Art. 20 - Principi applicabili al trattamento di dati sensibili

Le Soluzioni GBsoftware: Integrato GB | Contabilità GB | Bilancio Europeo GB | Dichiarazioni GB | Antiriciclaggio GB | Leasing GB

I nostri software
 Home > Tutte le notizie ed i documenti
 
 
Stampa la pagina
 
Invia ad un amico
Art. 20 - Principi applicabili al trattamento di dati sensibili
Autore: - aggiornato il 07/02/2008
N° doc. 2139
Decreto legislativo 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali
PARTE I - DISPOSIZIONI GENERALI
Titolo III - REGOLE GENERALI PER IL TRATTAMENTO DEI DATI
CAPO II - REGOLE ULTERIORI PER I SOGGETTI PUBBLICI

Art. 20. Principi applicabili al trattamento di dati sensibili

1. . Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.

2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all'articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo.

3. Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell'articolo 26, comma 2, il trattamento dei dati sensibili.Il trattamento è consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.

4. L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente.

Relazione
All'art. 20 si chiarisce che l'atto con il quale i soggetti individuano i tipi di dati e di operazioni ha natura regolamentare, considerata la particolare delicatezza dei dati trattati, e si precisa, inoltre, che i regolamenti sono adottati in conformità al parere reso dal Garante sui relativi schemi (art. 20, comma 2). Il parere può essere reso anche su schemi-tipo in modo da agevolare il più possibile l'omogeneità degli atti regolamentari adottati dalle pubbliche amministrazioni e la speditezza della relativa adozione. Un' apposita disposizione transitoria prevede che le pubbliche amministrazioni che non abbiano ancora adottato il regolamento di competenza vi provvedano entro il 30 settembre 2004 (art. 181, comma 1, lett. a)). Tale adempimento assume particolare importanza per una piena attuazione delle elevate garanzie previste dalla direttiva europea per il trattamento di dati sensibili o giudiziari (art. 8, dir. 95/46/CE).

a cura degli specialisti di GBsoftware

Commento
In considerazione del fatto che, sia l’articolo 20, che l’articolo 21 dettano le condizioni che rendono lecito il trattamento da parte dei soggetti pubblici dei dati sensibili e giudiziari, pare opportuno procedere ad una disamina congiunta che ne evidenzi le peculiarità comuni.
In entrambe le tipologie di dati, affinchè si possa procedere al trattamento, è necessario che vengano in rilievo finalità di rilevante interesse pubblico.
Alla luce di quanto disposto dagli articoli, quindi, non è sufficiente che il trattamento dei dati rientri genericamente nella sfera dell’attività istituzionale del soggetto, ma, è necessario, che oltre a questo requisito, il trattamento risponda ad esigenze di rilevante interesse pubblico. 
Detto ciò, la situazione ideale pare essere quella consistente nell’esistenza di una espressadisposizione di legge che autorizzi il trattamento, specificando, oltre alle finalità di rilevante interesse pubblico perseguite, in relazione alle quali è necessario procedere al trattamento dei dati, quali siano i tipi di dati che possono essere trattati e le operazioni di trattamento eseguibili.
Nel caso in cui manchi una espressa disposizione di legge, è prevista per il soggetto pubblico la possibilità di interpellare il Garante, per essere autorizzato a trattare comunque i dati, attenendosi, però, a precise prescrizioni: a) per i dati giudiziari: il Garante può autorizzare con apposito provvedimento il trattamento, specificando le finalità di rilevante interesse pubblico che consentono di procedere allo stesso, i tipi di dati che è possibile trattare e le operazioni eseguibili (articolo 21 comma 1); b) per i dati sensibili: il soggetto pubblico può richiedere al Garante di individuare, nell’ambito delle complessive attività istituzionaliche al soggetto pubblico stesso sono state demandate dalla legge, quali siano quelle per le quali si ravvisa il perseguimento di finalità di rilevante interesse pubblico, per le quali il soggetto pubblico può conseguentemente essere autorizzato a trattare i dati sensibili.
Si applicano i seguenti adempimenti procedurali: 1) il Garante comunica la decisione adottata, sulla richiesta di autorizzazione, entro quarantacinque giorni, decorsi i quali la mancata pronuncia equivale a rigetto, con le modalità previste dall’articolo 26 comma 2. Trovano inoltre applicazione le autorizzazioni generali, con riferimento alla 1/2002 (trattamenti finalizzati alla gestione del rapporto di lavoro) e 2/2002 (trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale); 2) affinché il trattamento sia consentito, il soggetto pubblico deve inoltre provvedere ad identificare e rendere pubblici i tipi di dati sensibili, che intende trattare, e le operazioni che intende effettuare, con atto di natura regolamentare,adottato richiedendo il parere del Garante. Tale identificazione, dei tipi di dati e delle operazioni di trattamento, deve essere aggiornata ed integrata periodicamente.
Frequentemente accade che in determinate situazioni si riscontri l’esistenza di una disposizione di legge che autorizza il trattamento di dati sensibili o giudiziari da parte dei soggetti pubblici, dove vengono altresì specificate le finalità di rilevante interesse pubblico che autorizzano il trattamento, omettendo, però, le indicazioni circa i tipi di dati che possono essere trattati e/o le operazioni di trattamento che sono eseguibili.
L’omissione di tali punti risponde ad esigenze di efficienza e di snellezza, infatti, la legge si limita a definire il quadro generale che autorizza il trattamento, delegando al soggetto pubblico l’onere di stabilire quali dati trattare ed in che modo, in funzione delle concrete esigenze che man mano si presentano.
In tali circostanze il soggetto pubblico deve identificare e rendere pubblici, con atto di natura regolamentare,adottato richiedendo il parere del Garante, quali tipi di dati possono essere trattati e le operazioni di trattamento che intende eseguire. Tale identificazione dei tipi di dati e delle operazioni di trattamento deve essere aggiornata ed integrata periodicamente.
In relazione all’argomento il Garante ha pronunciato il provvedimento generale “Regolamenti sul trattamento dei dati sensibili da parte della Pubblica Amministrazione”, pubblicato in data 17 gennaio 2002, nel quale ribadisce che, in mancanza di tali atti di natura regolamentare, i soggetti pubblici operano sprovvisti di un indefettibile presupposto di liceità, trattando dati sensibili e giudiziari relativi ad innumerevoli cittadini senza alcune necessarie garanzie, privando quindi gli interessati della possibilità di conoscere le utilizzazioni effettive dei dati che li riguardano.
Il Garante suggerisce uno schema, per la redazione del quale precisa che i dati personali vanno indicati per categorie, senza entrare in ulteriori specifici dettagli, tenendo conto che le tipologie di dati non individuate e rese pubbliche non possono essere poi utilizzate.
Per quanto concerne la parte del regolamento, che attiene alle operazioni di trattamento, il Garante suggerisce di procedere ad una suddivisione, come segue:

  • indicando un primo gruppo di operazioni standard, che può essere comune a più tipologie di dati, ma che deve comunque rispondere al principio di stretta necessità (raccolta, conservazione, cancellazione ecc.)
  • ponendo poi in maggiore evidenza le operazioni che possono spiegare effetti più significativi per l'interessato (es. elaborazione, selezione, raffronto)
aggiungendo una descrizione sintetica dei flussi di dati (specificando ad es. dove sono raccolti di regola i dati, le eventuali interconnessioni o consultazioni da parte di altre amministrazioni, i trattamenti che presentano rischi specifici, ecc.).
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
GBsoftware S.p.A.
Sede Legale
Via B. Oriani, 153
00197 Roma 		Sede Operativa
Zona Industriale Santa Maria di Sette
06014 Montone (PG) 		Contatti
Tel. 06.97626328
[email protected]
Cap. Soc. € 1.000.000,00 i.v. - Rea: Rm-1065349 C.F. e P.Iva 07946271009
Invia mail a GBsoftware