Settore: | Normativa nazionale |
Data: | 16/01/1998 |
Numero: | 6 |
§ 98.1.38827 - Circolare 16 gennaio 1998, n. 6 .
L. 31 dicembre 1996, n. 675, recante: "Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali".
Emanata dal Ministero dell'interno, Direzione generale per l'amministrazione generale e per gli affari del personale.
|
Ai Prefetti della Repubblica |
|
Loro Sedi |
|
Al commissario del Governo per la Provincia di |
|
Trento |
|
Trento |
|
Al commissario del Governo per la Provincia di |
|
Bolzano |
|
Bolzano |
|
Al presidente della Giunta regionale Valle d'Aosta |
|
Aosta |
e, p.c.: |
Al Gabinetto dell'On. le Sig. Ministro |
|
Al Dipartimento della pubblica sicurezza |
|
Alla Direzione generale dell'amministrazione civile |
|
Alla Direzione generale degli affari dei culti |
|
Alla Direzione generale dei Servizi civili |
|
Alla Direzione generale della protezione civile e dei |
|
servizi antincendi |
|
All'Ufficio centrale per gli affari legislativi e le |
|
relazioni internazionali |
|
All'Ufficio centrale per i problemi delle zone di |
|
confine e delle minoranze etniche |
|
All'Ufficio del responsabile dei sistemi informativi |
|
automatizzati |
|
All'Ispettorato generale di amministrazione |
|
SEDE |
1. Come è noto, la
Con
In considerazione della novità della disciplina introdotta e della complessità interpretativa e applicativa delle disposizioni dalla stessa recate, questo Ministero ha sottoposto le questioni di maggior rilievo al vaglio del Garante della protezione dei dati personali, in relazione ai compiti consultivi allo stesso affidati dall'art. 31, comma 2, della legge.
Pertanto, in attesa di disporre degli elementi di chiarificazione richiesti, si ravvisa la opportunità - d'intesa con il Dipartimento della P.S., le Direzioni Generali e gli Uffici Centrali - di richiamare l'attenzione delle SS.LL. su taluni aspetti applicativi della nuova disciplina, ai quali si riconnette la diretta responsabilità dei dirigenti. Sulla base delle suddette intese ed in considerazione della specificità delle disposizioni di legge valevoli per i trattamenti connessi alle attività di polizia, parallele direttive in materia vengono diramate dal Dipartimento della P.S. agli organi ed uffici dell'Amministrazione della Pubblica Sicurezza.
2. Presupposti di legittimità del trattamento di dati personali da parte di soggetti pubblici.
Ai sensi del comma 1 dell'art. 27 della legge, il trattamento di dati personali da parte di soggetti pubblici è consentito "soltanto per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti dalla legge e dai regolamenti".
Il comma 2 dello stesso articolo regola la comunicazione e la diffusione dei dati personali (cfr. art. 1, comma 2, lett. g) ed h) da soggetti pubblici ad altri soggetti pubblici.
Il comma 3 disciplina la comunicazione e la diffusione da soggetti pubblici a privati.
L'art. 22, comma 3, della legge consente il trattamento di dati "sensibili" (cfr. comma 1) da parte di soggetti pubblici "solo se autorizzato da espressa disposizione di legge nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite".
L'art. 24 della legge stabilisce che il trattamento di dati personali idonei a rivelare provvedimenti giudiziari nella materia penale o delle misure di prevenzione (provvedimenti di cui all'art. 686, commi 1, lett. a) e d), 2 e 3, c.p.p.) è ammesso "soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e le precise operazioni autorizzate".
Le richiamate disposizioni di legge (art. 27, 22 e 24) non si applicano ai trattamenti di dati personali previsti dall'art. 4 della legge (in particolare, per quanto di diretto interesse, ai trattamenti effettuati dal CED del Dipartimento della Pubblica Sicurezza o previsti dall'Accordo di Schengen o svolti "per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento e repressione dei reati, in base ad espresse disposizioni di legge che prevedano specificamente il trattamento"), per i quali, tuttavia, resta obbligatoria la notificazione al Garante (cfr. combinato disposto alinea del comma 1 e comma 2 dell'art. 4 della legge).
3. Notificazione al Garante dei trattamenti di dati personali posti in essere da soggetti pubblici.
Tale adempimento è regolato dall'art. 7 della legge come modificato dall'art. 1 del
I commi 1, 2, 3 e 4 regolano le modalità e i contenuti della notificazione "ordinaria" al Garante.
Il comma 5-bis disciplina una forma "semplificata" di notificazione attuabile nelle ipotesi ivi previste, che, per quanto di specifico interesse della pubblica amministrazione, sono quelle indicate nelle lettere a) e c) dello stesso comma.
Il comma 5-ter prevede l'esonero dall'obbligo della notificazione per i trattamenti ivi indicati che, per quanto di specifico interesse della pubblica amministrazione, sono quelli descritti nelle lettere a), b), c), d), e), h), i), o) dello stesso comma. Di particolare rilievo tra le ipotesi di esonero - per quanto di interesse delle Prefetture - sono quelle di cui alle lettere a) ed e): la prima riguardante qualsiasi trattamento "necessario per l'assolvimento di un compito previsto dalla legge, da un regolamento o dalla normativa comunitaria", purché non avente ad oggetto dati "sensibili" o "idonei a rivelare provvedimenti giudiziari"; la seconda riguardante la gestione del personale dipendente, limitatamente agli aspetti contabili, retributivi, previdenziali, assistenziali e fiscali.
Pertanto, tutti i trattamenti di dati personali - nell'accezione contenutistica che alla formula è attribuibile ai sensi dell'art. 1, lett. b) e c), della legge - posti in essere da codeste Prefetture, ad esclusione di quelli "esonerati" dal comma 5-ter dell'art. 7 (secondo quanto testé evidenziato), sono soggetti a notificazione al Garante in forma ordinaria o semplificata. Si richiamano, al riguardo, le disposizioni del comma 1 dell'art. 7 che prevedono che la notificazione sia effettuata "una sola volta ... a prescindere dal numero delle operazioni da svolgere, nonché dalla durata del trattamento" e possa "riguardare uno o più trattamenti con finalità correlate".
La notificazione è preventiva (art. 7, comma 1, della legge) fatto salvo quanto si dirà in ordine al regime transitorio. Pertanto, tutte le volte in cui codesti Uffici - successivamente al 1° gennaio 1998 - riterranno di attivare un nuovo trattamento di dati soggetto - per quanto testé evidenziato - ad obbligo di notificazione, dovranno provvedere al relativo adempimento prima di porre in essere il trattamento medesimo.
Tutte le notificazioni dovranno essere effettuate dal "titolare" (art. 7, comma 1, della legge). Pertanto, nel richiamare le istruzioni formulate in calce al modello elaborato dall'Ufficio del Garante per la notificazione dei trattamenti, si ritiene che il "titolare" debba essere indicato nel Ministero dell'Interno, seguito dalla denominazione dell'Ufficio, centrale o periferico, che ha disposto o autorizzato il trattamento dei dati. In particolare, le Direzioni Generali e gli Uffici Centrali cureranno gli adempimenti previsti a carico del titolare con riguardo ai trattamenti di dati personali svolti dai dipendenti uffici centrali. Le Prefetture cureranno gli adempimenti di che trattasi con riguardo ai trattamenti effettuati nell'ambito degli stessi uffici. Per quanto riguarda gli Uffici periferici del Corpo Nazionale dei Vigili del Fuoco, conformemente alle intese intercorse, sarà cura della Direzione Generale della Protezione Civile e dei Servizi Antincendi impartire le opportune istruzioni.
Si richiama la particolare attenzione sulle disposizioni dell'art. 8 e del comma 2, lett. e), dell'art. 1 della legge, che consentono la designazione del "responsabile" del trattamento, cioè del soggetto cui il titolare può affidare la concreta gestione e la vigilanza sulla sicurezza dei trattamenti. In assenza di tale designazione il titolare, quale notificante, viene considerato responsabile (art. 7, comma 4, lett. h), della legge).
4. Norme transitorie in materia di notificazione dei trattamenti di dati personali.
La legge disciplina con disposizioni speciali il regime giuridico dei trattamenti di dati personali posti in essere anteriormente alla data della sua entrata in vigore (8 maggio 1997) o nella fase della sua prima applicazione, fino al 31 dicembre 1997 (art. 41, comma 2, della legge, come sostituito dall'art. 2 del
Pertanto, i trattamenti di dati personali, soggetti a notificazione secondo quanto evidenziato nel precedente punto 3, qualora già attivati prima del 1° gennaio 1998, dovranno essere notificati al Garante entro il 31 marzo 1998. I trattamenti effettuati ai sensi dell'art. 4, comma 1, lett. e), della legge dovranno essere notificati tra il 1 aprile 1998 e il 30 giugno 1998.
In relazione a ciò, pur considerando la eventualità del sopravvenire di innovazioni normative riguardanti i richiamati adempimenti in sede di esercizio sia della delega legislativa ex
5. Regime transitorio dei trattamenti di dati "sensibili" o "giudiziari".
Come già evidenziato al precedente punto 2, il trattamento dei dati "sensibili" o "idonei a rivelare provvedimenti giudiziari" è consentito a regime soltanto il presenza delle rigorose condizioni di ammissibilità specificate negli artt. 22 e 24.
Tuttavia, i trattamenti in essere alla data di entrata in vigore della legge possono essere proseguiti, fino al 7 maggio 1998, anche in assenza delle suddette condizioni di ammissibilità, previa comunicazione al Garante (art. 41, comma 5, della legge). Né deriva che, successivamente a tale data (dall'8 maggio 1998), i trattamenti potranno essere proseguiti soltanto se corredati al sopravvenire delle disposizioni di legge o dell'autorizzazione del Garante cui alludono gli artt. 22, comma 3, e 24 della legge. In relazione a tanto, si prega di segnalare, con ogni sollecitudine, le situazioni che richiedono l'intervento di adeguamento legislativo o autorizzatorio previsto dalla legge.
Pertanto, nell'allegare i modelli predisposti dall'Ufficio del Garante per la notificazione dei trattamenti, si fa riserva di far conoscere tempestivamente il sopravvenire di ogni eventuale elemento di rilievo, restando in attesa di un cenno di assicurazione.
Il direttore generale
Catalani