Gazzetta n. 240 del 15 ottobre 2007 (vai al sommario)
MINISTERO DEL LAVORO E DELLA PREVIDENZA SOCIALE
DECRETO 3 agosto 2007, n. 168
Regolamento recante identificazione dei dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministero del lavoro e della previdenza sociale, in attuazione degli articoli 20 e 21 del decreto legislativo 30 giugno 2003, n. 196.

IL MINISTRO DEL LAVORO E DELLA PREVIDENZA SOCIALE

Visto il decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali» di seguito denominato piu' brevemente «Codice»;
Visti gli articoli 20, comma 2, e 21, comma 2, del Codice, i quali dispongono che, nel caso in cui una disposizione di legge specifichi la finalita' di rilevante interesse pubblico, ma non i tipi di dati sensibili e giudiziari trattabili ed i tipi di operazioni su questi eseguibili, il trattamento e' consentito solo in riferimento a quei tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, con atto di natura regolamentare, adottato in conformita' al parere espresso dal Garante, ai sensi dell'articolo 154, comma 1, lettera g), del medesimo Codice;
Considerato che possono spiegare effetti maggiormente significativi per l'interessato le operazioni svolte mediante i siti Web o volte a definire in forma completamente automatizzata profili o personalita' degli interessati, le interconnessioni e i raffronti tra banche di dati gestite da diversi titolari, nonche' la comunicazione dei dati a terzi e la loro diffusione;
Ritenuto di individuare analiticamente nelle schede allegate al presente regolamento, con riferimento alle predette operazioni che possono spiegare effetti maggiormente significativi per l'interessato, quelle effettuate da questa Amministrazione, in particolare le operazioni di comunicazione a terzi;
Ritenuto, altresi', di indicare sinteticamente anche le operazioni ordinarie che l'Amministrazione deve necessariamente svolgere per perseguire le finalita' di rilevante interesse pubblico individuate per legge (quali operazioni di raccolta, registrazione, organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione, estrazione, utilizzo, blocco, cancellazione e distruzione);
Considerato che per tutti i trattamenti di cui sopra e' stato verificato il rispetto dei principi e delle garanzie previste dall'articolo 22 del Codice, con particolare riferimento alla pertinenza, non eccedenza e indispensabilita' dei dati sensibili e giudiziari utilizzati rispetto alle finalita' perseguite;
Visto il provvedimento generale del Garante della protezione dei dati personali del 30 giugno 2005 (pubblicato in Gazzetta Ufficiale n. 170 del 23 luglio 2005);
Vista l'autorizzazione del Garante n. 7 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici;
Visto l'articolo 17, commi 3 e 4, della legge 23 agosto 1988, n. 400;
Visto il decreto del Presidente della Repubblica 26 marzo 2001, n. 176, come modificato dal decreto del Presidente della Repubblica 28 luglio 2004, n. 244, relativo al regolamento di riorganizzazione del Ministero del lavoro e delle politiche sociali nonche' il decreto-legge 18 maggio 2006, n. 181, convertito, con modificazioni, dalla legge 17 luglio 2006, n. 233, recante «Disposizioni urgenti in materia di riordino delle attribuzioni della Presidenza del Consiglio dei Ministri e dei Ministeri», per la parte relativa al trasferimento di funzioni dal Ministero del lavoro e delle politiche sociali al Ministero del lavoro e della previdenza sociale;
Vista la direttiva del Ministro della funzione pubblica in data 11 febbraio 2005, riguardante le «Misure finalizzate all'attuazione nelle pubbliche amministrazioni delle disposizioni contenute nel decreto legislativo 30 giugno 2003, n. 196»;
Ravvisata la necessita' di provvedere ad identificare le tipologie di dati sensibili e giudiziari trattati nell'ambito del Ministero del lavoro e della previdenza sociale, le finalita' d'interesse pubblico perseguite attraverso il trattamento dei citati dati, nonche' le operazioni eseguite con gli stessi;
Acquisito il parere favorevole del Garante per la protezione dei dati personali di cui all'articolo 154, comma 1, lettera g) del Codice, reso in data 28 febbraio 2007;
Udito il parere del Consiglio di Stato espresso dalla Sezione consultiva per gli atti normativi nell'adunanza del 9 luglio 2007;
Vista la comunicazione al Presidente del Consiglio dei Ministri effettuata, a norma dell'articolo 17, comma 3, della citata legge n. 400 del l988, con nota del 17 luglio 2007;
Adotta

il seguente regolamento:

Art. 1.

Oggetto del regolamento

1. Il presente regolamento, in attuazione degli articoli 20, comma 2, e 21, comma 2, del decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di protezione dei dati personali», di seguito denominato «Codice», identifica nelle schede allegate, che ne formano parte integrante, le tipologie di dati sensibili e giudiziari e di operazioni indispensabili per la gestione delle attivita' del Ministero del lavoro, nel perseguimento delle finalita' di rilevante interesse pubblico individuate dal Codice e dalle specifiche previsioni di legge.



Avvertenza:

Il testo delle note qui pubblicato e' stato redatto
dall'amministrazione competente per materia, ai sensi
dell'art. 10, comma 3, del testo unico delle disposizioni
sulla promulgazione delle leggi, sull'emanazione dei
decreti del Presidente della Repubblica e sulle
pubblicazioni ufficiali della Repubblica italiana,
approvato con D.P.R. 28 dicembre 1985, n. 1092, al solo
fine di facilitare la lettura delle disposizioni di legge
alle quali e' operato il rinvio. Restano invariati il
valore e l'efficacia degli atti legislativi qui trascritti.

Note alle premesse:

- Il testo del decreto legislativo 30 giugno 2003, n.
196 (Codice in materia di protezione dei dati personali),
e' pubblicato nella Gazzetta Ufficiale 29 luglio 2003, n.
174, supplemento ordinario.
- Il testo dell'art. 20, comma 2 del citato decreto
legislativo n. 196 del 2003, e' il seguente:
«Art. 20 (Principi applicabili al trattamento di dati
sensibili). - 1. (Omissis).
2. Nei casi in cui una disposizione di legge specifica
la finalita' di rilevante interesse pubblico, ma non i tipi
di dati sensibili e di operazioni eseguibili, il
trattamento e' consentito solo in riferimento ai tipi di
dati e di operazioni identificati e resi pubblici a cura
dei soggetti che ne effettuano il trattamento, in relazione
alle specifiche finalita' perseguite nei singoli casi e nel
rispetto dei principi di cui all'art. 22, con atto di
natura regolamentare adottato in conformita' al parere
espresso dal Garante ai sensi dell'art. 154, comma 1,
lettera g), anche su schemi tipo.».
- Il testo dell'art. 21, comma 2, del citato decreto
legislativo n. 196 del 2003, e' il seguente:
«Art. 21 (Principi applicabili al trattamento di dati
giudiziari). - 1. (Omissis).
2. Le disposizioni di cui all'art. 20, commi 2 e 4, si
applicano anche al trattamento dei dati giudiziari.».
- Il testo dell'art. 154, comma 1, lettera g), del
citato decreto legislativo n. 196 del 2003, e' il seguente:
«Art. 154 (Compiti). - 1. Oltre a quanto previsto da
specifiche disposizioni, il Garante, anche avvalendosi
dell'Ufficio e in conformita' al presente codice, ha il
compito di:
a) - f) (omissis);
g) esprimere pareri nei casi previsti.».
- Il testo dell'art. 22 del citato decreto legislativo
n. 196 del 2003, e' il seguente:
«Art. 22 (Principi applicabili al trattamento di dati
sensibili e giudiziari). - 1. I soggetti pubblici
conformano il trattamento dei dati sensibili e giudiziari
secondo modalita' volte a prevenire violazioni dei diritti,
delle liberta' fondamentali e della dignita'
dell'interessato.
2. Nel fornire l'informativa di cui all'art. 13 i
soggetti pubblici fanno espresso riferimento alla normativa
che prevede gli obblighi o i compiti in base alla quale e'
effettuato il trattamento dei dati sensibili e giudiziari.
3. I soggetti pubblici possono trattare solo i dati
sensibili e giudiziari indispensabili per svolgere
attivita' istituzionali che non possono essere adempiute,
caso per caso, mediante il trattamento di dati anonimi o di
dati personali di natura diversa.
4. I dati sensibili e giudiziari sono raccolti, di
regola, presso l'interessato.
5. In applicazione dell'art. 11, comma 1,
lettere c), d) ed e), i soggetti pubblici verificano
periodicamente l'esattezza e l'aggiornamento dei dati
sensibili e giudiziari, nonche' la loro pertinenza,
completezza, non eccedenza e indispensabilita' rispetto
alle finalita' perseguite nei singoli casi, anche con
riferimento ai dati che l'interessato fornisce di propria
iniziativa. Al fine di assicurare che i dati sensibili e
giudiziari siano indispensabili rispetto agli obblighi e ai
compiti loro attribuiti, i soggetti pubblici valutano
specificamente il rapporto tra i dati e gli adempimenti. I
dati che, anche a seguito delle verifiche, risultano
eccedenti o non pertinenti o non indispensabili non possono
essere utilizzati, salvo che per l'eventuale conservazione,
a norma di legge, dell'atto o del documento che li
contiene. Specifica attenzione e' prestata per la verifica
dell'indispensabilita' dei dati sensibili e giudiziari
riferiti a soggetti diversi da quelli cui si riferiscono
direttamente le prestazioni o gli adempimenti.
6. I dati sensibili e giudiziari contenuti in elenchi,
registri o banche di dati, tenuti con l'ausilio di
strumenti elettronici, sono trattati con tecniche di
cifratura o mediante l'utilizzazione di codici
identificativi o di altre soluzioni che, considerato il
numero e la natura dei dati trattati, li rendono
temporaneamente inintelligibili anche a chi e' autorizzato
ad accedervi e permettono di identificare gli interessati
solo in caso di necessita'.
7. I dati idonei a rivelare lo stato di salute e la
vita sessuale sono conservati separatamente da altri dati
personali trattati per finalita' che non richiedono il loro
utilizzo. I medesimi dati sono trattati con le modalita' di
cui al comma 6 anche quando sono tenuti in elenchi,
registri o banche di dati senza l'ausilio di strumenti
elettronici.
8. I dati idonei a rivelare lo stato di salute non
possono essere diffusi.
9. Rispetto ai dati sensibili e giudiziari
indispensabili ai sensi del comma 3, i soggetti pubblici
sono autorizzati ad effettuare unicamente le operazioni di
trattamento indispensabili per il perseguimento delle
finalita' per le quali il trattamento e' consentito, anche
quando i dati sono raccolti nello svolgimento di compiti di
vigilanza, di controllo o ispettivi.
10. I dati sensibili e giudiziari non possono essere
trattati nell'ambito di test psico-attitudinali volti a
definire il profilo o la personalita' dell'interessato. Le
operazioni di raffronto tra dati sensibili e giudiziari,
nonche' i trattamenti di dati sensibili e giudiziari ai
sensi dell'art. 14, sono effettuati solo previa annotazione
scritta dei motivi.
11. In ogni caso, le operazioni e i trattamenti di cui
al comma 10, se effettuati utilizzando banche di dati di
diversi titolari, nonche' la diffusione dei dati sensibili
e giudiziari, sono ammessi solo se previsti da espressa
disposizione di legge.
12. Le disposizioni di cui al presente articolo recano
principi applicabili, in conformita' ai rispettivi
ordinamenti, ai trattamenti disciplinati dalla Presidenza
della Repubblica, dalla Camera dei deputati, dal Senato
della Repubblica e dalla Corte costituzionale.».
- Il testo del provvedimento generale del Garante della
protezione dei dati personali 30 giugno 2005, reca:
«Differimento dell'efficacia delle autorizzazioni per il
trattamento dei dati sensibili e giudiziari».
- Il testo dell'art. 17, commi 3 e 4, della legge
23 agosto 1988, n. 400 (Disciplina dell'attivita' di
Governo e ordinamento della Presidenza del Consiglio dei
Ministri), e' il seguente:
«3. Con decreto ministeriale possono essere adottati
regolamenti nelle materie di competenza del Ministro o di
autorita' sottordinate al Ministro, quando la legge
espressamente conferisca tale potere. Tali regolamenti, per
materie di competenza di piu' Ministri, possono essere
adottati con decreti interministeriali, ferma restando la
necessita' di apposita autorizzazione da parte della legge.
I regolamenti ministeriali ed interministeriali non possono
dettare norme contrarie a quelle dei regolamenti emanati
dal Governo. Essi debbono essere comunicati al Presidente
del Consiglio dei Ministri prima della loro emanazione.
4. I regolamenti di cui al comma 1 ed i regolamenti
ministeriali ed interministeriali, che devono recare la
denominazione di "regolamento", sono adottati previo parere
del Consiglio di Stato, sottoposti al visto ed alla
registrazione della Corte dei conti e pubblicati nella
Gazzetta Ufficiale.».
- Il testo del decreto del Presidente della Repubblica
26 marzo 2001, n. 176 (Regolamento di organizzazione del
Ministero del lavoro, della salute e delle politiche
sociali), e' pubblicato nella Gazzetta Ufficiale 18 maggio
2001, n. 114, supplemento ordinario.
- Il testo del decreto-legge 18 maggio 2006, n. 181
(Disposizioni urgenti in materia di riordino delle
attribuzioni della Presidenza del Consiglio dei Ministri e
dei Ministeri), convertito, con modificazioni, dalla legge
17 luglio 2006, n. 233, e' pubblicato nella Gazzetta
Ufficiale 18 maggio 2006, n. 114.
Nota all'art. 1:
- Per il testo degli articoli 20, comma 2, e 21,
comma 2, del citato decreto legislativo n. 196 del 2003, si
veda in note alle premesse.



 
Art. 2.

Individuazione dei tipi di dati e di operazioni eseguibili

1. I dati sensibili e giudiziari individuati dal presente regolamento sono trattati previa verifica della loro pertinenza, completezza e indispensabilita' rispetto alle finalita' perseguite nei singoli casi, specie quando la raccolta non avvenga presso l'interessato.
2. Le operazioni di comunicazione a terzi individuate nel presente regolamento sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o compiti di volta in volta indicati e solo per il perseguimento delle rilevanti finalita' di interesse pubblico specificate; le operazioni sopraindicate sono, inoltre, svolte nel rispetto delle disposizioni in materia di protezione dei dati personali e degli altri limiti stabiliti dalla legge e dai regolamenti.
3. Sono inutilizzabili i dati trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali.
 
Art. 3.

Aggiornamento periodico dei dati

1. L'identificazione dei tipi di dati sensibili e giudiziari e delle operazioni su questi eseguibili, di cui alle schede allegate al presente decreto, e' aggiornata in relazione ad eventuali esigenze sopravvenute e, comunque, con periodicita' almeno triennale.
Il presente decreto, munito del sigillo dello Stato, sara' inserito nella raccolta ufficiale degli atti normativi della Repubblica italiana. E' fatto obbligo a chiunque spetti osservarlo e di farlo osservare.
Roma, 3 agosto 2007

Il Ministro: Damiano Visto, il Guardasigilli: Mastella

Registrato alla Corte dei conti il 24 settembre 2007 Ufficio di controllo preventivo sui Ministeri di servizi alla persona e dei beni culturali, registro n. 6, foglio n. 242
 
Allegato

----> Vedere da pag. 6 a pag. 18 <----
 
Gazzetta Ufficiale Serie Generale per iPhone