclusi
gli enti pubblici economici.
2. Qualunque trattamento di dati personali da parte di
soggetti pubblici e' consentito soltanto per lo svolgimento
delle funzioni istituzionali.
3. Nel trattare i dati il soggetto pubblico osserva i
presupposti e i limiti stabiliti dal presente codice, anche
in relazione alla diversa natura dei dati, nonche' dalla
legge e dai regolamenti.
4. Salvo quanto previsto nella Parte II per gli
esercenti le professioni sanitarie e gli organismi sanitari
pubblici, i soggetti pubblici non devono richiedere il
consenso dell'interessato.
5. Si osservano le disposizioni di cui all'art. 25 in
tema di comunicazione e diffusione».
«Art. 19 (Principi applicabili al trattamento di dati
diversi da quelli sensibili e giudiziari). - 1. Il
trattamento da parte di un soggetto pubblico riguardante
dati diversi da quelli sensibili e giudiziari e'
consentito, fermo restando quanto previsto dall'art. 18,
comma 2, anche in mancanza di una norma di legge o di
regolamento che lo preveda espressamente.
2. La comunicazione da parte di un soggetto pubblico ad
altri soggetti pubblici e' ammessa quando e' prevista da
una norma di legge o di regolamento. In mancanza di tale
norma la comunicazione e' ammessa quando e' comunque
necessaria per lo svolgimento di funzioni istituzionali e
puo' essere iniziata se e' decorso il termine di cui
all'art. 39, comma 2, non e' stata adottata la diversa
determinazione ivi indicata.
3. La comunicazione da parte di un soggetto pubblico a
privati o a enti pubblici economici e la diffusione da
parte di un soggetto pubblico sono ammesse unicamente
quando sono previste da una norma di legge o di
regolamento».
«Art. 20 (Principi applicabili al trattamento di dati
sensibili). - 1. Il trattamento dei dati sensibili da parte
di soggetti pubblici e' consentito solo se autorizzato da
espressa disposizione di legge nella quale sono specificati
i tipi di dati che possono essere trattati e di operazioni
eseguibili e le finalita' di rilevante interesse pubblico
perseguite.
2. Nei casi in cui una disposizione di legge specifica
la finalita' di rilevante interesse pubblico, ma non i tipi
di dati sensibili e di operazioni eseguibili, il
trattamento e' consentito solo in riferimento ai tipi di
dati e di operazioni identificati e resi pubblici a cura
dei soggetti che ne effettuano il trattamento, in relazione
alle specifiche finalita' perseguite nei singoli casi e nel
rispetto dei principi di cui all'art. 22, con atto di
natura regolamentare adottato in conformita' al parere
espresso dal Garante ai sensi dell'art. 154, comma 1,
lettera g), anche su schemi tipo.
3. Se il trattamento non e' previsto espressamente da
una disposizione di legge i soggetti pubblici possono
richiedere al Garante l'individuazione delle attivita', tra
quelle demandate ai medesimi soggetti dalla legge, che
perseguono finalita' di rilevante interesse pubblico e per
le quali e' conseguentemente autorizzato, ai sensi
dell'art. 26, comma 2, il trattamento dei dati sensibili.
Il trattamento e' consentito solo se il soggetto pubblico
provvede altresi' a identificare e rendere pubblici i tipi
di dati e di operazioni nei modi di cui al comma 2.
4. L'identificazione dei tipi di dati e di operazioni
di cui ai commi 2 e 3 e' aggiornata e integrata
periodicamente».
«Art. 21 (Principi applicabili al trattamento dei dati
giudiziari). - 1. Il trattamento di dati giudiziari da
parte di soggetti pubblici e' consentito solo se
autorizzato da espressa disposizione di legge o
provvedimento del Garante che specifichino le finalita' di
rilevante interesse pubblico del trattamento, i tipi di
dati trattati e di operazioni eseguibili.
2. Le disposizioni di cui all'art. 20, commi 2 e 4, si
applicano anche al trattamento dei dati giudiziari.
«Art. 22 (Principi applicabili al trattamento di dati
sensibili). - 1. I soggetti pubblici conformano il
trattamento dei dati sensibili e giudiziari secondo
modalita' volte a prevenire violazioni dei diritti, delle
liberta' fondamentali e della dignita' dell'interessato.
2. Nel fornire l'informativa di cui all'art. 13 i
soggetti pubblici fanno espresso riferimento alla normativa
che prevede gli obblighi o i compiti in base alla quale e'
effettuato il trattamento dei dati sensibili e giudiziari.
3. I soggetti pubblici possono trattare solo i dati
sensibili e giudiziari indispensabili per svolgere
attivita' istituzionali che non possono essere adempiute,
caso per caso, mediante il trattamento di dati anonimi o di
dati personali di natura diversa.
4. I dati sensibili e giudiziari sono raccolti, di
regola, presso l'interessato.
5. In applicazione dell'art. 11, comma 1, lettere c),
d) ed e), i soggetti pubblici verificano periodicamente
l'esattezza e l'aggiornamento dei dati sensibili e
giudiziari, nonche' la loro pertinenza, completezza, non
eccedenza e indispensabilita' rispetto alle finalita'
perseguite nei singoli casi, anche con riferimento ai dati
che l'interessato fornisce di propria iniziativa. Al fine
di assicurare che i dati sensibili e giudiziari siano
indispensabili rispetto agli obblighi e ai compiti loro
attribuiti, i soggetti pubblici valutano specificamente il
rapporto tra i dati e gli adempimenti. I dati che, anche a
seguito delle verifiche, risultano eccedenti o non
pertinenti o non indispensabili non possono essere
utilizzati, salvo che per l'eventuale conservazione, a
norma di legge, dell'atto o del documento che li contiene.
Specifica attenzione e' prestata per la verifica
dell'indispensabilita' dei dati sensibili e giudiziari
riferiti a soggetti diversi da quelli cui si riferiscono
direttamente le prestazioni o gli adempimenti.
6. I dati sensibili e giudiziari contenuti in elenchi,
registri o banche di dati, tenuti con l'ausilio di
strumenti elettronici, sono trattati con tecniche di
cifratura o mediante l'utilizzazione di codici
identificativi o di altre soluzioni che, considerato il
numero e la natura dei dati trattati, li rendono
temporaneamente inintelligibili anche a chi e' autorizzato
ad accedervi e permettono di identificare gli interessati
solo in caso di necessita'.
7. I dati idonei a rivelare lo stato di salute e la
vita sessuale sono conservati separatamente da altri dati
personali trattati per finalita' che non richiedono il loro
utilizzo. I medesimi dati sono trattati con le modalita' di
cui al comma 6 anche quando sono tenuti in elenchi,
registri o banche di dati senza l'ausilio di strumenti
elettronici.
8. I dati idonei a rivelare lo stato di salute non
possono essere diffusi.
9. Rispetto ai dati sensibili e giudiziari
indispensabili ai sensi del comma 3, i soggetti pubblici
sono autorizzati ad effettuare unicamente le operazioni di
trattamento indispensabili per il perseguimento delle
finalita' per le quali il trattamento e' consentito, anche
quando i dati sono raccolti nello svolgimento di compiti di
vigilanza, di controllo o ispettivi.
10. I dati sensibili e giudiziari non possono essere
trattati nell'ambito di test psicoattitudinali volti a
definire il profilo o la personalita' dell'interessato. Le
operazioni di raffronto tra dati sensibili e giudiziari,
nonche' i trattamenti di dati sensibili e giudiziari ai
sensi dell'art. 14, sono effettuati solo previa annotazione
scritta dei motivi.
11. In ogni caso, le operazioni e i trattamenti di cui
al comma 10, se effettuati utilizzando banche di dati di
diversi titolari, nonche' la diffusione dei dati sensibili
e giudiziari, sono ammessi solo se previsti da espressa
disposizione di legge.
12. Le disposizioni di cui al presente articolo recano
principi applicabili, in conformita' ai rispettivi
ordinamenti, ai trattamenti disciplinati dalla Presidenza
della Repubblica, dalla Camera dei deputati, dal Senato
della Repubblica e dalla Corte Costituzionale».
«Art. 154 (Compiti). - 1. Oltre a quanto previsto da
specifiche disposizioni, il Garante, anche avvalendosi
dell'Ufficio e in conformita' al presente codice, ha il
compito di:
a) - f) (omissis);
g) esprimere pareri nei casi previsti».
«Art. 181 (Altre disposizioni transitorie). - 1. Per i
trattamenti di dati personali iniziati prima del 1° gennaio
2004, in sede di prima applicazione del presente codice:
a) l'identificazione con atto di natura regolamentare
dei tipi di dati e di operazioni ai sensi degli
articoli 20, commi 2 e 3, e 21, comma 2, e' effettuata, ove
mancante, entro il 28 febbraio 2007».
- Si riporta il testo degli articoli 15 e 18 del regio
decreto 30 ottobre 1933, n. 1611 «Approvazione del testo
unico delle leggi e delle norme giuridiche sulla
rappresentanza e difesa in giudizio dello Stato e
sull'ordinamento dell'Avvocatura dello Stato».
«Art. 15 (L'Avvocato generale dello Stato). - 1. Oltre
a quanto previsto da specifiche disposizioni, l'Avvocato
generale dello Stato, ha il compito di:
vigilare su tutti gli uffici, i servizi e il
personale dell'Avvocatura dello Stato e soprintende alla
loro organizzazione, dando le opportune disposizioni ed
istruzioni generali;
fa le proposte e adotta i provvedimenti espressamente
attribuiti alla sua competenza, nonche' ogni altro
provvedimento riguardante gli uffici ed il personale
dell'Avvocatura dello Stato che non sia attribuito ad altra
autorita».
«Art. 18. L'Avvocatura dello Stato e' costituita
dall'Avvocatura generale e dalle avvocature distrettuali.
L'Avvocatura generale ha sede in Roma.
Le avvocature distrettuali hanno sede in ciascun
capoluogo di regione e, comunque, dove siano istituite sedi
di corte d'appello.
Nella circoscrizione della corte di appello di Roma le
attribuzioni dell'avvocatura distrettuale sono esercitate
dall'Avvocatura generale dello Stato. Nella circoscrizione
della corte di appello di Torino l'avvocatura distrettuale
di Torino ha competenza anche per la Valle d'Aosta».