PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO DELLA FUNZIONE PUBBLICA | Chimici.info

PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO DELLA FUNZIONE PUBBLICA

PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO DELLA FUNZIONE PUBBLICA - DIRETTIVA 11 febbraio 2005: Misure finalizzate all'attuazione nelle pubbliche amministrazioni delle disposizioni contenute nel decreto legislativo 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati personali, con particolare riguardo alla gestione delle risorse umane. (Direttiva n. 1/2005). (GU n. 97 del 28-4-2005)

PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO DELLA FUNZIONE PUBBLICA

DIRETTIVA 11 febbraio 2005

Misure finalizzate all’attuazione nelle pubbliche amministrazioni
delle disposizioni contenute nel decreto legislativo 30 giugno 2003,
n. 196, recante Codice in materia di protezione dei dati personali,
con particolare riguardo alla gestione delle risorse umane.
(Direttiva n. 1/2005).

Alla Presidenza del Consiglio dei
Ministri – Segretariato generale
Alle Amministrazioni dello Stato
anche ad ordinamento autonomo
Al Consiglio di Stato – Ufficio del
Segretario generale
Alla Corte dei conti – Ufficio del
Segretario generale
All’Avvocatura generale dello
Stato – Ufficio del Segretario
generale
Alle Agenzie di cui al decreto
legislativo n. 300/1999
All’ARAN
Alla Scuola superiore della
pubblica amministrazione
Agli enti pubblici non economici
(tramite i Ministeri vigilanti)
Agli enti di pubblici (ex art. 70
del d.lgs. n. 165/2001)
Agli enti di ricerca (tramite il
Ministero dell’istruzione,
dell’universita’ e della ricerca)
Alle istituzioni universitarie
(tramite il Ministero
dell’istruzione, dell’universita’ e
della ricerca)
e, per conoscenza
All’ANCI
All’UPI
All’UNCEM
Alla Conferenza dei presidenti
delle regioni
Alla Conferenza dei rettori delle
universita’ italiane

1. Premessa.

Il primo gennaio del 2004 e’ entrato in vigore il decreto
legislativo 30 giugno 2003, n. 196, recante il «Codice in materia di
protezione dei dati personali», d’ora in poi denominato «Codice», nel
quale sono raccolte, in forma di testo unico, tutte le disposizioni
in materia di tutela delle persone e di altri soggetti rispetto al
trattamento dei dati personali ed alle attivita’ connesse.
Il Testo rappresenta il primo modello di codificazione organica
della privacy in Europa e tiene conto sia del quadro normativo
comunitario (direttive n. 95/46/CE e n. 2002/58/CE) che di quello
internazionale.
La disciplina del Codice, analogamente a quella dettata dalla
normativa previgente, si innesta in un contesto prevalentemente
orientato alla pubblicita’ dell’azione amministrativa, ad opera della
legge 7 agosto 1990, n. 241, e delle altre disposizioni di settore, e
conferma la graduazione dei differenti livelli di tutela previsti
all’interno della generale categoria dei dati personali predisponendo
garanzie piu’ rigorose in relazione ai dati sensibili.
Il Codice offre al cittadino un sistema di garanzie articolato e al
contempo semplificato che, nell’individuare tutti gli strumenti
idonei ad una piena realizzazione del diritto alla protezione dei
dati personali, costituisce il presupposto per la fruizione di tutti
gli altri diritti fondamentali dell’individuo che a quel diritto sono
naturalmente collegati.
In tale quadro i principi ricordati nel testo unico informano tutti
gli aspetti della vita sociale e dell’azione delle pubbliche
amministrazioni ed in particolare, per quanto interessa in questa
sede, anche gli aspetti relativi alla gestione delle risorse umane in
tutti gli aspetti organizzativi, di sicurezza e di benessere.

2. I Principi e gli obblighi.

Appare opportuno ricordare in questa sede i principi che derivano
dal Codice in materia di protezione dei dati personali ai quali
l’azione amministrativa dovra’ ispirarsi e che sono destinati ad
esercitare una grande influenza sull’esercizio della potesta’
organizzativa delle pubbliche amministrazioni.
Il «diritto alla protezione dei dati personali» quale prerogativa
fondamentale della persona, e’ stato introdotto nell’ordinamento in
attuazione dell’art. 8 della Carta dei diritti fondamentali
dell’Unione europea del 7 dicembre 2000 e deve considerarsi quale
diritto autonomo e distinto rispetto al diritto alla riservatezza
sostanziandosi nel diritto del suo titolare di conoscere e
controllare la circolazione delle informazioni che lo riguardano.
Il Codice, che ha dunque affermato, all’art. 1, il diritto alla
protezione dei dati personali, mira a garantire che il trattamento di
queste informazioni «si svolga nel rispetto dei diritti e delle
liberta’ fondamentali, nonche’ della dignita’ dell’interessato, con
particolare riferimento alla riservatezza, all’identita’ personale e
al diritto alla protezione dei dati personali» (art. 2).
Un principio generale del sistema di garanzie approntato dal Codice
che deve guidare l’azione amministrativa e’ costituito dal principio
di «necessita’ del trattamento dei dati personali», da intendersi
quale principio che integra quello di «pertinenza e non eccedenza»
dei dati trattati (gia’ individuato dalla legge n. 675 del 1996) con
riferimento alla configurazione di sistemi informativi e programmi
informatici. Tale regola prescrive di predisporre i sistemi
informativi e i programmi informatici in modo da utilizzare al minimo
dati personali ed identificativi escludendone il trattamento quando
le finalita’ perseguite possono essere raggiunte mediante l’uso di
dati anonimi o di modalita’ che permettano di identificare
l’interessato solo in caso di necessita’ (art. 3). Deve essere,
inoltre, ricordato che il principio di necessita’ costituisce un
presupposto di liceita’ del trattamento dei dati personali ed il
mancato rispetto di questo e degli altri presupposti comporta
conseguenze rilevanti per l’amministrazione. Infatti il Codice, nel
dettare le regole per tutti i trattamenti ha sancito
l’inutilizzabilita’ dei dati personali trattati in violazione della
disciplina rilevante in materia di trattamento dei dati personali
(art. 11, comma 2).
Il diritto alla protezione dei dati personali potra’, pertanto,
essere garantito solo se le amministrazioni titolari dei trattamenti
ispireranno la loro attivita’ ai principi sanciti dal Codice e
conseguentemente, oltre ad ottemperare agli obblighi espressamente
previsti, adotteranno una serie di comportamenti concreti, azioni e
provvedimenti organizzativi coerenti con i principi che regolano la
materia.
In particolare, il trattamento dei dati personali da parte delle
pubbliche amministrazioni e’ consentito solo qualora sia necessario
per lo svolgimento delle funzioni istituzionali rispettando gli
eventuali altri presupposti e limiti stabiliti dal Codice, nonche’
dalla legge e dai regolamenti. Al riguardo e’ il caso di sottolineare
che, salvo quanto previsto per i trattamenti posti in essere dagli
esercenti le professioni sanitarie e gli organismi sanitari pubblici
(parte II del Codice), le pubbliche amministrazioni non devono
chiedere il consenso dell’interessato.
I dati sensibili possono, invece, essere trattati soltanto se il
trattamento risulta autorizzato da un’espressa disposizione di legge
nella quale sono specificati i tipi di dati che possono essere
trattati, le operazioni eseguibili e le finalita’ di rilevante
interesse pubblico perseguite (articoli 18, 19, 20 e 22 del Codice.
Per i dati sensibili v. piu’ diffusamente infra la parte relativa ai
«Regolamenti»).
E’ inoltre, imposto alle amministrazioni l’obbligo di garantire la
sicurezza nella gestione dei dati e dei sistemi in modo da ridurre al
minimo i rischi di distruzione o perdita anche accidentale dei dati
stessi, di accesso non autorizzato o di trattamento non consentito o
non conforme alle finalita’ della raccolta. Pertanto le
amministrazioni, o i soggetti affidatari di servizi e sistemi per
conto delle stesse, dovranno adottare tutte le cautele consentite
dalle moderne tecnologie prevenendo i rischi derivanti
dall’organizzazione e gestione delle banche dati e dei sistemi
informativi (articoli 3135 e disciplinare tecnico contenuto
nell’allegato B al Codice). Analoghe cautele dovranno essere adottate
nella gestione di tutti gli atti ed i provvedimenti che comportano
l’utilizzo di dati personali e sensibili.
Nell’ambito del predetto obbligo generale di contenere nella misura
piu’ ampia possibile determinati rischi, i titolari del trattamento
sono tenuti in ogni caso ad assicurare un livello minimo di
protezione dei dati mediante l’adozione delle «misure minime» di
sicurezza individuate nel Titolo V, Capi I e II, della Parte II del
Codice o che saranno individuate ai sensi dell’art. 58, comma 3, in
relazione ai trattamenti effettuati per finalita’ di difesa o…

[Continua nel file zip allegato]

PRESIDENZA DEL CONSIGLIO DEI MINISTRI DIPARTIMENTO DELLA FUNZIONE PUBBLICA

Chimici.info