IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI Vista la legge 23 agosto 1988, n. 400, recante la disciplina dell'attivita' di Governo e l'ordinamento della Presidenza del Consiglio dei Ministri e, in particolare, l'articolo 17, commi 3 e 4 e successive modificazioni e integrazioni; Visto il decreto legislativo 30 luglio 1999, n. 303, recante norme sul riordinamento della Presidenza del Consiglio dei Ministri e successive modificazioni e integrazioni; Visto il decreto legislativo 30 giugno 2003, n. 196, recante approvazione del «Codice in materia di protezione dei dati personali» (d'ora innanzi «Codice») e, in particolare, gli articoli 18 e seguenti che dettano i principi e le regole applicabili al trattamento di dati sensibili e giudiziari effettuati da soggetti pubblici; Visti gli articoli 20, 21 e 22 del Codice, che stabiliscono che nei casi in cui una disposizione di legge specifichi la finalita' di rilevante interesse pubblico, ma non i tipi di dati sensibili e giudiziari trattabili ed i tipi di operazioni su questi eseguibili, il trattamento e' consentito solo in riferimento a quei tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalita' perseguite nei singoli casi; Considerato che, ai sensi dell'articolo 20, comma 2, del Codice, detta identificazione deve avvenire con atto di natura regolamentare adottato in conformita' al parere espresso dal Garante, ai sensi dell'articolo 154, comma 1, lettera g), del Codice; Visto, altresi', l'articolo 181, comma 1, lettera a) del Codice, cosi' come modificato, da ultimo, dal comma 1 dell'articolo 6 del decreto-legge 28 dicembre 2006, n. 300, con cui e' determinato il termine ultimo per l'identificazione con atto di natura regolamentare; Visto il regio decreto 30 ottobre 1933, n. 1611, recante l'approvazione del regolamento per l'esecuzione del testo unico delle leggi e delle norme giuridiche sulla rappresentanza e difesa in giudizio dello Stato e sull'ordinamento dell'Avvocatura dello Stato e, in particolare, gli articoli 15 e 18; Vista la nota del 3 marzo 2006 con la quale l'Avvocato generale dello Stato ha trasmesso alla Presidenza del Consiglio dei Ministri lo schema di regolamento sul trattamento dei dati sensibili e giudiziari presso l'Avvocatura generale dello Stato e le Avvocature distrettuali, ai fini dell'adozione del medesimo regolamento da parte del Presidente del Consiglio dei Ministri; Visti gli allegati allo schema di regolamento, nell'ambito dei quali sono individuate le operazioni che possono spiegare effetti significativi per l'interessato, effettuate dall'Avvocatura dello Stato nei termini prescritti dal Codice e sono, altresi', descritte sinteticamente le operazioni ordinarie che l'Avvocatura dello Stato deve necessariamente svolgere per perseguire le finalita' di rilevante interesse pubblico individuate per legge (operazioni di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, utilizzo, blocco, cancellazione e distruzione); Considerato che, per quanto concerne tutti i trattamenti di cui sopra, e' stato verificato il rispetto dei principi e delle garanzie previste dall'articolo 22 del Codice, con particolare riferimento alla pertinenza, non eccedenza e indispensabilita' dei dati sensibili e giudiziari utilizzati rispetto alle finalita' da perseguire; all'indispensabilita' delle predette operazioni per il perseguimento delle finalita' di rilevante interesse pubblico individuate per legge, nonche' all'esistenza di fonti normative idonee a rendere lecite le medesime operazioni o, ove richiesta, all'indicazione scritta dei motivi; Visto il provvedimento generale del Garante della protezione dei dati personali del 30 giugno 2005; Vista l'autorizzazione n. 7/2005 al trattamento dei dati giudiziari da parte di privati, di enti pubblici economici e di soggetti pubblici, pubblicata nella Gazzetta Ufficiale della Repubblica italiana - serie generale - n. 2 del 3 gennaio 2006; Sentito il Garante per la protezione dei dati personali, espressosi con parere del 18 gennaio 2006, ai sensi dell'articolo 154, comma 1, lettera g) del Codice; Udito il parere del Consiglio di Stato, reso nella Adunanza del 13 giugno 2006, n. 5861/06; Vista la nota dell'Avvocatura generale dello Stato in data 2 marzo 2007, con la quale si trasmette, per l'ulteriore corso, lo schema di atto regolamentare sul trattamento dei dati sensibili e giudiziari; Rilevato che il presente atto non comporta impegno di spesa a carico del bilancio dello Stato e pertanto non assume rilevanza sotto il profilo contabile, eccezion fatta delle spese eventualmente sostenute per la sua diffusione; A d o t t a il seguente regolamento: Art. 1. Oggetto del Regolamento 1. Il presente regolamento, in attuazione del decreto legislativo 30 giugno 2003, n. 196, recante approvazione del «Codice in materia di protezione dei dati personali», d'ora innanzi «Codice», identifica i tipi di dati sensibili e giudiziari e le operazioni eseguibili da parte dell'Avvocatura dello Stato e delle Avvocature distrettuali nello svolgimento delle proprie funzioni istituzionali.
Avvertenza: Il testo delle note qui pubblicato e' stato redatto dall'amministrazione competente per materia, ai sensi dell'art. 10, comma 3, del testo unico delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo fine di facilitare la lettura delle disposizioni di legge alle quali e' operato il rinvio. Restano invariati il valore e l'efficacia degli atti legislativi qui trascritti. Note alle premesse. - Si riporta il testo dell'art. 17, commi 3 e 4, della legge 23 agosto 1988, n. 400: «3. Con decreto ministeriale possono essere adottati regolamenti nelle materie di competenza del Ministro o di autorita' sottordinate al Ministro, quando la legge espressamente conferisca tale potere. Tali regolamenti, per materie di competenza di piu' Ministri, possono essere adottati con decreti interministeriali, ferma restando la necessita' di apposita autorizzazione da parte della legge. I regolamenti ministeriali ed interministeriali non possono dettare norme contrarie a quelle dei regolamenti emanati dal Governo. Essi debbono essere comunicati al Presidente del Consiglio dei Ministri prima della loro emanazione. 4. I regolamenti di cui al comma 1 ed i regolamenti ministeriali ed interministeriali, che devono recare la denominazione di "regolamento", sono adottati previo parere del Consiglio di Stato, sottoposti al visto ed alla registrazione della Corte dei conti e pubblicati nella Gazzetta Ufficiale». - Si riporta il testo degli articoli 18, 19, 20, 21, 22 e 154, comma 1, lettera g) del decreto legislativo 30 giugno 2003, n. 196: «Art. 18 (Principi applicabili a tutti i trattamenti effettuati da soggetti pubblici). - 1. Le disposizioni del presente capo riguardano tutti i soggetti pubblici, esclusi gli enti pubblici economici. 2. Qualunque trattamento di dati personali da parte di soggetti pubblici e' consentito soltanto per lo svolgimento delle funzioni istituzionali. 3. Nel trattare i dati il soggetto pubblico osserva i presupposti e i limiti stabiliti dal presente codice, anche in relazione alla diversa natura dei dati, nonche' dalla legge e dai regolamenti. 4. Salvo quanto previsto nella Parte II per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici, i soggetti pubblici non devono richiedere il consenso dell'interessato. 5. Si osservano le disposizioni di cui all'art. 25 in tema di comunicazione e diffusione». «Art. 19 (Principi applicabili al trattamento di dati diversi da quelli sensibili e giudiziari). - 1. Il trattamento da parte di un soggetto pubblico riguardante dati diversi da quelli sensibili e giudiziari e' consentito, fermo restando quanto previsto dall'art. 18, comma 2, anche in mancanza di una norma di legge o di regolamento che lo preveda espressamente. 2. La comunicazione da parte di un soggetto pubblico ad altri soggetti pubblici e' ammessa quando e' prevista da una norma di legge o di regolamento. In mancanza di tale norma la comunicazione e' ammessa quando e' comunque necessaria per lo svolgimento di funzioni istituzionali e puo' essere iniziata se e' decorso il termine di cui all'art. 39, comma 2, non e' stata adottata la diversa determinazione ivi indicata. 3. La comunicazione da parte di un soggetto pubblico a privati o a enti pubblici economici e la diffusione da parte di un soggetto pubblico sono ammesse unicamente quando sono previste da una norma di legge o di regolamento». «Art. 20 (Principi applicabili al trattamento di dati sensibili). - 1. Il trattamento dei dati sensibili da parte di soggetti pubblici e' consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalita' di rilevante interesse pubblico perseguite. 2. Nei casi in cui una disposizione di legge specifica la finalita' di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento e' consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalita' perseguite nei singoli casi e nel rispetto dei principi di cui all'art. 22, con atto di natura regolamentare adottato in conformita' al parere espresso dal Garante ai sensi dell'art. 154, comma 1, lettera g), anche su schemi tipo. 3. Se il trattamento non e' previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attivita', tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalita' di rilevante interesse pubblico e per le quali e' conseguentemente autorizzato, ai sensi dell'art. 26, comma 2, il trattamento dei dati sensibili. Il trattamento e' consentito solo se il soggetto pubblico provvede altresi' a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2. 4. L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 e' aggiornata e integrata periodicamente». «Art. 21 (Principi applicabili al trattamento dei dati giudiziari). - 1. Il trattamento di dati giudiziari da parte di soggetti pubblici e' consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalita' di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili. 2. Le disposizioni di cui all'art. 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari. «Art. 22 (Principi applicabili al trattamento di dati sensibili). - 1. I soggetti pubblici conformano il trattamento dei dati sensibili e giudiziari secondo modalita' volte a prevenire violazioni dei diritti, delle liberta' fondamentali e della dignita' dell'interessato. 2. Nel fornire l'informativa di cui all'art. 13 i soggetti pubblici fanno espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale e' effettuato il trattamento dei dati sensibili e giudiziari. 3. I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attivita' istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa. 4. I dati sensibili e giudiziari sono raccolti, di regola, presso l'interessato. 5. In applicazione dell'art. 11, comma 1, lettere c), d) ed e), i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati sensibili e giudiziari, nonche' la loro pertinenza, completezza, non eccedenza e indispensabilita' rispetto alle finalita' perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. Al fine di assicurare che i dati sensibili e giudiziari siano indispensabili rispetto agli obblighi e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli adempimenti. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione e' prestata per la verifica dell'indispensabilita' dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti. 6. I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi e' autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessita'. 7. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalita' che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalita' di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l'ausilio di strumenti elettronici. 8. I dati idonei a rivelare lo stato di salute non possono essere diffusi. 9. Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del comma 3, i soggetti pubblici sono autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalita' per le quali il trattamento e' consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi. 10. I dati sensibili e giudiziari non possono essere trattati nell'ambito di test psicoattitudinali volti a definire il profilo o la personalita' dell'interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonche' i trattamenti di dati sensibili e giudiziari ai sensi dell'art. 14, sono effettuati solo previa annotazione scritta dei motivi. 11. In ogni caso, le operazioni e i trattamenti di cui al comma 10, se effettuati utilizzando banche di dati di diversi titolari, nonche' la diffusione dei dati sensibili e giudiziari, sono ammessi solo se previsti da espressa disposizione di legge. 12. Le disposizioni di cui al presente articolo recano principi applicabili, in conformita' ai rispettivi ordinamenti, ai trattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla Corte Costituzionale». «Art. 154 (Compiti). - 1. Oltre a quanto previsto da specifiche disposizioni, il Garante, anche avvalendosi dell'Ufficio e in conformita' al presente codice, ha il compito di: a) - f) (omissis); g) esprimere pareri nei casi previsti». «Art. 181 (Altre disposizioni transitorie). - 1. Per i trattamenti di dati personali iniziati prima del 1° gennaio 2004, in sede di prima applicazione del presente codice: a) l'identificazione con atto di natura regolamentare dei tipi di dati e di operazioni ai sensi degli articoli 20, commi 2 e 3, e 21, comma 2, e' effettuata, ove mancante, entro il 28 febbraio 2007». - Si riporta il testo degli articoli 15 e 18 del regio decreto 30 ottobre 1933, n. 1611 «Approvazione del testo unico delle leggi e delle norme giuridiche sulla rappresentanza e difesa in giudizio dello Stato e sull'ordinamento dell'Avvocatura dello Stato». «Art. 15 (L'Avvocato generale dello Stato). - 1. Oltre a quanto previsto da specifiche disposizioni, l'Avvocato generale dello Stato, ha il compito di: vigilare su tutti gli uffici, i servizi e il personale dell'Avvocatura dello Stato e soprintende alla loro organizzazione, dando le opportune disposizioni ed istruzioni generali; fa le proposte e adotta i provvedimenti espressamente attribuiti alla sua competenza, nonche' ogni altro provvedimento riguardante gli uffici ed il personale dell'Avvocatura dello Stato che non sia attribuito ad altra autorita». «Art. 18. L'Avvocatura dello Stato e' costituita dall'Avvocatura generale e dalle avvocature distrettuali. L'Avvocatura generale ha sede in Roma. Le avvocature distrettuali hanno sede in ciascun capoluogo di regione e, comunque, dove siano istituite sedi di corte d'appello. Nella circoscrizione della corte di appello di Roma le attribuzioni dell'avvocatura distrettuale sono esercitate dall'Avvocatura generale dello Stato. Nella circoscrizione della corte di appello di Torino l'avvocatura distrettuale di Torino ha competenza anche per la Valle d'Aosta».