Regolamento per il trattamento dei dati sensibili e giudiziari presso il Garante per la protezione dei dati personali. (Deliberazione n.26)

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
DELIBERAZIONE 29 dicembre 2005
( pubblicata nella Gazzetta Ufficiale n. 68 del 22-03-2006)

Regolamento per il trattamento dei dati sensibili e giudiziari
presso il Garante perla protezione dei dati personali. 

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

  Nella  riunione  odierna, in presenza del prof. Francesco Pizzetti, presidente,  del  dott.  Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;
  Visto  il  codice  in  materia  di  protezione  dei  dati personali (decreto  legislativo  30 giugno  2003, n. 196) e, in particolare, le disposizioni  secondo  cui quando una disposizione di legge specifica solo  la  finalita'  di rilevante interesse pubblico, e non i tipi di dati sensibili e giudiziari trattabili e di operazioni eseguibili, il trattamento  e'  consentito  solo in riferimento ai tipi di dati e di operazioni  identificati  e  resi  pubblici  a  cura dei soggetti che
effettuano  il  trattamento,  in  relazione alle specifiche finalita' perseguite nei singoli casi (articoli 20, comma 2, 21, comma 2 e 181, comma 1, lettera a) del citato codice);
  Visto   che,   ai  sensi  del  medesimo  art.  20,  comma  2,  tale identificazione  deve  avvenire  con  atto  di natura regolamentare e visto  l'art.  156 del codice nella parte relativa ai regolamenti che il  Garante  puo' adottare (cfr. i regolamenti numeri 1, 2 e 3/2000 e successive modificazioni ed integrazioni);
  Visto  il provvedimento generale del Garante del 30 giugno 2005 sul trattamento  dei  dati sensibili e giudiziari (pubblicato in Gazzetta Ufficiale  23 luglio  2005, n. 170) e rilevato che in esso sono state evidenziate le operazioni di trattamento che possono spiegare effetti maggormente  significativi  per  gli  interessati  (operazioni svolte pressoche'  interamente mediante siti web, oppure volte a definire in forma   completamente   automatizzata   profili   o  personalita'  di interessati;  interconnessioni e raffronti fra banche di dati gestite da  diversi  titolari,  oppure  con  altre  informazioni  sensibili e giudiziarie   detenute   dal   medesimo   titolare  del  trattamento;  comunicazione di dati a terzi e loro diffusione);
  Ritenuta  la  necessita' di individuare quali, tra tali operazioni, sono effettuate presso l'Autorita', e di dover individuare, altresi', piu'  sinteticamente  le  operazioni  ordinarie di trattamento svolte presso  l'Autorita'  per  perseguire finalita' di rilevante interesse pubblico   individuate   per  legge  (operazioni  di  raccolta  e  di registrazione,    organizzazione,    conservazione,    consultazione, elaborazione, modificazione, selezione, estrazione, utilizzo, blocco,
cancellazione e distruzione dei dati);
  Dato  atto che tali individuazioni riguardano i trattamenti di dati sensibili e giudiziari effettuati dal collegio e presso l'ufficio del Garante;
  Rilevato  che  i  dati devono essere comunque trattati nel rispetto dei  principi  del codice in tema di dati sensibili e giudiziari, con particolare  riguardo  ai  requisiti  di pertinenza, completezza, non eccedenza   ed   indispensabilita',  oltre  che  di  esattezza  e  di aggiornamento;
  Viste  le  osservazioni  formulate dal segretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
  Relatore il prof. Francesco Pizzetti;

Delibera

ai  sensi degli articoli 20, comma 2, 21, comma 2 e 156 del codice di adottare  l'allegato regolamento sul trattamento dei dati sensibili e giudiziari presso l'Autorita'.

Roma, 29 dicembre 2005

Il presidente: Pizzetti

Il relatore: Pizzetti

Il segretario generale: Buttarelli

Allegato

REGOLAMENTO PER IL TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI
PRESSO  IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Art. 1.
Oggetto

  1. Il  presente regolamento individua i tipi di dati sensibili e giudiziari  che  possono  essere  trattati e di operazioni eseguibili presso   il   Garante   nello  svolgimento  delle  relative  funzioni istituzionali.

Art. 2.
Individuazione dei tipi di dati e di operazioni

  1. L'individuazione di cui all'art. 1 e' effettuata in relazione alle finalita' di rilevante interesse pubblico specificate nel Codice e  perseguite  dal Garante nei singoli casi (articoli 65, 67, 68, 71, 73,   comma 2,   lettera  g)  e  112  del  Codice),  con  particolare riferimento ai seguenti ambiti di attivita':
    • a) instaurazione e gestione dei rapporti di lavoro;
    • b) attivita' di controllo e ispettive;
    • c) attivita' a tutela degli interessati e sanzionatorie.

Art. 3.
Collegio del Garante

  1. Per l'accertamento delle eventuali cause di incompatibilita', di  impedimento  permanente,  o  comunque  superiore a sei mesi, e di decadenza  dall'incarico  del presidente e dei componenti del Garante possono   essere   oggetto   di   trattamento,  in  conformita'  alle disposizioni     del    regolamento    del    Garante    n.    1/2000 sull'organizzazione  e  il  funzionamento  dell'Ufficio, informazioni personali attinenti alla salute, ovvero idonee a rivelare le opinioni politiche   e   l'adesione  a  partiti,  sindacati,  associazioni  od organizzazioni   a   carattere   religioso,  filosofico,  politico  o sindacale (art. 153 del Codice).
  2. Relativamente  al  presidente  e  ai  componenti  del Garante possono essere, altresi', oggetto di trattamento, in conformita' alle disposizioni  del  predetto  regolamento  n.  1/2000, dati giudiziari indispensabili in relazione alle funzioni istituzionali.

Art. 4.
Rapporti di lavoro

  1. Per  l'instaurazione  e  la gestione di rapporti di lavoro di qualunque  tipo,  dipendente  e  autonomo,  nonche' di altre forme di impiego  che  non comportano la costituzione di un rapporto di lavoro subordinato  presso l'Autorita' (art. 112 del Codice), possono essere trattati  conformemente  ai  regolamenti  del  Garante  in materia di organizzazione e funzionamento dell'Ufficio, di trattamento giuridico ed economico del personale e di contabilita', dati personali idonei a rivelare lo stato di salute, la vita sessuale, le opinioni politiche, le convinzioni religiose, filosofiche o di altro genere, l'adesione a partiti,   sindacati,  associazioni  od  organizzazioni  a  carattere religioso,   filosofico,   politico   o  sindacale,  nonche'  i  dati giudiziari.
  2. In  particolare,  per  la finalita' di cui al comma 1 possono essere  trattati  i dati relativi ad infortuni, infermita', lesioni o terapie, a domanda dell'interessato o degli aventi diritto in caso di suo  decesso, ovvero d'ufficio per riconoscere la dipendenza da causa di  servizio,  anche  ai  fini  del  riconoscimento  del  trattamento pensionistico di privilegio o di un equo indennizzo, nonche' di stati invalidanti, di inabilita' non dipendenti da causa di servizio, della pensione  di inabilita' o di benefici connessi o rimborsi o copertura spese  di  tipo  assicurativo  (art.  112 del Codice). Possono essere trattati,  altresi', dati relativi a stati di tossicodipendenza anche di  familiari  del  dipendente,  ai soli fini e se indispensabile per
    riconoscere  al  dipendente  i  diritti  in  materia  di  trattamenti riabilitativi   e   programmi   terapeutici  (attualmente,  ai  sensi dell'art.  99  della  legge 22 dicembre 1975, n. 685). Il trattamento finalizzato   alla  concessione  di  benefici  oggetto  di  specifica richiesta  dell'interessato  puo'  riguardare,  ove indispensabile in rapporto  alle decisioni da assumere, i dati sulla salute relativi ai familiari o conviventi.
  3. Nell'ambito delle medesime finalita' di cui al comma 1 possono essere  trattati, altresi', dati giudiziari ed informazioni attinenti alla  salute,  ovvero  idonee  a  rivelare  le  opinioni  politiche e l'adesione  a  partiti,  sindacati,  associazioni od organizzazioni a carattere  religioso,  filosofico,  politico  o  sindacale,  ai  fini dell'accertamento  delle  eventuali  cause di impedimento permanente, incompatibilita',   recesso  o  decadenza  dal  rapporto,  impiego  o incarico (art. 65 del Codice).
  4. I  dati  giudiziari  possono  essere,  altresi',  oggetto  di trattamento     per     adottare    i    conseguenti    provvedimenti amministrativo-contabili,    ovvero   nell'ambito   delle   procedure concorsuali  al  fine  di  valutare  il  possesso  dei  requisiti  di ammissione.
  5. I  dati, raccolti su iniziativa degli interessati o presso di essi o presso soggetti pubblici o privati, sono trattati in forma sia cartacea,  sia telematica, per applicare i vari istituti contrattuali disciplinati  dalla legge e dai regolamenti del Garante in materia di trattamento  giuridico,  economico,  previdenziale  e  pensionistico, nonche' di accertamento della responsabilita' civile, amministrativa, disciplinare  e  contabile,  o  di  aggiornamento  e  formazione  del personale.
  6. Sui  dati di cui al presente articolo possono essere eseguite le  operazioni  ordinarie  di  trattamento  richiamate in premessa. I medesimi dati possono essere altresi' oggetto di comunicazione: 
    • a) ad  organizzazioni sindacali, a fini di gestione di permessi e trattenute sindacali relativamente a coloro che hanno conferito una
      delega;
    • b) ad  enti  assistenziali,  previdenziali  ed  assicurativi  o autorita'  locali  di  pubblica  sicurezza  a  fini  assistenziali  e previdenziali,  nonche'  per  la denuncia di malattie professionali o infortuni sul lavoro;
    • c) ad  enti  previdenziali,  ai  fini  del riconoscimento della pensione   privilegiata   (attualmente,  ai  sensi  del  decreto  del Presidente   della   Repubblica  n.  1092/1973),  della  pensione  di inabilita'  (attualmente,  ai  sensi  dell'art. 2, comma 12, legge n. 335/1995),  di  maggiorazioni sul trattamento pensionistico derivanti da  particolari  stati  invalidanti,  della  rendita  o indennita' di inabilita'  (attualmente,  ai  sensi del decreto del Presidente della Repubblica n. 1124/1965);
    • d) ai  servizi sanitari competenti per le visite fiscali di cui all'art.  19 del regolamento del Garante n. 2/2000, nonche' ad organi preposti  all'accertamento o al riconoscimento di cause di servizio e di  un  equo indennizzo o dell'inabilita' al lavoro non dipendente da causa  di  servizio (attualmente, ai sensi del decreto del Presidente della  Repubblica  n.  461/2001),  o  al rimborso delle spese di cura(attualmente, ai sensi del decreto del Presidente della Repubblica n. 686/1957);
    • e) ad  enti  preposti  alla  vigilanza  in  materia di igiene e sicurezza  sui  luoghi  di  lavoro (attualmente, ai sensi del decreto legislativo  n. 626/1994 e successive modificazioni ed integrazioni), ad  uffici  e  servizi  competenti  per il collocamento obbligatorio, relativamente  a  dati  degli  assumendi  e  degli assunti disabili o appartenenti  alle  «categorie protette» (attualmente, ai sensi della legge n. 68/1999 e successive modificazioni ed integrazioni), nonche' dei  centralinisti  non  vedenti  (attualmente,  ai sensi della legge 29 marzo 1985, n. 113 e successive modificazioni ed integrazioni);
    • f) alle   amministrazioni  e  agli  enti  di  appartenenza  dei lavoratori  in  posizione  di  fuori  ruolo  o equiparato, al fine di definire il trattamento giuridico ed economico del dipendente; 
    • g) agli  enti  che forniscono prestazioni di lavoro temporaneo, ovvero  ai soggetti datori di lavoro di personale utilizzato ad altro titolo presso l'Autorita';
    • h) ad  organi  competenti  in  materia  di  tributi  ed imposte dirette,  nel  caso  in  cui  l'Ufficio  svolga funzioni di centro di assistenza fiscale.
  7. Sono  inoltre  effettuati  raffronti  con  dati  detenuti  da amministrazioni    o   gestori   di   pubblici   servizi,   ai   fini dell'accertamento  d'ufficio  di  stati, qualita' e fatti, ovvero del controllo  sulle  dichiarazioni sostitutive prodotte dall'interessato (attualmente,  ai sensi dell'art. 43 del decreto del Presidente della Repubblica  n. 445/2000), e con riferimento alle informazioni oggetto di accertamento o di controllo.
  8. Il  trattamento  concerne i dati relativi all'instaurazione e alla  gestione  del  rapporto  di  lavoro  o  di impiego, a qualunque titolo,  presso  il Garante, a partire dai procedimenti concorsuali o di selezione. I dati sono oggetto di trattamento presso le competenti strutture  dell'Ufficio per la gestione dell'orario di lavoro, per le certificazioni   sanitarie   attestanti   lo   stato   di   malattia, l'infortunio  o la malattia professionale o per verificare specifiche cause  di  assenza. I dati sulle convinzioni religiose possono venire in  considerazione  allorche'  il  trattamento sia indispensabile per concedere  permessi  per  festivita'  oggetto  di specifica richiesta dell'interessato  motivata  da  ragioni di appartenenza a determinate confessioni  religiose;  le  informazioni sulla vita sessuale possono desumersi  unicamente se indispensabili per le funzioni istituzionali
    in  caso  di  eventuale  rettificazione di attribuzione di sesso o di commissione  di  illecito.  I dati relativi alle opinioni politiche e all'adesione  a  partiti,  sindacati,  associazioni od organizzazioni politiche  sono  trattati esclusivamente ai fini della concessione di permessi  o  di periodi di aspettativa riconosciuti dalla legge o dal protocollo  sulle  relazioni sindacali, in relazione all'esercizio di funzioni  pubbliche  e  di  incarichi  politici,  di  attivita'  o di incarichi  sindacali,  o  alla partecipazione a pubbliche iniziative, nonche'   ai   fini  della  individuazione  della  rappresentativita'
    sindacale  e  dei  connessi  diritti,  del  versamento delle quote di servizio  sindacale  o  delle  quote  di  iscrizione a organizzazioni sindacali  o di fatti di eventuale rilievo disciplinare. I dati sulle convinzioni  filosofiche  o  d'altro  genere possono desumersi venire dalla  documentazione  connessa allo svolgimento del servizio di leva come obiettore di coscienza (art. 70 del Codice).

Art. 5.
Attivita' di controllo e ispettive o a tutela degli interessati

  1. Nell'ambito  dei  propri  compiti  istituzionali  previsti da specifiche norme di legge, anche di ratifica di accordi o convenzioni internazionali,   o   dalla  normativa  comunitaria,  possono  essere trattati  dati  personali  sensibili e giudiziari indispensabili allo svolgimento  delle  finalita'  di  assistenza  o  di  controllo della liceita'  e  correttezza  dei trattamenti in ordine al rispetto della disciplina  rilevante  in  materia  di  protezione dei dati personali (art. 67 del Codice).
  2. Per le finalita' di cui al comma 1, possono essere trattati in particolare i dati idonei a rivelare l'origine razziale ed etnica, le convinzioni  religiose,  filosofiche  o  di altro genere, le opinioni politiche,   l'adesione   a   partiti,   sindacati,  associazioni  od organizzazioni   a   carattere   religioso,  filosofico,  politico  o sindacale,  lo  stato  di  salute  e  la  vita sessuale, nonche' dati giudiziari   che  sono  oggetto  di  trattamento,  se  indispensabili rispetto:
    • a) alla  trattazione  e  alle decisioni da assumere in ordine a reclami,  segnalazioni,  ricorsi  ed  altri  interpelli presentati da interessati,   loro   difensori   o  associazioni,  anche  attraverso l'Ufficio  relazioni con il pubblico. I dati sono raccolti sia presso gli  interessati,  sia  presso  terzi  nel corso sia dell'istruttoria preliminare,   sia   del  procedimento,  anche  dalla  documentazione prodotta;
    • b) allo  svolgimento,  anche  d'ufficio, di compiti di impulso, indirizzo  e  vigilanza  in  ordine  al rispetto della disciplina sul trattamento dei dati personali nonche', se necessario, nell'esercizio dei  poteri  cautelari, prescrittivi o interdittivi nei confronti dei soggetti  che  effettuano  un  trattamento illecito o non corretto di dati  personali,  anche  nel  quadro  di provvedimenti di blocco o di divieto del trattamento;
    • c) allo svolgimento delle attivita' ispettive o di accertamento degli  illeciti  in  materia  rilevante  per  la  protezione dei dati personali,  originate  da  segnalazioni,  reclami  o altri interpelli ricevuti   dall'ufficio,   da   esigenze  di  approfondimento  emerse nell'ambito  dell'esame  di  ricorsi,  o su iniziativa dell'Autorita' nello  svolgimento  di  verifiche  e  controlli, ovvero sulla base di notizie  comunque  acquisite  direttamente.  I trattamenti effettuati nell'ambito   delle   predette   attivita'   sono  finalizzati  anche all'applicazione delle sanzioni constatate (v. art. 71 del Codice);
    • d) all'assistenza  in  materia  di protezione degli interessati rispetto  al  trattamento  dei dati personali, prevista da specifiche norme   di   legge,  anche  di  ratifica  di  accordi  o  convenzioni internazionali,   o  dalla  normativa  comunitaria,  con  particolare riferimento  ai  compiti  di  controllo  e  di  verifica del corretto funzionamento,   elaborazione  ed  utilizzazione  dei  dati  inseriti nell'archivio  della  sezione  nazionale  del  Sistema d'informazione Schengen  (Sis),  nel  sistema  informativo  Eurodac per il confronto delle impronte digitali di coloro che richiedono l'asilo, nel Sistema informativo  doganale (Sid), negli archivi Europol, nel sistema Vis e nel  Centro  elaborazione  dati  istituito  presso il Dipartimento di pubblica sicurezza.
  3. Le informazioni che risultano eccedenti, non pertinenti o non indispensabili  all'espletamento  delle  funzioni  di cui al presente articolo non sono utilizzate, salvo che per l'eventuale conservazione a norma di legge dell'atto o del documento che le contiene.
  4. Nello  svolgimento  dei  compiti  di cui al presente articolo possono  essere  eseguite  le  operazioni  ordinarie  di  trattamento richiamate  in premessa; i dati sensibili e i dati giudiziari possono essere   comunicati  altresi'  ai  titolari  e  ai  responsabili  del trattamento  o  agli  altri  soggetti  coinvolti a vario titolo nelle fattispecie  oggetto di trattazione, ovvero ad organi giudiziari o di polizia laddove ineriscano a fatti configurabili come reati.
  5. I medesimi dati possono essere in particolare comunicati, per l'esercizio  delle  funzioni  di cui al presente articolo, anche alla Guardia  di  finanza,  nei casi in cui il Garante si avvale della sua collaborazione  ai  sensi  dell'art.  158,  comma  2,  del Codice, ed eventualmente diffusi mediante la pubblicazione del bollettino, anche attraverso    strumenti   telematici,   qualora   laddove   risultino indispensabili   per   assicurare   il   rispetto  del  principio  di pubblicita'   dell'attivita'   istituzionale,   anche   in   caso  di applicazione   della   disciplina   in   materia   di   comunicazione istituzionale,  fermo  restando  il  divieto  di  diffusione dei dati idonei a rivelare lo stato di salute.
  6. I  medesimi dati possono essere trattati ai fini della tenuta del  registro  dei trattamenti formato sulla base delle notificazioni di   cui   all'art.   37   del  Codice  e  resi  accessibili  tramite consultazione,  anche  per via telematica, per esclusive finalita' di applicazione  della  disciplina in  materia  di  protezione dei dati personali.

Art. 6.
Contenzioso e difesa in giudizio

  1. Possono  essere  effettuati  trattamenti  di dati sensibili e giudiziari   nell'ambito   delle   attivita'   relative  alla  difesa dell'Autorita',  anche  tramite  l'Avvocatura  dello  Stato,  in sede giudiziaria  di  ogni  ordine  e  grado o amministrativa, nonche' nei procedimenti   disciplinari,   nelle  procedure  di  arbitrato  e  di conciliazione  nei  casi  previsti dalla normativa comunitaria, dalle leggi,   dai  regolamenti  o  dai  contratti  collettivi,  in  quanto applicabili (articoli 71 e 112 del Codice).
  2.  Per  le  finalita'  di cui al comma 1, possono in particolare costituire  oggetto di trattamento i dati idonei a rivelare l'origine razziale  ed etnica, le convinzioni religiose, filosofiche o di altro genere,  le  opinioni  politiche,  l'adesione  a  partiti, sindacati, associazioni  od  organizzazioni  a  carattere religioso, filosofico, politico  o sindacale, lo stato di salute e la vita sessuale, nonche' i  dati  giudiziari che riguardano le fattispecie che danno o possono dar luogo ad un contenzioso.
  3. Sui  dati  di  cui  al  comma  2 possono essere effettuate le operazioni  ordinarie  nell'ambito di scritti difensivi eventualmente prodotti  in sede contenziosa, ovvero resi all'Avvocatura dello Stato o  all'autorita'  giudiziaria  penale,  cosi'  come nell'ambito delle richieste  di  indennizzo  e/o  di  risarcimento  danni inerenti alla responsabilita'   civile   verso   terzi   a   favore   o   a  carico dell'amministrazione,  ivi compresa l'azione di rivalsa nei confronti del  soggetto  civilmente  responsabile in caso di infortunio non sul lavoro   occorso   al   dipendente  relativamente  alle  retribuzioni corrisposte  durante  il  periodo  di  assenza,  alle responsabilita' derivanti   da   fatto   illecito   e   nell'ambito   dell'azione  di
    responsabilita' amministrativo-contabile.
  4. I medesimi dati possono essere altresi' comunicati ai seguentisoggetti:
    • a) Avvocatura dello Stato, autorita' giudiziaria di ogni ordine e  grado,  enti previdenziali e di patronato, associazioni sindacali,
      avvocati  e  procuratori,  consulenti  tecnici,  soggetti lecitamente incaricati di collaborare ad indagini difensive;
    • b) societa'  di  assicurazione  e  relativi  consulenti  per la valutazione   e  la  copertura  economica  dei  danni  inerenti  alla  responsabilita' civile, anche patrimoniale, verso terzi;
    • c) organi  preposti  alla trattazione dei ricorsi in materia di riconoscimento  della  causa  di  servizio  e  dell'equo indennizzo e dell'inabilita'  al  lavoro  non  dipendente  da  causa  di  servizio (attualmente, ai sensi del decreto del Presidente della Repubblica n. 461/2001),  della  pensione  privilegiata  (attualmente, ai sensi del decreto del Presidente della Repubblica n. 1092/1973), della  pensione di  inabilita' (attualmente, ai sensi dell'art. 2, comma 12, legge n. 335/1995),  di  maggiorazioni sul trattamento pensionistico derivanti da  particolari  stati  invalidanti,  della  rendita  o indennita' di inabilita'  (attualmente,  ai  sensi del decreto del Presidente della
      Repubblica n. 1124/1965).

Art. 7.
Entrata in vigore

  1. Il presente regolamento entra in vigore il quindicesimo giorno successivo  a quello della sua pubblicazione nella Gazzetta Ufficiale della Repubblica.