|
Testo in vigore dal:
30-1-2007
IL MINISTRO DELL'ISTRUZIONE DELL'UNIVERSITA' E DELLA RICERCA
Visto il decreto
legislativo 30 giugno 2003, n. 196, recante «Codice in materia di
protezione dei dati personali»;
Visti in particolare gli articoli 20, comma 2, e 21, comma 2, del citato
decreto legislativo 30 giugno 2003, n. 196, i quali dispongono che, nel
caso in cui una disposizione di legge specifichi la finalita' di
rilevante interesse pubblico, ma non i tipi di dati sensibili e
giudiziari trattabili ed i tipi di operazioni su questi eseguibili, il
trattamento e' consentito solo in riferimento a quei tipi di dati e di
operazioni identificati e resi pubblici a cura dei soggetti che ne
effettuano il trattamento, in relazione alle specifiche finalita'
perseguite nei singoli casi;
Visto in particolare l'articolo 20, comma 2, del citato decreto
legislativo 30 giugno 2003, n. 196, in cui e' stabilito che detta
identificazione deve avvenire con atto di natura regolamentare adottato
in conformita' al parere espresso dal Garante, ai sensi dell'articolo
154, comma 1, lettera g) del medesimo decreto legislativo;
Considerato che possono spiegare effetti maggiormente significativi per
l'interessato le operazioni svolte, in particolare, pressoche'
interamente mediante siti web o volte a definire in forma completamente
automatizzata profili o personalita' di interessati, le interconnessioni
e i raffronti, di cui all'articolo 4, comma 1, lettera a) del citato
decreto legislativo 30 giugno 2003, n. 196, tra banche di dati gestite da
diversi titolari oppure con altre informazioni sensibili e giudiziarie
detenute dal medesimo titolare del trattamento, nonche' la comunicazione
dei dati a terzi;
Ritenuto di individuare analiticamente nelle schede allegate al presente
regolamento, con riferimento alle predette operazioni che possono
spiegare effetti maggiormente significativi per l'interessato, quelle
effettuate da questa amministrazione, dalle istituzioni scolastiche e
educative e dagli istituti regionali di ricerca educativa, in particolare
le operazioni di interconnessione e di raffronto tra banche di dati
gestite da diversi titolari, oppure con altre informazioni sensibili e
giudiziarie detenute dal medesimo titolare del trattamento, nonche' di
comunicazione a terzi;
Ritenuto, altresi', di indicare sinteticamente anche le operazioni
ordinarie che i diversi titolari indicati nel presente regolamento devono
necessariamente svolgere per perseguire le finalita' di rilevante
interesse pubblico individuate per legge (operazioni di raccolta,
registrazione, organizzazione, conservazione, consultazione,
elaborazione, modificazione, selezione, estrazione, utilizzo, blocco,
cancellazione e distruzione);
Considerato che per quanto concerne tutti i trattamenti di cui sopra e'
stato verificato il rispetto dei principi e delle garanzie previste
dall'articolo 22 del citato decreto legislativo 30 giugno 2003, n. 196,
con particolare riferimento alla pertinenza, non eccedenza e
indispensablita' dei dati sensibili e giudiziari utilizzati rispetto alle
finalita' perseguite, all'indispensabilita' delle predette operazioni per
il perseguimento delle finalita' di rilevante interesse pubblico
individuate per legge, nonche' all'esistenza di fonti normative idonee a
rendere lecite le medesime operazioni o, ove richiesta, all'indicazione
scritta dei motivi;
Visto il provvedimento generale del Garante della protezione dei dati
personali del 30 giugno 2005 (pubblicato in Gazzetta Ufficiale n. 170 del
23 luglio 2005); Visto l'articolo 17, commi 3 e 4, della legge 23 agosto
1988, n. 400;
Visto il decreto del Presidente della Repubblica 11 agosto 2003, n. 319
relativo al regolamento dell'organizzazione e delle funzioni degli uffici
di livello dirigenziale generale dell'amministrazione centrale e
periferica del Ministero dell'istruzione, dell'universita' e della
ricerca;
Vista la direttiva del Ministro della funzione pubblica in data 11
febbraio 2005, riguardante le «Misure finalizzate all'attuazione nelle
pubbliche amministrazioni delle disposizioni contenute nel decreto
legislativo 30 giugno 2003, n. 196»;
Ravvisata la necessita' di provvedere ad identificare le tipologie di
dati sensibili e giudiziari trattati nell'ambito dell'amministrazione
dell'istruzione, le finalita' d'interesse pubblico perseguite attraverso
il trattamento dei citati dati, nonche' le operazioni eseguite con gli
stessi;
Sentito il Garante per la protezione dei dati personali di cui
all'articolo 154, comma 1, lettera g) del citato decreto legislativo 30
giugno 2003, n 196;
Udito il parere del Consiglio di Stato espresso dalla Sezione consultiva
per gli atti normativi nell'adunanza del 6 novembre 2006;
Vista la comunicazione al Presidente del Consiglio dei Ministri
effettuata, a norma dell'articolo 17, comma 3, della citata legge n. 400
del 1988, con nota del 21 novembre 2006;
Adotta
il seguente regolamento:
Art. 1
Oggetto del regolamento
1. Il presente
regolamento, in attuazione degli articoli 20, comma 2, e 21, comma 2, del
decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia
di protezione dei dati personali», di seguito denominato «codice»,
identifica nelle schede allegate, che ne formano parte integrante, le
tipologie di dati sensibili e giudiziari e di operazioni indispensabili
per la gestione del sistema dell'istruzione, nel perseguimento delle
finalita' di rilevante interesse pubblico individuate dal codice e dalle
specifiche previsioni di legge.
Avvertenza:
Il testo delle note qui pubblicate e' stato redatto dall'amministrazione
competente per materia, ai sensi dell'art. 10, comma 3, del testo unico
delle disposizioni sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle pubblicazioni ufficiali,
della Repubblica italiana, approvato con D.P.R. 28 dicembre 1985, n.
1092, al solo fine di facilitare la lettura delle disposizioni di legge
alle quali e' operato il rinvio.
Restano invariati il valore e l'efficacia degli atti legislativi qui
trascritti. Note al preambolo:
- Si riporta il testo dell'art. 4, comma 1, lettera a), dell'art. 20,
comma 2, dell'art. 21, comma 2, dell'art. 22 e dell'art. 154, comma 1,
lettera g) del decreto legislativo 30 giugno 2003, n. 196: «Art. 4
(Definizioni). - 1. Ai fini del presente codice si intende per:
a) «trattamento», qualunque operazione o complesso di operazioni,
effettuati anche senza l'ausilio di strumenti elettronici, concernenti la
raccolta, la registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la
comunicazione, la diffusione, la cancellazione e la distruzione di dati,
anche se non registrati in una banca di dati;». «Art. 20 (Principi
applicabili al trattamento di dati sensibili). - 1. (Omissis ...).
2. Nei casi in cui una disposizione di legge specifica la finalita' di
rilevante interesse pubblico, ma non i tipi di dati sensibili e di
operazioni eseguibili, il trattamento e' consentito solo in riferimento
ai tipi di dati e di operazioni identificati e resi pubblici a cura dei
soggetti che ne effettuano il trattamento, in relazione alle specifiche
finalita' perseguite nei singoli casi e nel rispetto dei principi di cui
all'art. 22, con atto di natura regolamentare adottato in conformita' al
parere espresso dal Garante ai sensi dell'art. 154, comma 1, lettera g),
anche su schemi tipo.».
«Art. 21 (Principi applicabili al trattamento di dati giudiziari). - 1.
(Omissis ...).
2. Le disposizioni di cui all'art. 20, commi 2 e 4, si applicano anche al
trattamento dei dati giudiziari.». «Art. 22 (Principi applicabili al
trattamento di dati sensibili e giudiziari). - 1. I soggetti pubblici
conformano il trattamento dei dati sensibili e giudiziari secondo
modalita' volte a prevenire violazioni dei diritti, delle liberta'
fondamentali e della dignita' dell'interessato.
2. Nel fornire l'informativa di cui all'art. 13 i soggetti pubblici fanno
espresso riferimento alla normativa che prevede gli obblighi o i compiti
in base alla quale e' effettuato il trattamento dei dati sensibili e
giudiziari.
3. I soggetti pubblici possono trattare solo i dati sensibili e
giudiziari indispensabili per svolgere attivita' istituzionali che non
possono essere adempiute, caso per caso, mediante il trattamento di dati
anonimi o di dati personali di natura diversa.
4. I dati sensibili e giudiziari sono raccolti, di regola, presso
l'interessato.
5. In applicazione dell'art. 11, comma 1, lettere c), d) ed e), i
soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento
dei dati sensibili e giudiziari, nonche' la loro pertinenza, completezza,
non eccedenza e indispensabilita' rispetto alle finalita' perseguite nei
singoli casi, anche con riferimento ai dati che l'interessato fornisce di
propria iniziativa. Al fine di assicurare che i dati sensibili e
giudiziari siano indispensabili rispetto agli obblighi e ai compiti loro
attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i
dati e gli adempimenti. I dati che, anche a seguito delle verifiche,
risultano eccedenti o non pertinenti o non indispensabili non possono
essere utilizzati, salvo che per l'eventuale conservazione, a norma di
legge, dell'atto o del documento che li contiene. Specifica attenzione e'
prestata per la verifica dell'indispensabilita' dei dati sensibili e
giudiziari riferiti a soggetti diversi da quelli cui si riferiscono
direttamente le prestazioni o gli adempimenti.
6. I dati sensibili e giudiziari contenuti in elenchi, registri o banche
di dati, tenuti con l'ausilio di strumenti elettronici, sono trattati con
tecniche di cifratura o mediante l'utilizzazione di codici identificativi
o di altre soluzioni che, considerato il numero e la natura dei dati
trattati, li rendono temporaneamente inintelligibili anche a chi e'
autorizzato ad accedervi e permettono di identificare gli interessati
solo in caso di necessita'.
7. I dati idonei a rivelare lo stato di salute e la vita sessuale sono
conservati separatamente da altri dati personali trattati per finalita'
che non richiedono il loro utilizzo. I medesimi dati sono trattati con le
modalita' di cui al comma 6 anche quando sono tenuti in elenchi, registri
o banche di dati senza l'ausilio di strumenti elettronici.
8. I dati idonei a rivelare lo stato di salute non possono essere
diffusi.
9. Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del
comma 3, i soggetti pubblici sono autorizzati ad effettuare unicamente le
operazioni di trattamento indispensabili per il perseguimento delle
finalita' per le quali il trattamento e' consentito, anche quando i dati
sono raccolti nello svolgimento di compiti di vigilanza, di controllo o
ispettivi.
10. I dati sensibili e giudiziari non possono essere trattati nell'ambito
di test psicoattitudinali volti a definire il profilo o la personalita'
dell'interessato. Le operazioni di raffronto tra dati sensibili e
giudiziari, nonche' i trattamenti di dati sensibili e giudiziari ai sensi
dell'art. 14, sono effettuati solo previa annotazione scritta dei motivi.
11. In ogni caso, le operazioni e i trattamenti di cui al comma 10, se
effettuati utilizzando banche di dati di diversi titolari, nonche' la
diffusione dei dati sensibili e giudiziari, sono ammessi solo se previsti
da espressa disposizione di legge.
12. Le disposizioni di cui al presente articolo recano principi
applicabili, in conformita' ai rispettivi ordinamenti, ai trattamenti
disciplinati dalla Presidenza della Repubblica, dalla Camera dei
deputati, dal Senato della Repubblica e dalla Corte costituzionale.».
«Art. 154 (Compiti). - 1. Oltre a quanto previsto da specifiche
disposizioni, il Garante, anche avvalendosi dell'Ufficio e in conformita'
al presente codice, ha il compito di:
a)-f) (omissis ...);
g) esprimere pareri nei casi previsti;».
- Il provvedimento generale del Garante della protezione dei dati
personali del 30 giugno 2005 reca: «Trattamento dei dati sensibili nella
pubblica amministrazione.».
- Si riporta il testo dell'art. 17, commi 3 e 4, della legge 23 agosto
1988, n. 400: «3. Con decreto ministeriale possono essere adottati
regolamenti nelle materie di competenza del Ministro o di Autorita'
sottordinate al Ministro, quando la legge espressamente conferisca tale
potere. Tali regolamenti, per materie di competenza di piu' Ministri,
possono essere adottati con decreti interministeriali, ferma restando la
necessita' di apposita autorizzazione da parte della legge. I regolamenti
ministeriali ed interministeriali non possono dettare norme contrarie a
quelle dei regolamenti emanati dal Governo.
Essi debbono essere comunicati al Presidente del Consiglio dei Ministri
prima della loro emanazione.
4. I regolamenti di cui al comma 1 ed i regolamenti ministeriali ed
interministeriali, che devono recare la denominazione di «Regolamento»,
sono adottati previo parere del Consiglio di Stato, sottoposti al visto
ed alla registrazione della Corte dei conti e pubblicati nella Gazzetta
Ufficiale.».
- Il decreto del Presidente della Repubblica 11 agosto 2003, n. 319,
recante «Regolamento di organizzazione del Ministero dell'istruzione,
dell'universita' e della ricerca» e' pubblicato nella Gazzetta
Ufficiale, supplemento ordinario n. 270 del 20 novembre 2003.
Nota
all'art. 1:
- Per il testo dell'art. 20, comma 2, e dell'art. 21, comma 2, del
decreto legislativo 30 giugno 2003, n. 196 si vedano le note al
preambolo.
Art. 2
Individuazione dei tipi
di dati e di operazioni eseguibili
1. I dati sensibili e
giudiziari individuati dal presente regolamento sono trattati previa
verifica della loro pertinenza, completezza e indispensabilita' rispetto
alle finalita' perseguite nei singoli casi, specie quando la raccolta non
avvenga presso l'interessato.
2. Le operazioni di interconnessione e raffronto con banche di dati di
altri titolari del trattamento e di comunicazione a terzi individuate nel
presente regolamento sono ammesse soltanto se indispensabili allo
svolgimento degli obblighi o compiti di volta in volta indicati e solo
per il perseguimento delle rilevanti finalita' di interesse pubblico
specificate, le operazioni sopraindicate sono inoltre svolte nel rispetto
delle disposizioni in materia di protezione dei dati personali e degli
altri limiti stabiliti dalla legge e dai regolamenti.
3. I raffronti e le interconnessioni con altre informazioni sensibili e
giudiziarie sono consentite soltanto previa verifica della loro stretta
indispensabilita' rispetto ai singoli casi e previa indicazione scritta
dei motivi che ne giustificano l'effettuazione. Le operazioni effettuate
utilizzando banche di dati di diversi titolari del trattamento e la
diffusione di dati sensibili e giudiziari sono ammesse esclusivamente
previa verifica della loro stretta indispensabilita' in relazione ai
singoli casi e nel rispetto dei limiti e con le modalita' stabiliti dalle
disposizioni legislative che le prevedono.
4. Sono inutilizzabili i dati trattati in violazione della disciplina
rilevante in materia di trattamento dei dati personali.
Art. 3
Norma finale
1. L'identificazione dei
tipi di dati sensibili e giudiziari e delle operazioni su questi
eseguibili, di cui alle schede allegate al presente decreto, e'
aggiornata in relazione ad eventuali esigenze sopravvenute e, comunque,
con periodicita' triennale. Il presente decreto, munito del sigillo di
Stato, sara' inserito nella Raccolta ufficiale degli atti normativi della
Repubblica italiana.
E' fatto obbligo a chiunque spetti di osservarlo e di farlo osservare.
Roma, 7 dicembre 2006
Il Ministro: Fioroni
Visto, il Guardasigilli:
Mastella
Registrato alla Corte dei
conti il 5 gennaio 2007
Ufficio di controllo preventivo sui Ministeri dei servizi alla persona e
dei beni culturali, registro n. 1, foglio n. 1
Schede
|