A tutti i Ministeri
Ai comuni e alle province
Agli enti pubblici non economici
All'ANCI
All'UPI
e, per conoscenza:
Al Garante per la protezione dei
dati personali
Questa Presidenza, con circolare 24 dicembre 1999, n. DAGL/643 -
PRES.98, ha fornito alcune indicazioni sugli adempimenti ai quali
sono tenuti i soggetti pubblici, ai sensi dell'art. 5, comma 3, del
decreto legislativo n. 135/1999.
Gli elementi pervenuti a seguito della richiamata circolare,
riguardanti un campione significativo di amministrazioni, locali e
centrali, inducono questa Presidenza a ritenere necessarie alcune
ulteriori precisazioni, sia per quanto attiene ai tipi di dati sia, e
soprattutto, con riferimento alle operazioni eseguibili ed agli
adempimenti successivi alla ricognizione effettuata.
Si forniscono, dunque, i seguenti chiarimenti, ai fini di un
corretto ed omogeneo espletamento degli adempimenti sopra richiamati.
Va premesso in proposito, che la finalita' dell'individuazione dei
tipi di dati e di operazioni eseguibili consiste, da un lato, nella
verifica della rispondenza di detti elementi a quanto previsto dalla
legge n. 675 del 1996 e successive modificazioni, nonche' dai
provvedimenti comunque attuativi di quella legge delega; dall'altro,
nella pubblicita' che, tramite la pubblicazione nella Gazzetta
Ufficiale, e' data a tali trattamenti, eseguiti dall'ente pubblico in
vista delle finalita' di rilevante interesse pubblico. Finalita'
tutte individuate da atti aventi valore di legge o da autorizzazioni
del Garante dei dati personali.
Naturalmente, ove nell'esercizio dell'attivita' di individuazione e
verifica, si riscontrasse che alcuni tipi di dati o di operazioni non
sono conformi ai principi fissati dalla stessa legge n. 675 e dalle
norme di attuazione della stessa, particolarmente con riferimento
alla stretta attinenza alla finalita' di interesse pubblico sopra
richiamata, sara' compito del soggetto pubblico procedente adeguare
al nuovo quadro normativo la propria attivita'.
Cio' premesso, si osserva piu' nel dettaglio quanto segue:
1. Innanzitutto va precisato che l'individuazione di cui
all'oggetto attiene esclusivamente ai dati sensibili o ai dati di
carattere giudiziario. Dati sensibili sono quelli che attengono
all'origine razziale o etnica, alle convinzioni religiose o
filosofiche, alle opinioni politiche, all'adesione a partiti e
sindacati, associazioni a carattere religioso, filosofico, politico o
sindacale, allo stato di salute e alla vita e abitudini sessuali.
Vanno, quindi, esclusi dalla richiamata ricognizione i tipi di dati
personali che, pur essendo correlati alle finalita' di rilevante
interesse pubblico indicate dagli articoli 7 e seguenti del decreto
legislativo n. 135/1999 e nell'atto di autorizzazione del Garante
30 dicembre 1999-13 gennaio 2000 (nella Gazzetta Ufficiale n. 24 del
2 febbraio 2000), non possono qualificarsi come "sensibili". Cosi',
non rientrano nella predetta ricognizione i dati che attengono alla
condizione economica, a status professionali o sociali, a requisiti
culturali, alla rappresentativita' o al ruolo dei soggetti
interessati all'interno di associazioni di carattere diverso da
quello indicato nell'articolo 22 della legge n. 675/1996. Vanno,
altresi', esclusi i dati che, identificati genericamente come
attinenti ai requisiti morali e alle doti di irreprensibilita' o di
carattere possedute, o al decoro e al comportamento tenuto, non
rientrano in nessuna delle categorie sopra indicate, in quanto non
idonee a rivelare le abitudini sessuali o le convinzioni religiose,
politiche, filosofiche, ecc.
2. In secondo luogo, occorre che, ciascuna delle finalita' di
rilevante interesse pubblico, siano identificati i tipi di dati
sensibili o di carattere giudiziario cui si fa riferimento. E'
necessario, cioe', specificare quale tipo di dato sensibile sia
trattato dal soggetto pubblico per quella determinata finalita' di
interesse pubblico. Considerata, infatti, la varieta' di tali dati
sensibili, richiamati al punto 1, soltanto in tal modo e' possibile
verificare la pertinenza e la necessita' del trattamento. Il richiamo
generico alla categoria "dati sensibili" puo' ritenersi consentito
limitatamente ai casi nei quali non e' possibile individuare
puntualmente e preliminarmente il particolare tipo di dato sensibile
che puo' essere oggetto di trattazione per il perseguimento della
finalita' di interesse pubblico individuata come sopra ricordato. (Ad
es., per le ipotesi relative alle sanzioni disciplinari o alle
interrogazioni parlamentari, potenzialmente estese a qualunque dato
sensibile).
3. La ricognizione dovra' essere estesa anche alle finalita' di
carattere socio-assistenziale, che legittimano il trattamento dei
dati sensibili, in conformita' a quanto previsto nel provvedimento di
autorizzazione emanato dal Garante per la protezione dei dati
personali, ad integrazione della individuazione effettuata dalle
disposizioni legislative contenute nel Capo II del decreto
legislativo n. 135/1999. Va, in proposito, sottolineato che i dati
relativi alla condizione dello straniero, all'origine razziale ed
etnica o all'appartenenza religiosa, riportati su atti provenienti
dall'estero, possono essere trattati, oltre che per le finalita'
indicate dal decreto legislativo n. 135/1999, soltanto se
strettamente pertinenti e necessari per il perseguimento dei fini
indicati nel provvedimento del Garante.
4. Va particolarmente richiamata l'attenzione delle
amministrazioni in indirizzo sulla circostanza che l'individuazione
dei tipi di dati e di operazioni eseguibili non deve esaurirsi
nell'indicazione dell'attivita' procedimentale che riguarda detti
dati e dette operazioni; ne' puo' consistere nel mero richiamo delle
norme di rango primario vigenti. L'individuazione deve riguardare i
tipi di dati effettivamente trattati e le operazioni effettivamente
eseguite. Al fine di chiarire meglio le modalita' dell'attivita'
richiesta a codeste amministrazioni, e' allegato alla presente uno
schema, che intende fornire un ausilio pratico ed un suggerimento
operativo per dare attuazione completa agli adempimenti prescritti.
5. Va precisato, a chiarimento dello schema e della conseguente
individuazione richiesta all'amministrazione, che la descrizione dei
trattamenti effettuati sui dati sensibili potra' essere realizzata in
forma semplificata e cioe' senza l'analitico riferimento alle
operazioni descritte nell'art. 1, comma 1, lettera b), della legge n.
675 del 1996. Dette operazioni, infatti, possono essere raggruppate
in categorie piu' ampie, come:
a) la raccolta, con la precisazione se essa avvenga presso
l'interessato o meno;
b) l'attivita' svolta all'interno della stessa amministrazione
(conservazione, registrazione, organizzazione, modificazione,
cancellazione, distruzione, con l'eventuale indicazione dei termini
di dette operazioni);
c) l'attivita' di trasmissione all'esterno (comunicazione,
diffusione), per finalita' di rilevante interesse pubblico perseguite
da altri soggetti;
d) evidenziazione dei casi nei quali il trattamento e' di tipo
statico, e cioe' di mera conservazione e trascrizione dei dati, o di
tipo dinamico (costituzione di banche-dati, effettuazione di
elaborazioni complesse, selezione, estrazione, aggregazione,
correlazione ecc.).
6. L'attivita' imposta alle amministrazioni dalle disposizioni
del decreto legislativo n. 135/1999, non si conclude con la verifica
del rispetto e con l'eventuale conformazione del trattamento
effettuato ai criteri e principi stabiliti dalla normativa. Obbligo
essenziale previsto dall'art. 5 del decreto legislativo citato e'
infatti la pubblicazione degli elementi richiamati, in modo da
consentire la conoscenza e il controllo degli interessati sul
trattamento dei dati sensibili da parte di ciascun soggetto pubblico
autorizzato. La pubblicazione deve essere effettuata nelle forme che
conseguono la finalita' della piu' ampia diffusione delle
informazioni.
Va, infine, segnalato che l'individuazione dei tipi di dati e di
operazioni eseguibili dovra' essere oggetto di verifica anche
successiva, ai fini sia del completamento di detta rilevazione sia
del necessario continuo aggiornamento degli elementi rilevati e resi
pubblici.
Il capo del Dipartimento
per gli affari giuridici e legislativi