Regolamento su tutela delle persone ed altri soggetti su trattamento

RELAZIONE INTRODUTTIVA
REGOLAMENTO "PRIVACY"
DEFINIZIONI , CONTENUTI E ADEMPIMENTI
(Commento a cura della dott.ssa Leonilda Bonaduce)
1.1 Il quadro normativo
1.2 Le nuove nozioni
1.2.1 Il titolare
1.2.2 Gli obblighi del titolare
1.2.3 Il responsabile
1.2.4 Gli obblighi del responsabile
1.2.5 L'incaricato
1.2.6 Il dato personale e il trattamento
1.2.7 Il dato sensibile e il trattamento
1.2.8 La comunicazione e la diffusione
1.2.9 Le informazioni all'interessato e il consenso al trattamento
1.2.10 La notificazione
1.2.11 Le misure minime di sicurezza
1.3 Gli adempimenti - premessa
1.4 Il censimento dei trattamenti e delle banche dati
1.5 Le materie non individuate dal d.lgs. 135/99
1.1. Il quadro normativo
Il quadro normativo essenziale in materia della tutela della
riservatezza è costituito, per gli enti locali1, dalla Legge 31 dicembre
1996, n.675 2 e succ. modificazioni , il Decreto legislativo 11 maggio
1999, n. 135 3 , il Decreto del Presidente della Repubblica 28 luglio
1999, n. 318 4, la Legge 3 novembre 2000, n. 3255.
La legge 31 dicembre 1996, n. 675, sotto il profilo oggettivo, si
applica al trattamento dei dati personali e sensibili, effettuato con o
senza l'ausilio di mezzi elettronici o automatizzati.
Sotto il profilo soggettivo, si applica a chiunque effettui il trattamento
dei dati personali nel territorio dello Stato ma, nel caso degli enti
locali ( e altri soggetti pubblici), la stessa Legge ha introdotto un
regime differenziato.
Tale regime consente , in concreto, una notificazione semplificata, il
trattamento anche senza il consenso dell'interessato, la comunicazione
e la diffusione dei dati quando sono previste da norme di legge o
regolamento e pone dei limiti ai diritti dell'interessato, che non può
opporsi al trattamento dei dati che lo riguardano, quando la raccolta e
successive operazioni sono effettuate in base ad espressa disposizione
di legge.
Il Decreto legislativo 11 maggio 1999, n. 135 recante "disposizioni
integrative della legge 31 dicembre 1999, n.675, sul trattamento di dati
sensibili da parte dei soggetti pubblici" delinea un sistema attuativo
dell'art.22 della Legge ( dati sensibili) , in quanto :
a) definisce i principi generali in base ai quali i soggetti pubblici sono
autorizzati a trattare dati sensibili o dati personali idonei a rivelare
provvedimenti di cui all'art. 686, commi 1, lett.a) e d) , 2 e 3 , del codice di
procedura penale;
b) individua alcune rilevanti finalità di interesse pubblico, " per il cui
perseguimento è consentito detto trattamento, nonché le operazioni
eseguibili e i tipi di dati che possono essere trattati".
Il decreto del Presidente della Repubblica 28 luglio 1999, n. 318,
recante norme per l’individuazione delle misure minime di sicurezza
per il trattamento dei dati personali a norma dell’art. 15, co.2, della
Legge , ha individuato unicamente i requisiti minimi delle misure di
sicurezza, che tutti i soggetti – pubblici e privati – devono adottare
quando nell’ambito della loro attività pongono in essere un trattamento
1
Per enti locali si intendono i comuni, le province, le città metropolitane, le
comunità montane, le comunità isolane e le unioni di comuni ( art. 2, comma 1, del
d.lgs. 18 agosto 2000, n. 267, pubblicato sul S.O. alla G.U. n. 227 del 28 settembre
2000).
2
Pubblicata in G.U. 8 gennaio 1997, S.O. n.5 - In appendice è riportato il testo
coordinato con le modifiche introdotte dai decreti legislativi 9 maggio 1997, n.123;
28 luglio 1997, n. 255; 13 maggio 1998, n.171; 6 novembre 1998, n. 389; 26
febbraio 1999, n.51; 11 maggio 1999, n. 135;
3
Pubblicato in G.U. n. 113 del 17 maggio 1999;
4
Pubblicato in G.U. n. 216 del 14 settembre 1999;
5
Pubblicata in G.U. n. 262 del 9 novembre 2000;
di dati personali e ha introdotto nuove definizioni, oltre quelle già
contenute nella Legge, quali quelle di “misure minime”, “strumenti” e
“amministratori di sistema”.
La legge 3 novembre 2000, n. 325 , recante disposizioni inerenti
all'adozione delle misure minime di sicurezza nel trattamento dei dati
personali previste dall'articolo 15 della L.675/96, ha stabilito che le
misure di sicurezza previste per il trattamento dei dati personali e
sensibili dal d.P.R. 318/99 possono essere adottate entro il 31
dicembre 2000 dai soggetti che documentino, per iscritto, le particolari
esigenze tecniche e organizzative che hanno reso necessario avvalersi
di un termine più ampio di quello previsto dalla legge n. 675 del
1996.
Il decreto legislativo 28 dicembre 2001, n.467, recante disposizioni
correttive ed integrative della Legge, a norma dell’articolo 1 della
legge 24 marzo 2001, n.127 (legge delega), ha semplificato gli
adempimenti relativi all’informativa e alla notificazione e in tema
sanzionatorio ha previsto una serie di misure di attenuazione
dell’originario rigore della Legge. Tale decreto entra in vigore il 1°
febbraio 2002, tranne alcune disposizioni per le quali l’operatività è
differita ( al 1° marzo per informative e notifiche, al 1° giugno per i
codici deontologici)6.
\
1.2 Le nuove nozioni
Per addentrarsi nell'analisi degli adempimenti che l’impianto
normativo appena delineato impone agli enti locali, è indispensabile
procedere ad una breve ricognizione delle "nuove nozioni" introdotte
dallo stesso.
In via generale, considerando innanzitutto la definizione di dato
personale, quale " qualunque informazione relativa a persona fisica ,
persona giuridica, ente o associazione , identificati o identificabili ,
anche indirettamente , mediante riferimento a qualsiasi altra
informazione , ivi compreso un numero di identificazione personale "(
art. 1, lett.c, l.675/96), rileviamo che sotto il profilo concettuale la
legge si applica a qualunque informazione, senza alcuna distinzione
non solo fra persona fisica o giuridica, ente o associazione ma anche
fra un dato "banale" ( quale ad esempio un indirizzo o un dato
anagrafico) e un dato particolare ( c.d. sensibile per il quale
comunque la legge prevede un regime di trattamento più rigoroso,
come si dirà più oltre).
Altrettanto "onnicomprensiva" è la definizione di trattamento ,
intendendo per esso " qualunque operazione o complesso di
operazioni , svolti con l'ausilio di mezzi elettronici o comunque
automatizzati, concernenti la raccolta, la registrazione ,
l'organizzazione, la conservazione, l'elaborazione, la modificazione ,
la selezione, l'estrazione , il raffronto, l'utilizzo , l'interconnessione, il
6
Pubblicata in G.U. n.13 del 16 gennaio 2002
blocco, la comunicazione , la diffusione, la cancellazione e la
distruzione dei dati".
E' evidente che, per chiunque operi su un dato personale , in ambito
privato o pubblico, è veramente impossibile non ricadere nella
nozione di trattamento e quindi nell'ambito di applicazione della
legge.
A fronte di tutte le operazioni elencate, la legge ha specificamente
definito le operazioni di comunicazione e diffusione ( delle quali si
dirà più oltre) nonché l'operazione di blocco, intendendo per
quest'ultimo "la conservazione dei dati personali con sospensione
temporanea di ogni altra operazione temporanea". Il blocco, in tutto o
in parte di taluno dei dati, può essere disposto dal titolare oppure dal
Garante ( art. 29,c.5).
Più in dettaglio, consideriamo ora le nozioni più rilevanti che, tra
l'altro, hanno dato origine ad alcune incertezze interpretative ed
applicative.
1.2.1 Il titolare
Un importante aspetto relativo all'applicazione della legge 675 del 31
dicembre 1996, ossia quello riguardante l'individuazione della figura
del "titolare" del trattamento dei dati personali negli enti locali, è stato
oggetto di numerose interpretazioni, spesso contrastanti in ordine al
"chi" ha l'onere di agire , per l'adempimento degli obblighi derivanti
dalla legge sulla privacy.
La Legge (art.1, co.2, lett.d) intende "per titolare, la persona fisica, la
persona giuridica, la pubblica amministrazione e qualsiasi altro ente,
associazione od organismo cui competono le decisioni in ordine alle
finalità e alle modalità del trattamento dei dati personali, ivi compreso
il profilo della sicurezza" .
A seguito di diversi quesiti ricevuti, il Garante ha emanato in
proposito un comunicato,7 nel quale ha precisato che "quando la
raccolta, l'elaborazione, l'utilizzazione, la conservazione e in genere
tutte le operazioni relative al trattamento dei dati vengono effettuate
nell'ambito di un'amministrazione pubblica, di una società o di un
ente, il titolare del trattamento è la struttura nel suo complesso e cioè il
soggetto al quale competono le scelte di fondo sulla raccolta e
sull'utilizzazione dei dati" .
E, che " se i titolari sono le imprese e le amministrazioni pubbliche per
esse opereranno, nelle diverse scelte che sia necessario assumere, i
rispettivi amministratori, secondo le regole che disciplinano ciascuna
struttura: di volta in volta, il ministro, l'amministratore delegato, il
consiglio di amministrazione, i direttori e gli altri dirigenti. Ad
esempio, la notificazione al Garante, se dovuta, dovrà essere
sottoscritta dalla persona fisica che ha il potere di rappresentarla".
E' da prendere atto, pertanto, che "l'Ente" è il titolare dei trattamenti
effettuati nella propria struttura e che "per l'Ente" agiranno, nelle
7
Comunicato stampa dell'11 dicembre 1997.
diverse scelte che sia necessario assumere, i rispettivi organi secondo
le regole e le competenze loro assegnate dall'ordinamento8.
I vigenti principi ordinamentali degli enti locali vogliono che il potere
rappresentativo dell'amministrazione verso l'esterno sia affidato ai
propri organi, intesi come binomio persona fisica - persona giuridica,
cui è conferita la facoltà , attraverso la c.d. immedesimazione
organica, di agire in nome e per conto dell'ente pubblico
determinando, attraverso il concetto giuridico di rappresentanza, gli
effetti del proprio agire pubblico, in capo all'amministrazione di
referenza organica, atteso che è la stessa amministrazione che agisce e
si esprime necessariamente , mediante i propri organi.9
L'art. 107, comma 2, del d.lgs. 18 agosto 2000, n. 26710 nello stabilire
che "spettano ai dirigenti tutti i compiti …., che la legge e lo statuto
espressamente non riservino agli organi di governo dell'ente…", pone
senza dubbio i dirigenti pubblici alla stregua di organi dell'ente
pubblico cui organicamente fanno capo, in relazione ai quali
l'affidamento dell'incarico rappresenta l'atto di affidamento della
titolarità dell'organo stesso ( organo dirigente), incardinando la
persona fisica alla preposizione di titolarità dell'organo "dirigente".
Evidenziato ciò, occorre ora considerare che la riforma della pubblica
amministrazione degli anni novanta punta su alcuni principi cardini e,
in particolare ( per quello che interessa ai fini dell'argomento de quo)
sul principio della netta distinzione fra le funzioni di indirizzo politico
- amministrativo , attribuite alla responsabilità degli organi di governo,
e quelle gestionali (tecnico- organizzative)11, attribuite agli organi
dirigenziali.
Il rispetto di tale principio di separazione è ulteriormente rafforzato
dal Testo unico delle leggi sull'ordinamento degli enti locali laddove si
precisa che le attribuzioni dei dirigenti possono essere derogate solo
ad opera di specifiche disposizioni legislative ( art. 107, comma 4) e
che le disposizioni previgenti che conferiscono agli organi di governo
l'adozione di atti di gestione o provvedimenti amministrativi si
intendono nel senso che la relativa competenza spetta ai dirigenti12.
Nei comuni privi di personale di qualifica dirigenziale le relative
funzioni possono essere attribuite , a seguito di provvedimento
motivato del Sindaco, ai responsabili degli uffici o dei servizi,
8
In tal senso Ministero finanze - Segretariato generale - C.M. 27 ottobre 1998, n.
244/S/9497 in Banca dati del Corriere Tributario n.1/99 , pag. 86 ss.
9
Cfr. Luca Tamassia, L'esercizio delle funzioni dirigenziali da parte dei responsabili
di uffici e servizi", in Rivista del personale dell'ente locale, 1/2000, pag.77 ss.;
10
Testo unico delle leggi sull'ordinamento degli enti locali, pubblicato sul S.O. alla
G.U. del 28 settembre 2000, n. 227.
11
A tale proposito, vale ricordare che l'inciso " ivi compreso il profilo della
sicurezza" ( riferito sia al titolare che al responsabile) riguarda certamente anche
competenze tecnico - organizzative.
12
D'altra parte , il Testo unico è per gran parte la semplice ricompilazione testuale e
ragionata delle norme vigenti in materia di enti locali . Tali disposizioni, infatti, sono
previste dagli articoli 3, comma 3 , e 45, comma 1, del d.lgs. n.80 del 1998, che a
loro volta precisano ulteriormente quanto già disposto dall'art. 51, della legge
142/90, come modificato dalla legge 127/97.
Il testo unico ha abrogato la legge 142/90 e alcuni passaggi della legge 127.
indipendentemente dalla loro qualifica funzionale, anche in deroga a
ogni altra disposizione ( art. 109, comma 2, d.lgs. 267/2000).
Tutto quanto espresso, si ritiene che i titolari del trattamento dei dati
personali ( titolarità intesa come persona fisica attraverso la quale
l'amministrazione opera e si esprime e non titolarità intesa come
astratta entità giuridica che spetta sempre all'Ente) siano i soggetti cui
, secondo i criteri e le modalità stabilite dal regolamento
sull'ordinamento degli uffici e dei servizi, sono affidati i compiti di
gestione ( potere di rappresentanza esterna, potere di spesa, potere di
organizzazione risorse umane e strumentali) , nonché il
Sindaco/Presidente per il trattamento dei dati afferenti alle funzioni
espressamente attribuitegli dalla legge ( si pensi , ad esempio, alla
nomina , designazione e revoca dei rappresentanti del comune e della
provincia presso aziende, enti ed istituzioni - art. 50, comma 8, d.lgs.
267/2000).
Se così non fosse, non solo si verificherebbe il caso di decisioni circa
finalità , modalità, caratteristiche del trattamento dei dati afferenti ad
attività non rientranti nella propria competenza ( sia nel caso del
Sindaco/Presidente sia dei dirigenti) ma , inoltre, non sarebbero
pochi i casi in cui il dirigente / responsabile di servizio venendo a
conoscenza , nell'esercizio delle proprie funzioni, di dati personali
ancorchè sensibili dovrebbe essere considerato come soggetto terzo
rispetto all'amministrazione , con conseguenti rilevanti limiti per la
comunicazione e l'utilizzazione dei dati e, quindi, per la liceità del
trattamento.
Né sembra che possa valere , per ovviare a "tale pericolo" , nominare
il dirigente quale responsabile ex art. 8 della legge, in quanto ciò che
contraddistingue il concetto di titolare è la configurazione dello stesso
quale " dominus del trattamento, legittimato ad orientarne
privilegiatamente finalità, modalità, caratteristiche"13, che certamente
non si riscontra nel concetto di responsabile.
1.2.2 Gli obblighi del titolare
Il titolare è responsabile:
a) della raccolta dati;
b) delle decisioni sulle finalità della raccolta dati;
c) delle decisioni sulle modalità del trattamento dei dati;
d) dell'emanazione di norme di sicurezza e salvaguardia dell'integrità dei
dati;
e) della notifica del trattamento dei dati al Garante, sottoscritta insieme al
Responsabile , se nominato;
f) della notifica al Garante di cessazione del trattamento dei dati;
g) della nomina del Responsabile, con formulazione scritta dei compiti
affidati;
13
Stefano Orlandi, Tiziano Tessaro, Tutela della privacy e diritto d'accesso ai
documenti nell'ente locale, Maggioli, 1999, p. 257.
h) dell'informativa agli interessati, sottoscritta insieme al Responsabile, se
nominato;
i) degli accertamenti e controlli sulla corretta applicazione della legge e
delle disposizioni impartite.
1.2.3 Il responsabile
Il responsabile è figura facoltativa e, se designato , deve essere scelto
tra "soggetti che per esperienza, capacità ed affidabilità forniscano
idonea garanzia del pieno rispetto delle vigenti disposizioni in materia
di trattamento, ivi compreso il profilo relativo alla sicurezza" e
nominato con atto scritto , in cui sono analiticamente indicati i compiti
affidati e le modalità di svolgimento degli stessi.
La nomina nonché la vigilanza sulla puntuale osservanza delle
istruzioni impartite spetta al titolare, in capo al quale rimane quindi ,
oltre le responsabilità di cui al punto precedente, anche una
responsabilità in vigilando rispetto all'operato del responsabile.
La specificazione delle competenze che devono essere proprie del
responsabile del trattamento, quali appunto quelle tecnicoorganizzative ( ai fini della sicurezza ) nonché giuridiche (ai fini di
una corretta valutazione dell'impatto della legge sui trattamenti
effettuati), sembrano escludere un "automatismo" di identificazione
con i responsabili di II livello ( o strutture mediamente complesse o
semplici comunque denominate) ma, nella pratica, secondo
disposizioni di legge ( atto motivato) , l'incarico di responsabilità ex
art. 50, comma 10, d.lgs. 267/2000 o il conferimento di titolarità di
posizione organizzativa ex artt. 9 e 11 del vigente Ccnl del comparto
delle Regioni e delle autonomie locali14, è attribuito comunque a
soggetti che dimostrino ( abbiano dimostrato) "capacità" gestionali e
organizzative.
Pertanto, se è vero che non necessariamente il responsabile di cui alla
legge 675/96 si identifica con quello di cui alle norme ordinamentali, è
anche vero che tale identificazione è possibile.
Anzi, nel caso di enti di medio- grandi dimensioni tale criterio di
individuazione eviterebbe anche una pletora di responsabili , in quanto
nel caso di enti provvisti di figure dirigenziali , la titolarità di
posizione organizzativa riguarda ( nella pratica più frequente)
l'assunzione di responsabilità gestionale ed organizzativa di unità
dotate di particolare complessità.
Invece, nel caso dei comuni di minori dimensioni demografiche,
sempre al fine di evitare l'individuazione di più soggetti responsabili
14
Il vigente Contratto collettivo nazionale del comparto Regioni e Autonomie locali
è stato stipulato definitivamente in data 31 marzo 1999, per la parte relativa
all'ordinamento professionale e in data 1° aprile 1999, per la parte concernente il
rinnovo quadriennale del contratto nazionale di lavoro per il periodo 1° gennaio
1998 - 31 dicembre 2001 ( in S.O. n. 81 alla G.U. 24 aprile 1999).
L'istituto delle posizioni organizzative è disciplinato dagli artt. 8, 9, 10, 11 del
contratto.
degli adempimenti derivanti dagli obblighi della legge sulla privacy,
pare opportuna l'identificazione delle due figure di titolare e
responsabile nel soggetto cui sono affidati, secondo i criteri e le
modalità del regolamento sull'ordinamento degli uffici e dei servizi, i
compiti di gestione. In alternativa, ovviamente, si può procedere alla
nomina di uno o più responsabili degli uffici ( o unità semplici
comunque denominate) , sulla base di una effettiva necessità
riscontrata agli esiti del censimento dei dati trattati nella struttura.
Nel caso in cui l'Amministrazione, a seguito di convenzioni o
concessioni stipulati in virtù di una espressa disposizione di legge,
affida a soggetti esterni lo svolgimento di determinati servizi, questi
possono essere nominati responsabili del trattamento dei dati per
quelle attività o per quei segmenti di procedura che sono stati loro
affidati15.
1.2.4 Gli obblighi del responsabile
Il responsabile:
a) si attiene alle istruzioni impartite dal titolare;
b) sottoscrive, insieme al titolare, la notifica del trattamento dei dati;
c) sottoscrive, insieme al titolare, l'informativa agli interessati;
d) procede alla nomina dell'incaricato del trattamento, dando istruzioni per
la corretta elaborazione dei dati;
e) procede alle verifiche sulla metodologia di introduzione e gestione dei
dati;
f) verifica i procedimenti di rettifica dei dati;
g) risolve problemi di tipo operativo e gestionale relativi al trattamento dei
dati e alla sicurezza delle banche dati;
h) dispone il blocco dei dati, qualora sia necessaria una sospensione
temporanea delle operazioni di trattamento, dandone tempestiva
comunicazione al titolare.
1.2.5 L'incaricato
L'incaricato è la persona fisica che concretamente tratta i dati
all'interno della singola unità operativa ed è nominato dal responsabile
o , in mancanza, dal titolare, che deve specificare analiticamente i
compiti affidati.
Se nel definire, nell'ambito di autonomia regolamentare, i criteri
organizzativi ai fini dell'applicazione della legge sulla privacy, è
possibile ( ed è opportuno) procedere ad una esplicita individuazione
dei titolari e dei responsabili , tale ipotesi non sembra invece possibile
nel caso della figura di incaricato del trattamento.
Infatti, la formale designazione dell'incaricato, risponde all'esigenza di
legittimare la conoscenza di dati da parte di chi, per lo svolgimento dei
15
La legge intende per responsabile non solo la persona fisica , ma anche "la persona
giuridica, la pubblica amministrazione e qualsiasi altro ente , associazione od
organismo preposti dal titolare al trattamento di dati personali" ( art.1, c.2, lett. e).
propri compiti, necessariamente esegue operazioni di trattamento16. E,
quando si parla di propri compiti , è ovvio che essi riguardano non un
solo profilo professionale ma certamente più di uno ( si pensi ad
esempio al collaboratore professionale inquandrato in categoria B/3 o
all'istruttore amministrativo inquadrato in ctg. C o ancora all'esecutore
inquadrato in ctg. B/1, tutti potenzialmente soggetti alla nomina).
Pertanto, si può procedere all'individuazione riferendosi
esclusivamente all'assemblamento organico di ogni singola unità.
Infine, per risolvere alcune problematiche di ordine pratico circa
eventuali richieste sindacali di indennità da corrispondere al personale
nominato o i meccanismi di mobilità interna in atto negli enti locali di
medie o grandi dimensioni ( che a parere dell'Anci complicherebbe
l'individuazione di tali figure)17, si riporta il parere dello stesso
Garante, che tra l'altro specifica meglio la stessa figura di incaricato.
Difatti, il Garante, nel premettere "di aver più volte ribadito nei suoi
provvedimenti la necessità per organismi complessi, quali appunto i
comuni, di designare come incaricati del trattamento i dipendenti e i
collaboratori esterni che, in ragione del loro ufficio, servizio o attività,
sono legittimati ad accedere alle informazioni personali contenute
negli archivi, banche dati, atti o documenti, e che possono trattarle ,
seguendo le istruzioni del titolare o, se designato, del responsabile del
trattamento e operando sotto la loro diretta autorità" , precisa che" tale
individuazione è indispensabile anche di fatto, pure in ogni organismo
complesso, in quanto permette di considerare legittimo il flusso delle
informazioni personali nell'ambito degli uffici e tra i diversi
dipendenti dell'amministrazione titolare del trattamento".
Ciò precisato, secondo il Garante "non si ravvisa la necessità di
prevedere forme di indennità per il personale incaricato di trattamento,
in quanto tale designazione non comporta l'attribuzione di ulteriori
compiti o responsabilità in capo al personale, ma costituisce
semplicemente il riconoscimento della liceità delle operazioni di
trattamento di dati collegate all'ufficio a cui il dipendente risulta
assegnato in base alle specifiche mansioni ad esso attribuite,
semplicemente chiarendo per ciascun dipendente quali sono le
informazioni cui può avere accesso e richiamandolo ai già esistenti
obblighi connessi al segreto d'ufficio".
Per quanto riguarda poi la problematica relativa alla mobilità del
personale, il Garante ritiene che questo istituto non pone particolari
ostacoli all'individuazione degli incaricati "ove la designazione
nominativa corrisponda alla qualifica che il suddetto personale ricopre
all'interno della struttura; ciò eviterebbe ogni problema qualora si
16
Come fa riferimemto il Garante in parere del 29 maggio 2000 in www. cittadino
.lex
Lo chiarisce, d'altra parte, la stessa legge che precisa "Non si considera
comunicazione la conoscenza dei dati personali delle persone incaricate per iscritto
di compiere le operazioni del trattamento dal titolare o dal responsabile , e che
operano sotto la loro diretta autorità" ( art. 19 Incaricati del trattamento ).
17
Tali problematiche sono state evidenziate dall'Anci in occasione di un quesito al
Garante, il quale ha dato ampia risposta con il parere di cui alla nota precedente.
verifichi un'ipotesi di mobilità , o comunque un normale
avvicendamento nelle funzioni.
Il conferimento o il cambiamento dell'incarico del trattamento dei dati
può anche essere inserito direttamente nelle comunicazioni o negli
ordini di servizio con i quali si provvede a spostare il personale
all'interno dell'ente".
1.2.6 Il dato personale e il trattamento
a)
b)
c)
d)
La Legge intende per "dato personale, qualunque informazione
relativa a persona fisica, persona giuridica, ente o associazione ,
identificati o identificabili, anche indirettamente, mediante riferimento
a qualsiasi altra informazione, ivi compreso un numero di
identificazione personale" e "per trattamento , qualunque operazione o
complesso di operazioni, svolti con o senza l'ausilio di mezzi
elettronici o comunque automatizzati, concernenti la raccolta, la
registrazione, l'organizzazione, la conservazione, l'elaborazione, la
modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione dei dati".
Nella sostanza, pertanto, sono dati personali la quasi totalità di quei
dati che, in ragione di ufficio, servizio o attività ordinari o finalizzati a
particolari procedure , sono trattati presso gli enti locali.
Sono, infatti, ad esempio da classificarsi come dati personali oltre
quelli "scontati" , che possono essere i dati anagrafici, tributari,
fiscali…., anche quelli che attengono alla condizione economica, a
status professionali o sociali, a requisiti culturali, alla rappresentatività
o al ruolo dei soggetti interessati all'interno di associazioni di carattere
diverso da quello indicato nell'art. 22 della Legge ( associazioni o
organizzazioni a carattere religioso, filosofico, politico o sindacale) e,
ancora, i dati che, identificati genericamente come attinenti ai requisiti
morali e alle doti di irreprensibilità o di carattere possedute, o al
decoro e al comportamento tenuto, non possono qualificarsi come
"sensibili".18
Per il trattamento di tali dati , l'art. 9 della Legge dispone che essi
devono essere.
trattati in modo lecito e secondo correttezza;
raccolti e registrati per scopi determinati, espliciti e legittimi, ed utilizzati
in altre operazioni del trattamento in termini non incompatibili con tali
scopi;
esatti e , se necessario, aggiornati;
pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono
raccolti o successivamente trattati;
18
Cfr Presidenza del Consiglio dei ministri - Circolare 19 aprile 2000 n. DAGL/643
-PRES.2000 in Guida agli enti locali del 27 maggio 2000, n.19, pag. 77.
e) conservati in una forma che consenta l'identificazione dell'interessato per
un periodo di tempo non superiore a quello necessario agli scopi per i quali
essi sono stati raccolti o successivamente trattati.
In particolare, dalla disposizione di cui alla lett. e) si ricava la
necessità di indicare in fase di censimento dei dati ( si rinvia alla
successiva specifica trattazione dell'argomento) la "durata del
trattamento" che può corrispondere, di regola, ai termini già
individuati ex art. 2, co.2 della legge 7 agosto 1990, n. 241 per ciascun
tipo di procedimento.
1.2.7 Il dato sensibile e il trattamento
a)
b)
c)
d)
a)
-
La classificazione dei dati sensibili discende dal comma 1 dell'art. 22
della Legge e comprende i dati personal idonei a rilevare :
l'origine razziale ed etnica;
le convinzioni religiose, filosofiche o di altro genere;
le opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale;
lo stato di salute e la vita sessuale.
Rientrano, altresì, nel novero dei dati sensibili, per specificità e per
rilievo delle garanzie nel trattamento, anche i dati personali idonei a
rilevare provvedimenti di cui all'art. 686, commi 1, lett. a) e d), 2 e 3
del codice di procedura penale.19
Da tale classificazione operata dalla Legge ne deriva che , in via
generale, la tipologia di dati sensibili è determinabile secondo criteri
rigorosi ma, può anche accadere , ad esempio, che se una serie di
informazioni anagrafiche ordinarie che, per loro natura e per modalità
obbligatorie di trattamento, non rientrano nelle categorie specificate ,
vengono elaborate, raffrontate o correlate a particolari condizioni o
situazioni personali , possono comunque "produrre" un complesso di
dati caratterizzato da un forte grado di "sensibilità" e, pertanto,
assoggettabile alle più rigorose modalità di trattamento previste per i
dati sensibili.
Infatti, per quanto riguardo il trattamento dei dati sensibili, oltre le
modalità e requisiti stabiliti per i dati personali dall'art. 9 della Legge
che valgono, a tutti gli effetti, anche per i c.d. dati sensibili, il d.lgs.
135/99 ha definito "una gestione differenziata".
E, così, il trattamento dei dati sensibili è consentito:
solo se autorizzato da espressa disposizione di legge ( comunitaria, statale o
regionale), nella quale siano chiaramente individuati
i dati trattabili;
le operazioni eseguibili;
le rilevanti finalità di interesse pubblico perseguite;
19
Art. 24 della Legge e, del resto, l'assimilazione tra le due categorie è definita in
modo esplicito dall'art. 1, co.3, lett. b) del d. lgs. 135799 nel quale è sancito che "ai
fini del presente decreto per dati si intendono i dati sensibili o attinenti a
provvedimenti giudiziari indicati negli articoli 22, comma 1, e 24 della legge".
b) solo sui dati strettamente necessari allo svolgimento dell'attività
istituzionale specifica;
c) solo quando, in relazione all'attività da svolgere, non sia possibile utilizzare
dati personali "ordinari" o anonimi;20
E, inoltre,
a) i dati sensibili sono raccolti, di regola, presso l'interessato;
b) i soggetti responsabili devono verificare periodicamente l'esattezza e
l'aggiornamento dei dati acquisiti, nonché la loro pertinenza, completezza,
non eccedenza e necessità rispetto alle finalità perseguite nei singoli casi,
anche con riferimento ai dati che l'interessato fornisce di propria iniziativa;
c) i dati che a seguito delle verifiche risultano eccedenti o non pertinenti o non
necessari non possono essere utilizzati, salvo che per l'eventuale
conservazione, a norma di legge, dell'atto o del documento che li contiene;
d) specifica attenzione deve essere prestata per la verifica dell'essenzialità dei
dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le
prestazioni o gli adempimenti;
e) in particolare, le operazioni di raffronto tra i dati sensibili, nonché i
trattamenti di dati ai sensi dell'art.17 della Legge , possono essere effettuate
solo con l'indicazione scritta dei motivi ;21
f) in ogni caso, le operazioni di raffronto, se effettuati utilizzando banche dati
di diversi titolari, sono ammessi solo se previsti da espressa disposizione di
legge.
E, ancora, una gestione "ulteriormente differenziata " è stabilita per i
dati idonei a rilevare lo stato di salute e la vita sessuale , che devono
essere conservati separatamente dagli altri dati riguardanti lo stesso
interessato e possono essere trattati solo prevedendo tecniche di
cifratura o codici identificativi o altri sistemi che permettono di
identificare gli interessati solo in casi di necessità , anche quando non
sono contenuti in elenchi, registri o banche dati o non sono tenuti con
l'ausilio di mezzi elettronici o comunque automatizzati ( per gli "altri "
dati sensibili queste particolari modalità di gestione sono da prevedere
solo nel caso siano contenuti in elenchi … e tenuti con l'ausilio di
mezzi elettronici…).22.
1.2.8 Comunicazione e diffusione
20
Ai sensi dell'art. 1, co.2, lett.. i) della Legge , per dato anonimo si intende " il dato
che in origine , o a seguito di trattamento, non può essere associato a un interessato
identificato o identificabile".
21
L'art. 17, co.1, della Legge stabilisce che " nessun atto o provvedimento
giudiziario o amministrativo che implichi una valutazione del comportamento umano
può essere fondato unicamente su un trattamento automatizzato di dati personali
volto a definire il profilo o la personalità dell'interessato".
22
Riguardo "la conservazione separata" dei dati idonei a rilevare salute e vita
sessuale , appare opportuno evidenziare che il Garante ha precisato che " la
disposizione non prevede, però, una assoluta separazione, sempre e comunque, dei
dati anagrafici e di quelli sulla salute. La separazione è infatti necessaria solo quando
il dato anagrafico sia trattato per finalità che non richiedono l'utilizzo di quelli sulla
salute. Non è in discussione , quindi la possibilità di avere una scheda o una "cartella
sociale del nucleo" che riporti congiuntamente l'una e l'altra categoria di dati"; parere del Garante 29 maggio 2000 in www. cittadino .lex
La comunicazione e la diffusione sono tra le operazioni di trattamento
cui la legge ha dedicato "particolare attenzione", in quanto non solo
specifica la distinzione teorica fra le due operazioni, 23ma anche le
disciplina diversamente sotto vari profili.
La comunicazione effettuata da persone fisiche per fini esclusivamente
personali è soggetta all'applicazione della legge solo nel caso la
comunicazione sia sistematica ( art. 3, comma 1).
L'art. 20 Requisiti per la comunicazione e la diffusione dei dati relativi
alle due operazioni quando effettuate da parte di privati e di enti
pubblici economici , al comma 1, lettere g) e h) individua due casi
riguardanti esclusivamente la comunicazione.
L'art.21 Divieto di comunicazione e diffusione stabilisce che il Garante
può vietare la diffusione di taluno dei dati relativi a singoli soggetti,
od a categorie di soggetti, quando la diffusione si pone in contrasto
con rilevanti interessi della collettività ( comma 3).
Infine, l'art. 23 Dati inerenti la salute stabilisce che la diffusione dei
dati idonei a rivelare lo stato di salute è vietata, salvo nel caso in cui
sia necessaria per finalità di prevenzione, accertamento o repressione
dei reati, con l'osservanza delle norme che regolano la materia (
comma 4).
Alla comunicazione e alla diffusione dei dati personali da parte dei
soggetti pubblici si applicano, invece, le disposizioni di cui all'art.27 .
Ci troviamo di nuovo di fronte ad un regime differenziato, che opera
una distinzione fra il caso in cui la comunicazione e la diffusione è
diretta verso soggetti pubblici, esclusi gli enti pubblici economici, e il
caso in cui le due operazioni sono dirette verso privati o enti pubblici
economici.
Nel primo caso , sono ammesse quando sono previste da norme di
legge o regolamento ( senza alcuna formalità), nonché qualora
risultino comunque necessarie per lo svolgimento di funzioni
istituzionali. In tale ultima ipotesi è necessario, però, che ne sia data
previa comunicazione al Garante ( che effettivamente può vietarle) nei
modi di cui all'art. 7, cc.2 e 3 ( lettera raccomandata o altro mezzo
idoneo a certificarne la ricezione, sottoscritta dal titolare e dal
responsabile).
Nel secondo caso , la comunicazione e la diffusione sono ammesse
solo se previste da norma di legge o di regolamento.
Resta, comunque, vietata la diffusione di dati idonei a rivelare lo stato
di salute, salvo nei casi di cui all'art. 23, c.4, già citati.
Il Garante, nella risposta del 22.7.97 ai quesiti dei comuni sulla legge
31 dicembre 1996, n.675, ha così sintetizzato : " Per quanto riguarda
la liceità ai sensi della L 675/96 della comunicazione e della
diffusione di dati personali da parte dei soggetti pubblici occorre
23
Ai fini della legge , si intende " per comunicazione il dare conoscenza dei dati
personali a uno o più soggetti diversi dall'interessato , in qualunque forma, anche
mediante la loro messa a disposizione o consultazione" ( art. 1, c.2, lett.g) e "per
diffusione il dare conoscenza dei dati personali a soggetti indeterminati, in
qualunque forma , anche mediante la loro messa a disposizione o consultazione" (
lett. h) .
verificare, in buona sostanza, che tali operazioni siano previste dalla
relativa normativa primaria o secondaria".
1.2.9 Le informazioni all'interessato e il consenso al trattamento
L'art. 10 della legge 675/96 prevede una diversa informazione fra il
caso in cui i dati sono raccolti presso l'interessato e il caso, invece, in
cui non sono raccolti direttamente presso l'interessato.
Nel primo caso, il comma 1 stabilisce che l'interessato o la persona
presso la quale sono raccolti i dati devono essere informati oralmente
o per iscritto, al momento della raccolta dei dati , circa le modalità e
finalità della raccolta, la natura obbligatoria o facoltativa del
conferimento dei dati, i soggetti o categorie di soggetti ai quali i dati
possono essere comunicati, le generalità del titolare e del responsabile,
i diritti riconosciuti all'interessato.
Rispetto a tale formulazione dell'informativa, il comma 2 prevede una
"semplificazione " per gli elementi già noti alla persona che fornisce i
dati , che possono essere omessi.24
Nel secondo caso della raccolta non effettuata direttamente presso
l'interessato, il comma 4 dell'articolo in parola stabilisce che
l'informativa non è obbligatoria quando i dati sono trattati in base ad
un obbligo previsto dalla legge, da un regolamento o dalla normativa
comunitaria.25
Se ne ricava, pertanto, che nella pratica più frequente gli enti locali o
non sono obbligati all'informazione ( quando la raccolta non avviene
direttamente presso l'interessato ) o vi provvedono in maniera
"semplificata" ( quando la raccolta avviene direttamente presso
l'interessato ).
Il d. lgs. 135/99 ha introdotto, però, l'obbligo per gli enti pubblici di
indicare espressamente, quando l'informativa attiene al trattamento di
dati sensibili, la norma legittimante il trattamento stesso.
L'art. 11 della legge 675/96 nel prevedere l'obbligo del consenso
dell'interessato al trattamento dei dati personali ha escluso gli enti
pubblici , lo stesso dicasi per il trattamento dei dati sensibili di cui
all'art. 22 , che al comma 1 prevede il trattamento di tali dati solo con
il consenso scritto dell'interessato e previa autorizzazione del Garante ,
24
Può non comprendere anche gli elementi la cui conoscenza può ostacolare
l'espletamento di funzioni pubbliche ispettive o di controllo, svolte per il
perseguimento delle finalità di cui agli artt. 4, c., lett.e) e 14, c.1, lett. d) della legge
675/96.
25
L'informativa non è obbligatoria anche quando la stessa comporta un impiego di
mezzi che il Garante dichiari manifestamente sproporzionato rispetto al diritto
tutelato, ovvero si rivela, a giudizio del Garante, impossibile.
Quando i dati sono trattati ai fini dello svolgimento delle investigazioni di cui all'art.
38 delle nomre di attuazione , di coordinamento e transitorie del codice di procedura
penale, approvate con d.lgs. 28 luglio 1989, n. 271 e successive modificazioni o,
comunque, per far valere o difendere un diritto in sede giudiziaria, sempre che i dati
siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario
al loro perseguimento.
ma al comma 3 "specifica" che "il trattamento dei dati indicati al c.1
da parte di soggetti pubblici, esclusi gli enti pubblici economici, è
consentito solo se autorizzato da espressa disposizione di legge, nella
quale siano specificati i tipi di dati che possono essere trattati, le
operazioni eseguibili e le rilevanti finalità di interesse pubblico
perseguite….".
I soggetti pubblici possono dunque procedere ai trattamenti dei dati
personali e sensibili a prescindere dal consenso dell'interessato, in
ragione del fatto che i trattamenti sono finalizzati alla realizzazione di
un'azione orientata al soddisfacimento del pubblico interesse.
1.2.10 La notificazione
La legge n. 675 del 1996 prevede l'obbligo della notificazione al
Garante per il titolare che intenda procedere ad un trattamento di dati (
art. 7) , alla cessazione dello stesso ( art. 16) e al trasferimento anche
temporaneo dei dati fuori dal territorio nazionale , con qualsiasi forma
o mezzo ( art. 28).
La formulazione originaria dell'art. 7 Notificazione non faceva alcuna
menzione dei soggetti pubblici e, quindi, "si limitava" a disporre che
ogni titolare "che intenda procedere ad un trattamento di dati personali
soggetto al campo di applicazione" della legge stessa "è tenuto a darne
comunicazione al Garante. Tuttavia, la norma in parola è stata
novellata dal d.lgs. 123/97 26, che ha introdotto per i soggetti pubblici (
esclusi gli enti pubblici economici) la possibilità di procedere a
notificazione semplificata e, cioè, a notificazione recante informazioni
circa il titolare del trattamento, i luoghi ove sono custoditi i dati,
l'ambito di comunicazione e di diffusione dei dati, le misure di
sicurezza, il responsabile.
Il comma 2 dell'articolo in parola precisa che la notificazione è atto
una tantum che , pertanto, deve essere ripetuto solo in caso di
successive modifiche apportate per i profili indicati nel medesimo
articolo.27
L'art. 16 Cessazione del trattamento dei dati , rimasto nella sua
formulazione originaria, impone la notificazione di cessazione, per
qualsiasi causa , del trattamento dei dati.
26
Il d.lgs. 123/97 ha aggiunto all'art.. 7 previgente i commi da 5-bis a 5 -quinquies.
Con deliberazione n.8 del 29 febbraio 2000 avente ad oggetto "applicazione delle
misure minime di sicurezza di cui al d.P.R. n.318/99. Modifica da apportare al
modello per la notificazione del trattamento dei dati personali", 27 il Garante,
considerato che " l'applicazione del d.P.R. n. 318/99 potrebbe indurre numerosi
titolari a modificare la precedente notificazione ai sensi dell'art. 7, commi 2 e 4 della
citata legge" determinando così " l'afflusso di un enorme numero di notificazioni non
necessarie in quanto non è indispensabile annotare nel registro generale dei
trattamenti, in questa fase transitoria, modifiche di notificazioni già effettuate
derivanti dall'adempimento di un obbligo di legge" , deliberava " di dare atto che i
soggetti che hanno notificato i trattamenti dei dati personali prima del 29 marzo
2000 non devono presentare una nuova notificazione di modifica qualora abbiano
adottato le misure previste dal d.P.R. n.318 del 28 luglio 1999".
27
Tale articolo non introduce espressamente , come nel primo caso,
"obblighi semplificati " per i soggetti pubblici ma , tuttavia, non
sembra possibile ritenere che la disposizione non sia strettamente
correlata ai trattamenti comunicati in sede di notificazione
semplificata ( nel senso che non sembra possibile che si possa
procedere alla comunicazione di cessazione di un trattamento di dati
di cui non si è data comunicazione ex art. 7 ).
Invece, l'art. 28 Trasferimento di dati personali all'estero introduce
espressamente (di nuovo) "un regime differenziato" in alcuni casi che
interessano sicuramente i soggetti pubblici. Difatti, "in via generale",
è disposto che "il trasferimento anche temporaneo fuori del territorio
nazionale, con qualsiasi forma e mezzo, di dati personali oggetto di
trattamento deve essere previamente notificato al garante, qualora sia
diretto verso un Paese non appartenente all'Unione Europea e ricorra
uno dei casi individuati ai sensi dell’art.7, co.1" e che "il trasferimento
può avvenire soltanto dopo quindici giorni dalla data della
notificazione; il termine è di venti giorni qualora il trasferimento
riguardi taluno dei dati di cui agli artt. 22 e 24".
Il comma 4, però, stabilisce in particolare che "il trasferimento è
comunque consentito qualora sia necessario per la salvaguardia di un
interesse pubblico rilevante individuato con legge o con regolamento,
ovvero specificato ai sensi degli artt. 22, c.3, e 24, se il trasferimento
riguarda taluno dei dati ivi previsti"( lett. c) oppure " sia effettuato in
accoglimento di una richiesta di accesso ai documenti amministrativi,
ovvero di una richiesta di informazioni estraibili da un pubblico
registro, elenco, atto o documento conoscibile da chiunque, con
l'osservanza delle norme che regolano la materia" (lett. f) .28
Si ricava , quindi, che nei casi specificati , la disposizione consente
l'immediata trasmissione oltrefrontiera dei dati, a prescindere dal
termine di procedibilità del trasferimento.29
28
Gli altri casi si ravvisano qualora :
a) l'interessato abbia manifestato il proprio consenso espresso ovvero, se il
trasferimento riguardo taluno dei dati di cui agli artt. 22 e 24, in forma scritta;
b) sia necessario per l'esecuzione di obblighi derivanti da un contratto del quale è
parte l'interessato o per l'acquisizione di informative precontrattuali attivate su
richiesta di quest'ultimo, ovvero per la conclusione o per l'esecuzione di un contratto
stipulato a favore dell'interessato;
d) sia necessario ai fini dello svolgimento delle investigazioni di cui all'art. 38 delle
norme di attuazione , di coordinamento e transitorie del codice di procedura penale,
approvate con d.ls. 28 luglio 1989, n. 271 , e successive modificazioni o, comunque,
per far valere o difendere un diritto in sede giudiziaria, sempre che i dati siano
trasferiti esclusivamente per tali finalità e per il periodo strettamente necessario al
loro perseguimento;
e) sia necessario alla salvaguardi della vita o dell'incolumità fisica dell'interessato o
di un terzo, nel caso in cui l'interessato non può prestare il proprio consenso per
impossibilità fisica, per incapacità di agire o per incapacità di intendere o di volere;
g) sia autorizzato dal Garante sulla base di adeguate garanzie per i diritti
dell'interessato, prestate anche con un contratto.
29
A tale proposito, in ordine ad un quesito attinente alla possibilità per gli organismi
socio-assistenziali di comunicare i dati dei minori ad organi di Paesi stranieri
extracomunitari ai fini del rimpatrio degli stessi, il Garante ha ritenuto applicabile la
disciplina prevista dall'articolo 28, comma 4, lett. c) , in quanto "tale disposizione
1.2.11 Le misure minime di sicurezza
L'art.15 , comma 1, della Legge afferma che "i dati personali oggetto
di trattamento devono essere custoditi e controllati, anche in relazione
alle conoscenze acquisite in base al progresso tecnico, alla natura dei
dati e alle specifiche caratteristiche del trattamento, in modo da ridurre
al minimo, mediante l'adozione di idonee e preventive misure di
sicurezza , i rischi di distruzione o perdita, anche accidentale, dei dati
stessi, di accesso non autorizzato o di trattamento non consentito o
non conforme alle finalità della raccolta" e viene stabilito che le
misure minime di sicurezza da adottare in via preventiva sono
individuate con regolamento emanato con decreto del Presidente della
Repubblica e che esse sono adeguate successivamente, con cadenza
almeno biennale, "in relazione all'evoluzione tecnica e all'esperienza
maturata".
Il regolamento, emanato con d.P.R. 28 luglio 1999, n. 318, ha gettato
le basi per una più articolata disciplina della sicurezza specie
nell'informatica e nella telematica e, in coerenza con la legge da cui
promana , si rivolge a tutti i soggetti -pubblici e privati - che
nell'ambito delle loro attività pongono in essere un trattamento dei dati
personali.
Lo stesso Garante ha precisato che il regolamento "non è destinato a
contenere tutte le regole tecniche da adottare in ogni caso per la
sicurezza dei dati personali, in riferimento alle diverse modalità di
trattamento utilizzate, e individua unicamente quei requisiti minimi il
cui mancato rispetto comporta una maggiore esposizione a rischio del
bene giuridico che la norma vuole tutelare" e, pertanto, non intende
individuare le "migliori" misure evidenziate dalla scienza tecnica in un
dato momento ma, piuttosto, mira ad enucleare un minimo
denominatore comune delle misure di sicurezza disponibili, tale da
poter definire le stesse come "minime".30
In sostanza, nel caso in cui il trattamento è effettuato con strumenti
elettronici o comunque automatizzati ,le misure minime devono
comportare l'identificazione dell'utente, l'autorizzazione all'accesso
alle funzioni, ai servizi, ai locali, ai dati e alla registrazione degli
ingressi, l'utilizzazione di programmi antivirus contro il rischio di
intrusioni, nonché devono limitare il riutilizzo di supporti per
l'archiviazione elettronica o automatizzata o cartacea.
Qualora il trattamento sia effettuato mediante elaboratori che,
attraverso una rete di telecomunicazioni, sono accessibili
pubblicamente,
occorre
prevedere
la
predisposizione
e
l'aggiornamento annuale di un documento programmatico sulla
sicurezza dei dati sensibili e giudiziari, basandosi sull'analisi dei
consente l'immediata trasmissione oltrefrontiera di dati per la salvaguardia di un
interesse pubblico rilevante individuato con legge, regolamento o con
provvedimento del Garante".
30 Provvedimento del 29 febbraio 2000 in www. Garanteprivacy..it
a)
b)
a)
b)
rischi, della distribuzione dei compiti e delle responsabilità ( art. 6,
co.1).
Inoltre, nel caso in cui la tenuta di dati è operata per mezzo di supporti
cartacei, sono state individuate particolari modalità:
nel designare per iscritto gli incaricati del trattamento e nell'impartire le
istruzioni, il titolare o, se designato, il responsabile devono prescrivere che
i soggetti abbiano accesso ai soli dati personali la cui conoscenza sia
strettamente necessaria per adempiere ai compiti loro assegnati ( art. 9,
co.1, lett. a);
gli atti e i documenti contenenti i dati devono essere conservati in archivi
ad accesso selezionato e, se affidati agli incaricati del trattamento, devono
essere da questi ultimi conservati e restituiti al termine delle operazioni
eseguite ( art. 9, co. 1, lett.b).
Nel caso l'attività riguardi dati di tipo sensibile o di natura giudiziaria ,
devono essere previste ulteriori misure:
se affidati agli incaricati, gli atti e i documenti concernenti i dati siano
conservati, sino alla restituzione, in contenitori muniti di serratura;
l'accesso agli archivi sia controllato e siano identificati e registrati i soggetti
che vi vengono ammessi dopo l'orario di chiusura degli archivi stessi.
Infatti, appare opportuno evidenziare che, in via generale, poiché
l'ottica con cui sono state previste le singole misure di sicurezza è
collegata non solo alla protezione dei sistemi o delle trasmissioni in
quanto tali, ma, più direttamente alla protezione dei dati personali, il
livello di sicurezza si modifica di conseguenza in relazione alla
presenza o meno dei dati stessi e nel caso siano contestualmente
presenti dati "comuni" e "sensibili", è necessario osservare le misure
previste per la categoria più elevata.31
1.3 Gli adempimenti - Premessa
Gli enti locali sono chiamati , dall'impianto normativo delineato, a
definire percorsi operativi e soluzioni organizzative, nonchè a
produrre norme specifiche di razionalizzazione del sistema.
Infatti, abbiamo già visto, come sia necessario procedere alla nomina
dei responsabili e degli incaricati ai fini della distribuzione di compiti
e responsabilità, nonché ai fini organizzativi della struttura ma,
sicuramente, l'aspetto più problematico dell'adeguamento riguarda gli
adempimenti che scaturiscono dal decreto legislativo 11 maggio 1999,
n. 135.
31
A fronte di numerose comunicazioni relative all'adozione delle misure di
sicurezza inviate al Garante dalle amministrazioni comunali , l'Autorità ha più volte
sottolineato che "non sussiste obbligo di comunicazione delle determinazioni
adottate in attuazione del d.P.R. n. 318, se non a seguito di una eventuale e specifica
richiesta da parte dell'Autorità ai sensi dell'art. 32, comma 1, della legge 675.Il
garante rileva che la trasmissione delle note citate oltre ad essere superflua , non
introduce un procedimento amministrativo di valutazione dell'adeguatezza delle
misure di sicurezza , che peraltro non può basarsi solo su un generico documento
riassuntivo" ( comunicato 9 maggio 2000 ).
L'art. 5 del decreto ha sostanzialmente riformulato l'art. 22 della
L.675/96 (dati sensibili) stabilendo che :
a) il trattamento dei dati sensibili da parte di soggetti pubblici è consentito
solo se autorizzato da espressa disposizione di legge , nella quale siano
specificati
- i tipi di dati che possono essere trattati
- le operazioni eseguibili
- le rilevanti finalità di interesse pubblico perseguite;
b) in mancanza di espressa disposizione di legge , i soggetti pubblici possono
richiedere al Garante, nelle more della specificazione legislativa ,
l'individuazione delle attività, tra quelle demandate ai medesimi soggetti
dalla legge, che perseguono rilevanti finalità di interesse pubblico e per le
quali è conseguentemente autorizzato il trattamento dei dati;
c) qualora, invece, vengano ad essere specificate in via normativa le rilevanti
finalità di interesse pubblico, ma non sono precisati i tipi di dati e le
operazioni eseguibili, l'amministrazione può identificare e rendere
pubblici, nelle forme e con le soluzioni previste dal proprio
ordinamento, i tipi di dati e di operazioni strettamente pertinenti e
necessari in relazione alle finalità perseguite nei singoli casi,
aggiornando tale identificazione periodicamente.
In altri termini, poiché l'integrazione del quadro normativo riguarda
non solo le norme previgenti al d.lgs. 135/99, ma anche alcune materie
individuate dallo stesso decreto, per le quali si ha l'individuazione
della sola rilevante finalità di interesse pubblico e nulla è stabilito in
ordine ai tipi di dati trattabili e alle operazioni eseguibili, appare
evidente che l'amministrazione dovrà necessariamente intervenire con
disposizioni regolamentari e/o organizzative.
1.4 Il censimento dei trattamenti e delle banche dati
-
-
Il processo conoscitivo, finalizzato
- all'individuazione dei trattamenti soggetti a notificazione;
all'individuazione delle attività per le quali la normativa non specifica le
rilevanti finalità di interesse pubblico e per le quali è necessario richiedere
specificazione al Garante;
alla verifica delle tipologie di dati trattabili e delle operazioni eseguibili sui
dati sensibili, quando non stabilite dalla legge;
all'individuazione delle misure di sicurezza da adottare, anche sulla base dei
flussi informativi sia tra le unità operative della stessa struttura sia tra
queste e i soggetti esterni;
richiede, necessariamente, il censimento dei trattamenti effettuati e
delle banche dati gestite dai vari settori e servizi.
Tutte le fasi del censimento e, cioè, l'elaborazione della scheda di
rilevazione dati, della sua diffusione all'interno del settore di
competenza, dell'aggregazione e integrazione dei dati e
dell'elaborazione finale di "una mappa" delle risultanze, competono al
titolare ( quale soggetto che dà "l'avvio" all'adeguamento, se non altro
perché è l'unico individuato ex lege).
Conclusa l'operazione, si procederà all'elaborazione del
regolamento, alle varie nomine dei soggetti che si intendono
coinvolgere e alla emanazione della determinazione di adozione
delle misure minime di sicurezza.
1.5 Le materie non individuate dal d.lgs. 135/99
Come abbiamo già visto, l'art. 22, comma 3, della legge 675/96, come
modificato dall'art. 5 del d.lgs. 135/99, ammette il trattamento dei dati sensibili da parte
dei soggetti pubblici , esclusi gli enti pubblici economici, solo se autorizzato da espressa
disposizione di legge , nella quale siano specificati i tipi di dati che possono essere
trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite;
Per i trattamenti non autorizzati da una espressa disposizione di legge avente tali
caratteristiche, i soggetti pubblici possono chiedere al Garante di individuare, tra le
attività ad essi demandate dalle legge, quelle che perseguono rilevanti finalità di
interesse pubblico e per le quali il trattamento dei dati sensibili è conseguentemente
autorizzato nelle more di una specificazione legislativa.
A seguito di varie richieste da parte di amministrazioni pubbliche , il Garante con
provvedimento n. 1/P/2000 del 30 dicembre 1999 - 13 gennaio 2000 32 ha individuato,
nelle more di una specificazione legislativa, "ulteriori" rilevanti finalità di interesse
pubblico relative alle attività:
a) socio -assistenziali, con particolare riferimento a interventi di sostegno psico-sociale e
di formazione in favore di giovani o di altri soggetti che versano in condizioni di disagio
sociale , economico o familiare, quali:
- interventi anche di rilievo sanitario in favore di soggetti bisognosi o non autosufficienti
o incapaci, ivi compresi i servizi di assistenza economica o domiciliare, di telesoccorso,
accompagnamento e trasporto;
- assistenza nei confronti di minori, anche in relazione di adozione anche internazionale;
- compiti di vigilanza per affidamenti temporanei;
- iniziative di vigilanza e di sostegno in riferimento al soggiorno di nomadi;
- interventi in tema di barriere architettoniche;
b) relative alla gestione di asili nido;
c)concernenti la gestione di mense scolastiche o la fornitura di sussidi, contributi e
materiale didattico;
d) ricreative o di promozione della cultura e dello sport, con particolare riferimento
all'organizzazione di soggiorni, mostre, conferenze e manifestazioni sportive o all'uso di
beni immobili o all'occupazione di suolo pubblico;
e) finalizzate all'assegnazione di alloggi di edilizia residenziale pubblica;
f) relative alla leva militare;
g)di polizia amministrativa locale , con particolare riferimento ai servizi di igiene, di
polizia mortuaria e ai controlli in materia di ambiente;
h) degli uffici per le relazioni con il pubblico;
i)in materia di protezione civile;
j)di supporto al collocamento e all'avviamento al lavoro, in particolare a cura di centri di
iniziativa locale per l'occupazione e di sportelli-lavoro;
32
In www. garanteprivacy .it
k)dei difensori civici regionali e locali, con particolare riferimento alla trattazione di
petizioni e segnalazioni.
Come si può rilevare, in tale provvedimento non sono stati specificati i tipi di dati e le
operazioni strettamente pertinenti e necessari in relazione alle finalità perseguite nei
singoli casi, pertanto, ai sensi dell'art. 22, comma 3-bis , della Legge, introdotto dall'art.
5 , comma 3, del d.lgs. 135/99, i soggetti pubblici dovranno identificarli e renderli
pubblici , aggiornando tale identificazione periodicamente.
GUIDA
ALL’APPLICAZIONE
DELLA LEGGE
SULLA “PRIVACY”
Perché una guida all’applicazione della legge sulla “privacy”?
Con le legge 675/96 il legislatore ha elaborato una legge che tutela in via generale il
diritto alla riservatezza, lasciando però intatto il problema del rapporto con la legge
241/90 e del conseguente efficace bilanciamento tra il diritto all’accesso e il diritto alla
riservatezza.
I dati di fatto:
- è senz’altro vero che il diritto d’accesso disciplinato dalla L.241/90 è stato
sottoposto al minuzioso vaglio di una giurisprudenza torrenziale; non altrettanto può
dirsi per le norme introdotte dalla L 675/96, delle quali si è finora occupato in unico
caso il giudice amministrativo;
- la normativa a tutela della riservatezza , per giunta, appare spesso oscura e di
difficile interpretazione;
- singolarmente, la L.675/96 è affiancata ab origine da una legge delega mediante la
quale il governo è stato autorizzato a modificare e/o integrare le nuove disposizioni
sulla “privacy”;
- nell’arco di un anno dall’entrata in vigore , la L.675/96 è stata in effetti modificata a
più riprese , ed è stato inoltre avviato il processo di integrazione con norme di
settore;
- il contributo interpretativo da parte dell’authority istituita ad hoc (Garante per la
protezione dei dati personali) , spesso prezioso, rischia talvolta di non chiarire fino
in fondo la portata della nuova disciplina;
- il nostro Paese si è dimostrato (piuttosto) refrattario all’innesto di specifiche regole a
tutela della privacy.
E, ancora, in particolare:
- la L.241/90 , nel disciplinare il principio della trasparenza dei documenti
amministrativi, fa salva , in certi limiti, la riservatezza di terzi; la L 675/96,
nell’introdurre norme a tutela della riservatezza (anche) degli stessi terzi, fa tuttavia
salve le norme sul diritto d’accesso. Il richiamo reciproco dell’una norma all’altra si
mostra, a prima vista, invincibile;
- la legge sulla privacy è volta alla tutela delle informazioni che, in base al contenuto,
possono essere definite come dato personale, e riguarda ogni trattamento di queste
informazioni (e, pertanto, sotto questo profilo, ben può considerarsi una leggequadro, nel suo ambito); la legge sul procedimento amministrativo concerne ,
invece, ogni tipo di informazioni ( anche non personali) che la pubblica
amministrazione detiene e deve mettere a disposizione – a certe condizioni – di
determinati soggetti. Anche in questa prospettiva si potrebbe dunque ipotizzare una
sorta di specialità reciproca, inidonea a risolvere i problemi di coordinamento.
E, allora, come dovrà comportarsi un soggetto pubblico in relazione ai dati
personali detenuti che possono essere oggetto di istanze di accesso?
Una risposta è data sia con il regolamento, per quanto riguarda gli aspetti fondamentali
dell’organizzazione strutturale e funzionale con annessa modulistica, sia con questa
guida che, in particolare, rappresenta una rassegna di “pronunciamenti” di varia natura
della giurisprudenza e del Garante per la protezione dei dati personali, significando che
entrambi “partono” da quella premessa di fondo che è la decisione n. 59 del 26 gennaio
1999 del Consiglio di Stato. Unica decisione, ad oggi, che ha affrontato “il problema”
del contemperamento tra le disposizioni relative all’accesso ai documenti amministrativi
e quelle dettate a tutela della riservatezza e della quale, pertanto, vale la pena seguirne le
argomentazioni salienti.
“Non può disconoscersi che la legge n.241/90, quando parla di riservatezza di terzi,
persone, gruppi ed imprese come limite all’esercizio del diritto di accesso, non fornisce
alcuna idonea descrizione normativa del contenuto di detto limite , per cui appare del
tutto logico che tale carenza possa essere colmata dalla precisa indicazione dei dati
personali nei termini in cui essi sono disciplinati dalla legge n. 675/96”.
La quale ultima – ed essa soltanto – “individua i dati personali riguardanti la
riservatezza degli individui, dei gruppi e delle imprese, indica i criteri per il loro
trattamento, comprensivo della comunicazione a terzi e specifica a quali condizioni
possa avvenire nei casi consentiti. Ne deriva che anche in presenza di una domanda di
accesso, la comunicazione di dati personali contenuti nei documenti richiesti debba
avvenire nel rispetto delle condizioni fissate dalla legge 675/96, condizioni che per i
soggetti pubblici sono contenute nell’art. 22 della legge”…”.
Da ciò la conseguenza che “dopo l’entrata in vigore della legge 675/96 , nel caso di
richiesta di accesso a documenti contenenti dati personali sensibili relativi a terzi
posseduti da una pubblica amministrazione , il diritto alla difesa prevale su quello alla
riservatezza solo se una posizione di legge espressamente consente al soggetto pubblico
di comunicare a privati i dati oggetto della richiesta”.
Infatti, “l’art. 27, comma 2 della legge 675/90 riconosce la possibilità di comunicare a
soggetti pubblici dei dati personali anche al di fuori di previsione di legge o di
regolamento, ove gli stessi siano necessari per il perseguimento delle loro finalità
istituzionali, mentre analoga possibilità non è prevista dal successivo comma 3 per le
comunicazioni di dati a privati, per i quali il limite della previsione di legge e, per dati
personali non sensibili, di regolamento appare invalicabile”.
Del resto “la giurisprudenza ha avuto modo di precisare che il diritto alla difesa non
deve essere assolutizzato rispetto a quello della riservatezza, dovendo
l’amministrazione adottare tutte le precauzioni necessarie per limitare al minimo le
lesioni che a quest’ultimo possono derivare dall’esercizio del diritto della difesa”.
Affermazione che si spiega solo se si tiene presente che mentre le esigenze conoscitive
connesse all’esercizio del diritto alla difesa possono sempre trovare
soddisfazione in sede giurisdizionale , attraverso la richiesta al giudice adito di
ordinare all’amministrazione l’esibizione e il deposito degli atti nel corso del
processo, viceversa il diritto alla riservatezza viene immediatamente leso dalla
possibilità offerta da un soggetto pubblico nei confronti dei terzi di conoscere, al
di fuori di esplicite e tassative previsioni di legge, dati personali sensibili.
Escluso dunque ogni favor aprioristico per il diritto di accesso, occorre , “di volta in
volta (case by case) , ricercare nell’ordinamento l’espressa disposizione di legge con le
caratteristiche di cui all’art.22, terzo comma, essa sola idonea a legittimare il
trattamento e, specificamente, la comunicazione a terzi di dati sensibili da parte di
amministrazioni pubbliche”; in altri termini , essa sola idonea a legittimare l’accesso ad
informazioni sensibili in possesso della p.a.
STATO CIVILE, ANAGRAFI E LISTE ELETTORALI
-
SERVIZIO ELETTORALE
Liste elettorali
Gli articoli 12 e 20 della Legge 675/96 permettono ai privati ed enti pubblici economici
di trattare e divulgare dati desumibili da pubblici registri, elenchi , atti e documenti
conoscibili da chiunque.
Colui che raccoglie i dati elettorali personali presso gli uffici elettorali comunali,
tuttavia , deve informare i singoli cittadini interessati , al momento della registrazione o,
se è prevista comunicazione dei dati, non oltre la prima comunicazione a terzi, così
come previsto dall’art.10, commi 1 e 3. Tale informativa è finalizzata all’eventuale
opposizione all’utilizzo dei dati per scopi commerciali o altro( Si veda in proposito la
circolare del Ministero dell’interno n. 28/98 del 27 aprile 1998 relativa all’ostensibilità
delle liste elettorali).
- STATO CIVILE
Rilascio elenco quotidiano delle nascite, morti, pubblicazioni
Il Consiglio di Stato ha stabilito che non può formare oggetto d’accesso ai documenti
amministrativi la conoscenza immediata e diretta dei registri di stato civile, posto che la
loro pubblicità ne consente la consultazione solo attraverso la necessaria mediazione
dell’ufficiale di stato civile, che rilascia atti riproduttivi parziali (estratti) o totali (copie)
e compie sugli stessi le indagini demandate dai privati.
Benchè i registri di stato civile siano pubblici, l’ufficiale di stato civile non è tenuto, in
difetto di espressa disposizione di legge , a redigere quotidianamente appositi elenchi di
matrimoni, nati e defunti da porre a disposizione dei cittadini o di altri soggetti
interessati, giacchè in capo a costoro non sussiste alcuna pretesa giuridicamente
rilevante. In conseguenza di ciò un giornale non può formulare richiesta di rilascio di
copia di elenchi con l’identificazione di nominativi delle persone censite nei registri di
stato civile e di anagrafe ( Cons. St., Sez. V, decisione del 23 gennaio 1999, n.99).
Del medesimo avviso è pure il Garante, il quale ha precisato che la pubblicità dei
registri di stato civile comporta non tanto la loro libera consultabilità quanto la
possibilità d rilascio in determinati casi dei certificati previsti dalla legge: un esempio in
questo caso è rappresentato dagli estratti dei certificati di matrimonio a margine del
quale viene annotato il regime patrimoniale dei coniugi 33.
Newsletter 5-12 aprile 1999 . “Non occorre alcuna autorizzazione del Garante per poter ottenere il
rilascio, da parte dell’ufficiale dello stato civile, degli estratti dei certificati di matrimonio. Lo ha precisato
il garante in risposta ad una richiesta avanzata da un legale che aveva necessità di accertare il regime
patrimoniale esistente tra una persona sottoposta ad un esproprio immobiliare e il suo coniuge. Il regime
patrimoniale dei coniugi viene annotato, infatti, a margine dell’atto di matrimonio e deve essere indicato,
nel caso sia annotato, nell’estratto dell’atto di matrimonio rilasciato per riassunto.
Per acquisire notizie sul regime patrimoniale è quindi sufficiente richiedere all’ufficiale dello stato civile
un estratto per riassunto, senza bisogno di acquisire l’atto di matrimonio in copia integrale che può essere
invece rilasciato solo dietro autorizzazione del Procuratore della Repubblica”.
33
Matrimoni e diritto di cronaca
I media possono pubblicare notizie riguardanti gli annunci di matrimonio anche senza il
consenso degli interessati, ma i nominativi dei futuri sposi devono essre tratti dalle
pubblicazioni affisse nell’albo pretorio. E’ invece illegittima la prassi di dare diretta
comunicazione o diffusione continuativa di queste informazioni agli organi di stampa da
parte degli uffici di stato civile.
E’ quanto viene ribadito da un provvedimento con cui il Garante ha respinto il ricorso
presentato da due giovani che si erano rivolti all’Autorità per denunciare la presunta
violazione della disciplina sulla tutela della riservatezza da parte di un quotidiano locale
che aveva riportato, contro la loro volontà, la notizia del matrimonio traendola dalle
pubblicazioni affisse in comune.
Il Garante, infatti, ha ricordato che la diffusione dei dati contenuti negli annunci
matrimoniali affissi all’albo pretorio è lecita e conforme alle disposizioni in materia di
privacy poiché risponde a un obbligo di legge volto a rendere nota la volontà dei
nubendi e a consentire eventuali opposizioni da parte degli interessati. Le pubblicazioni
contengono informazioni che possono essere visionate da chiunque e che sono
suscettibili di essere trattate a fini giornalistici anche senza il consenso degli interessati
purchè ciò avvenga nel rispetto dei limiti del diritto di cronaca posti a tutela della
riservatezza e dei principi fissati dal codice deontologico34.
SERVIZIO ANAGRAFE
Regola generale
La regola generale prevede che l’ufficiale di anagrafe deve rilasciare a chiunque ne
faccia richiesta, fatte salve le limitazioni di legge, solo i certificati concernenti la
residenza e stato di famiglia degli iscritti all’anagrafe e comunicare i dati anagrafici, in
forma anonima e aggregata, agli interessati che ne facciano richiesta per fini statistici e
di ricerca . In tutte le altre ipotesi il Comune non può trasmettere dati personali a
privati35.
Comunque, mentre rimane in generale vietato il flusso di dati verso un soggetto privato
quando ciò non sia previsto da una norma di legge o regolamento, vi possono essere casi
in cui è possibile ove la relazione fra ente locale e soggetto privato possa essere
inquadrata come rapporto tra titolare e responsabile del trattamento, ai sensi dell’art.8
della L.675/96. In tale norma, però, si precisa che la designazione del responsabile deve
avvenire con atto scritto, nel rispetto dei requisiti di esperienza, capacità e affidabilità, e
deve essere accompagnata da precise istruzioni da parte del titolare, finalizzate al
miglior svolgimento dei compiti affidati. Una volta designato come responsabile, il
soggetto privato può quindi inserirsi in una relazione stretta con il Comune, nel cui
Comunicato stampa n.24 del 9 marzo 2000 in Bollettini 11-12 della Presidenza del Consiglio dei Ministri.
Il Garante ha evidenziato che la legge 675/96 impone ai soggetti , sia pubblici sia privati, che gestiscono dati
personali, l’osservanza di modalità di conservazione e di controllo dei dati tali da ridurre al minimo i rischi di
eventuale distruzione o perdita degli stessi, volte ad impedire l’accesso non autorizzato o un trattamento
abusivo o non conforme alla legge.
Ciò richiede , specificamente per i servizi demografici , l’introduzione di opportune modifiche di natura
organizzativa ed informatica per ridurre al minimo i rischi di violazione dei dati trattati e disposizioni che
regolano il trattamento dei dati personali al fine di prevenire in particolare il furto di alcuni tagliandi
contenenti dati anagrafici e foto identificative, corrispondenti alle carte di identità rilasciate ai cittadini.
Comunicato stampa 1999 in www.garanteprivacy.it
34
35
ambito il soggetto medesimo può essere autorizzato ad accedere ad alcune informazioni
in suo possesso. In tal caso resta comunque ferma l’esigenza che :il soggetto privato sia
destinatario dei soli dati in concreto effettivamente indispensabili per il perseguimento
dei compiti affidati, rispettando il principio generale di pertinenza, nonché le puntuali
indicazioni che il Comune deve impartire , anche per ciò che riguarda la sicurezza e
l’utilizzo dei dati. Qualora il Comune debba procedere alla notificazione dei trattamenti
in atti presso l’ente stesso, è tenuto ad indicare nella notifica anche le coordinate
identificative del soggetto privato nominato responsabile.
Elenco capi famiglia richiesto da partiti politici
Le comunicazioni di dati personali da parte del Comune nei confronti di un soggetto
privato è consentita solo quando tale possibilità sia prevista in modo specifico da norma
di legge o regolamento. In tal senso va letta la decisione del Garante di confermare la
decisione di un Comune intesa a respingere la richiesta di un partito politico finalizzata
la rilascio di un elenco dei capifamiglia residenti nel territorio comunale completo dei
relativi indirizzi, proprio perché la comunicazione e la diffusione di dati personali sono
ammesse da soggetto pubblico a soggetto privato solo per i casi ammessi da norma di
legge o regolamento36.
Elenchi anagrafici richiesti dall’ASL
Il Garante ha chiarito che l’ufficio anagrafe del Comune può comunicare gli elenchi
aggiornati della popolazione alle ASL, sempre che l’utilizzo che ne viene fatto sia di
pubblica utilità, quale potrebbe essere ad esempio lo screening di malattie relativamente
diffuse, come i tumori37
Autocertificazioni
Al fine di tutelare la riservatezza dei dati di cui all’art.22 della legge 675/96 (dati
sensibili), i certificati e i documenti trasmessi ad altre pubbliche amministrazioni
possono contenere solo le informazioni relativi a stati, fatti e qualità personali previste
da legge o da regolamento e strettamente necessarie per il perseguimento delle finalità
per le quali vengono acquisite38.
ESERCIZIO DEI DIRITTI POLITICI E PUBBLICITA’ DELL’ATTIVITA’ DI
DETERMINATI ORGANI
Atti di Consiglio, Giunta e attività di verbalizzazione
La Commissione per l’accesso ai documenti amministrativi ha ritenuto che i fascicoli
contenenti le proposte da trattare in Consiglio, in quanto contenenti documenti
amministrativi, sono accessibili liberamente ai cittadini residenti nel Comune o da
chiunque vi abbia interesse per la tutela di una situazione giuridicamente rilevante,
previo pagamento dei relativi costi. Non è consentito, tuttavia, l’accesso ai fascicoli che
36
Comunicato 3 settembre 1998 in www.garanteprivacy.it
37
Comunicato 8 gennaio 1999 in www.garanteprivacy.it
38
Comunicato 4 febbraio 1999 in www.garanteprivacy .it
contengono atti prodromici all’emanazione di atti normativi, amministrativi generali, di
pianificazione, nonché atti del procedimento tributario.
La risposta suscita delicati problemi di raccordo per quanto riguarda la normativa di
rispetto della privacy : si pensi alle proposte di deliberazione consiliare che trattano
argomenti posti in seduta non pubblica o soggette a votazione a scrutinio segreto perché
implicanti giudizi su persone.
Al riguardo, si può prospettare una pluralità di soluzioni possibili:
a) dare atti in visione con omissis;
b) non dare atti in visione, motivando necessità di rispetto della riservatezza;
c) dare solo atti che non rilevano dati personali ( es. delibera che nomina commissione
edilizia – non dare accesso limitatamente a curriculum esperti).
Dispositivo deliberazioni che contengono dati sensibili
Secondo il Garante i provvedimenti di liquidazione di compensi lavoro straordinario o
della produttività dei dipendenti comunali non debbono essere pubblicati all’albo
pretorio in versione integrale, ma depurati dei nomi, qualifiche ed uffici, dato che tali
notizie sono considerati, ai sensi della legge, dati personali39.
Più in generale si può affermare che nel caso di provvedimenti contenenti dati sensibili
la pubblicazione del provvedimento deve essere rispettosa delle regole sulla privacy:
infatti, se è pur vero che la legge 675 permette alle pubbliche amministrazioni di
diffondere dati personali, come nel caso dell’affissione di documenti nell’albo pretorio,
quando ciò sia previsto puntualmente da una norma di legge, è anche vero che per gli
enti locali, tale norma è presente nel d.lgs. 267/2000, che regola appunto la
pubblicazione di tutte le deliberazioni comunali.
Gli enti locali dovrebbero però inserire nelle deliberazioni solo i dati strettamente
necessari, specialmente se si tratta di dati sensibili. La legge 675, in conclusione, non
ostacola assolutamente la pubblicazione all’albo pretorio delle deliberazioni, ma impone
l’utilizzazione nelle deliberazioni dei soli dati indispensabili, mentre vieta comunque la
diffusione di dati personali relativi allo stato di salute.
In situazioni del genere, come ad esempio nel caso in cui l’atto riguardi la decisione d
destinare assistenza o sussidi a minori, portatori di handicap ecc., è necessario che
alcuni dati vengano tenuti agli atti, ma non resi direttamente pubblici.
RAPPORTI DI LAVORO
In generale
In via generale, il Consiglio di Stato ha stabilito che tutti gli atti di gestione dei
dipendenti possono formare oggetto di domanda di accesso, ad eccezione di quelli
riguardanti la loro vita privata.
Individuazione delle fattispecie critiche
In Consiglio di Stato ha individuato alcune fattispecie critiche in merito al rapporto tra
riservatezza e accesso:
a) rapporti informativi sul personale dipendente;
Risposta ad un quesito del Dipartimento della funzione pubblica dell’ottobre 1998 relativo all’anagrafe delle
prestazioni dei dipendenti pubblici.
39
b) notizie, documenti e tutto ciò che comunque attenga alle selezioni attitudinali di
reclutamento del personale;
c) accertamenti medico-legali e relative documentazioni;
d) documentazione di carattere tecnico attestante la sussistenza di condizioni
psicofisiche che costituiscono il presupposto dell’adozione di provvedimenti
amministrativi ovvero che sia comunque utilizzabile ai fini dell’attività
amministrativa;
e) documenti ed atti comunque relativi alla salute delle persone;
f) documentazione concernente situazioni private dell’impiegato;
g) documentazione attinente a procedimenti penali e disciplinari o concernente
l’istruzione dei ricorsi amministrativi prodotti dal personale dipendente;
h) documentazione attinente ad inchieste ispettive sommarie e formali;
i) documentazione attinente ai provvedimenti di dispensa dal servizio;
j) documentazione relativa alla situazione finanziaria, economica e patrimoniale di
persone, gruppi ed imprese, comunque utilizzata ai fini dell’attività amministrativa;
k) rapporti alla procura generale o alle procure regionali presso la Corte dei conti e
richieste o relazioni di dette procure ove siano nominativamente individuati soggetti
per i quali si appalesa la sussistenza di responsabilità amministrative, contabili e
penali;
l) atti di promovimento di azioni di responsabilità davanti alle competenti autorità
giudiziarie.
Cedolini dello stipendio
Il Garante ha precisato che i dati contenuti nel cedolino dello stipendio, rientrano
certamente nella nozione di dato personale, in quanto collegati a persone fisiche
individuate o individuabili.
Alcuni di essi possono avere natura “sensibile” ( sussidi di cura, iscrizioni a
sindacato…) o rendono opportune maggiori cautele ( multe disciplinari, pignoramenti
per alimenti o tasse …).
Vi è quindi la necessità di adottare opportune misure volte a tutelare la riservatezza dei
dipendenti per fare in modo che i dati contenuti nel cedolino non siano immediatamente
accessibili ad altre persone , rimanendo conoscibili dai soli incaricati del trattamento che
li devono necessariamente utilizzare per la gestione del rapporto di lavoro.
Secondo la Commissione per l’accesso ai documenti amministrativi tuttavia è
ingiustificata la totale inaccessibilità della documentazione relativa ai dati retributivi e
patrimoniali, non ravvisandosi alcuna ragione per mantenere riservato il trattamento
economico tabellare che, certamente, non attiene alla sfera privata. L’inaccessibilità
deve essere limitata alla particolare situazione retributiva del singolo dipendente, la cui
conoscibilità può portare alla rilevazione di fatti personali che lo stesso può avere
interesse a mantenere riservati ( pignoramenti del quinto, cessioni del quinto, situazioni
familiari) , mentre il trattamento tabellare deve essere accessibile40.
“Le opportune cautele” possono consistere , ad esempio, nel piegare e spillare il
cedolino, nell’imbustarlo o nell’apporvi una copertura delle parti più significative
ovvero nell’introdurre una cd. “distanza di cortesia” agli sportelli.
Nei Comuni dotati di un efficiente sistema informativo si potrebbero poi configurare
ulteriori modalità basate sulla riduzione al minimo dei dati contenuti nel cedolino e sulla
40
Pronuncia Garante 31 dicembre 1998 e 1 marzo 1999 – Commissione per l’accesso , parere P97719R -
possibilità per il dipendente di accedere facilmente, con l’uso di una password, a tutte le
informazioni che riguardano lo stipendio.
Liquidazione compensi straordinari
Contrariamente all’opinione della Commissione per l’accesso ai documenti
amministrativi, secondo cui l’orario di lavoro di un pubblico dipendente non è un dato
riservato perché non concerne notizie attinenti alla vita privata ( e pertanto sono
accessibili i cartellini marcatempo e i provvedimenti sullo straordinario dei
dipendenti)41, il Garante ha precisato che i provvedimenti di liquidazione di compensi
lavori straordinario o della produttività dei dipendenti non debbono essere pubblicati
all’albo pretorio in versione integrale, ma depurati di nomi, qualifiche ed uffici, dato che
tali notizie sono considerate dati personali42
Pubblicità dati stipendiali
Come sempre, ed anche in questa materia la comunicazione e la diffusione a privati di
dati da parte della p.a. è consentita solo se prevista da norma di legge o di regolamento
che ne autorizzi espressamente la pubblicazione.
E’ quindi legittimo il comportamento che neghi, in base a norma regolamentare posta a
tutela della riservatezza dei singoli, l’accesso di un sindacato a dati relativi a
straordinario del personale43.
Con un’altra, recente decisione in materia di diritto di accesso il giudice amministrativo
ha ritenuto inammissibile la richiesta di accesso , da parte di un dipendente, agli atti di
erogazione della gratifica di altri colleghi quando la loro conoscenza non può giovare
alla tutela degli interessi del richiedente, trattandosi di un’erogazione non derivante da
un giudizio comparativo ma dall’applicazione di criteri predeterminati da parte
dell’amministrazione44.
Cessazione del rapporto di lavoro
1) Procedimento disciplinare
Sotto un profilo di carattere generale, va sottolineato che nell’ambito dell’attività della
pubblica amministrazione, gli atti di attività ispettiva interna, in quanto inerenti ad
attività di natura amministrativa nella quale vengono utilizzati o formati documenti
amministrativi, non sono sottratti all’accesso, a prescindere che all’esito della stessa
l’amministrazione dia luogo o meno ad un’azione disciplinare.
Tuttavia, sono sottratti al diritto d’accesso da parte dei soggetti interessati da un
procedimento disciplinare le informative sulle quali si fonda la denuncia degli stessi
all’autorità giudiziaria, trattandosi di documenti idonei a rilevare tecniche investigative
e identità delle fonti di informazione45.
2) Dati casellario giudiziario – sentenze penali a carico dei dipendenti –
Il Garante ha chiarito che le amministrazioni pubbliche possono utilizzare i dati relativi
alle sentenze penali emesse nei confronti dei propri dipendenti, ai fini dello svolgimento
di procedimenti disciplinari. Nella fattispecie trattata dal Garante un dipendente di una
Parere P97427Q Risposta ad un quesito del Dipartimento della funzione pubblica del 23 ottobre 1998 relativo all’anagrafe
delle prestazioni dei dipendenti pubblici 43 Cons. St., Sez. V, sentenza 2 dicembre 1998, n.1725 44 Cons. St., Sez.VI, 23 febbraio 1999, n.193 45 Cons. St., Sez.IV, decisione 8 maggio e 30 giugno ’98, n.1006 41
42
p.a. aveva tentato di bloccare il trattamento dei dati estrapolati da una sentenza penale
emessa a suo carico, sulla base dell’asserzione che tale sentenza sarebbe stata ottenuta
senza il rispetto delle disposizioni previste in materia di casellario giudiziario. Poiché ,
nell’esame degli atti, il Garante non aveva ritenuto che l’amministrazione avesse
utilizzato i dati per fini diversi da quelli relativi allo svolgimento del procedimento
disciplinare ( quindi, non in violazione di legge), il Garante ha colto l’occasione per
sottolineare che con l’emanazione del d.lgs. 135/99 si è superata la fase transitoria che
consentiva alle pubbliche amministrazioni il trattamento dei dati a carattere giudiziario e
si è pervenuti a quella più specifica di cui all’art.9 del citato decreto, che stabilisce che
“per svolgere attività dirette all’accertamento della responsabilità civile, disciplinare e
contabile” è ammessa la raccolta e l’utilizzazione di questi dati. Il Garante ha ritenuto
perfettamente corretta, a tali fini, l’acquisizione di copia della sentenza emessa dal
Tribunale nei confronti del ricorrente, anziché il certificato del casellario giudiziario46.
MATERIA TRIBUTARIA E PATRIMONIALE
Atti ( preliminari all’accertamento) di verifica fiscale –
La giurisprudenza , una volta ricordato che l’art.24 pone talune limitazioni al diritto di
accesso in relazione sia al contenuto , sia al tempo in cui il diritto può essere esercitato e
che proprio in relazione a tale tipo di limitazione temporale, ha osservato che il co.6 del
suddetto art.24 si riferisce anche ai procedimenti tributari.
Sulla base di queste premesse, il Consiglio di Stato ha ritenuto che:
- il potere di verifica fiscale rimane strumentale al procedimento tributario anche se
nel corso e in occasione di esso si evidenzia una notitia criminis la cui legalità o
fondatezza sarà controllata in un diverso procedimento;
- il diritto di accesso non può essere esercitato fino all’emanazione dell’avviso di
accertamento nei confronti del contribuente dal momento che il secondo periodo del
co.6, art.24 esclude l’accesso agli atti preparatori nel corso di formazione dei
provvedimenti di cui all’art.13.
Incarichi esterni
1) Di costituire una banca dati di tutte le unità immobiliari
Il decreto legislativo 135/99 , relativo al trattamento di dati particolari da parte di
soggetti pubblici liberalizza l’uso dei dati tributari da parte delle amministrazioni
pubbliche, considerando – all’art.13 – di rilevante interesse pubblico, e quindi legittime,
le operazioni e le attività dirette alla prevenzione e repressione delle violazioni degli
obblighi e all’adozione dei provvedimenti, nonché all’inventario e alla qualificazione
degli immobili e alla conservazione dei registri immobiliari.
La previsione della legge 675/96 è rispettata anche senza una specifica autorizzazione
da parte dei cittadini e con la semplice distribuzione di un volantino – a cura del
Comune stesso – in cui si informa la cittadinanza del possibile invio di lettere ad
ognuno dei proprietari dei fabbricati in cui si chiederà la visione di alcuni documenti
specifici.
46
Provvedimento Garante 12 luglio 1999 ( in “Giuda agli enti locali”, 14 agosto 99, p.56)
Pertanto, potranno essere legittimamente raccolti tutti i dati esistenti nei vari uffici
pubblici, riguardanti ogni unità immobiliare, i dati catastali dell’UTE, le informazioni
alla Camera di Commercio, del Ministero delle finanze, dell’Enel, degli attuali
contribuenti per i tributi comunali, ecc.
2) Incarico a un Consorzio per l’accertamento e liquidazione di tributi
Ci si è chiesti se rispetta le prescrizioni della legge 675/96 l’incarico di svolgere una
consulenza in tema di accertamento e di liquidazione dei tributi locali affidato a un
Consorzio che autorizzato dal Comune dispone così di numerosi archivi informatici e
cartacei detenuti dal Comune e ciò allo scopo di effettuare alcuni riscontri.
Il Garante47 ha sottolineato che la relazione fra il Comune e il consorzio può essere
utilmente inquadrata come rapporto tra titolare e responsabile del trattamento e
l’incarico è legittimo a condizione che:
1) la designazione del responsabile sia avvenuta con atto scritto, nel rispetto dei
requisiti di esperienza, capacità ed affidabilità;
2) sia accompagnata da precise istruzioni da parte del titolare, finalizzate al miglior
svolgimento dei compiti affidati;
3) il consorzio acceda ai soli dati in concreto effettivamente indispensabili per il
perseguimento dei compiti affidati, rispettando il generale principio di pertinenza,
nonché le puntuali indicazioni che il Comune deve impartire , anche per ciò che
riguarda la sicurezza e l’utilizzo dei dati;
4) qualora il Comune debba procedere alla notificazione dei trattamenti in atto presso
l’ente stesso, indichi nella notifica anche le coordinate identificative del consorzio;
3) Incarichi esterni di verifica in loco da parte degli incaricati esterni
Diverso è il caso di una società di servizi che abbia avuto l’incarico da parte di alcune
amministrazioni comunali di elaborare un progetto e di organizzare un ufficio per la
tariffazione dei rifiuti. Per effettuare tale elaborazione , occorrendo i dati anagrafici dei
cittadini, i dati dei tributi e delle abitazioni, è opportuno , qualora la società non sia stata
qualificata altrimenti ( meglio se con nomina a responsabile del trattamento), che il
Comune consegua il consenso degli interessati, sempre che non esista una norma di
legge o di regolamento che autorizzi simili comunicazioni. Qualificare le persone della
società come incaricati per il trattamento dei dati escluderebbe il consenso alla
comunicazione, a norma dell’art.19: secondo il garante , tuttavia, questa seconda
soluzione non è del tutto accettabile.
4) Condizioni necessarie per il rispetto della legge 675/96
Le verifiche restano legittime anche se a compierle è un privato : il Garante ha ricordato
infatti che, per quanto il domicilio privato sia inviolabile, esiste una legge che affida ai
Comuni o ai privati incaricati dai Comuni il controllo ( misurazioni abitazioni).
Condizione essenziale è che prima di varcare la soglia le amministrazioni comunali
abbiano seguito le indicazioni della legge 675/96, ossia:
- indicazione nel documento ( convenzione stipulata con privati o provvedimento
amministrativo o atto di diritto privato) di chi sia responsabile del trattamento dei
dati personali raccolti nel corso del controllo, ai sensi dell’art.8 della legge;
- identificare come incaricati del trattamento ai sensi dell’art.19 della legge i
dipendenti della struttura privata;
47
Comunicato stampa del 29 maggio 1998 in www.garanteprivacy.it
-
autorizzazione del titolare che limiti per iscritto l’ambito delle operazioni da
eseguire e previo avviso da comunicare agli interessati;
si devono garantire sempre le msure di sicurezza idonee per garantire la riservatezza
dei dati raccolti;
è opportuno fornire al contribuente l’informativa di cui all’art.10;48
5) Verifica elementi di calcolo del compenso al concessionario
Il concessionario della riscossione ha diritto ad accedere a tutta la documentazione
dell’amministrazione finanziaria, che gli consenta, avendo a disposizione tutti gli
elementi di calcolo, di ricostruire compiutamente i criteri in base ai quali lo stesso
calcolo è stato effettuato e determinato il compenso riconosciutogli49
6) Fornitura alla Guardia di Finanza di dati e ad altre pubbliche amministrazioni
Il Garante ha precisato che per le sue indagini tributarie , la Guardia di Finanza può
ottenere dal Comune i dati personali contenuti nell’archivio Ici, previa informazione
preventiva allo stesso Garante.
La legge sulla privacy, ha ricordato il Garante, consente ai soggetti pubblici di
raccogliere dati per poter svolgere le proprie funzioni istituzionali. Nel caso esaminato ,
secondo il Garante, la comunicazione di dati “risponde alle funzioni istituzionali del
Comune e del soggetto pubblico destinatario ed è compatibile con gli scopi perseguiti da
quest’ultimo”.
Una maggiore cautela è stata prevista per quel che riguarda comunicazione e diffusione
dei dati ad altre amministrazioni pubbliche: in questi casi deve essere prevista una
norma ad hoc oppure l’operazione deve essere necessaria per poter svolgere le
funzioni50 .
Gestione del patrimonio
1) Elaborazione di dati statistici o conoscitivi del patrimonio immobiliare
La L.241/90, nel tutelare il diritto all’accesso agli atti amministrativi, non ha imposto
alle amministrazioni di attivare procedimenti volti all’acquisizione e all’elaborazione di
dati statistici o conoscitivi del loro patrimonio immobiliare, per cui va escluso che
mediante l’accesso possa chiedersi l’elaborazione e l’esibizione di vere e proprie
relazioni sul numero degli alloggi comunali e sulle modalità della relativa gestione51.
ISTRUZIONE
Graduatoria ammissione asili nido
La domanda di accesso in ordine alla graduatoria provvisoria per l’ammissione agli asili
nido del comune non può essere accolta per quanto attiene alla conoscenza dei dati
relativi ai soggetti non ammessi, che non possono più vantare alcuna situazione
giuridicamente tutelata: diversa è invece la situazione dei soggetti ammessi, ciascuno
dei quali potrebbe non avere i titoli richiesti o averne di inferiori rispetto all’interessato,
cui non può essere negato il diritto di accesso alla documentazione relativa ai titoli
valutabili per contestarne l’esistenza o la rispondenza ai criteri di assegnazione52. E’ da
Comunicato del Garante 3 agosto 1998
Pronuncia Garante 16 giugno 1999 ( Guida normativa il Sole 24 Ore del 13 luglio 1999, p. 26 ss.)
50 Comunicato del Garante 31 dicembre 1998
51 Cons. St., Sez.V, 14 novembre 1997, n.1314
52 TAR Lazio, Roma, Sez.II, 9 ottobre 1997, n.1549
48
49
aggiungere tuttavia che qualora si siano tenuti in conto criteri che siano collegati a dati
sensibili ( ad es. handicap) la graduatoria dovrà essere pubblicata senza l’indicazione dei
punteggi parziali attribuiti ai singoli criteri collegati a dati sensibili.
In merito al ricorso avente ad oggetto un questionario dato in compilazione a genitori
che richiedevano di accedere ai servizi di un asilo nido, poi respinto perché presentato
da soggetti privi di legittimazione ( consiglieri comunali senza delega dei genitori dei
bambini da ammettere all’asilo), il Garante ha chiesto chiarimenti circa il motivo e
l’obiettivo della raccolta dei dati, dal momento che la scuola , tramite il questionario,
acquisiva oltre a dati personali ( reddito, professione, disponibilità finanziarie e
patrimoniali) anche dati a carattere sensibile ( presenza in famiglia di portatori di
handicap), senza assicurare sufficienti garanzie sulla gestione delle informazioni53.
BENEFICI ECONOMICI E ABILITAZIONI
Erogazione contributi ad associazioni
Secondo l’opinione espressa da autorevole dottrina , il Comune non può fornire a terzi
notizie sull’identità degli iscritti ad associazione a scopo religioso che riceve contributi
dal Comune.
Contributi per eliminazione barriere architettoniche
Il Comune può fornire notizie sui contributi erogati per l’eliminazione delle barriere
architettoniche, ma non certamente sui nominativi dei portatori di handicap.
ATTIVITA’ SANZIONATORIE E DI PREDISPOSIZIONE DI ELEMENTI DI
TUTELA IN SEDE AMMINISTRATIVA O GIURISDIZIONALE
Attività di polizia municipale inerente la polizia stradale
1) Dati e notifiche autovelox
Il Ministero dell’interno ha fornito utili chiarimenti in merito all’affidamento a privati
delle operazioni di sviluppo e stampa della documentazione fotografica , ottenuta con
apparecchiatura autovelox; la circolare in commento54 si richiama ad un parere del
garante che, interpellato , ha precisato che, nel trattamento di dati connessi allo
svolgimento dei propri compiti, ciascun soggetto pubblico può avvalersi del contributo
di privati, affidando ad essi determinate attività che restano, peraltro, nella sfera di
titolarità dell’amministrazione stessa, non comportando decisioni di fondo sulle finalità
e sulle modalità di utilizzazione dei dati ma, piuttosto, limitati margini di autonomia in
ordine al concreto svolgimento del servizio e a scelte tecnico-operative. I compiti del
privato devono risultare da atto scritto dell’amministrazione ( anche nell’ambito di un
provvedimento amministrativo o di una convenzione).
E’ inoltre necessario che i dipendenti della struttura privata operino in qualità di
incaricati del trattamento , sotto la diretta sorveglianza e secondo le istruzioni del
titolare e del responsabile del trattamento, tenendo presente che si può designare come
responsabile la società incaricata ovvero una o più persone operanti
nell’amministrazione o nella medesima società .
La configurazione del rapporto delineata, legittima il privato ad utilizzare , per quanto di
competenza, i dati in possesso della struttura pubblica, con il vincolo dell’utilizzo per le
53
54
Pronuncia del Garante 10 giungo 1999 , in www. cittadinolex.it
Circolare 16 marzo 1999, n.32 Ministero dell’Interno
sole finalità perseguite dall’amministrazione in base al particolare regime previsto per
quest’ultima.
A tale riguardo, il Garante si è inoltre pronunciato sulle misure da lui ritenute più idonee
da seguire nelle operazioni di notificazione delle contravvenzioni al codice della strada
rilevate con l’ausilio dell’autovelox. Per tali contravvenzioni la normativa prevede sia
notificato il solo verbale di violazione e non anche la fotografia idonea ad identificare
veicolo e conducente, la quale ultima non dovrà essere inoltrata al domicilio del
trasgressore, essendo sufficiente che sia messa a disposizione dell’intestatario del
veicolo presso gli uffici accertatori per l’eventuale verifica.
In conclusione, le risultanze di tali apparecchiature sono fonti di prova ma ciò non
imlica necessariamente la notificazione a domicilio, essendo, al contrario, tutelata la
riservatezza dell’utente della strada dall’art. 345 del Regolamento di esecuzione di
attuazione del codice della strada.
Rapporti di incidenti stradali
Sotto un profilo di carattere generale si può affermare che i rapporti di incidente stradale
redatti dagli operatori di polizia stradale sono di norma accessibili.
Potenziali interessati
I potenziali interessati possono essere le compagnie assicuratrici che tutelano i diritti
dell’assicurato e che, agendo in base a rapporto assicurativo, implicante mandato, sono
perciò autorizzati dal titolare dell’interesse; o ancora gli avvocati di parte, i quali
debbono esibire la procura ad agire in nome e per conto dell’interessato.
Informazioni su natura lesioni gravi: nulla osta dell’autorità giudiziaria e
individuazione soggetto richiedente. Modalità di rilascio
Il problema sorge nel caso in cui dall’incidente siano scaturite lesioni gravi, gravissime
o morte: per accedere ai rapporti in questione, infatti, occorre il preventivo nulla osta
dell’autorità giudiziaria competente, che elimina il segreto istruttorio dal quale l’atto è
coperto. Il problema riguarda in particolare l’individuazione del soggetto che può
chiedere il nulla osta. Secondo alcuni questi è il Comando dal quale dipende l’organo
accertatore: l’opinione non sembra sostenibile alla luce del disposto di cui all’art. 116
c.p.p., che implica l’abilitazione all’accesso da parte di chiunque vi abbia interesse,
ovvero la titolarità del diritto di accesso da parte del titolare dell’interesse, secondo la
regola generale. L’ottenimento del nulla osta apre la strada alla domanda di accesso ,
fermo restando il rispetto delle disposizioni di cui alle leggi 241/90 e 675/96.
Se la documentazione alla quale si chiede di accedere contenga dati sensibili, ( come
sono le indicazioni della natura delle lesioni) è possibile rilasciare copia di atti con
omissis55.
Alcune Procure della Repubblica hanno ritenuto opportuno – in ragione della notevole problematicità e
delicatezza della materia – impartire disposizioni in merito sancendo che le copie, gli atti, gli estratti, i
certificati e le informazioni su atti di p.g. aventi ad oggetto reati di lesioni colpose procedibili a querela di parte
commessi con violazione della disciplina della circolazione stradale – ancorchè uniti da vincolo di connessione
con reati procedibili d’ufficio o per i quali sia già in corso procedimento penale ( per es. guida in stato di
ebbrezza alcoolica, furto, ecc.) – possono essere rilasciati direttamente dagli uffici di polizia giudiziaria che
hanno proceduto di loro iniziativa al compimento degli atti stessi, qualora sussistano le seguenti condizioni:
1) che ai suddetti uffici non sia tuttora pervenuta notizia dell’avvenuta presentazione della querela per il
fatto specifico ( lesioni cui si riferisce l’istanza di rilascio ovvero comunicata la richiesta del P.M. di
trasmissione o di ulteriore svolgimento degli atti di indagine relativi al medesimo fatto;
55
Attività della polizia municipale inerente la polizia giudiziaria
1) Indagini di polizia
La regola generale è allorquando la richiesta di accesso concerne atti o notizie di una
parallela vicenda penale, per la quale è necessario mantenere il segreto istruttorio,
l’amministrazione, prima dell’esibizione della documentazione., è tenuta ad attendere la
specifica autorizzazione della Procura della Repubblica.
II principi di pubblicità e di riservatezza non rilevano tuttavia in modo assoluto, in
quanto da un lato il Consiglio di Stato ha escluso che osti all’esercizio dell’accesso
l’inerenza dei documenti interessati dall’istanza ad un procedimento penale, ove non
venga in rilievo in senso contrario la sussistenza del segreto istruttorio.
Per converso, il Garante ha stabilito che il principio della pertinenza dei dati –
presupposto per la legalità del trattamento – riguarda anche i dati e i processi penali :
pertanto non è consentito elaborare informazioni che non abbiano rilevanza processuale
o che non siano collegate alle finalità per le quali sono state raccolte.
Il richiamo è segnatamente all’art. 9 che sancisce per l’appunto i principi della
pertinenza e non eccedenza delle informazioni trattate e delle finalità lecitamente
perseguite.
In conseguenza di ciò, il materiale informativo da acquisire nel procedimento penale, va
selezionato in base alla necessità di assumere dati, informazioni e notizie necessarie per
la prevenzione, l’accertamento e la repressione dei reati, senza violazione dei principi di
pertinenza e non eccedenza.
Attività sanzionatoria in materia di abusi edilizi
1) Denunce, esposti, ecc.
Il giudice amministrativo ha svolto alcune interessanti considerazioni sulle condizioni
necessarie che devono sussistere in subiecta materia affinchè il diritto di accesso possa
prevalere sulle esigenze di riservatezza. Il problema che si è posto riguardava l’esercizio
del diritto di accesso riguardo le segnalazioni, anonime o meno , suscettibili di attivare
un procedimento amministrativo.
Tali denunce o esposti non possono riguardare solo l’autore delle stesse e la p.a. ma
anche le persone denunziate, specie se l’istruttoria comporta un’intromissione
penetrante nella sfera dell’interessato ( quale un’ispezione nel complesso aziendale).
Chi subisce l’ispezione ha interesse qualificato all’accesso, a cominciare dai documenti
di iniziativa e di preiniziativa, ciò perché vige un ordinamento ispirato al diritto di
difesa ed alla trasparenza. Il timore che la conoscenza dell’identità del denunziante
2)
che il soggetto istante o il suo rappresentante legale ( o il rispettivo difensore) dimostri di avere interesse
al rilascio delle informazioni richieste nella qualità di autore o coautore del fatto ovvero di persona offesa
o danneggiata dal fatto stesso;
E’ in ogni caso escluso il rilascio di informazioni su circostanze e persone diverse da quelle menzionate
nell’art.11, co.4, c.d.s. e nell’art. 21, co.6 del relativo Reg. Es. ( pertanto, non è consentito dare informazioni su
eventuali fatti connessi a quello di lesioni: per esempio sul furto del mezzo incidentato che, a differenza della
guida in stato di ebbrezza o di altra violazione della disciplina della circolazione stradale non costituisce parte
integrante o modalità dell’incidente; né su eventuali testimoni, che sono persone diverse dalla parti coinvolte);
a maggior ragione, deve ritenersi escluso il rilascio di copie, estratti e certificati di documentazione relativa alle
circostanze e alle persone suindicate( per es. dei verbali di sommarie informazioni concernenti le modalità
dell’incidente, ad eccezione di quelle rese dall’autore o coautore di esso o dalla persona offesa).
Colui al quale è rilasciata , alle condizioni e nei limiti sopra precisati, documentazione di atti di indagine deve
essere espressamente avvertito che il rilascio non fa venir meno il divieto di pubblicazione negli atti nonché
delle generalità e dell’immagine di minorenni stabilito dall’art.114 c.p.p.
possa pregiudicare l’istruttoria può comportare il differimento dell’esercizio al termine
del procedimento , ma non un diniego allo stesso56.
Per contro , un diverso orientamento ha dichiarato che non sussiste il diritto di accesso
sulle denunce o segnalazioni dei privati cittadini all’amministrazione comunale.
Nella fattispecie, la p.a. aveva negato l’accesso precisando che l’eventuale conoscenza
delle dichiarazioni contenute nell’esposto e della loro provenienza non rispondeva ad
alcuna apprezzabile esigenza. La diffida o l’ordine alla demolizione di opere abusive, di
cui si trattava, in relazioni alle quali denunce ed esposti sono diretti a sollecitarne
l’esercizio, non costituiscono documenti e si configurano come meri elementi di fatto,
non rilevanti per la determinazione del contenuto del provvedimento, essendo fatti privi
di valore probatorio e ininfluenti sulla legittimità degli atti adottati, con riferimento ai
quali assume rilevanza la reale consistenza dell’abuso e gli accertamenti della p.a.
Pertanto, la conoscenza degli esposti non riveste carattere essenziale ai fini della difesa
delle proprie ragioni.
UFFICIO LEGALE
Dalla nozione di documento amministrativo devono ritenersi esclusi tutti gli atti relativi
all’attività professionale dell’avvocato, siano essi inerenti alla difesa in giudizio o alla
consulenza legale.
Secondo la Commissione per l’accesso ai documenti amministrativi, infatti, la
consulenza resa da un avvocato , sia essa relativa a liti in atto o in potenza, è sempre
finalizzata alla tutela legale della parte assistita ed è quindi esercitata attraverso atti che
devono rimanere nella sfera di riserbo che caratterizza i rapporti tra l’avvocato ed il suo
assistito57.
La giurisprudenza ha tuttavia precisato che è obbligo dell’amministrazione rilasciare al
dipendente dell’azienda la copia del parere legale riguardante la posizione di carriera
dello stesso dipendente, parere peraltro posto a fondamento di un provvedimento già
adottato in suo pregiudizio.
OPERE PUBBLICHE
1) Esame documenti di gara
Il Garante ha chiarito che una ditta partecipante ad una gara d’appalto può esaminare a
fondo tutta la documentazione relativa al procedimento di gara, una volta che esso sia
concluso.
2) Visione progetti vincenti appalto concorso
Secondo la giurisprudenza legittimamente e in piena conformità dei principi di ordine
generale enunciati dalla l.241/90, l’amministrazione comunale tutela la riservatezza
dell’impresa aggiudicataria non rilasciando a terzi il progetto tecnico risultato vincente
in una gara, ma consentendone la sola visione ai soggetti che debbono tutelare i propri
contrapposti interessi, giuridicamente rilevanti. Infatti, le conoscenze che nell’ambito
della tecnica industriale sono richieste per produrre un bene, per attuare un processo
produttivo o per il corretto impiego di una tecnologia, ove presentino il carattere della
novità e della segretezza, assumono rilievo come autonomo elemento patrimoniale
suscettibile di utilizzazione economica da parte del possessore, anche se derivino da
ideazioni minori non costituenti vere e proprie invenzioni brevettabili.
56
57
Cons. St., Sez.V, 22 giugno 1998, n.923
Commissione per l’accesso , parere P97446Q -
COMUNE DIPAGANI
Provincia di Salerno
REGOLAMENTO SULLA TUTELA DELLE PERSONE E
DI ALTRI SOGGETTI RISPETTO AL TRATTAMENTO DEI
DATI PERSONALI E SENSIBILI
E SUL CONTEMPERAMENTO CON IL DIRITTO DI
ACCESSO
(Allegato alla deliberazione di Consiglio comunale n. 23 del
10/04/2002 )
PARTE PRIMA
DELLE NORME GENERALI
Articolo 1
Oggetto
Le norme di cui al presente regolamento disciplinano il trattamento dei
dati personali contenuti nelle banche dati organizzate, gestite o utilizzate
dall'Amministrazione comunale, in attuazione della legge 31 dicembre 1996, n.
675, successive modifiche e integrazioni, delle disposizioni integrative del
decreto legislativo 11 maggio 1999, n. 135 e delle disposizioni del decreto del
Presidente della Repubblica 28 luglio 1999, n. 318;
Disciplinano , inoltre, l'esercizio del diritto di accesso alle informazioni e
ai documenti formati o, comunque, utilizzati dal Comune nello svolgimento
dell'attività amministrativa, nel rispetto della disciplina introdotta dalla legge di
cui al comma 1 del presente articolo;
La legge 31 dicembre 1996, n. 675, con le modifiche introdotte dai
decreti legislativi 9 maggio 1997, n. 123; 28 luglio 1997, n. 255; 13 maggio
1998, n. 171, 6 novembre 1998, n. 389; 26 febbraio 1999, n. 51 e 11 maggio
1999,n. 135 , è denominata, negli articoli del presente regolamento, "Legge";
Articolo 2
Finalità
Ai fini del rispetto dei diritti e delle libertà fondamentali e della
trasmissione di dati e documenti tra le banche dati e gli archivi del Comune ,
degli Enti territoriali , degli Enti pubblici, dei gestori, degli esercenti e degli
incaricati di pubblico servizio, operanti nell'ambito dell'Unione Europea, il
presente regolamento garantisce ad ogni persona fisica e giuridica il diritto alla
riservatezza e all'identità personale, in modo particolare nei confronti
dell'elaborazione informatica dei dati personali che la riguardano. Ciò anche al
fine di adempiere all'obbligo di comunicazione interna ed esterna e di
semplificazione dell'azione amministrativa, nonché di favorire il raggiungimento
delle finalità istituzionali del Comune nel rispetto dei principi di trasparenza,
efficacia ed economicità sanciti dalla legislazione vigente.
Per finalità istituzionali del Comune si intendono:
° le funzioni previsti dalle leggi, dallo Statuto, dai regolamenti;
° le funzioni enucleate da intese, accordi di programma, convenzioni,
così individuate:
1. Finalità di amministrazione della popolazione;
2. Finalità di carattere elettorale e pubblicità dell'attività degli organi
rappresentativi;
3. Finalità connesse ai rapporti di lavoro;
4. Finalità di contabilità;
5.
6.
7.
8.
9.
Finalità di accertamento e riscossione tributaria;
Finalità di consulenza;
Finalità connesse all'attività commerciale;
Finalità connesse all'attività di controllo e ispettive;
Finalità connesse alle attività sanzionatorie e di predisposizione di elementi
di tutela in sede amministrativa o giurisdizionale;
10. Finalità di attività istituzionali in ambito comunitario e/o internazionale (
accordi di collaborazione e gemellaggio);
11. Finalità di ordine e sicurezza pubblica;
12. Finalità di protezione civile;
13. Finalità di difesa dell'ambiente e della sicurezza della popolazione;
14. Finalità di pianificazione urbanistica e amministrazione del territorio;
15. Finalità di progettazione, affidamento o esecuzione di opere pubbliche;
16. Finalità di relazioni con il pubblico;
17. Finalità connesse ai rapporti con gli enti di culto;
18.Finalità di carattere socio-assistenziali;
18. Finalità connesse alla gestione di asili nido;
19. Finalità concernenti la gestione di mense scolastiche o la fornitura di
sussidi, contributi e materiale didattico;
20. Finalità ricreative o di promozione della cultura e dello sport;
21. Finalità concernenti l'assegnazione di alloggi di edilizia residenziale
pubblica;
22. Finalità relative alla leva militare;
23. Finalità di attività del difensore civico;
24. Finalità connesse ai rapporti con le organizzazioni di volontariato e obiettori
di coscienza;
25. Finalità di statistica, ricerca storica e archivi;
Articolo 3
Definizioni
La terminologia adottata nel presente regolamento è conforme alla legge 31
dicembre 1996, n. 675 e successive integrazioni e alla legge 7 agosto 1990, n.
241 e successive modifiche e integrazioni, ai fini delle quali si intende:
a) Documento amministrativo: ogni rappresentazione , comunque formata,
del contenuti di atti, anche interni, della pubblica amministrazione o,
comunque, utilizzati ai fini dell'attività amministrativa;
b) Responsabile del procedimento di accesso: il soggetto cui è attribuita la
responsabilità della struttura di primo livello, denominata Settore, secondo i
criteri e le modalità di cui al vigente regolamento sull'ordinamento degli uffici
e dei servizi;
c) Banca dati: un qualsiasi insieme di dati personali, distribuito in uno o più
archivi elettronici e non, dislocati in uno o più luoghi, organizzato secondo
molteplicità di regole tali da facilitarne il trattamento;
d) Dato personale: qualunque informazione, relativa a qualsiasi persona fisica
o giuridica, compreso un numero di identificazione personale, che permette
l'identificazione diretta o indiretta;
e) Dato anonimo: il dato che in origine , o a seguito di trattamento, non può
essere associato ad una determinata persona fisica o giuridica;
f) Dato sensibile: l'informazione attinente alla sfera più intima dell'individuo e,
precisamente, i dati idonei a rilevare:
- l'origine razziale ed etnica;
- le convinzioni religiose, filosofiche o di altro genere;
- le opinioni politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico o sindacale;
- lo stato di salute e la vita sessuale;
- le sentenze di condanna e i decreti penali appena divenuti irrevocabili, salvo
quelli concernenti contravvenzioni per le quali è ammessa la definizione in
via amministrativa o l'oblazione ai sensi dell'art. 162 del c.p., sempre che
per esse non sia stata concessa la sospensione condizionale della pena (
art. 686, comma 1, lett. a) , cp.p.);
- i provvedimenti definitivi che riguardano l'applicazione delle misure di
prevenzione della sorveglianza speciale semplice o con divieto di obbligo di
soggiorno ( art. 686, comma 1, lett. d), c.p.p.);
- le sentenze pronunciate da autorità giudiziarie straniere ( art. 686, comma 2,
c.p.p.);
- la menzione del luogo e del tempo in cui la pena fu scontata e dell'eventuale
applicazione di misure alternative alla detenzione ovvero la menzione che
non fu in tutto o in parte scontata, per amnistia, indulto, grazia, liberazione
condizionale o per altra causa; i provvedimenti, inoltre, che dichiarano o
revocano la riabilitazione;
g) Titolare: la persona fisica o giuridica o l'organismo di governo locale cui
competono le decisioni in ordine allo scopo e alle regole del trattamento dei
dati personali, compresa la sicurezza;
h) Responsabile: la persona fisica o giuridica nominata dal titolare al
trattamento dei dati personali;
i) Incaricato: la persona fisica individuata dal Titolare o dal Responsabile, se
nominato, per il trattamento dei dati all'interno delle varie unità lavorative e
da questi autorizzato a compiere le operazioni di trattamento dati;
j) Garante: l'autorità istituita ai sensi dell'art. 30 della Legge;
k) Interessato: la persona fisica, la persona giuridica, l'ente o l'associazione
cui si riferiscono i dati personali;
l) Trattamento: qualunque operazione o insieme di operazioni, svolti con
l'ausilio di mezzi elettronici avente attinenza con la raccolta, la registrazione,
l'organizzazione, la conservazione, l'elaborazione, il raffronto, l'utilizzo,
l'interconnessione, il blocco, la comunicazione, la diffusione, la
cancellazione e la distruzione di dati, ovvero la combinazione di due o più di
tali operazioni,
m) Comunicazione: l'operazione con cui si dà conoscenza dei dati personali a
uno o più soggetti diversi dall'interessato, in qualunque forma, anche
mediante la loro messa a disposizione o consultazione;
n) Diffusione: l'operazione con cui si portano a conoscenza di soggetti
indefiniti i dati personali, in qualunque forma, anche mediante la loro messa
a disposizione o consultazione;
o) Blocco: la conservazione di dati personali con sospensione temporanea di
ogni operazione di trattamento.
Articolo 4
Informazione e pubblicità
Le attività di informazione, promosse dal Comune, sono in particolare
finalizzate:
a) illustrare e favorire la conoscenza delle disposizioni normative e
regolamentari, al fine di facilitarne l'applicazione;
b) illustrare le attività dell'Amministrazione ed il suo funzionamento;
c) favorire la conoscenza e l'accesso ai servizi pubblici;
Il diritto all'informazione si intende realizzato anche con la pubblicazione
mediante affissione all'Albo Pretorio:
a) delle deliberazioni comunali;
b) di direttive, programmi, istruzioni, circolari e tutti gli altri atti volti ad incidere
sull'organizzazione, le funzioni, gli obiettivi, i procedimenti dell'ente;
c) degli elenchi, a cadenza periodica mensile, degli atti di rilevanza esterna
adottati da organi individuali del Comune;
Restano ferme particolari forme di pubblicità degli atti previste da apposite
disposizioni di legge o di regolamento.
PARTE SECONDA
DEI SOGGETTI RESPONSABILI DELLA TUTELA DELLA "PRIVACY"
Articolo 5
Il titolare per il trattamento dei dati
Il titolare del trattamento dei dati è il Comune di Pagani rappresentato, ai
fini legali previsti dalla Legge, dal Sindaco, per le funzioni che gli sono attribuite
dalla legge e dal soggetto cui sono attribuiti , secondo i criteri e le modalità del
vigente regolamento sull'ordinamento degli uffici e dei servizi, i compiti di
gestione della struttura, denominata Settore, cui la banca dati afferisce;
Gli obblighi del titolare sono:
° Notificazione del trattamento dati al Garante;
° Nomina del responsabile e formulazione scritta delle relative istruzioni;
° Informativa all'interessato;
° Notificazione al Garante di cessazione del trattamento dati;
° Accertamenti e controlli sulla corretta applicazione della Legge e delle
disposizioni impartite;
Il Titolare è comunque sempre responsabile:
° Decisioni sulle finalità di raccolta dati;
° Decisioni sulle modalità del trattamento dei dati;
° Emanazione di norme di sicurezza e salvaguardia dell'integrità dei dati;
° Adempimenti e obblighi che la legge gli attribuisce espressamente in via
esclusiva o in concorso con il responsabile , se designato;
° Mancata esecuzione degli adempimenti legittimamente assegnati al
Responsabile , ove designato, se abbia omesso di valutarne le qualità ( culpa in
eligendo);
° Verifica del rispetto da parte del responsabile degli obblighi di legge e delle
istruzioni scritte ricevute ( culpa in vigilando);
Definisce insieme agli altri soggetti titolari le modalità di trattamento dei
dati personali, ivi compreso il profilo della sicurezza, qualora la banca dati cui
afferisce la titolarità sia ripartita in una o più unità dislocate in siti diversi.
Articolo 6
Il Responsabile per il trattamento dei dati
Il responsabile è scelto tra soggetti che per esperienza, capacità ed
affidabilità forniscano idonea garanzia del pieno rispetto delle disposizioni di
legge vigenti in materia e del presente regolamento, ivi compreso il profilo della
sicurezza. Di norma si identifica con il responsabile della struttura di secondo
livello, denominata ufficio, di cui al vigente regolamento sull'ordinamento degli
uffici e dei servizi;
In caso di assenza o impedimento del responsabile, può essere
individuato un sostituto, con provvedimento motivato;
Il responsabile per il trattamento dei dati è preposto alla tutela dei dati
personali nonché alla salvaguardia della integrità e della sicurezza degli stessi
anche ove e quando le banche dati non siano ancora informatizzate;
I compiti affidati al responsabile del trattamento sono:
° Controllare l'andamento delle relazioni con gli utenti e/o dei rischi connessi;
° Curare il coordinamento di tutte le operazioni di trattamento dati;
° Dare istruzioni per la corretta elaborazione dei dati personali;
° Procedere alle verifiche sulla metodologia di introduzione e di gestione dei
dati, anche attraverso controlli a campione da eseguirsi periodicamente;
° Verificare i procedimenti di rettifica dei dati;
° Curare la realizzazione e gestione delle singole banche dati cui sovrintende,
dando operative disposizioni agli incaricati del trattamento;
° Disporre il blocco dei dati , qualora sia necessaria una sospensione
temporanea delle operazioni di trattamento, dandone tempestiva
comunicazione al titolare;
Nel caso in cui l'Amministrazione , a seguito di convenzioni o
concessioni stipulati in virtù di una espressa disposizione di legge , affida a
soggetti esterni lo svolgimento di determinati servizi, questi possono essere
nominati responsabili del trattamento dei dati , per quelle attività o per quei
segmenti di procedura che sono stati loro affidati;
Non è considerata comunicazione né violazione della Legge , la
conoscenza dei dati personali da parte del Titolare e del Responsabile del
trattamento.
Articolo 7
Il Tesoriere Comunale
Nell'ambito dei servizi istituzionali del Comune rientrano anche le
funzioni svolte su delega e/o convenzione dagli istituti di Credito che operano
come Tesoriere Comunale;
Il tesoriere Comunale, pertanto, è individuato responsabile del
trattamento dei dati afferenti alle funzioni svolte, secondo le modalità e le
istruzioni di cui all'All. 2.
Articolo 8
L'incaricato al trattamento dei dati
L'incaricato è colui che concretamente tratta i dati all'interno del singolo
ufficio ed è nominato dal responsabile con provvedimento in cui sono indicati
analiticamente i compiti affidati;
Qualora tutti i componenti dell'ufficio, nell'esercizio delle funzioni di cui
alla categoria di inquadramento, trattano dati personali, il responsabile può
procedere con unica nomina riferita all'intero ufficio;
Gli incaricati effettuano le operazioni di trattamento attenendosi alle
istruzioni ricevute;
Non è considerata comunicazione né violazione della Legge la
conoscenza dei dati personali da parte degli incaricati a compiere le operazioni
di trattamento.
Articolo 9
La conferenza privacy
La Conferenza privacy è costituita dai titolari e dal Segretario generale,
che la presiede;
La Conferenza privacy è convocata con cadenza semestrale dal
Presidente o, in qualsiasi momento, su richiesta di uno dei componenti.
La Conferenza privacy, al fine di garantire l'uniformità di applicazione
della Legge:
° provvede all'elaborazione di una scheda di rilevazione banche dati univoca
per tutti i settori della struttura;
° elabora e propone meccanismi di diffusione della modulistica verso l'esterno;
° propone le semplificazioni procedurali per una migliore rispondenza delle
strutture alle esigenze dei cittadini , nel rispetto delle norme di cui alla legge
241/90 e della Legge;
° propone innovazioni tecnologiche ritenute necessarie per realizzare
l'adeguamento della struttura alla Legge;
° realizza il confronto e lo scambio di valutazioni sul sistema di verifiche
periodiche e di difficoltà operative.
PARTE TERZA
DELLE BANCHE DATI E DEL TRATTAMENTO
Articolo 10
Procedura per l'individuazione delle banche dati
Al fine dell'individuazione dei trattamenti soggetti a notificazione,
dell'individuazione delle attività per le quali la normativa non specifica le
rilevanti finalità di interesse pubblico e per le quali è necessario richiedere
specificazione al garante, della verifica delle tipologie dei dati trattabili e delle
operazioni eseguibili sui dati sensibili, dell'individuazione delle misure di
sicurezza da adottare , il titolare procede al censimento delle banche dati
gestite dai servizi della struttura di competenza, con cadenza biennale;
L'operazione di censimento è effettuata tramite la diffusione all'interno
della struttura di idonea scheda di rilevazione banche dati, da elaborarsi
nell'ambito della conferenza privacy, al fine di garantire l'uniformità della
verifica;
La responsabilità della redazione della scheda di cui comma precedente
è attribuita al responsabile di ufficio, individuato con le modalità e criteri di cui
al vigente regolamento sull'ordinamento degli uffici e dei servizi;
La responsabilità dell'elaborazione delle risultanze è attribuita al titolare.
Articolo 11
Il trattamento dei dati personali
Il Comune effettua il trattamento dei dati personali per le finalità
istituzionali di cui all'articolo 2 del presente regolamento;
a)
b)
c)
d)
In ogni caso, i dati personali oggetto di trattamento sono quelli:
ottenuti ed elaborati in modo lecito;
adeguati, pertinenti e non eccedenti rispetto ai fini per i quali sono registrati;
esatti e, se necessario, aggiornati;
conservati in una forma che consenta l'identificazione dell'interessato per un
periodo di tempo non superiore a quello necessario agli scopi per i quali
essi sono stati raccolti o successivamente trattati.
Articolo 12
I flussi dei dati personali all'esterno del Comune
Il trattamento dei dati personali acquisiti nell'ambito dell'attività del
Comune o forniti dagli interessati, potrà essere effettuato :
° da Società, enti o consorzi , che per conto del Comune forniscono specifici
servizi elaborativi o che svolgono attività connesse, strumentali o di supporto a
quelle del Comune, ovvero attività necessarie all'esecuzione delle operazioni e
dei servizi imposti da leggi, regolamenti, norme comunitarie o che sono
richieste dai cittadini o verranno dagli stessi richiesti in futuro nei limiti delle
finalità istituzionali del Comune di cui all'art. 2 del presente regolamento;
° dai soggetti ai quali la comunicazione dei dati personali risulti necessaria per il
raggiungimento di finalità istituzionali o sia comunque funzionale allo
svolgimento dell'attività del Comune. In tale ultimo caso deve esserne data
previa comunicazione al Garante, che vieta, con provvedimento motivato , la
comunicazione o la diffusione se risultano violate le disposizione di Legge;
° dai soggetti a cui la facoltà di accedere ai dati personali sia riconosciuta da
disposizioni di legge o di normativa comunitaria o di regolamenti interni;
In tutti i casi sovraesposti, gli interessati sono tenuti ad osservare la
comunicazione , come da All. 1 ;
In relazione ai trattamenti di cui sopra, i dati personali potranno essere
inviati ai soggetti o alle categorie di soggetti di cui all'apposito elenco,
periodicamente aggiornato, disponibile presso il Titolare per il trattamento dei
dati competente per materia, come da All. 3;
Le informazioni di cui è in possesso l'Amministrazione, per le quali è
obbligatoria la pubblicazione o comunque non è vietata la divulgazione dalle
leggi, dallo Statuto e dai regolamenti, possono essere diffuse anche tramite
pubblicazioni, riviste e notiziari anche telematici curati dalla stessa
Amministrazione;
Nei casi di cui ai commi precedenti, l'Amministrazione adempie in modo
semplificato agli obblighi di informativa;
L'invio di comunicati stampa o fax elettronici alle testate giornalistiche,
radiofoniche e televisive locali o nazionali, rientra nei compiti d'istituto del
Comune, pertanto la banca dati all'uopo costituita ed eventualmente
informatizzata, contenente i dati anagrafici, telefonici e di residenza dei
giornalisti, è utilizzata esclusivamente per tale scopo.
Il comunicare dati personali tramite tabulati, elenchi, manifesti od altra
forma, quando non si tratti di elenchi pubblici per legge, non è consentito se
effettuato a privati o enti pubblici economici;
Qualsiasi richiesta scritta, effettuata da privati o enti pubblici economici,
per conoscere dati personali, deve essere comunicata al Titolare e al
responsabile del trattamento per le opportune verifiche e/o autorizzazioni;
La consultazione dei registri anagrafici o di stato civile al solo fine di
conoscere gli eventi di nascita, matrimonio, morte verificatisi mensilmente è
permessa esclusivamente per scopi giornalistici, di ricerca e statistica.
Articolo 13
I flussi di dati personali all'interno del Comune
Al fine dello snellimento dell'attività lavorativa ed essendo il trattamento
dei dati personali limitato e finalizzato a scopi istituzionali è consentito l'accesso
, anche tramite strumenti informatici, degli incaricati di trattamento all'archivio
anagrafico del Comune, limitatamente ai seguenti dati:
- nome e cognome;
- data e luogo di nascita;
- stato di famiglia;
- indirizzo civico;
Ogni ulteriore richiesta di accesso all'archivio di cui al comma precedente
è effettuata, anche verbalmente, direttamente all'incaricato di trattamento
interessato, specificando la finalità istituzionale legittimante il trattamento;
E' consentito , nei limiti previsti dalla Legge e dal presente regolamento,
il flusso dei dati personali - ad esclusione di quelli sensibili - tra gli incaricati di
trattamento, anche tramite strumenti informatici, sia all'interno della stessa area
di attività sia tra aree diverse, previa l'adozione delle adeguate misure di
sicurezza di cui alla parte quinta del presente regolamento;
L'ufficio gestione del personale dovrà provvedere a comunicare , ove
richiesto, il monte ore malattie di ogni singolo dipendente ( con l'esclusione di
far visionare i certificati medici contenenti le diagnosi);
Altresì, su richiesta, dovrà segnalare eventuali situazioni invalidanti che
non permettono al personale di svolgere determinati compiti o mansioni ( senza
precisare la tipologia dell'invalidità e/o inabilità);
Altresì, nell'effettuare richiesta per visita fiscale, non potrà rendere nota
la diagnosi di malattia.
Articolo 14
Il trattamento dei dati sensibili
Il Comune effettua il trattamento dei dati sensibili solo se autorizzato da
espressa disposizione di legge, nella quale sono individuati le rilevanti finalità di
interesse pubblico, i dati trattati e le operazioni eseguibili.
Il trattamento è effettuato, in ogni caso:
a) solo sui dati strettamente necessari allo svolgimento dell'attività istituzionale
specifica;
b) solo quando in relazione all'attività da svolgere, non sia possibile utilizzare
dati personali o anonimi;
I soggetti responsabili, per il trattamento dei dati sensibili , si attengono
alle seguenti modalità di gestione:
a) raccolgono i dati sensibili , di regola, presso l'interessato;
b) verificano periodicamente l'esattezza e l'aggiornamento dei dati acquisiti,
nonché la loro pertinenza, completezza, non eccedenza e necessità rispetto
alle finalità perseguite nei singoli casi, anche con riferimento ai dati che
l'interessato fornisce di propria iniziativa;
c) non utilizzano i dati che a seguito delle verifiche risultano eccedenti o non
pertinenti o non necessari, salvo che per l'eventuale conservazione, a
norma di legge, dell'atto o del documento che li contiene;
d) effettuano particolare verifica sull'essenzialità dei dati sensibili riferiti a
soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli
adempimenti;
e) effettuano le operazioni di raffronto fra i dati sensibili contenuti in banche
dati di diversi titolari solo se sono ammesse da espressa disposizione di
legge e con l'indicazione scritta dei motivi.
Articolo 15
Le rilevanti finalità di interesse pubblico
Le rilevanti finalità di interesse pubblico legittimanti il trattamento dei dati
sensibili sono individuate tra le materie di cui al d.lgs. 135/99 e del
provvedimento del Garante n. 1/P/2000 del 30 dicembre 1999 -13 gennaio
2000 e di seguito specificate:
a) stato civile, anagrafi e liste elettorali;
b) cittadinanza, immigrazione e condizione dello straniero;
c) esercizio dei diritti politici e pubblicità dell'attività di determinati organi;
d) rapporti di lavoro;
e) materia tributaria;
f) attività di controllo e ispettive;
g) benefici economici;
h) onorificenze, ricompense e riconoscimenti;
i) volontariato e obiezione di coscienza;
j) attività sanzionatorie e di predisposizione di elementi di tutela in sede
amministrativa o giurisdizionale;
k) portatori di handicap;
l) rapporti con enti di culto;
m) statistica;
n) ricerca storica ed archivi;
o) socio-assistenziali;
p) mense scolastiche, fornitura di sussidi, contributi e materiale didattico;
q) ricreative o di promozione della cultura e dello sport;
r) assegnazione di alloggi di edilizia residenziale pubblica;
s) leva militare;
t) ufficio relazioni con il pubblico;
u) protezione civile;
v) difensore civico;
Qualora i soggetti responsabili diversi dal titolare o lo stesso titolare
individuino, nell'esercizio delle loro funzioni, rilevanti finalità di interesse
pubblico non contemplate dalle norme e dall'elencazione di cui al comma
precedente, il titolare ne chiede l'individuazione al Garante, nelle more di
specificazione legislativa ( come da schema allegato al presente regolamento).
Articolo 16
I dati trattati e le operazioni eseguibili
I soggetti responsabili, per la gestione dei dati di cui alle rilevanti finalità
di interesse pubblico ( specificate nell'All. A), si attengono, oltre che alle
disposizioni delle norme di cui al precedente articolo, per ogni singola materia,
alle disposizioni del presente articolo.
I dati sensibili necessari allo svolgimento delle attività istituzionali
correlabili alle rilevanti finalità di interesse pubblico e le operazioni eseguibili su
di essi , sono esclusivamente quelli individuati e rappresentati nell'allegato A al
presente regolamento.
All'allegato A di cui al comma precedente è data ampia diffusione
nell'ambito della comunità locale e con particolare riguardo ai soggetti che
frequentemente o periodicamente conferiscono dati personali sensibili
all'Amministrazione.
Le forme e i modi della diffusione di cui al comma precedente sono
decise nell'ambito della Conferenza privacy e l'onere dell'attuazione è a carico
dei titolari componenti la Conferenza.
In via generale, è vietata la comunicazione e diffusione al di fuori delle
forme e modalità previste nel presente articolo e nell'allegato A al presente
regolamento.
E' vietata ogni forma di diffusione generalizzata dei dati sensibili, se non
in forma aggregata e in modo da rendere impossibile l'identificazione del
soggetto titolare del dato.
In ogni caso, anche tale diffusione in forma aggregata è consentita solo
ed esclusivamente per finalità di studio, ricerca, statistica e simili.
La comunicazione dei dati sensibili ad altri soggetti pubblici e/o privati è
consentita solo:
a) quando la richiesta di comunicazione è avanzata da altro soggetto pubblico
per il perseguimento di finalità che per legge o per il proprio ordinamento
sono considerate di rilevante interesse pubblico; In tal caso il richiedente
deve specificare, per iscritto, la finalità perseguita e la norma di
individuazione ;
b) quando la richiesta è avanzata da un soggetto privato per far valere un
proprio diritto in sede giudiziale.
PARTE QUARTA
DEL CONTEMPERAMENTO TRA LE ESIGENZE DI ACCESSO E DI
RISERVATEZZA
Articolo 17
L'oggetto e i soggetti del diritto di accesso
L'oggetto del diritto di accesso è individuato negli atti, anche interni,
dell'Amministrazione o, comunque, utilizzati ai fini dell'attività amministrativa;
Per atti utilizzabili ai fini dell'attività amministrativa si intende ogni
documento proveniente da soggetti estranei all'apparato amministrativo, ma
fatto proprio ed acquisito dall'amministrazione. Pertanto, per attività
amministrativa , alla quale il diritto di accesso è correlato, si intende sia l'attività
di diritto amministrativo, sia l'attività di diritto privato che, come la prima, è
rivolta alla cura concreta di interessi della collettività.
Il diritto di accesso è esercitato da chiunque abbia un interesse attuale e
concreto, diretto alla tutela di situazioni giuridicamente rilevanti. Non si estende,
pertanto, alle situazioni divenute definitive ed inoppugnabili e sulle quali
l'intervento del richiedente non può svolgere alcuna funzione, neppure in via
partecipativa;
Gli enti associativi sono legittimati all'esercizio del diritto di accesso
esclusivamente per la tutela dell'interesse differenziato della categoria
rappresentata e non per la tutela degli interessi propri dei singoli associati;
Non è accoglibile, inoltre, la richiesta di accesso presentata sulla base
della mera presenza nelle finalità indicate dallo Statuto dell'Associazione, di un
riferimento al perseguimento del controllo sulla trasparenza e sulla correttezza
dell'azione amministrativa;
Il diritto di accesso all'informazione in materia ambientale è riconosciuto
a chiunque ne faccia richiesta, senza che questi debba dimostrare il proprio
interesse.
Restano salve le altre disposizioni di cui al regolamento del diritto di
accesso agli atti ex legge 241/90, approvato con deliberazione del Consiglio
comunale n. del
Articolo 18
Esclusione dell'accesso
E' vitato l'accesso:
a) a documenti che riguardino strutture , mezzi, dotazioni, personale ed azioni
strettamente strumentali alla difesa dell'ordine pubblico, alla prevenzione e
repressione dei reati e degli illeciti, con particolare riferimento alle attività e
alle tecniche investigative, all'identità delle fonti di informazione e alla
sicurezza dei beni e delle persone coinvolte, nonché all'attività di polizia
giudiziaria e conduzione di indagini;
b) ad atti e documenti che riguardano la vita privata o la riservatezza di
persone fisiche, giuridiche, gruppi, imprese, associazioni, con particolare
riferimento agli interessi epistolari, socio-sanitari, professionali, finanziari,
industriali e commerciali di cui siano titolari, quand'anche forniti
all'Amministrazione dagli stessi soggetti cui si riferiscono;
c) a relazioni, rapporti interni agli uffici, che involgano valutazioni su qualità
morali delle persone; sono altresì escluse dall'accesso: le note meramente
interne d'ufficio, atti e documenti relativi a controversie legali in corso,
sempre che ad essi non si faccia riferimento nei provvedimenti conclusivi
dei procedimenti, nonché tutti quegli atti oggetto di vertenze giudiziarie la
cui divulgazione potrebbe compromettere l'esito dei giudizi o dalla cui
diffusione potrebbe derivare violazione del segreto istruttorio;
d) certificazioni sanitarie, cartelle cliniche, verbali di commissioni mediche;
e) notizie su pignoramenti, cessioni di stipendio, posizione giuridicoeconomica, tipo di delega sindacale;
f)
fascicoli personali di dipendenti o di altri cui l'Amministrazione detenga a
qualsiasi titolo, le informazioni e comunque tutti gli attiche riguardano la
sfera squisitamente privata dei soggetti;
g) atti del procedimento disciplinare ( escluso il provvedimento finale), atti di
valutazione del personale;
h) dati personali di candidati ad un concorso, copie di test attitudinali;
i)
notizie personali, informazioni su situazioni finanziarie o condizioni di
disagio familiare, su problemi di handicap e in genere su casi sociali riferiti a
personale dipendente, cittadini, utenti di servizi;
j)
studi e atti soggetti a limitazione di accesso di natura contrattuale;
k) atti di polizia giudiziaria, atti e informazioni provenienti dall'Autorità di
Pubblica sicurezza;
l)
notizie di particolare rilevanza per motivi di sicurezza;
m) gli atti di stato civile e anagrafici secondo quanto previsto dalle rispettive
normative.
Articolo 19
Differimento dell'accesso
L'accesso può essere differito quando la conoscenza di documenti
impedisca o gravemente ostacoli lo svolgimento dell'azione amministrativa e
nei seguenti casi:
a)atti che non sono stati ancora adottati;
b)atti preparatori (esclusi quegli atti che, senza consistere nel provvedimento
finale, ne concludono una fase autonoma) e, in particolare, atti normativi, atti
amministrativi generali, atti di pianificazione e di programmazione, atti relativi ai
procedimenti tributari;
c) elenco dei soggetti che nelle procedure per pubblici incanti hanno presentato
le offerte ( il divieto di accesso opera fino a che non sia scaduto il termine per la
presentazione delle offerte);
d) elenco dei soggetti che hanno richiesto di essere invitati od hanno
manifestato l'interesse all'invito nelle licitazioni private, appalto-concorso, gara
informale antecedente alla trattativa privata ( il divieto opera fino alla
comunicazione ufficiale da parte dell'appaltante o concedente dei candidati da
invitare o del soggetto individuato per l'affidamento a trattativa privata);
e) verbali di gare ufficiose; verbali di commissione giudicatrice di appalto
concorso; computi metrici estimativi; elenco prezzi unitari ( fino al momento
dell'individuazione dell'affidatario dell'opera);
f) studi, progetti, istruttorie tecniche fino alla emissione del provvedimento
finale;
g) elaborati concorsuali fino alla avvenuta approvazione dei verbali della
Commissione da parte della p.a.
In tutti i casi specificati, il differimento dovrà essere contenuto in un
provvedimento motivato del responsabile del procedimento.
I documenti non possono essere sottratti all'accesso quando sia
possibile fare ricorso al potere di differimento.
Articolo 20
L'ulteriore diritto di accesso
L'ulteriore diritto di accesso previsto dagli artt. 10 e 43 del d.lgs.
267/2000, quando comporta la comunicazione di dati personali, è diversificato
in base agli individui richiedenti:
- pubblici amministratori;
- privati, associazioni e formazioni politiche;
- giornalisti.
Articolo 21
Il diritto d'accesso dei consiglieri comunali
I componenti del Consiglio comunale hanno il diritto di ottenere tutte le
notizie e informazioni utili all'espletamento del proprio mandato;
Resta ferma la necessità che i dati così acquisiti siano utilizzati
effettivamente per le sole finalità pertinenti al mandato, rispettando il dovere di
segreto nei casi espressamente determinati dalla legge nonché i divieti di
divulgazione dei dati personali;
L’accesso ai dati sensibili è consentito solo previa nomina di incaricato al
trattamento dei dati, da parte del Titolare o del Responsabile, se nominato;
E' legittimo, inoltre, il diniego a istanze del tutto generiche , come quelle
rivolte ad ottenere copie di tutte le deliberazioni della Giunta;
E' parimenti legittimo il diniego a un accesso indiscriminato al protocollo
generale dell'Ente;
In riferimento alle disposizioni di Legge , che prevedono la verifica degli
standard di sicurezza per evitare incrementi di rischio di perdita di dati , agli
Amministratori è fatto divieto di utilizzare personalmente ed in assenza del
personale autorizzato, gli strumenti informatici in dotazione agli uffici comunali.
Articolo 22
Il diritto di accesso dei privati, Associazioni e Formazioni politiche
Il cittadino residente o qualsiasi gruppo o associazione presente sul
territorio del Comune ha diritto di ottenere tutte le notizie utili e le informazioni in
possesso della pubblica amministrazione;
L'accesso ai dati personali , esclusi quelli definiti sensibili, è permesso
esclusivamente quando gli stessi provengono da pubblici registri, da elenchi o
documenti accessibili da chiunque;
Alle Associazioni di volontariato e solidarietà sociale, operanti sul
territorio del Comune, è riconosciuto l'accesso ai dati personali esclusivamente
per finalità sociali ed umanitarie;
I dati che possono essere forniti sono esclusivamente:
° cognome e nome;
° data di nascita;
° indirizzo;
Nessun limite è fatto al rilascio di informazioni a carattere statistico e,
cioè, rese in forma anonima e aggregata;
Il Comune riconosce alle organizzazioni religiose operanti sul territorio
l'accesso anche ai dati personali esclusivamente per finalità sociali ed
umanitarie o di svolgimento dell'attività religiosa;
I dati che possono essere forniti sono esclusivamente:
° cognome e nome;
° data di nascita e luogo;
° indirizzo;
° rapporto di parentela;
E' fatto obbligo sia alle Associazioni che alle organizzazioni religiose di
non divulgare i dati richiesti attenendosi scrupolosamente a quanto previsto
nell' All. 1-a;
Qualsiasi trattamento non attuato per i fini richiesti e/o la divulgazione dei
dati acquisiti è considerata violazione degli artt. 11, 20 e 27 della Legge e
pertanto passibile di denuncia.
Articolo 23
Il diritto di accesso dei giornalisti
Il giornalista, nell'esercizio della propria professione e per l'esclusivo
perseguimento delle relative finalità, ha il diritto di ottenere tutte le notizie e le
informazioni, ad esclusione dei dati sensibili, nei limiti del diritto di cronaca ed in
particolare dell'essenzialità dell'informazione riguardo a fatti di interesse
pubblico;
Le esenzioni e le deroghe si attuano quando si rivelino necessarie per
conciliare il diritto alla vita privata con le norme sulla libertà d'espressione;
In particolare:
° per fatti riguardanti minori è necessario il consenso scritto dei genitori o dei
parenti più prossimi;
° non devono esserci particolari estranei all'evento verificatosi ma deve
prevalere l'essenzialità della notizia;
° la dignità degli indagati e/o imputati deve essere osservata, quindi è fatto
divieto di fornire fotografie che consentano di identificare un soggetto;
° in caso di incidenti con vittime od infortuni o atti criminali possono essere
forniti esclusivamente le iniziali del cognome e nome , l'età, la città di
residenza.
Articolo 24
Doveri del Responsabile del procedimento di accesso in materia di
contemperamento tra le esigenze di accesso e riservatezza
Quando, ai sensi della normativa che tutela la riservatezza e di quanto
dispone il presente regolamento, non sia possibile accogliere la richiesta di
accesso, il responsabile del procedimento di accesso dà motivata
comunicazione al soggetto richiedente. In tale comunicazione deve essere fatto
espresso riferimento alle specifiche esigenze di riservatezza che non
consentono l'accoglimento della domanda;
Il responsabile del procedimento di accesso non respingerà la domanda
di accesso quando, ai sensi delle norme, sia possibile , caso per caso e
nell'ordine:
a) concedere all'interessato la sola visione del documento, quando sia stato
richiesto il rilascio di copia dello stesso;
b) rilasciare copia del documento con "omissis", ossia espungendo dal
documento , mediante opportune cancellazioni, le parti coperte da
riservatezza.
PARTE QUINTA
DELLE MISURE DI SICUREZZA - I SOGGETTI PREPOSTI ALL'ADOZIONE
Articolo 25
Il Titolare
Il titolare delle banche dati afferenti alla struttura di competenza,
provvede, con propria determinazione, all'adozione delle misure minime di
sicurezza di cui al decreto del Presidente della Repubblica 28 luglio 1999, n.
318 , anche al fine di prevenire:
a) i rischi di distruzione, perdita dei dati o danneggiamento della banca dati o
dei locali ove essa è collocata;
b) l'accesso non autorizzato; modalità di trattamento dei dati non conformi alle
Legge o al regolamento;
c) la cessione e/o la distruzione dei dati in caso di cessazione del trattamento;
-
-
-
-
In ogni caso:
i dati personali oggetto di trattamento devono essere custoditi e controllati,
anche in relazione alle conoscenze rese disponibili dal progresso tecnico,
alla natura dei dati e alle specifiche caratteristiche del trattamento;
è fatto divieto al personale di consentire ad amministratori, cittadini e altre
persone non autorizzate per iscritto dal responsabile o dal titolare di
utilizzare gli strumenti informatici, personal computer o video terminali,
installati negli uffici;
gli accessi ai dati, tramite computer, devono essere protetti da password ed
è fatto divieto di renderle pubbliche o comunicare ad altri le proprie
password personali di acceso ai dati;
tutte le password verranno sostituite periodicamente e consegnate con
lettera di ricevuta a tutti gli utilizzatori;
i documenti cartacei contenenti dati personali devono essere conservati in
archivi ad accesso controllato e con possibilità di chiusura;
i documenti cartacei contenti dati sensibili devono essere conservati in
buste chiuse e in armadi che possono essere chiusi a chiave.
Articolo 26
L'Amministratore di sistema
Il responsabile preposto ai sistemi informativi del Comune, nella sua
qualità di Amministratore di sistema, in relazione alle conoscenze acquisite in
base al progresso tecnico, adotta tutte le misure di sicurezza, al fine di:
a) ridurre al minimo il rischio di distruzione o perdita accidentale dei dati
memorizzati su supporti magnetici, ottici e cartacei;
b) evitare l'accesso non autorizzato alle banche dati, alle reti e in generali ai
servizi informatici del Comune.
PARTE SESTA
DEI DIRITTI DELL'INTERESSATO - DEI RAPPORTI CON IL GARANTE DELLE SANZIONI
Articolo 27
I diritti dell'interessato
A cura del titolare e del responsabile per il trattamento dei dati viene
data ampia comunicazione agli incaricati degli obblighi informativi di cui all'art.
10 della Legge;
Gli stessi favoriscono l'introduzione anche in via elettronica di
modulistica che contenga un breve prospetto informativo;
L'interessato o la persona presso la quale sono raccolti i dati personali
devono essere preventivamente informati rispetto a :
° le finalità del trattamento cui sono destinati i dati;
° i soggetti o le categorie di soggetti ai quali i dati possono essere comunicati e
l'ambito di diffusione dei dati medesimi;
° la natura obbligatoria o facoltativa del conferire i dati;
° il nome, la denominazione e il domicilio, la residenza o la sede del titolare e
del responsabile;
Quando i dati personali non sono raccolti presso l'interessato,
l'informazione di quanto sopra è data allo stesso interessato all'atto della
registrazione dei dati;
In relazione ai trattamenti effettuati, alla persona cui i dati si riferiscono ,
è attribuito il diritto di:
° conoscere l'esistenza del tipo di trattamento;
° ottenere conferma della presenza di dati che la riguardano;
° chiedere la rettifica qualora i dati raccolti non corrispondano al vero;
° chiederne la cancellazione se raccolti illecitamente;
° ottenere comunicazione in forma intelleggibile dei dati medesimi;
Per ogni richiesta in forma intelleggibile dei dati personali può essere
richiesto all'interessato un contributo spese non eccedente i costi
effettivamente sostenuti;
La richiesta può essere rinnovata, salvo l'esistenza di giustificati motivi,
ad intervallo non minore di novanta giorni , come da Allegati 4, 5 e 6.
Articolo 28
Il consenso
I soggetti responsabili degli adempienti "privacy" procedono al
trattamento dei dati personali e sensibili a prescindere dal consenso
dell'interessato, in ragione del fatto che i trattamenti sono finalizzati alla
realizzazione di un'azione orientata al soddisfacimento del pubblico interesse.
Articolo 29
Rapporti con il Garante
Il titolare del trattamento dei dati , in collaborazione con il responsabile, è
tenuto ad inviare al Garante le comunicazioni e le notificazioni previste dalla
Legge, qualora intenda procedere al trattamento di dati, alla cessazione dello
stesso e al trasferimento , anche temporaneo, dei dati verso un Paese non
appartenente all'Unione Europea o riguardi taluno dei dati sensibili;
La notificazione al Garante, che deve essere effettuata prima di iniziare
ogni nuovo trattamento, è l'atto indispensabile alla legittimazione delle
operazioni di trattamento stesso;
In ogni caso, la pubblica amministrazione procede a notificazione
semplificata e, cioè, a notificazione recante informazioni circa il titolare del
trattamento, i luoghi ove sono custoditi i dati, l'ambito di comunicazione e di
diffusione dei dati, le misure di sicurezza , le generalità del responsabile;
Il trasferimento , anche temporaneo, con qualsiasi forma e mezzo, di dati
personali oggetto di trattamento deve essere previamente notificato al Garante
, qualora sia diretto verso un Paese non appartenente all'Unione Europea o
riguardi taluno dei dati sensibili;
Il trasferimento può avvenire soltanto dopo quindici giorni dalla data della
notificazione; il termine è di venti giorni qualora il trasferimento riguardi taluno
dei dati sensibili;
Qualora il trasferimento sia necessario per la salvaguardia di un
interesse pubblico rilevante individuato con legge o regolamento oppure sia
effettuato in accoglimento di una richiesta di accesso ai documenti
amministrativi, ovvero di una richiesta di informazioni estraibili da un pubblico
registro, elenco, atto o documento conoscibile da chiunque, è comunque
consentito , a prescindere dal termine di procedibilità di cui al comma
precedente.
Articolo 30
Omessa o infedele notificazione
E' fatto divieto di non provvedere alle notificazioni prescritte dalla Legge
e descritte all'art. 24 del presente regolamento , oppure indicare in esse notizie
incomplete o non vere.
Articolo 31
Danni cagionati dal trattamento dei dati personali
Chiunque cagiona danno ad altri per effetto del trattamento dei dati
personali è tenuto al risarcimento ai sensi dell'art. 2050 del codice civile.
Articolo 32
Trattamento illecito dei dati personali
Salvo che il fatto costituisca più grave reato, è vietato a chiunque, al fine
di trarre per sé o per altri profitto o di recare ad altri un danno, procedere al
trattamento di dati personali, nonché comunicare e diffondere dati senza
autorizzazione in violazione di quanto disposto dalla Legge.
PARTE SETTIMA
DISPOSIZIONI FINALI E ABROGAZIONI
Articolo 33
Abrogazioni
A decorre dall'entrata in vigore del presente regolamento s'intendono
abrogate le norme del regolamento comunale sull'accesso adottato con
deliberazione consiliare n. del
, che sono in contrasto con il
regolamento stesso;
Le richieste di accesso , intese nella più ampia accezione, ancora
inevase alla data dell'entrata in vigore del presente regolamento, sono
esaminate in conformità alle disposizioni del presente regolamento.
Articolo 34
Norme di rinvio
Per quanto non previsto nel presente regolamento, si applicano le
disposizioni di cui alla legge 31 dicembre 1996, n. 675 e successive
modificazioni e integrazioni, al decreto legislativo 11 maggio 1999, n. 135, al
decreto del Presidente della Repubblica 28 luglio 1999, n. 318 e ai
provvedimenti del Garante per la protezione dei dati personali.
Articolo 35
Entrata in vigore
Il presente regolamento entra in vigore alla data di approvazione dell'atto
deliberativo di recepimento.
INDICE
Parte prima
Delle norme generali
Art. 1 - Oggetto
Art. 2 - Finalità
Art. 3 - Definizioni
Art. 4 - Informazione e pubblicità
Parte seconda
Dei soggetti responsabili della tutela della "privacy"
Art. 5 -Il titolare per il trattamento dei dati
Art. 6 - Il responsabile per il trattamento dei dati
Art. 7 - Il tesoriere comunale
Art. 8 - L'incaricato al trattamento dei dati
Art. 9 - La conferenza privacy
Parte terza
Delle banche dati e del trattamento
Art. 10 - Procedura per l'individuazione delle banche dati
Art. 11 - Il trattamento dei dati personali
Art. 12 - I flussi dei dati personali all'esterno del Comune
Art. 13 - I flussi dei dati personal all'interno del Comune
Art. 14 - Il trattamento dei dati sensibili
Art.15 - Le rilevanti finalità di interesse pubblico
Art. 16 - I dati trattati e le operazioni eseguibili
Parte quarta
Del contemperamento tra le esigenze di accesso e di riservatezza
Art. 17 - L'oggetto e i soggetti del diritto di accesso
Art. 18 - Esclusione dell'accesso
Art. 19 - Differimento dell'accesso
Art. 20 - L'ulteriore diritto di accesso
Art. 21 - Il diritto di accesso dei consiglieri comunali
Art. 22 - Il diritto di accesso dei privati, associazioni e formazioni politiche
Art. 23 - Il diritto di accesso dei giornalisti
Art. 24 - Doveri del responsabile del procedimento di accesso in materia di
contemperamento tra le esigenze di accesso e di riservatezza
Parte quinta
Delle misure di sicurezza - i soggetti preposti all'adozione
Art.25 - Il titolare
Art. 26 - L' amministratore di sistema
Parte sesta
Dei diritti dell'interessato - Dei rapporti con il garante - Delle sanzioni
Art. 27 - I diritti dell'interessato
Art. 28 - Il consenso
Art. 29 - rapporti con il Garante
Art. 30 - Omessa o infedele notificazione
Art. 31 - Danni cagionati dal trattamento dei dati personali
Art. 32 - Trattamento illecito dei dati personali
Parte settima
Disposizioni finali e abrogazioni
Art. 33 - Abrogazioni
Art. 34 - Norme di rinvio
Art. 35 - Entrata in vigore
ALLEGATO A
COMUNE DI PAGANI
Provincia di Salerno
ELENCO DELLE RILEVANTI FINALITA’ DI INTERESSE PUBBLICO, DEI DATI
SENSIBILI TRATTATI E DELLE OPERAZIONI ESEGUIBILI
Al presente elenco viene data pubblicità mediante affissione all’Albo Pretorio del
Comune e altre forme di pubblicità ritenute più idonee.
Nelle banche dati del Comune di Pagani vengono trattati i seguenti dati sensibili,
per i quali è stato comunicato il trattamento al Garante ed effettuata la
notificazione in forma semplificata:
- Settore AA.GG. , Istituzionale, Organizzazione e metodo
- Settore di Vigilanza
- Settore Contabile
SETTORE AA.GG., ISTITUZIONALE – VIGILANZA
UBICAZIONE DEI DATI
I dati trattati elettronicamente o manualmente sono ubicati negli uffici relativi alle
seguenti attività:
Attività Affari generali e personale
Attività Demografica
Attività di vigilanza
Materia: stato civile, anagrafi, liste elettorali
-
Finalità rilevanti: tenuta degli atti e dei registri dello stato civile, delle anagrafi,
della popolazione residente in Italia e dei cittadini italiani all'estero, nonché delle
liste elettorali;
-
Dati trattati: dati idonei a rivelare l'origine etnica e razziale;
-
Operazioni eseguibili: raccolta, registrazione, l'organizzazione, l’utilizzo, la
conservazione, il blocco, la cancellazione, la comunicazione;
In particolare, per la comunicazione: l’ufficiale d'anagrafe deve rilasciare a chiunque
ne faccia richiesta soltanto "i certificati concernenti la residenza e lo stato di
famiglia" degli iscritti all'anagrafe può comunicare " i dati anagrafici , resi anonimi e
aggregati, agli interessati che, ne facciano richiesta per fini statistici e di ricerca". E'
possibile poi rilasciare elenchi degli iscritti solo alle pubbliche amministrazioni che
ne facciano richiesta , per esclusivo uso di pubblica utilità.
Materia: cittadinanza. immigrazione e condizione dello straniero
-
Finalità rilevanti: attività dirette all'applicazione della disciplina in materia di
cittadinanza , di immigrazione, di asilo, di condizione dello straniero e di profugo e
sullo stato di rifugiato;
-
Dati trattati: dati idonei a rivelare le opinioni politiche, le convinzioni religiose e
filosofiche;
Le origine etniche e razziali; dati ex art. 686 c.p.p.; Per tali finalità e, in particolare,
ammesso il trattamento dei dati strettamente necessari:
a) al rilascio di visti, permessi, attestazioni, autorizzazioni e documenti, nonché alla
tenuta dei registri;
b) al riconoscimento del diritto di asilo o dello stato di rifugiato o all'applicazione della
protezione temporanea e di altri Istituti o misure di carattere umanitario , ovvero
all'attuazione degli obblighi di legge in materia di politiche migratori;
c) agli obblighi dei datori di lavoro e dei lavoratori, ai ricongiungimenti, alle
applicazioni delle norme vigenti in materia di istruzione e di alloggio, alla
partecipazione alla vita pubblica e all'integrazione sociale;
- Operazioni eseguibili: raccolta, registrazione, organizzazione, conservazione,
blocco, distruzione, comunicazione.
Materia: esercizio dei diritti politici e pubblicità dell'attività di determinati
organi
-
Finalità rilevanti: attività dirette all'applicazione della disciplina in materia di
elettorato attivo e passivo e di esercizio di altri diritti politici, nel rispetto della
segretezza del voto nonché all'esercizio del mandato degli organi rappresentativi;
Attività dirette all'applicazione della disciplina in materia di documentazione
dell'attività
istituzionale di organi pubblici;
-
-
Dati trattati: dati idonei a rivelare le opinioni politiche, le convinzioni religiose e
filosofiche,
l'adesione a partiti, a sindacati, associazioni o organizzazioni, lo stato di salute, i dati
ex art 686 c.p.p.;
Operazioni eseguibili: i trattamenti dei dati per tali finalità sono consentiti per
eseguire specifici compiti previsti da leggi o da regolamenti fra i quali, in
particolare, quelli concernenti:
a) lo svolgimento di consultazioni elettorali e la verifica della relativa regolarità;
b) le richieste di referendum le relative consultazioni e la verifica della relativa
regolarità;
c) l'accertamento delle cause di ineleggibilità, incompatibilità o di decadenza, o di
rimozione o sospensione di cariche pubbliche, ovvero di sospensione o di
scioglimento degli organi;
d) l'esame di segnalazioni, petizioni, appelli e di proposte di legge di iniziativa
popolare, l'attività di commissioni d'inchiesta, il rapporto con i gruppi politici;
e) la designazione e la nomina di rappresentanti in commissioni, enti e uffici;
Diffusione dei dati per le finalità inerenti l'esercizio di diritti politici. in particolare,
con riguardo alle sottoscrizioni di liste, alle presentazioni delle candidature, agli
incarichi in organizzazioni o associazioni politiche alle cariche istituzionali e agli
organi eletti.
Attività politica e mandati elettivi:
a) il trattamento dei dati contenuti in verbali e resoconti dell'attività di assemblee
rappresentative, commissioni e di altri organi collegiali o assembleari;
b) il trattamento dei dati strettamente necessario allo svolgimento della funzione di
controllo, di indirizzo politico e di sindacato ispettivo e di altre forme di accesso ai
documenti riconosciute dalla legge e dai regolamenti degli organi interessati per
consentire l'espletamento di un mandato elettivo.
Comunicazione e diffusione nelle forme previste dai rispettivi ordinamenti anche per via
telematica. Non è comunque consentita la divulgazione dei dati che non risultino
strettamente necessari ad assicurare il rispetto del principio di pubblicità dell'attività
istituzionale, fermo restando quanto previsto dall'art. 23, comma 4, della legge 675/96
per i dati idonei a rivelare lo stato di salute.
Materia: rapporti di lavoro
-
finalità rilevanti: attività dirette all'instaurazione e alla gestione di rapporti di
lavoro di qualunque tipo, dipendente o autonomo. anche non retribuito o onorario o
a tempo parziale o temporaneo, e di altre forme di impiego che non comportano la
costituzione di un rapporto di lavoro subordinato;
- dati trattati: tra i trattamenti effettuati si intendono ricompresi, in particolare,
quelli svolti al fine di:
a) applicare la normativa in materia di collocamento obbligatorio e assumere
personale anche
appartenente a categorie protette;
b) garantire le pari opportunità;
c) accertare il possesso di particolari requisiti previsti per l'accesso a specifici
impieghi,
anche in materia di tutela delle minoranze linguistiche, ovvero la
sussistenza dei presupposti per la sospensione o la cessazione dall'impiego o dal
servizio, il trasferimento di sede per incompatibilità e il conferimento di speciali
abilitazioni;
d) adempiere obblighi
connessi alla definizione dello stato giuridico ed
economico, ivi compreso il riconoscimento della causa di servizio o dell'equo
indennizzo, nonche’ obblighi retributivi, fiscali o contabili, relativamente al
personale in servizio o in quiescenza, ivi compresa la corresponsione di premi e
benefici assistenziali;
e) adempiere specifici obblighi o compiti previsti dalla normativa in materia di
igiene e sicurezza o salute della popolazione, nonché in materia sindacale;
f) applicare, anche da parte di enti previdenziali e assistenziali, la normativa in
materia di previdenza e assistenza ivi compresa quella interattiva, anche in
applicazione del decreto legislativo del capo provvisorio dello Stato 29 luglio
1947, n. 804, riguardo alla comunicazione di dati, anche per via telematica, agli
istituti di patronato e assistenza sociale, alle associazioni di categoria e agli
ordini professionali che abbiano ottenuto il consenso dell'interessato in
relazione a tipi di dati individuati specificamente;
g) svolgere attività dirette all'accertamento della responsabilità civile, disciplinare
contabile ed esaminare i ricorsi amministrativi in conformità alle norme che
regolano le rispettive materie;
h) comparire in giudizio a mezzo di propri rappresentanti o partecipare alle
procedure di arbitrato o di conciliazione nei casi previsti dalla legge o dai
contratti collettivi di lavoro;
i) salvaguardare la vita o l'incolumità fisica dell'interessato o di terzi;
j) gestire l'anagrafe dei pubblici dipendenti e applicare la normativa in materia di
assunzione di incarichi da parte di dipendenti pubblici, collaboratori e
consulenti;
k) applicare la normativa in materia di incompatibilità e rapporti di lavoro a tempo
parziale;
l) svolgere l'attività di indagine e ispezione presso soggetti pubblici;
m) valutare la qualità dei servizi e dei risultati conseguiti;
-
operazioni eseguibili: raccolta, registrazione, organizzazione, conservazione,
blocco, cancellazione, comunicazione. La diffusione dei dati di cui alle lettere da k)
-
-
ad m) è consentita in forma anonima e, comunque, tale da non consentire
l'individuazione dell'interessato.
finalità rilevanti: i dati raccolti mediante impianti audiovisivi o altre
apparecchiature, anche informatiche o telematiche, richiesti da esigenze
organizzative e produttive ovvero dalla sicurezza dal lavoro, possono essere
utilizzati unicamente per tali finalità, individuate secondo le procedure di cui all'art.
4 della legge 20 maggio 1970, n.300 e all'articolo 24 della legge 29 marzo 1983, n.
93. Gli interessati sono edotti delle modalita’ di tale trattamento anche attraverso
l'informativa di cui all'articolo 10 della legge;
dati trattati: quelli esclusivamente utili alle finalità;
operazioni eseguibili: raccolta, registrazione, conservazione, blocco, cancellazione.
Materia: attività di controllo e ispettive
-
finalità rilevanti : verifica della legittimità , del buon andamento, dell'imparzialità
dell’attività amministrativa, nonché della rispondenza di detta attività a requisiti di
razionalità, economicità, efficienza ed efficacia per le quali sono, comunque,
attribuite dalla legge a soggetti pubblici con funzioni di controllo, di riscontro e
ispettive nei confronti di altri soggetti;
-
dati trattati: quelli esclusivamente necessari alle finalità;
-
operazioni eseguibili: nell’esercizio delle funzioni ispettive e di controllo, i
soggetti a ciò deputati possono effettuare trattamenti dei dati legittimamente trattati
presso i soggetti controllati;
-
finalità rilevanti: attività di accertamento, nei limiti delle proprie finalità
istituzionali, con riferimento ai dati relativi a esposti e petizioni, ovvero ad atti di
controllo o di sindacato ispettivo svolti da organi politici;
-
dati trattati: quelli esclusivamente necessari alle finalità;
-
operazioni eseguibili: raccolta, registrazione, blocco, cancellazione, comunicazione
all'interessato e agli organi competenti.
Materia : benefici economici
-
finalità rilevanti: attività dirette all'applicazione della disciplina in materia di
concessione, liquidazione, modifica e revoca di benefici economici, agevolazioni.
elargizioni;
- dati trattati: si intendono ricompresi fra i trattamenti quelli necessari:
a) alle comunicazioni . certificazioni e informazioni previste dalla normativa antimafia;
b) alla concessione di contributi, finanziamenti, elargizioni e altri benefici previsti dalla
legge, dai regolamenti o dalla normativa comunitaria. anche in favore di
associazioni, fondazioni ed enti;
c) al riconoscimento di esoneri, agevolazioni o riduzioni tariffarie o economiche,
franchigie, o al rilascio di concessioni anche radiotelevisive, licenze, autorizzazioni,
iscrizioni e altri titoli abilitativi previsti dalla legge, da regolamento o dalla
normativa comunitaria;
- operazioni eseguibili: raccolta, registrazione, organizzazione. conservazione,
l'utilizzo, blocco, comunicazione. II trattamento può comprendere la diffusione nei
soli casi in cui ciò sia indispensabile per la trasparenza delle attività, in conformità
alle leggi, e per finalità di vigilanza e di controllo conseguente alle attività
medesime.
Materia: Onorificenze, ricompense e riconoscimenti
- finalità rilevanti: attività dirette all'applicazione della disciplina in materia di
conferimento di onorificenze e ricompense, di riconoscimento della personalità giuridica
di. associazioni, fondazioni ed enti, anche di culto, di accertamento dei requisiti di
onorabilità e d professionalità per le nomine, per quanto di propria competenza, a uffici
anche di culto e a cariche direttive di persone giuridiche, imprese ed istituzioni
scolastiche non statali, nonché di rilascio e revoca di titoli autorizzatori o abilitativi, di
concessione di patrocini, patronati e premi di rappresentanza, di adesione a comitati
d’onore e di ammissioni a cerimonie incontri istituzionali;
-
dati trattati: opinioni politiche, convinzioni religiose e filosofiche, dati ex art. 686
c.p.p.;
-
operazioni eseguibili: raccolta, registrazione, organizzazione, utilizzo, blocco,
comunicazione. Il trattamento può comprendere la diffusione nei soli casi in cui ciò
sia indispensabile per la trasparenza delle attività , in conformità alle leggi e per
finalità di vigilanza e di controllo conseguente alle attività medesime.
Materia: volontariato e obiezioni di coscienza
-
finalità rilevanti: I trattamenti di dati volti all'applicazione della disciplina in
materia di rapporti tra soggetti pubblici e le organizzazioni di volontariato, in
particolare per quanto riguarda l'elargizione di contributi finalizzati al loro sostegno,
la tenute dei registri generali delle medesime organizzazioni e la cooperazione
internazionale;
Attività dirette all'applicazione della legge 8 Iuglio1998, n.230, e delle altre
disposizioni di legge in materia di coscienza ;
-
dati trattati : opinioni politiche, convinzioni religiose e filosofiche;
-
Operazioni eseguibili: raccolta, registrazione, organizzazione, utilizzo,
conservazione, blocco, comunicazione. II trattamento può comprendere la diffusione
nei soli casi in cui ciò sia indispensabile per la trasparenza delle attività, in
conformità alle leggi, e per finalità di vigilanza e di controllo conseguente alle
attività medesime.
Materia: Attività sanzionatorie e di predisposizione di elementi di tutela in sede
amministrativa o giurisdizionale
-
finalità rilevanti : si considerano di rilevante interesse pubblico i trattamenti dei
dati :
a) volti all'applicazione delle norme in materia di sanzioni amministrative e ricorsi;
b) necessari per far valere il diritto di difesa in sede amministrativa o giudiziaria;
c) effettuati in conformità alle leggi e regolamenti per l'applicazione della disciplina
sull'accesso ai documenti amministrativi;
-
dati trattati: strettamente necessari alle finalità;
-
operazioni
eseguibili:
raccolta,
registrazione,
organizzazione,
utilizzo,
conservazione, blocco, cancellazione, comunicazione.
Materia :Portatori di handicap
-
finalità rilevanti: si considerano di rilevante interesse pubbIico i trattamenti di dati
volti all'applicazione della disciplina in materia di assistenza , integrazione sociale e
diritti delle persone handicappate;
-
dati trattati: stato di salute; tra i trattamenti effettuati per le finalità inerenti la tutela
dei portatori di handicap s intendono ricompresi, in particolare, quelli svolti al fine
di:
accertare l’handicap e assicurare la funzionalità dei servizi terapeutici e riabilitativi
di aiuto personale e familiare, nonché interventi economici integrativi e altre
agevolazioni;
assicurare adeguata informazione alla famiglia della persona handicappata;
curare l'integrazione sociale, l’educazione e l’istruzione del portatore di handicap,
nonche il collocamento obbligatorio nei casi previsti dalla legge;
di reaIizzare comunità-alloggio e centri socio-riabilitativi;
curare la tenuta degli albi regionali e delle associazioni e organizzazioni di
volontariato impegnati nel settore;
a)
b)
c)
d)
e)
-
operazioni eseguibili : raccolta, registrazione, conservazione, blocco, cancellazione.
L'identificazione dell'interessato è riservata ai soggetti che perseguono direttamente
la finalità. Sono individuate le misure minime per garantire la sicurezza dei
trattamenti effettuati con tecniche di cifratura o mediante codici identificativi .
Materia: Rapporti con enti di culto
-
finalità rilevanti: I trattamenti di dati strettamente necessari allo svoIgimento dei
rapporti istituzionali con enti di culto, confessioni religiose e comunità religiose;
-
dati trattati: convinzioni religiose e filosofiche, opinioni politiche;
-
operazioni eseguibili: raccolta, registrazione, conservazione, blocco, cancellazione.
Materia Statistica
Finalità rilevanti: I trattamenti svolti dai soggetti pubblici che fanno parte del
sistema
statistico nazionale ai sensi del d.lgs. 6 settembre 1989, n. 322:
dati trattati: quelli strettamente necessari alla finalità;
- operazioni eseguibili: raccolta, registrazione, organizzazione, conservazione, blocco,
cancellazione, comunicazione. La diffusione è consentita solo in forma anonima e
aggregata dei dati.
Materia socio - assistenziale
- Finalità rilevante: interventi di sostegno psico-sociale e di formazione in favore di
giovani o di altri soggetti che versano in condizioni di disagio sociale, economico o
familiare, quali:
- interventi anche di rilievo sanitario in favore di soggetti bisognosi o non
autosufficienti o incapaci, ivi compresi i servizi di assistenza economica o
domiciliare, di telesoccorso, accompagnamento e trasporto;
- assistenza nei confronti : di minori, anche in relazione di adozione internazionale;
- compiti di vigilanza per affidamenti temporanei;
- assistenza indigenti
-
Dati trattati: dati idonei a rilevare lo stato di salute, dati ex art. 686 c.p.p.;
-
Operazioni eseguibili: raccolta, registrazione, organizzazione, conservazione,
blocco. L'identificazione dell'interessato e riservata ai soggetti che perseguono
direttamente la finalità. Sono individuate le misure minime per garantire la sicurezza
dei trattamenti effettuati con tecniche di cifratura o mediante codici identificativi .
Materia : mense scolastiche, sussidi, contributi e materiale didattico
-
Finalità rilevanti : concernenti la gestione di mense scolastiche o la fornitura di
sussidi, contributi e materiale didattico;
-
Dati trattati: stato di salute;
-
Operazioni eseguibili: raccolta, registrazione, organizzazione, conservazione,
blocco. Qualora il trattamento riguardi dati sullo stato di salute l'identificazione
dell'interessato e riservata ai soggetti che perseguono direttamente la finalità .Sono
individuate le misure minime per garantire la sicurezza dei trattamenti effettuati con
tecniche di cifratura o mediante codici identificativi .
SETTORE CONTABILE
UBICAZIONE DEI DATI
I dati trattati elettronicamente o manualmente sono ubicati negli uffici relativi alle
seguenti attività:
- Attività Contabilità e Bilancio
- Attività Tributaria
Materia: tributaria
-
finalità rilevante: attività dei soggetti pubblici dirette all'applicazione, anche
tramite i loro concessionari, delle disposizioni in materia di tributi. in relazione ai
contribuenti, ai sostituti e ai responsabili di imposta nonché in materia di deduzioni e
detrazioni;
-
dati trattati: quelli esclusivamente necessari alle finalità;
-
operazioni eseguibili: raccolta, registrazione, organizzazione, utilizzo, blocco,
conservazione, cancellazione, comunicazione. Ai fini degli accertamenti tributari il
Comune può affidare il relativo servizio anche a società esterne mediante la stipula
di apposite convenzioni. In tal caso ,le eventuali società incaricate sono nominate
responsabili per il trattamento dei dati, pertanto, la conoscenza i dati da parte di tali
soggetti non costituisce violazione della Legge;
-
finalità rilevanti: attività dirette, in materia di imposte, alla prevenzione e
repressione delle violazioni degli obblighi e all'adozione dei provvedimenti previsti,
da leggi, regolamenti o normativa comunitaria, nonché al controllo e all'esecuzione
forzata dell'esatto adempimento di tali obblighi. all'effettuazione dei rimborsi, alla
destinazione di quote d'imposta, e queIle dirette all'inventario e quaIificazione degli
immobili ;
-
dati trattati: quelli esclusivamente necessari alle finalità;
-
operazioni eseguibili raccolta, registrazione, organizzazione, utilizzo, blocco,
conservazione, cancellazione, comunicazione.
ALLEGATO 1
COMUNE DI PAGANI
Provincia di Salerno
Prot. n. _____________
Data _______________
Spett.le
______________________
Ditta
______________________
Il destinatario della presente e’ autorizzato a svolgere operazioni di trattamento
di dati personali per conto dell’Amministrazione Comunale ed e’ tenuto a rispettare ed
osservare tutte le norme della legge 675/96, nonche’ ogni altra istruzione impartita in
calce alla presente o in successivi comunicazioni da parte dell'Amministrazione stessa.
In caso di inadempimento, il destinatario della presente comunicazione sara’
considerato responsabile nel confronti del Titolare, limitatamente alle operazioni da
effettuare senza la diligenza dovuta in esecuzione delle istruzioni ricevute, ferme
restando, in ogni caso, le proprie responsabilita’ civili e penali in caso di abuso dei dati
personali di cui sia venuto a conoscenza in esecuzione del rapporto instaurato con
l’Amministrazione Comunale.
In caso il destinatario si avvalga dei suoi incaricati o collaboratori, egli si obbliga
a renderli edotti delle suddette norme operative generali, fermo restando che in ogni
caso essi si intendono operare sotto la sua diretta ed eslusiva responsabilita’.
Il titolare per il trattamento dei dati
______________________________
Il responsabile per il trattamento dei dati
___________________________________
ALLEGATO 1-A
COMUNE DI PAGANI
Provincia di Salerno
Prot. n. ________
Data __________
Spett.le
__________________
Ditta
__________________
Il destinatario della presente e’ tenuto a rispettare e osservare tutte le norme della
legge n. 675/96, nonche’ ogni altra istruzione impartita in calce alla presente dal
Titolare o dal Responsabile per la tutela dei dati sensibili.
In caso di inadempimento, il destinatario della presente comunicazione sara’
considerato responsabile nei confronti deIl'Amministrazione Comunale, limitatamente
alle operazioni da effettuare senza la diligenza dovuta in esecuzione della Legge,
soprattutto per i dati sensibili, ai sensi dell’articolo 22 della legge 675 del 1996, ferme
restando, in ogni caso, le proprie responsabilita’ civili e penali in caso di utilizzo non
conforme alla richiesta dei dati personali di cui sia venuto a conoscenza in ececuzione
del rapporto instaurato con l’Amministrazione Comunale.
Il titolare per il trattamento dei dati
______________________________
II responsabile per il trattamento dei dati
___________________________________
ALLEGATO 2
CO M UNE DI PAGANI
Provincia di Salerno
Oggetto: Nomina a Responsabile del trattamento dei dati
Il Comune di Pagani nella qualita’ di Titolare del trattamento dei dati personaIi da esso
operato, ai sensi e per gli effetti della legge 31 dicembre 1996, n. 675
DESIGNA
___________________________________________ nella qualità di Tesoriere
Comunale
RESPONSIIBILE PER IL TRATTAMENTO DEI DATI
Il Tesoriere Comunale nella sua funzione, deve osservare scrupolosamente quanto
previsto dal regolamento per la tutela della riservatezza rispetto al trattamento dei dati
personali, approvato con
Atto deliberativo Consiliare n. _________ del ____________, in particolare i compiti
previsti dal Responsabile sono:
- rispettare le misure di sicurezza indicate con separato documento e predisposte dal
Comune;
- informare prontamente il titolare di ogni questione rilevante ai fini della legge;
- distruggere i dati personali alla cessazione del trattamento degli stessi, provvedendo
alle formalità di legge e dandone comunicazione al Titolare;
- Predisporre una relazione scritta in merito agli adempimenti eseguiti ai fini della
legge e alle conseguenti risultanza,. da consegnare al Titolare con periodicita’
semestrale;
- Evadere tempestivamente i reclami degli interessati ai sensi dell'art .13 e le
eventuali istanze del Garante;
- Controllare I'andamento delle relazioni con gli utenti e/o i rischi connessi;
- Curare il coordinamento di tutte le operazioni di trattamento dei dati;
- Dare istruzioni per la corretta elaborazione dei dati personali;
- Procedere alle verifiche sulla metodologia di istruzione e di gestione dei dati, anche
attraverso controlli a campione da eseguirsi periodicamente;
-
Verificare i procedimenti di rettifica dei dati;
Eseguire gli obblighi della legge 675/96;
Dare risposte a esigenze di tipo operativo e gestionale, relative al trattamento dei
dati;
- Impartire disposizioni operative per la sicurezza delle banche dati e dei
procedimenti di gestione e/o trattamento degli stessi;
- Disporre il blocco dei dati, qualora sia necessaria una sospensione temporanea delle
operazioni di trattamento, dandone tempestiva comunicazione al Titolare.
Il trattamento dei dati avviene mediante strumenti idonei a garantire la sicurezza e la
riservatezza e puo’ essere effettuato anche attraverso strumenti automatizzati atti a
memorizzare, gestire e trasmettere i dati stessi.
Non e’ considerata comunicazione ne’ violazione delle disposizioni della legge n.
675/96, la conoscenza dei dati personali da parte del titolare e dei Responsabile di
Trattamento.
II titolare per il trattamento dei
dati personali
______________________________
ALLEGATO 3
COMUNE DI PAGANI
Provincia di Salerno
ALBO DEI SOGGETTI AI QUALI, PER DISPOSIZIONI DI LEGGE,
ATTUAZIONE: DI REGOLAMENTI, FINALITA’ ISTITUZIONALI,
VENGONO INVIATI O INVIANO AL COMUNE DATI PERSONALI
Al presente AIbo viene data pubbicita’ mediante affissione all'Albo Pretorio del
Comune e altre forme di pubbicita’ ritenute piu’ idonee, unitamente all'elenco delle
finaIita’ di rilevante interesse pubblico, dei dati sensibili trattabili e delle operazioni
eseguibili( ALL. A)
FLUSSI INFORMATIVI CON L’ESTERNO
SETTORE AMMISTRATIVO - AAGG. - ISTITUZIONALE
SETTORE CONTABILE
SETTORE TECNICO
SETTORE DI VIGILANZA
SETTORE AMMINISTRATIVO - AA.GG. –
ISTITUZIONALE
AMBITO DI ATTIVITA’ SEGRETERIA GENERALE, DEMOGRAFICA ELETTORALE
Questura
Provincia
Regione
Prefettura
Associazioni culturali
Associazioni varie
Partiti
Cittadini
Stampa
Enti di culto
Sindacati
Tribunale
Ministero dell'Interno
Co. Re. Co.
Tribunale Amministrativo Regionale
Carabinieri
Enti locali
Enti territoriali
Distretto militare
Consulenti
ISTAT
AMBITO DI ATTIVITA’ SOCIO CULTURALI
Ministero Pubblica Istruzione
Direzioni didattiche
Provveditorato studi
Regione
Provincia
Ministero della Sanita’
Cittadini
Prefettura
Enti locali
Enti Assistenziali
Enti territoriali
SETTORE CONTABILE
Provincia
Regione
Prefettura
Tesoreria locale
Tesoreria provinciale
Tesoreria statale
Cittadini
Tesoro
Cassa DD.PP.
Beneficiari
Corte dei Conti
Revisore dei conti
Guardia di Finanza
Ufficio registro – IVA
Enti territoriali
Enti locali
SETTORE TECNICO
Provincia
Regione
Prefettura
ASI
Autorita’ di Bacino
Carabinieri
Polizia
Questura
Tribunale Amministrativo
Tribunale
Camera di Commercio
Cassa DD.PP.
Ministero interno
Ministero LL. PP.
Ditte fornitrici
Catasto
Cittadini
SETTORE DI VIGILANZA
AMBITO DI ATTIVITA’ POLIZIA MUNICIPALE
Provincia
Regione
Prefettura
Carabinieri
Polizia
Questura
Camera di Commercio
Tribunale
Ministero dell’Interno
Ministero trasporti
Ministero Grazia e Giustizia
PRA
Enti locali
Associazioni di categoria
ALLEGATO 4
C OM UNE D I PA GA NI
Provincia di Salerno
Prot. n...............
Data...........……
Gent.mo
Sig.
………………….
………………….
Informativa ai sensi dell’articolo 10 della legge 675/96
Gentile Signore/a,
con l’entrata in vigore della legge n. 675/96, recante disposizioni per la tutela delle
persone e di altri soggetti rispetto al trattamento dei dati personali, il Comune di Pagani,
in qualita’ di Titolare del Trattamento è tenuto a fornire alcune informazioni riguardanti
I'utilizzo dei dati personali. Secondo la legge indicata, tale trattamento sara’ improntato
ai principi di correttezza, liceità e trasparenza al fine di tutelare la Sua riservatezza e i
Suoi diritti.
Ai sensi dell'articolo 10 della legge predetta, Le forniamo, quindi, le seguenti
informazioni:
- Finalità del trattamento a cui sono destinati i dati
a) Esecuzioni di disposizioni di Legge, Regolamenti o fini istituzionali (esempio
richiesta di residenza, iscrizione alle liste elettorali, iscrizione a ruolo per la tassa
smaltimento rifiuti, ecc.)
- Modalita’ di trattamento dei dati
a) in relazione alle suindicate finalita,’ il trattamento dei dati personali avviene
mediante strumenti manuali, informatici e telematici con logiche strettamente
correlate alle finalità stesse e, comunque, in modo da garantire la sicurezza e la
riservatezza dei dati stessi.
- Categorie di soggetti ai quali possono essere comunicati
a) i dati potranno essere comunicati a tutti gli Enti o Uffici inseriti nell'albo dei
soggetti ai quali vengono inviati od inviano dati al Comune e disponibile per la
consultazione presso il Responsabile, all'Ufficio _________________
La informiamo che il conferimento dati , e’ obbligatori per i fini di legge, regolamenti o
istituzionali.
Si informa, inoltre, che il Titolare del trattamento e’ il Comune di Pagani, rappresentato
ai fine della legge 675/96 dal Sig __________________
Al responsabile del trattamento, Sig. ________________________ , Lei potra’
rivolgersi
per
far
valere
i
Suoi
diritti
nei
seguenti
giorni:
__________________________,
dalle
ore
_______________
alle
ore
__________________; ____________________ dalle ore _____________ alle ore
______________ cosi’ come previsto dall’articolo 13 della legge n. 675/96, che
riportiamo integralmente:
Articolo 13
Diritti dell’interessato
1. In relazione al trattamento di dati personali l'interessato ha diritto:
a) di conoscere, mediante accesso gratuito al registro di cui all’articolo 31, comma 1,
lettera a) l’esistenza di trattamenti di dati che possono riguardarlo;
b) di essere informato su quanto indicato all'articolo 7, comma 4, lettere a), b) e h);
c) di ottenere, a cura del Titolare o del responsabile. senza ritardo:
1) la conferma dell'esistenza o meno di dati personali che Lo riguardano, anche se
non ancora registrati, e la comunicazione in forma intellegibile dei medesimi dati e
della loro origine, nonché della logica e delle finalità su cui si basa il trattamento;
la richiesta può essere rinnovata, salva l'esistenza di giustificati motivi, con
intervallo non minore di novanta giorni;
2) la cancellazione, la trasformazione in forma anonima o il blocco dei dati trattati in
violazione di legge. compresi quelli di cui non è necessaria la conservazione in
relazione agli scopi per i quali i dati sono stati raccolti o successivamente trattati;
3) l'aggiornamento, la rettificazione ovvero, qualora vi abbia interesse, l’integrazione
dei dati;
4) l’attestazione che le operazioni di cui ai numeri 2) e 3) sono state portate a
conoscenza, anche per quanto riguarda il loro contenuto, di coloro ai quali i dati
sono stati comunicati o diffusi, eccettuato il caso in cui tale adempimento si riveli
impossibile o comporti un impiego di mezzi manifestamente sproporzionato rispetto
al diritto tutelato;
d) di opporsi, in tutto o in parte, per motivi legittimi, al trattamento dei dati personali
che lo riguardano, nonché pertinenti allo scopo della raccolta:
e) di opporsi, in tutto o in parte, al trattamento di dati personali che lo riguardano,
previsto a fini di informazione commerciale o di invio di materiale pubblicitario o di
vendita diretta ovvero per il compimento di ricerche di mercato o di comunicazione
commerciale interattive di essere informato dal titolare non oltre il momento in cui i
dati sono comunicati o diffusi, della possibilita’ di esercitare gratuitamente tale
diritto.
2. Per ciascuna richiesta di cui al comma I, lettera c), n. 1), puo’ essere chiesto
all'interessato, ove non risulti confermata l'esistenza di dati che lo riguardano, un
contributo spese, non superiore ai costi effettivamente sopportati, secondo le
modalita’ ed entro i limiti stabiliti dal regolamento di cui all'articolo 27, comma 6.
3. I diritti di cui al comma 1riferiti ai dati personali concernenti decedute possono
essere esercitati da chiunque vi abbia interesse.
4. Nell’esercizio dei diritti di cui al comma 1’interessato puo’ fornire, per iscritto,
delega o procura a persone fisiche o ad associazioni.
5. Restano ferme le norme sul segreto professionale degli esercenti la professione di
giornalista, limitatamente alla fonte della notizia.
Il titolare per trattamento dei dati
________________________________
II responsabile per il trattamento dei dati
___________________________________
ALLEGATO 5
ESERCIZIO DEI DIRITTI DELL’INTERESSATO DI ESSERE INFORMATO
SULL'ESISTENZA
PRESSO GLI ARCHIVI DEL COMUNE
Gent.mo
Sig.
__________________
Responsabile per il
trattamento dei dati
personali
Comune di Pagani
Oggetto: Legge 675/96. Tutela delle persone e di altri soggetti rispetto al
trattamento dei dati
Personali. Esercizio dei diritti dell'interessato di cui all’articolo 13.
Ai sensi dell'articolo 13, comma 1, lettera b) della legge 675/96 chiedo di essere
informato circa:
1. il nome, la denominaziane o la ragione sociale e il domicilio, la residenza e la sede
del titolare;
2. le finalita’ e le modalità del trattamento;
3. il nome, il domicilio, la residenza e la sede del responsabile.
Chiedo, inoltre, ai sensi dell'articolo 13, comma 1, lettera c):
1. la conferma dell'esistenza o meno del Vs archivio a sistema informativo di dati
personali che mi riguardano, anche se non ancora registrati;
2. la comunicazione in forma intellegibile dei medesimi dati e della loro origine;
3. la comunicazione della logica e delle finalita’ su cui si basa il trattamento.
Ringraziando anticipatamente, l'occasione mi e’ gradita per porgere distinti saluti.
Nome, cognome, indirizzo e firma leggibile
_____________________________________
NOTE
a) la richiesta può essere rinnovata, salva l'esistenza di giustificati motivi, con
intervallo non minore di 90 gg;
b) i diritti riferiti ai dati personali di persone decedute possono essere esercitati da
chiunque Vi abbia interesse;
c) nell'esercizio dei diritti, l'interessato puo’ dare delega o procura scritta a persone
fisiche o associazioni. In tal caso, la circostanza deve essere esemplificata ed e’
preferibile allegare fotocopia dell'atto stesso;
d) per ogni richiesta di cui al comma 1 dell'art. 13 può essere chiesto all'interessato ove non risulti confermata l'esistenza di dati che lo riguardano - un contributo
spese, non eccedente i costi effettivamente sostenuti.
ALLEGATO 6
ESERCIZIO DEI DIRITTI DELL’INTERESSATO DI OTTENERE LA
RETTIFICA O L'AGGIORNAMENTO DEI DATI DEI QUALI GIÀ CONOSCE
L'ESISTENZA
PRESSO GLI ARCHIVI DEL COMUNE
Gent.mo
Sig............... ..............
Responsabile per il trattamento dei
dati personali
Comune di
PAGANI(SA)
Oggetto: Legge 675/96. Tutela delle persone e di altri soggetti rispetto al
trattamento dei dati personali. Esercizio dei diritti dell'interessato dì cui
all'articolo 13.
Ai sensi e per gli effetti della normativa di cui all’oggetto
Chiedo
_
L'aggiornamento
dei
miei
dati
personali, specificatamente
_________________________
______________________________________________________________________
______________________________________________________________________
__________________________
_
La
rettifica
dei
miei
dati
personali, precisamente
______________________________
______________________________________________________________________
______________________________________________________________________
__________________________
_
L'integrazione
dei
dati,
ossia
_____________________________________________________
______________________________________________________________________
______________________________________________________________________
__________________________
Richiedo, altresì, l'attestazione che le operazioni sopra descritte sono state
portate a conoscenza, anche per quanto riguarda il contenuto, di coloro ai quanti i dati
sono stati comunicati o diffusi.
L'occasione mi è grata per porgere distinti saluti.
Nome, cognome, indirizzo e
firma leggibile
_______________________________________
NOTE :
a)
LA RICHIESTA, SALVA L'ESISTENZA DI GIUSTIFICATI MOTIVI, PUO’ ESSERE
RINNOVATA CON UN INTERVELLO NON MINORE DI 90 GG.
b) I DIRITTI RIFERITI AI DATI PERSONALI DI PERSONE DECEDUTE POSSONO ESSERE
ESERCITATI DACHIUNQUE VI ABBIA INTERESSE.
c)
NELL’ESERCIZIO DEI DIRITTI, L'INTERETO PUÒ DARE DELEGA O PROCURA SCRITTA
A PERSONE FISICHE O ASSOCIAZIONI. IN TAL CASO LA CIRCOSTANZA DEVE ESSERE
ESPLICITATA ED E’ PREFERIBILE LLEGARE FOTOCOPIA DELL'ATTO STESSO
COMUNE DI PAGANI
Provincia di Salerno
AI Garante per la protezione
dei personali
Piazza di Monte Citorio n. 121
00186 ROMA
Oggetto: Comunicazioni di trattamento dei dati sensibili, ai sensi dell’articolo 22,
comma 3 bis, legge 675/96.
I1 sottoscritto ___________________________ nella qualita’ di rappresentante del
Comune di Pagani.
Titolare del trattamento dei dati personali definiti sensibili dall’articolo 22, comma 1
legge 675/96,
- Visto l'articolo 5 dal D. Lgs. n 135/99,
- Atteso die l'Ente scrivente intende svolgere trattamenti in relazione ai quali la legge
non specifica le operazioni eseguibili o i tipi di dati che possono essere trattati,
- Atteso che in tale caso la legge 675/96 consente i trattamenti esclusivamente per il
raggiungimento delle finalita’ e per assicurare l’adempimento degli obblighi imposti
dalla legge, nel rispetto di quanto previsto dalla legge 675/96,
COMUNICA
Che nell'ambito dell'ente – Settore ______________________ sono svolti i seguenti
trattamenti di dati sensibili:
- Tipologia dei dati
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
____________________________________________________
- Unità Operativa in cui sono trattati
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
____________________________________________________
-
Finalita’ di interesse pubblico perseguite
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
______________________________________________________________________
____________________________________________________
- Riferimenti normativi
Non esistono specifiche disposizioni legislative ma la preminenza di interesse pubblico
perseguito e sostitutiva delle norme legislative.
II trattamento dei dati sensibili:
- Risulta ecceziale per lo svolgimento delle attivita’ istituzionali le quali non possono
essere adempiute mediante i trattamenti di dati personali di natura diversa o di dati
anonimi e comporta lo svolgimento di operazioni strettamente necessarie al
perseguimento delle finalita’ per le quali il trattamento e’ consentito;
E' effettuato con le seguenti modalita’:
- informatico – manuale
I certificati contenenti i dati sanitari sono altresi’ conservati in appositi schedari e copia
degli stessi e’ in consegna al responsabile del trattamento dei dati del Settore
_________________ del Comune.
L’ambito di comunicazione è:
______________________________________________________________________
______________________________________________________________________
__________________________
Si precisa che il responsabile per il trattamento dei dati è il Sig.
__________________________
Le misure di sicurezza tecnico organizzative adottate sono:
- Copie di backup
- Conservazione in appositi armadi
- Cifrature dei dati sanitari.
- _________________________
- _________________________
A tale fine richiede l'autorizzazione necessaria al prosieguo del trattamento dei dati
sopra citati, come dall'articolo 22, comma 3come modificato dal D. Lgs 135/99.
Il Titolare
____________________
COMUNE DI PAGANI
Provincia di Salerno
Signor
___________
_______
SEDE
Oggetto: Nomina a Responsabile del trattamento dei dati
I1 Responsabile del Settore _________________________ del Comune, nella qualia’
di Titolare del trattamento dei dati personali da esso operato, ai sensi e per gli effetti
della legge 31 dicembre 1996, n. 675,
DESIGNA
I1
Sig. ________________________________ nato a _____________________
Prov. ___________ in data ____________________________, nella sua qualita’ di
RESPONSABILE DEL TRATTAMENTO DEI DATI
II Sig. _______________________________ nella sua funzione, ha il compito di
adempiere a tutto quanto necessario per il rispetto delle vigenti disposizioni.
I compiti affidati al responsabile del trattamento:
- Rispettare le misure di sicurezza indicate con separato documento e predisposte dal
Comune.
- Informare prontamente il Titolare di ogni questione rilevante ai fini della legge.
- Distruggere i dati personali alla cessazione del trattamento degli stessi, provvedendo
alle formalita’ di legge e dandone comunicazione al Titolare, procedendo altresi’
all'aggiornamento del Registro dei dati e trattamenti.
- Predisporre una relazione scritta in merito agli adempimenti eseguiti ai fini della
legge ed alle conseguenti risultanze, da consegnare al Titolare con periodicita’
trimestrale.
- Evadere tempestivamente i reclami degli interessati ai sensi dell’articolo 13 e le
eventuali istanze del Garante.
- Controllare l'andamento delle relazioni con gli utenti e/o dei rischi connessi.
- Curare il coordinamento di tutte le operazioni di trattamento dati.
- Dare istruzioni per la corretta elaborazione dei dati personali.
- Procedere alle verifiche sulla metodologia di introduzione e di gestione dei dati
anche attraverso controlli a campione da eseguirsi periodicamente.
- Verificare i procedimenti di rettifica dei dati.
-
Adempiere a quanto disposto da Autorita’ ed Organi di vigilanza del sistema
Amministrativo Locale.
Eseguire gli obblighi della legge675/96.
Dare risposte ad esigenze di tipo operativo e gestionale, relative al trattamento dei
dati.
Impartire disposizioni operative per fa sicurezza delle banche dati e dei
procedimenti di gestione e/o trattamento degli stessi.
Disporre il blocco dei dati, qualora sia necessaria una sospensione temporanea delle
operazioni di
trattamento, dandone tempestiva comunicazione al Titolare.
II trattamento dei dati avviene mediante strumenti idonei a garantirne la sicurezza
e la riservatezza e puo’ essere effettuata anche attraverso strumenti automatizzati
atti a memorizzare, gestire e trasmettere i dati stessi.
C OMUNE DI PAGANI
Provincia di Salerno
II trattamento dei dati personali acquisiti nell'ambito dell'attività del Comune forniti
dagli interessati, potra’ essere effettuato:
Da societa’, enti o consorzi, che per conto del Comune forniscono specifici servizi
elaborativi o che svolgono attività connesse, strumentali o di supporto, a quelle del
Comune, ovvero attivita’ necessarie all'esecuzione delle operazioni e dei servizi
imposti da leggi, regolamenti, norme comunitarie o che sono richieste dai cittadini o
verranno dagli stessi richieste in futuro nei limiti delle finalita’ istituzionali del
Comune.
- Dai soggetti ai quali la comunicazione dei dati personali risulti necessaria per il
raggiungimento di finalita’ istituzionali o sia comunque funzionale allo svolgimento
dell'attività del Comune nei limiti di cui all'Art. 27 commi 1 - 2- 3 legge 675/96.
- Dai soggetti a cui la facolta’ di accedere ai dati personali sia riconosciuta da
disposizioni di legge o di normativa comunitaria o di regolamenti interni.
In tutti i casi sopra esposti i fornitori e prestatori d'opera sono tenuti ad osservare la
comunicazione.
Non è considerata comunicazione né violazione della legge n.675/96, la conoscenza dei
dati personali da parte del Titolare, del Responsabile del trattamento.
-
I1 Titolare
COMUNE DI PAG NI
Provincia di Salerno
Al Signor
_______________________
SEDE
Oggetto: Nomina ad incaricato del trattamento dei dati
IL RESPONSABILE DELL'UFFICIO_____________________
Nella sua qualita’ di responsabile del trattamento dei dati, individuato ai sensi e per gli
effetti dell'art. 8 della legge 31 dicembre 1996, n.675
NOMINA
Il sig. ______________________________ inquadrato nella ctg. ________
profilo professionale di
con il
INCARICATO DEL TRATTAMENTO DEI DATI
E ASSEGNA
I seguenti compiti:
 procedere al trattamento dei dati personali ai fini dell'esecuzione di disposizioni di
legge, statuto, regolamenti o fini istituzionali connessi all'attività del Comune;
 raccogliere e registrare i dati personali per scopi determinati, espliciti e legittimi;
 raccogliere i dati che siano esatti pertinenti, completi e non eccedenti rispetto alle
finalita’ della stessa raccolta o successivo trattamento;
 procedere al trattamento dei dati sensibili soltanto se autorizzato da espressa
disposizione di legge limitandosi ad operare soltanto sui dati strettamente necessari
alla realizzazione dell'attività istituzionale;
 procedere alla raccolta dei dati sensibili, di regola, presso l'interessato;
 conservare i documenti relativi a dati personali in archivi con accesso controllato o
in arredi con possibilita’ di chiusura;
 conservare i documenti relativi a dati sensibili in contenitori muniti di serratura;
 utilizzare in via strettamente personale la password di accesso al computer;
 Impedire ad Amministratori, utenti ed altre persone non autorizzate dal Titolare o
dal responsabile di utilizzare gli strumenti informatici dell'ufficio;
 non lasciare incustoditi gli strumenti informatici durante l'orario di lavoro e, in
particolare, se sono accesi e in corso operazioni;

Rispettare e vigilare sul rispetto delle misure di sicurezza che saranno indicate con
separato atto.
Nella qualità di incaricato del trattamento la S.V. è obbligata ad attenersi
scrupolosamente a quanto impartito, con la presente. La conoscenza dei dati personali
da parte Sua non è considerata comunicazione né violazione della privacy ai sensi
dell'art. 19 della L.675/96.
Il Responsabile del
Trattamento
_________________________
SCHEDA DI RILEVAZIONE BANCHE DATI PERSONALI E SENSIBILI
UNITA' OPERATIVA ______________________________
RILEVAZIONE BANCHE DATI PERSONALI
Normativa di riferimento
________________
-
Obbligo previsto da legge
-
Regolamento
__________________________
Normativa comunitaria
__________________
-
Per il trattamento dei dati
contratto_____________
Soggetti ai quali i dati si riferiscono
-
Obbligo derivante da
-
Finalita’ istituzionali
____________________
-
Cittadini
Associazioni
Persone giuridiche di diritto privato
Dipendenti dell’Amministrazione
Pubblici amministratori
Organizzazioni sindacali
Partiti
Datori di lavoro
Fornitori
A.S.L.
Organismi statali
Ministeri
Altri soggetti _________________
-
Solo cartaceo
Solo informatico
Cartaceo ed informatico
-
Trattamento ad uso interno
Trattamento finalizzato a
Modalita’ di trattamento
Utilizzo dei dati
comunicazione
-
Trattamento finalizzato a diffusione
(specificare
modalità e finalità della diffusione)
___________
_____________________________
___________
Durata del trattamento
________________________________________
Vi sono sistemi di protezione delle banche dati?
Misure di sicurezza esistenti
SI___ NO ___
- Luogo accessibile a terzi
- Arredi chiudibili a chiave
SI___ NO ___
- Password specifiche
SI___ NO ___
- Accesso generico
SI___ NO ___
- Individuazione incaricato
SI___ NO ___
RILEVAZIONE BANCHE DATI SENSIBILI(1)
Tipo di dati sensibili trattati (2)
__________________________________
__________________________________
Finalità di interesse pubblico perseguite
e relative fonti normative (3)
__________________________________
__________________________________
__________________________________
__________________________________
SI
NO
I dati sono raccolti
Tipo di trattamento interno
Presso l'interessato
Presso altre
amministrazioni
Conservazione
Organizzazione
Elaborazioni complesse correlazioni
Modificazioni
Distruzione
Tipo di trattamento esterno (4)
_________________________________
_________________________________
_________________________________
La banca dati personali e sensibili contiene dati eccedenti
la finalità di raccolta?
______
Misure di sicurezza esistenti
SI ______
NO
-
Vigilanza della sede
Arredi chiudibili a
-
Password specifiche
Registratone degli
-
Individuazione
-
Altro
chiave
accessi
incaricato
________________
La presente scheda deve essere debitamente compilata a cura del responsabile
dell’U.0.in indirizzo e restituita al responsabile del procedimento, entro e non oltre 10
giorni dalla ricezione.
II Titolare del trattamento
Settore
1) Tale rilevazione attiene esclusivamente ai dati sensibili o ai dati di carattere
giudiziario. Dati sensibili sono quelli che attengono all'origine razziale o etnica, alle
convinzioni religiose o filosofiche, alle opinioni politiche, all'adesione a partiti o
sindacati, associazioni a carattere religioso, filosofico, politico o sindacale, allo stato di
salute e alla vita e abitudini sessuali.
Vanno, quindi, esclusi dalla ricognizione i tipi di dati personali che pur essendo correlati
alle finalita’ di rilevante interesse pubblico indicate dagli artt. 7 e ss. del D. lgs 135/99 e
nell'atto di autorizzazione del Garante 30 dicembre 1999 -13 gennaio 2000 (nella G.U.
n. 24 del 2 febbraio 2000), non possono qualificarsi come sensibili.
Cosi, non rientrano nella ricognizione i dati che attengono alla condizione economica, a
status professionali o sociali, a requisiti culturali, alla rappresentativita’ o al ruolo dei
soggetti interessati all'interno di associazioni di carattere diverso da quello indicato
nell'art 22 della L. 675/96. Vanno, altresi’, esclusi i dati che, identificati genericamente
come attinenti ai requisiti morali e alle doti di irreprensibilita’ o di carattere possedute, o
al decoro e al comportamento tenuto, non rientrano in nessuna delle categorie sopra
indicate, in quanto non idonee a rilevare le abitudini sessuali o le convinzioni religiose,
politiche, filosofiche, ecc. (Presidenza del Consiglio dei ministri – Circolare 19 aprile
2000 n DAGL/643 - PRES. 2000 in G.U. 3 maggio 2000 n. 101).
2)Specificare quale tipo di dato sensibile è trattato per quella determinata finalità di
interesse pubblico. II richiamo generico alla categoria "dati sensibili" può ritenersi
consentito limitatamente ai casi nei quali non e’ possibile individuare puntualmente e
preliminarmente il particolare tipo di dato sensibile che può essere oggetto di trattazione
per il perseguimento della finalità di interesse pubblico.
3) indicare le norme che richiamano le finalità per le quali e’ ammesso il trattamento dei
dati:
d. lgs. 135/99, autorizzazione del Garante, leggi particolari.
4) indicare l'attivita’ di trasmissione all’esterno ( comunicazione, diffusione), per
finalità di rilevante interesse pubblico perseguite da altri soggetti.