g-docweb-display Portlet

Trattamento dei dati sensibili e giudiziari presso l'Ente irriguo umbro toscano (Euit) - 24 maggio 2006 [1299204]

Stampa Stampa Stampa
PDF Trasforma contenuto in PDF

[doc. web n. 1299204]

[v. anche Provv. 25 luglio 2007]

Trattamento dei dati sensibili e giudiziari presso l´Ente irriguo umbro toscano (Euit) - 24 maggio 2006

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Nella riunione odierna, in presenza del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il Codice in materia di protezione dei dati personali (d.lg. 30 giugno 2003, n. 196);

Vista la richiesta di parere sullo schema di regolamento presentata dal Ministero delle politiche agricole e forestali relativamente ai trattamenti effettuati dall´Ente irriguo umbro toscano;

Vista la documentazione in atti;

Viste le osservazioni dell´Ufficio, formulate dal segretario generale ai sensi dell´art. 15 del regolamento del Garante, n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

PREMESSO:

Il Ministero delle politiche agricole e forestali ha chiesto il parere del Garante in ordine ad uno schema di regolamento per i trattamenti dei dati sensibili e giudiziari predisposto dall´Ente irriguo umbro toscano.

Tale ente, al pari degli altri soggetti pubblici, può trattare i dati sensibili e giudiziari solo in base ad un´espressa disposizione di legge nella quale siano specificati i tipi di dati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite. In presenza di una disposizione primaria che si limiti a specificare unicamente la finalità di rilevante interesse pubblico è necessario che, con un atto di effettiva natura regolamentare, siano identificati e resi pubblici i tipi di dati sensibili o giudiziari, nonché le operazioni eseguibili in relazione alle finalità perseguite nei singoli casi.

A tale scopo, l´ente in questione è tenuto ad adottare o promuovere un atto di natura regolamentare conforme al parere reso dal Garante. In questa prospettiva, il predetto schema identifica i tipi di dati che il medesimo ente intende trattare, con le operazioni individuate in relazione alle specifiche finalità perseguite nei singoli casi (art. 20, comma 2, del Codice).

OSSERVA:

1. Considerazioni generali
Nelle premesse (non trasmesse a questa Autorità) dello schema di regolamento deve essere menzionata l´acquisizione del presente parere ai sensi dell´art. 154, comma 1, lett. g), del Codice.

Il presente parere non riguarda l´ulteriore "regolamento per la tutela della riservatezza dei dati personali", che è stato sottoposto anch´esso all´esame del Garante. Gli elementi contenuti in quest´ultimo documento non formano infatti oggetto dell´identificazione prevista con il regolamento che deve riguardare unicamente i tipi di dati sensibili e le operazioni eseguibili (art. 20 del Codice).

Con riferimento all´art. 2 dello schema di regolamento per il trattamento dei dati sensibili e giudiziari, occorre modificare l´indicazione del numero delle tabelle che formano parte integrante del regolamento, previa verifica dell´effettivo  numero di quelle che costituiscono gli allegati dello schema di regolamento.

Nel medesimo art. 2, per quanto riguarda le finalità di rilevante interesse pubblico, occorre poi fare riferimento esclusivamente alle disposizioni di legge che prevedono le finalità individuate nelle schede allegate; quanto alle operazioni di trattamento, va altresì espunto il riferimento a quelle concernenti la  diffusione, che non sono previste nelle schede allegate allo schema.

2. Gestione del rapporto di lavoro (scheda n. 1)
In relazione ai tipi di dati trattati, dalla descrizione sintetica del trattamento, sorprende e non risulta comprovata l´asserita indispensabilità dell´utilizzo dei dati personali relativi all´origine razziale e etnica per instaurare e gestire il rapporto di lavoro. Occorre quindi valutare nuovamente tale indispensabilità e, in caso di esito positivo della valutazione, documentarla adeguatamente, sottoponendo la scheda così integrata al Garante per un nuovo parere, scheda nella quale dovrà altrimenti espungersi il riferimento ai predetti tipi di dati.

Con riferimento alle operazioni di trattamento, non risulta comprovata l´indispensabilità delle operazioni di interconnessione. Tali operazioni, rientrando tra quelle che possono spiegare effetti maggiormente significativi per gli interessati, devono essere delimitate rigorosamente in conformità al principio di indispensabilità ed essere altresì evidenziate meglio nello schema, individuando, nell´ipotesi di interconnessione e di raffronto con banche dati di altri titolari del trattamento, la base normativa che le autorizza (art. 22, commi 9 e 11 del Codice). Va inoltre specificato se, nei singoli casi, l´operazione consista in una interconnessione o in un diverso tipo di collegamento per via telematica volto ad ottenere informazioni o certificazioni dal medesimo o da altri titolari del trattamento, senza una consultazione diretta di banche dati. Occorre valutare nuovamente l´indispensabilità di tali operazioni e, in caso di esito positivo della valutazione, documentarla adeguatamente, sottoponendo la scheda così integrata al Garante per un nuovo parere, scheda nella quale dovrà altrimenti espungersi il riferimento alle operazioni medesime.

Per ciò che concerne le fonti normative, andrebbe eliminato il riferimento al d.P.R. 20 ottobre 1998, n. 428, abrogato dall´art. 77 del d.P.R. 28 dicembre 2000, n. 445, recante "Testo unico delle disposizioni legislative e regolamentari in materia di documentazione amministrativa ".

3. Riconoscimento di benefici  e gestione del contenzioso (schede nn. 2 e 3)
Analoga verifica di indispensabilità sulle operazioni di interconnessione deve essere effettuata con riferimento alle attività dell´ente finalizzate al riconoscimento di benefici e alla gestione del contenzioso. Anche per tali attività, va inoltre specificato se, nei singoli casi, l´operazione consista in concreto in una interconnessione o in un diverso tipo di collegamento per via telematica volto ad ottenere informazioni o certificazioni dal medesimo o da altri titolari del trattamento, senza una consultazione diretta di banche dati. Occorre valutare nuovamente l´indispensabilità di tali operazioni e, in caso di esito positivo della valutazione, documentarla adeguatamente, sottoponendo la scheda così integrata al Garante per un nuovo parere, scheda nella quale dovrà altrimenti espungersi il riferimento alle  operazioni medesime.

Infine, con riferimento alle operazioni di comunicazione previste nella scheda n. 2, occorre verificare l´indispensabilità di tale operazione nei confronti delle strutture sanitarie, tenuto anche conto che i certificati medici e sanitari non possono essere sostituiti da altro documento (art. 49 d.P.R. 28 dicembre 2000, n. 445). In caso di esito positivo della valutazione, occorre documentarla adeguatamente e sottoporre la scheda così integrata al Garante per un nuovo parere, scheda nella quale dovrà altrimenti espungersi il riferimento alla comunicazione medesima.

4. Gestione protocollo, istanze di accesso agli atti e uffici per le relazioni con il pubblico  (scheda n. 4)
Con riferimento al protocollo e alla gestione di archivi di atti e di documenti, risulta incongruo predisporre un´apposita scheda da allegare al regolamento, che verrebbe a riguardare non complesse attività, ma solo tali minute operazioni che fanno parte dell´ordinaria attività amministrativa. Tali operazioni non sono finalizzate a trattare per specifiche finalità dati sensibili o giudiziari e vanno considerate solo nell´ambito delle altre, ordinarie operazioni di trattamento prese in esame nelle altre schede allegate al regolamento.

Va, altresì, evitato di disciplinare situazioni già adeguatamente regolate sul piano legislativo e regolamentare quanto ai tipi di dati e di operazioni, come avviene nel caso dei dati personali trattati per effetto di un accesso a documenti amministrativi (artt. 59 e 60 del Codice; l. n. 241/1990 e successive modificazioni ed integrazioni). Va quindi eliminata dallo schema di regolamento la ricognizione relativa alle situazioni medesime.

L´"attività di comunicazione" indicata nella denominazione del trattamento della scheda n. 4 appare invece riconducibile alle finalità perseguite attraverso gli uffici per le relazioni con il pubblico (art. 73, comma 2, lett. g) del Codice). In relazione all´individuazione dei tipi di dati trattati, va rilevato che dalla descrizione del trattamento non risulta comprovata l´indispensabilità dell´utilizzo delle informazioni indicate per perseguire le attività connesse alla finalità di rilevante interesse pubblico degli uffici per le relazioni con il pubblico. Occorre quindi valutare nuovamente tale indispensabilità e, in caso di esito positivo della valutazione, documentarla adeguatamente, sottoponendo la scheda così integrata al Garante per un nuovo parere, scheda nella quale dovrà altrimenti espungersi il riferimento ai dati non indispensabili.

Con riferimento alla medesima finalità di cui all´art. 73, comma 2, lett. g) del Codice, si osserva inoltre che non risulterebbe giustificata una comunicazione indiscriminata a "cittadini" dei dati sensibili e giudiziari individuati. È necessario espungere l´indicazione di tale operazione di comunicazione, riformulando eventualmente la scheda alla luce delle indicazioni fornite con il presente parere.

5. Contratti, gare e appalti (scheda n. 5)
Relativamente alla scheda n. 5, va rilevato che il trattamento di dati giudiziari effettuato nel quadro dell´attività contrattuale e della gestione di gare ed appalti trova già compiuta disciplina nell´apposita autorizzazione generale del Garante (aut. n. 7/2005 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici). Nello schema in esame non deve essere pertanto indicato il trattamento effettuato per adempiere ad obblighi previsti da disposizioni di legge in materia di comunicazioni e certificazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di manifestazione di pericolosità sociale, nonché per accertare requisiti di idoneità dei partecipanti alle gare (capo IV, par. 2, lett. d) ed e), della citata aut. n. 7/2005). Per garantire l´uniformità nell´applicazione dell´unitaria e rigorosa disciplina in materia, va quindi espunta dallo schema di regolamento in esame la scheda n. 5.

6. Conclusioni
Il Ministero delle politiche agricole e forestali è invitato a conformare lo schema in esame alle indicazioni sopra formulate, tenendo presente che il trattamento dei dati sensibili e giudiziari non potrà essere effettuato in difformità dalle indicazioni medesime, e che l´individuazione dei tipi di dati e delle operazioni eseguibili dovrà essere effettuata necessariamente con un atto di effettiva natura regolamentare ai sensi dell´art. 20, comma 2, del Codice, suscettibile di produrre effetti giuridici per gli interessati.

TUTTO CIÒ PREMESSO IL GARANTE:

ai sensi dell´art. 154, comma 1, lett. g) del Codice, esprime parere favorevole sullo schema di regolamento trasmesso dal Ministero delle politiche agricole e forestali e predisposto dall´Ente irriguo umbro toscano, a condizione che siano rispettate le indicazioni fornite nei punti da 1 a 6, riguardanti:

  • la menzione dell´acquisizione del presente parere; le modifiche relative al numero delle schede allegate; l´indicazione delle disposizioni di legge che prevedono le finalità di rilevante interesse pubblico individuate nelle schede allegate; l´espunzione nell´articolato dei riferimenti inerenti alla diffusione;
  • l´indispensabilità dell´utilizzo dei dati personali relativi all´origine razziale e etnica per l´instaurazione e la gestione di rapporto di lavoro (scheda n. 1); le verifiche concernenti le interconnessioni (schede nn. 1, 2, 3); l´indispensabilità delle comunicazioni alle strutture sanitarie dei dati relativi allo stato di salute per le attività relativa al riconoscimento di benefici; l´eliminazione del riferimento al d.P.R. 20 ottobre 1998, n. 428 (scheda n. 2);
  • l´eliminazione della disciplina relativa all´attività di gestione del protocollo e della gestione delle istanze di accesso ai documenti amministrativi; l´indispensabilità dei dati menzionati per lo svolgimento delle finalità degli uffici per le relazioni con il pubblico; la soppressione del riferimento all´operazione di comunicazione ai cittadini (scheda n. 4);
  • l´eliminazione della scheda n. 5;
  • l´adozione di un atto di effettiva natura regolamentare.

Roma, 24 maggio 2006

IL PRESIDENTE
Pizzetti

IL RELATORE
Fortunato

IL SEGRETARIO GENERALE
Buttarelli