Gazzetta Ufficiale n. 101 del 3 maggio 2000

A tutti i Ministeri
Ai comuni e alle province
Agli enti pubblici non economici
All'ANCI All'UPI

                                              e, per conoscenza: silpol

                 Al Garante per la protezione dei dati personali

        Questa Presidenza, con circolare 24 dicembre 1999, n. DAGL/643 - PRES.98, ha fornito alcune indicazioni sugli adempimenti ai quali sono tenuti i soggetti pubblici, ai sensi dell'art. 5, comma 3, del decreto legislativo n. 135/1999.
        Gli elementi pervenuti a seguito della richiamata circolare, riguardanti un campione significativo di amministrazioni, locali e centrali, inducono questa Presidenza a ritenere necessarie alcune ulteriori precisazioni, sia per quanto attiene ai tipi di dati sia, e soprattutto, con riferimento alle operazioni eseguibili ed agli adempimenti successivi alla ricognizione effettuata.
        Si forniscono, dunque, i seguenti chiarimenti, ai fini di un corretto ed omogeneo espletamento degli adempimenti sopra richiamati.
        Va premesso in proposito, che la finalità dell'individuazione dei tipi di dati e di operazioni eseguibili consiste, da un lato, nella verifica della rispondenza di detti elementi a quanto previsto dalla legge n. 675 del 1996 e successive modificazioni, nonché dai provvedimenti comunque attuativi di quella legge delega; dall'altro, nella pubblicità che, tramite la pubblicazione nella Gazzetta Ufficiale, è data a tali trattamenti, eseguiti dall'ente pubblico in vista delle finalità di rilevante interesse pubblico. Finalità tutte individuate da atti aventi valore di legge o da autorizzazioni del Garante dei dati personali.
        Naturalmente, ove nell'esercizio dell'attività di individuazione e verifica, si riscontrasse che alcuni tipi di dati o di operazioni non sono conformi ai principi fissati dalla stessa legge n. 675 e dalle norme di attuazione della stessa, particolarmente con riferimento alla stretta attinenza alla finalità di interesse pubblico sopra richiamata, sarà compito del soggetto pubblico procedente adeguare al nuovo quadro normativo la propria attività.

        Ciò premesso, si osserva più nel dettaglio quanto segue:

1. Innanzitutto va precisato che l'individuazione di cui all'oggetto attiene esclusivamente ai dati sensibili o ai dati di carattere giudiziario. Dati sensibili sono quelli che attengono all'origine razziale o etnica, alle convinzioni religiose o filosofiche, alle opinioni politiche, all'adesione a partiti e sindacati, associazioni a carattere religioso, filosofico, politico o sindacale, allo stato di salute e alla vita e abitudini sessuali.
Vanno, quindi, esclusi dalla richiamata ricognizione i tipi di dati personali che, pur essendo correlati alle finalità di rilevante interesse pubblico indicate dagli articoli 7 e seguenti del decreto legislativo n. 135/1999 e nell'atto di autorizzazione del Garante 30 dicembre 1999-13 gennaio 2000 (nella Gazzetta Ufficiale n. 24 del 2 febbraio 2000), non possono qualificarsi come "sensibili". Così, non rientrano nella predetta ricognizione i dati che attengono alla condizione economica, a status professionali o sociali, a requisiti culturali, alla rappresentatività o al ruolo dei soggetti interessati all'interno di associazioni di carattere diverso da quello indicato nell'articolo 22 della legge n. 675/1996. Vanno, altresì, esclusi i dati che, identificati genericamente come attinenti ai requisiti morali e alle doti di irreprensibilità o di carattere possedute, o al decoro e al comportamento tenuto, non rientrano in nessuna delle categorie sopra indicate, in quanto non idonee a rivelare le abitudini sessuali o le convinzioni religiose, politiche, filosofiche, ecc.

2. In secondo luogo, occorre che, ciascuna delle finalità di rilevante interesse pubblico, siano identificati i tipi di dati sensibili o di carattere giudiziario cui si fa riferimento. È necessario, cioè, specificare quale tipo di dato sensibile sia trattato dal soggetto pubblico per quella determinata finalità di interesse pubblico. Considerata, infatti, la varietà di tali dati sensibili, richiamati al punto 1, soltanto in tal modo è possibile verificare la pertinenza e la necessità del trattamento. Il richiamo generico alla categoria "dati sensibili" può ritenersi consentito limitatamente ai casi nei quali non è possibile individuare puntualmente e preliminarmente il particolare tipo di dato sensibile che può essere oggetto di trattazione per il perseguimento della finalità di interesse pubblico individuata come sopra ricordato. (Ad es., per le ipotesi relative alle sanzioni disciplinari o alle interrogazioni parlamentari, potenzialmente estese a qualunque dato sensibile).

3. La ricognizione dovrà essere estesa anche alle finalità di carattere socio-assistenziale, che legittimano il trattamento dei dati sensibili, in conformità a quanto previsto nel provvedimento di autorizzazione emanato dal Garante per la protezione dei dati personali, ad integrazione della individuazione effettuata dalle disposizioni legislative contenute nel Capo II del decreto legislativo n. 135/1999. Va, in proposito, sottolineato che i dati relativi alla condizione dello straniero, all'origine razziale ed etnica o all'appartenenza religiosa, riportati su atti provenienti dall'estero, possono essere trattati, oltre che per le finalità indicate dal decreto legislativo n. 135/1999, soltanto se strettamente pertinenti e necessari per il perseguimento dei fini indicati nel provvedimento del Garante.

4. Va particolarmente richiamata l'attenzione delle amministrazioni in indirizzo sulla circostanza che l'individuazione dei tipi di dati e di operazioni eseguibili non deve esaurirsi nell'indicazione dell'attività procedimentale che riguarda detti dati e dette operazioni; né può consistere nel mero richiamo delle norme di rango primario vigenti. L'individuazione deve riguardare i tipi di dati effettivamente trattati e le operazioni effettivamente eseguite. Al fine di chiarire meglio le modalità dell'attività richiesta a codeste amministrazioni, è allegato alla presente uno schema, che intende fornire un ausilio pratico ed un suggerimento operativo per dare attuazione completa agli adempimenti prescritti. silpol

5. Va precisato, a chiarimento dello schema e della conseguente individuazione richiesta all'amministrazione, che la descrizione dei trattamenti effettuati sui dati sensibili potrà essere realizzata in forma semplificata e cioè senza l'analitico riferimento alle operazioni descritte nell'art. 1, comma 1, lettera b), della legge n. 675 del 1996. Dette operazioni, infatti, possono essere raggruppate in categorie più ampie, come: 
         a) la raccolta, con la precisazione se essa avvenga presso l'interessato o meno; 
         b) l'attività svolta all'interno della stessa amministrazione (conservazione, registrazione, organizzazione, modificazione, cancellazione, distruzione, con l'eventuale indicazione dei termini di dette operazioni);
         c) l'attività di trasmissione all'esterno (comunicazione, diffusione), per finalità di rilevante interesse pubblico perseguite da altri soggetti;
         d) evidenziazione dei casi nei quali il trattamento è di tipo statico, e cioè di mera conservazione e trascrizione dei dati, o di tipo dinamico (costituzione di banche-dati, effettuazione di elaborazioni complesse, selezione, estrazione, aggregazione, correlazione ecc.). silpol

6. L'attività imposta alle amministrazioni dalle disposizioni del decreto legislativo n. 135/1999, non si conclude con la verifica del rispetto e con l'eventuale conformazione del trattamento effettuato ai criteri e principi stabiliti dalla normativa. Obbligo essenziale previsto dall'art. 5 del decreto legislativo citato è infatti la pubblicazione degli elementi richiamati, in modo da consentire la conoscenza e il controllo degli interessati sul trattamento dei dati sensibili da parte di ciascun soggetto pubblico autorizzato. La pubblicazione deve essere effettuata nelle forme che conseguono la finalità della più ampia diffusione delle informazioni.

     Va, infine, segnalato che l'individuazione dei tipi di dati e di operazioni eseguibili dovrà essere oggetto di verifica anche successiva, ai fini sia del completamento di detta rilevazione sia del necessario continuo aggiornamento degli elementi rilevati e resi pubblici.

Il capo del Dipartimento per gli affari giuridici e legislativi

Per l'allegato vedi la G.U. silpol