ATTUAZIONE DELLE DISPOSIZIONI SULLA PROTEZIONE DEI DATI PERSONALI



(continua a leggere)


RITENUTE FISCALI E SOSTITUTI D’IMPOSTA



































































































Ufficio per il personale delle pubbliche amministrazioni Ufficio per il personale delle pubbliche amministrazioni DIRETTIVA Misure finalizzate all’attuazione nelle pubbliche amministrazioni delle disposizioni contenute nel decreto legislativo 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali, con particolare riguardo alla gestione delle risorse umane. Alla Presidenza del Consiglio dei Ministri Segretariato generale Roma Alle Amministrazioni dello Stato anche ad ordinamento autonomo Loro Sedi Al Consiglio di Stato Ufficio del Segretario generale Roma Alla Corte dei Conti Ufficio del Segretario generale Roma All’Avvocatura generale dello Stato Ufficio del Segretario generale Roma Alle Agenzie di cui al Dlgs 300/99 Loro Sedi All’ARAN Roma Alla Scuola Superiore della Pubblica Amministrazione Roma Agli Enti pubblici non economici (tramite i Ministeri vigilanti) Loro Sedi Agli Enti pubblici (ex art. 70 del D.Lgs n. 165/01) Loro Sedi Agli Enti di ricerca (tramite il Ministero dell’istruzione dell’Università e della ricerca) Roma Alle istituzioni universitarie (tramite il Ministero dell’istruzione, dell’Università e della ricerca) e p. c. All’ANCI All’UPI All’UNCEM Alla Conferenza dei Presidenti delle Regioni Alla Conferenza dei Rettori delle Università italiane Loro sedi 1.PREMESSA Il primo gennaio del 2004 è entrato in vigore il decreto legislativo 30 giugno 2003, n. 196, recante il “Codice in materia di protezione dei dati personali”, d’ora in poi denominato “Codice”, nel quale sono raccolte, in forma di testo unico, tutte le disposizioni in materia di tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali ed alle attività connesse. Il Testo rappresenta il primo modello di codificazione organica della privacy in Europa e tiene conto sia del quadro normativo comunitario (direttive n. 95/46/CE e n. 2002/58/CE) che di quello internazionale. La disciplina del Codice, analogamente a quella dettata dalla normativa previgente, si innesta in un contesto prevalentemente orientato alla pubblicità dell’azione amministrativa, ad opera della legge 7 agosto 1990, n. 241 e delle altre disposizioni di settore, e conferma la graduazione dei differenti livelli di tutela previsti all’interno della generale categoria dei dati personali predisponendo garanzie più rigorose in relazione ai dati sensibili. Il Codice offre al cittadino un sistema di garanzie articolato e al contempo semplificato che, nell’individuare tutti gli strumenti idonei ad una piena realizzazione del diritto alla protezione dei dati personali, costituisce il presupposto per la fruizione di tutti gli altri diritti fondamentali dell’individuo che a quel diritto sono naturalmente collegati. In tale quadro i principi ricordati nel Testo unico informano tutti gli aspetti della vita sociale e dell’azione delle pubbliche amministrazioni ed in particolare, per quanto interessa in questa sede, anche gli aspetti relativi alla gestione delle risorse umane in tutti gli aspetti organizzativi, di sicurezza e di benessere. 2. I PRINCIPI E GLI OBBLIGHI Appare opportuno ricordare in questa sede i principi che derivano dal Codice in materia di protezione dei dati personali ai quali l’azione amministrativa dovrà ispirarsi e che sono destinati ad esercitare una grande influenza sull’esercizio della potestà organizzativa delle pubbliche amministrazioni. Il “diritto alla protezione dei dati personali” quale prerogativa fondamentale della persona, è stato introdotto nell’ordinamento in attuazione dell’articolo 8 della Carta dei diritti fondamentali dell’Unione Europea del 7 dicembre 2000 e deve considerarsi quale diritto autonomo e distinto rispetto al diritto alla riservatezza sostanziandosi nel diritto del suo titolare di conoscere e controllare la circolazione delle informazioni che lo riguardano. Il Codice, che ha dunque affermato, all’articolo 1, il diritto alla protezione dei dati personali, mira a garantire che il trattamento di queste informazioni “si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali” (art. 2). Un principio generale del sistema di garanzie approntato dal Codice che deve guidare l’azione amministrativa è costituito dal principio di “necessità del trattamento dei dati personali”, da intendersi quale principio che integra quello di “pertinenza e non eccedenza” dei dati trattati (già individuato dalla legge n. 675 del 1996) con riferimento alla configurazione di sistemi informativi e programmi informatici. Tale regola prescrive di predisporre i sistemi informativi e i programmi informatici in modo da utilizzare al minimo dati personali ed identificativi escludendone il trattamento quando le finalità perseguite possono essere raggiunte mediante l’uso di dati anonimi o di modalità che permettano di identificare l’interessato solo in caso di necessità (art. 3). Deve essere, inoltre, ricordato che il principio di necessità costituisce un presupposto di liceità del trattamento dei dati personali ed il mancato rispetto di questo e degli altri presupposti comporta conseguenze rilevanti per l’amministrazione. Infatti il Codice, nel dettare le regole per tutti i trattamenti ha sancito l’inutilizzabilità dei dati personali trattati in violazione della disciplina rilevante in materia di trattamento dei dati personali (articolo 11, comma 2). Il diritto alla protezione dei dati personali potrà, pertanto, essere garantito solo se le amministrazioni titolari dei trattamenti ispireranno la loro attività ai principi sanciti dal Codice e conseguentemente, oltre ad ottemperare agli obblighi espressamente previsti, adotteranno una serie di comportamenti concreti, azioni e provvedimenti organizzativi coerenti con i principi che regolano la materia. In particolare, il trattamento dei dati personali da parte delle pubbliche amministrazioni è consentito solo qualora sia necessario per lo svolgimento delle funzioni istituzionali rispettando gli eventuali altri presupposti e limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti. Al riguardo è il caso di sottolineare che, salvo quanto previsto per i trattamenti posti in essere dagli esercenti le professioni sanitarie e gli organismi sanitari pubblici (parte II del Codice), le pubbliche amministrazioni non devono chiedere il consenso dell’interessato. I dati sensibili possono, invece, essere trattati soltanto se il trattamento risulta autorizzato da un’espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite (artt. 18, 19, 20 e 22 del Codice. Per i dati sensibili v. più diffusamente infra la parte relativa ai “Regolamenti”). E’ inoltre, imposto alle amministrazioni l’obbligo di garantire la sicurezza nella gestione dei dati e dei sistemi in modo da ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Pertanto le amministrazioni, o i soggetti affidatari di servizi e sistemi per conto delle stesse, dovranno adottare tutte le cautele consentite dalle moderne tecnologie prevenendo i rischi derivanti dall’organizzazione e gestione delle banche dati e dei sistemi informativi (artt. 31-35 e disciplinare tecnico contenuto nell’Allegato B) al Codice). Analoghe cautele dovranno essere adottate nella gestione di tutti gli atti ed i provvedimenti che comportano l’utilizzo di dati personali e sensibili. Nell’ambito del predetto obbligo generale di contenere nella misura più ampia possibile determinati rischi, i titolari del trattamento sono tenuti in ogni caso ad assicurare un livello minimo di protezione dei dati mediante l’adozione delle “misure minime” di sicurezza individuate nel Titolo V, Capi I e II, della Parte II del Codice o che saranno individuate ai sensi dell’articolo 58, comma 3, in relazione ai trattamenti effettuati per finalità di difesa o coperti da segreto di Stato. La disciplina del Codice, infine, è informata dal principio di semplificazione in base al quale l'elevato grado di tutela dei diritti è assicurato nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità di esercizio del diritto alla protezione dei dati personali e degli altri diritti e libertà fondamentali dell’interessato e degli adempimenti in capo ai titolari del trattamento (art. 2, comma 2). Disposizioni in deroga o ad integrazione della disciplina generale sono poste dal Codice in relazione a specifici settori di interesse per l’attività amministrativa, quali l’ambito giudiziario, negli articoli da 46 a 52, i trattamenti eseguiti dalle forze di polizia, negli articoli da 53 a 57, e quelli attinenti alla difesa e sicurezza dello Stato, di cui all’articolo 58. 3. FINALITA’ DELLA DIRETTIVA La presente direttiva è finalizzata a richiamare l’attenzione delle amministrazioni sulle prescrizioni del Codice che incidono maggiormente nel settore pubblico, richiedendo l’adozione di efficaci scelte organizzative per tradurre sul piano sostanziale le garanzie previste dal legislatore, nonché sulle conseguenze connesse alla loro mancata attuazione. L’entrata in vigore del nuovo Codice comporta, per le pubbliche amministrazioni, la necessità di ripensare le proprie attività e la propria organizzazione al fine di consentire una piena ed effettiva garanzia dei diritti in esso affermati. Infatti, le tematiche relative alla privacy investono le amministrazioni nella quasi totalità delle proprie attività, assumendo significativo rilievo nello svolgimento di molti dei compiti istituzionali loro affidati dall’ordinamento, come ad esempio, la gestione delle risorse umane. In considerazione di ciò, il Codice (art. 176) ha aggiunto il comma 1-bis al comma 1 dell’articolo 2 del decreto legislativo 30 marzo 2001, n. 165. Pertanto le amministrazioni dovranno attuare le linee fondamentali di organizzazione degli uffici nel rispetto della disciplina in materia di trattamento dei dati personali, in aggiunta ai criteri indicati nella medesima disposizione . Da quanto premesso emerge la necessità di provvedere all’adozione degli strumenti necessari per l’attuazione pratica delle previsioni del Codice, quali: - regolamenti indicanti i tipi di dati sensibili e giudiziari che possono essere trattati e le operazioni che possono essere eseguite su di essi in relazione al perseguimento di finalità di rilevante interesse pubblico qualora manchi una specifica indicazione legislativa (artt. 20, 21 e 22); - le informative all’interessato (art. 13); - la notificazione al Garante nei casi previsti dall’art. 37; - le eventuali comunicazioni al Garante (art. 39); - le misure minime di sicurezza e, in particolare, il documento programmatico sulla sicurezza (art. 34, comma 1, lett. g) e regola n. 19 dell’Allegato B) al Codice)). Occorrerà, inoltre, procedere a puntuali ricognizioni dei dati trattati alla luce delle disposizioni vigenti e alla revisione delle modalità di gestione degli stessi, ponendo particolare attenzione alla necessità di garantire agli interessati l’esercizio del diritto di accesso ai dati che li riguardano e degli altri diritti sanciti dall’art. 7 del Codice, nonché alle problematiche relative all’accesso ai documenti amministrativi ed alla necessità di contemperare le esigenze di trasparenza dell’azione amministrativa con quelle di tutela del diritto alla protezione dei dati personali. Pertanto ci si rivolge ai dirigenti ed ai funzionari preposti alle unità di loro competenza perché nell’ambito delle attività di direzione, coordinamento e controllo degli uffici dei quali sono responsabili adottino tutte le misure utili a garantire il rispetto e la piena attuazione dei principi sanciti dal Codice, prevengano i rischi presenti nelle singole attività e adottino, conseguentemente, tutti gli atti, le soluzioni organizzative ed i comportamenti necessari. 4. CLASSIFICAZIONE DEI DATI E TIPOLOGIA DEI RELATIVI ADEMPIMENTI 4.1 Dati personali L’articolo 4, comma 1, lettera b) del Codice definisce dati personali “qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”. Alle pubbliche amministrazioni è consentito il trattamento dei dati personali quando risponda alla necessità di esercitare le proprie funzioni istituzionali. Pertanto, salvo quanto previsto per gli esercenti le professioni sanitarie e gli organismi sanitari pubblici (si vedano le disposizioni della parte II del Codice), le medesime non debbono chiedere il consenso dell’interessato ai sensi dell’articolo 18. In particolare, il trattamento dei dati diversi da quelli sensibili e giudiziari è consentito anche in assenza di una specifica previsione normativa purché sia finalizzato allo svolgimento delle funzioni istituzionali dell’amministrazione, mentre la comunicazione di questi dati da una pubblica amministrazione ad un’altra o a privati oppure la loro diffusione è possibile solo quando vi sia una espressa previsione normativa, come indicato all’articolo 19. Nel caso in cui le amministrazioni abbiano necessità di fornire tali informazioni ad un altra pubblica amministrazione, sempre ai fini dello svolgimento delle attività istituzionali, ma in assenza di idonea previsione normativa, possono però informarne preventivamente il Garante, ai sensi dell’art. 39 del Codice. In base a tale nuovo meccanismo, decorsi quarantacinque giorni dalla comunicazione al Garante, l’operazione di comunicazione dei dati può essere avviata, ferma restando la possibilità di una diversa determinazione dell'Autorità adottata anche successivamente al decorso del termine. Deve essere effettuata una preventiva comunicazione al Garante, a norma dell’articolo 39, anche nel caso di trattamento di dati idonei a rivelare lo stato di salute previsto da un programma di ricerca biomedica o sanitaria, conformemente a quanto dispone l’art. 110 del Codice. Sulle amministrazioni titolari del trattamento grava inoltre l’obbligo di notificare al Garante i trattamenti di dati personali che sono elencati nel comma 1 dell’articolo 37 del Codice. Tale adempimento deve essere effettuato prima dell’inizio del trattamento ed una sola volta, a prescindere delle operazioni che debbono essere effettuate (salvo, ovviamente, l'obbligo di notificare le eventuali modifiche del trattamento o la sua cessazione). In base agli articoli 37 e 38, la notificazione si intende validamente effettuata solo se inviata telematicamente utilizzando le modalità indicate dal Garante tramite il modello all’uopo predisposto e disponibile sul sito dell’Autorità (www.garanteprivacy.it). Al riguardo si segnala che, con provvedimento n. 1 del 31 marzo 2004, disponibile anch’esso sul sito dell’Autorità, sono stati individuati alcuni trattamenti di dati non suscettibili, in concreto, di recare pregiudizio agli interessati e quindi sottratti all’obbligo di notificazione di cui al citato articolo 37. Si rammenta infine che sulla base della disciplina del Codice configura una “comunicazione” di dati personali il dare conoscenza di tali informazioni ad uno o più soggetti diversi dall’interessato, in qualunque forma, anche mediante la loro messa a disposizione o consultazione. Non può considerarsi tale, invece, la comunicazione effettuata nei confronti dell'interessato, del rappresentante del titolare nel territorio dello Stato, del responsabile o dell'incaricato (art. 4, comma1, lett. l). 4.2 Regole generali per il trattamento dei dati Le regole generali, comuni a tutti i trattamenti di dati, sono rinvenibili negli articoli da 11 a 17 del Codice. 4.2.1 Modalità del trattamento e requisiti dei dati In particolare, l’articolo 11, nell’indicare le modalità del trattamento e i requisiti dei dati, individua anche i presupposti di liceità del trattamento. Secondo la disciplina introdotta dal Codice, il mancato rispetto dei presupposti sanciti da tale disposizione e delle altre norme rilevanti in materia trattamento di dati personali comporta l’inutilizzabilità dei dati (art. 11, comma 2). 4.2.2 Titolare, responsabile, incaricati Per quanto riguarda i soggetti che effettuano il trattamento, l’articolo 28 chiarisce che il “titolare del trattamento”, nel caso delle pubbliche amministrazioni, coincide con l’entità nel suo complesso ovvero con l’unità o l’organismo periferico che esercita un potere decisionale del tutto autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza, anziché con la persona fisica incardinata nell'organo o preposta all'ufficio. Per le strutture amministrative complesse si suggerisce di avvalersi della facoltà accordata al titolare dall’art. 29 del Codice di designare uno o più “responsabili del trattamento”, fra i soggetti che, per qualità professionali e......