Cir_Interno_16_1_98_6 DIREZIONE GENERALE PER L’AMMINISTRAZIONE GENERALE E PER GLI AFFARI DEL PERSONALE Ufficio Studi per l’Amministrazione Generale e per gli Affari Legislativi CIRCOLARE N. 6 Prot. M/2103/A Roma, 16 gennaio 1998 OGGETTO: Legge 31 dicembre 1996, n. 675, recante: “Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali”. 1. Come è noto, la legge 31 dicembre 1996, n. 675, ha dettato disposizioni generali in materia di tutela delle persone rispetto al trattamento dei dati personali, prevedendo, da un lato, puntuali adempimenti a carico dei soggetti utilizzatori dei dati e, dall’altro, specifici strumenti di tutela a favore dei soggetti interessati, correlati ad un rigoroso sistema sanzionatorio di rilievo penale, oltre che amministrativo. Particolari disposizioni sono state dettate con riguardo ai trattamenti di dati personali posti in essere dai soggetti pubblici diversi dagli enti pubblici economici. Con decreti legislativi 9 maggio 1997, n. 123, e 28 luglio 1997, n. 255, sono state apportate integrazioni e modifiche alle disposizioni recate dalla suddetta legge, in conformità ad esigenze emerse dalla prima esperienza applicativa. In particolare, con il secondo provvedimento sono state disposte semplificazioni ed esoneri in ordine agli adempimenti formali previsti dalla legge. In considerazione della novità della disciplina introdotta e della complessità interpretativa e applicativa delle disposizioni dalla stessa recate, questo Ministero ha sottoposto le questioni di maggior rilievo al vaglio del Garante della protezione dei dati personali, in relazione ai compiti consultivi allo stesso affidati dall’art. 31, comma 2, della legge. Pertanto, in attesa di disporre degli elementi di chiarificazione richiesti, si ravvisa la opportunità - d’intesa con il Dipartimento della P.S., le Direzioni Generali e gli Uffici Centrali - di richiamare l’attenzione delle SS.LL. su taluni aspetti applicativi della nuova disciplina, ai quali si riconnette la diretta responsabilità dei dirigenti. Sulla base delle suddette intese ed in considerazione della specificità delle disposizioni di legge valevoli per i trattamenti connessi alle attività di polizia, parallele direttive in materia vengono diramate dal Dipartimento della P.S. agli organi ed uffici dell’Amministrazione della Pubblica Sicurezza. Presupposti di legittimità del trattamento di dati personali da parte di soggetti pubblici Ai sensi del comma 1 dell’art. 27 della legge, il trattamento di dati personali da parte di soggetti pubblici è consentito “soltanto per lo svolgimento delle funzioni istituzionali, nei limiti stabiliti dalla legge e dai regolamenti”. Il comma 2 dello stesso articolo regola la comunicazione e la diffusione dei dati personali (cfr. art. 1, comma 2, lett. g) ed h)) da soggetti pubblici ad altri soggetti pubblici. Il comma 3 disciplina la comunicazione e la diffusione da soggetti pubblici a privati. L’art. 22, comma 3, della legge consente il trattamento di dati “sensibili” (cfr. comma 1) da parte di soggetti pubblici “solo se autorizzato da espressa disposizione di legge nella quale siano specificati i dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalità di interesse pubblico perseguite”. L’art. 24 della legge stabilisce che il trattamento di dati personali idonei a rivelare provvedimenti giudiziari nella materia penale o delle misure di prevenzione (provvedimenti di cui all’art. 686, commi 1, lett. a) e d), 2 e 3, c.p.p.) è ammesso “soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le rilevanti finalità di interesse pubblico del trattamento, i tipi di dati trattati e le precise operazioni autorizzate”. Le richiamate disposizioni di legge (art. 27, 22 e 24) non si applicano ai trattamenti di dati personali previsti dall’art. 4 della legge (in particolare, per quanto di diretto interesse, ai trattamenti effettuati dal CED del Dipartimento della Pubblica Sicurezza o previsti dall’Accordo di Schengen o svolti “per finalità di difesa o di sicurezza dello Stato o di prevenzione, accertamento e repressione dei reati, in base ad espresse disposizioni di legge che prevedano specificamente il trattamento”), per i quali, tuttavia, resta obbligatoria la notificazione al Garante (cfr. combinato disposto alinea del comma 1 e comma 2 dell’art. 4 della legge). Notificazione al Garante dei trattamenti di dati personali posti in essere da soggetti pubblici Tale adempimento è regolato dall’art. 7 della legge come modificato dall’art. 1 del decreto legislativo n. 255/1997. I commi 1, 2, 3 e 4 regolano le modalità e i contenuti della notificazione “ordinaria” al Garante. Il comma 5-bis disciplina una forma “semplificata” di notificazione attuabile nelle ipotesi ivi previste, che, per quanto di specifico interesse della pubblica amministrazione, sono quelle indicate nelle lettere a) e c) dello stesso comma. Il comma 5-ter prevede l’esonero dall’obbligo della notificazione per i trattamenti ivi indicati che, per quanto di specifico interesse della pubblica amministrazione, sono quelli descritti nelle lettere a), b), c), d), e), h), i), o) dello stesso comma. Di particolare rilievo tra le ipotesi di esonero - per quanto di interesse delle Prefetture - sono quelle di cui alle lettere a) ed e): la prima riguardante qualsiasi trattamento “necessario per l’assolvimento di un compito previsto dalla legge, da un regolamento o dalla normativa comunitaria”, purché non avente ad oggetto dati “sensibili” o “idonei a rivelare provvedimenti giudiziari”; la seconda riguardante la gestione del personale dipendente, limitatamente agli aspetti contabili, retributivi, previdenziali, assistenziali e fiscali. Pertanto, tutti i trattamenti di dati personali - nell’accezione contenutistica che alla formula è attribuibile ai sensi dell’art. 1, lett. b) e c), della legge - posti in essere da codeste Prefetture, ad esclusione di quelli “esonerati” dal comma 5-ter dell’art. 7 (secondo quanto testè evidenziato), sono soggetti a notificazione al Garante in forma ordinaria o semplificata. Si richiamano, al riguardo, le disposizioni del comma 1 dell’art. 7 che prevedono che la notificazione sia effettuata “una sola volta ... a prescindere dal numero delle operazioni da svolgere, nonché dalla durata del trattamento” e possa “riguardare uno o più trattamenti con finalità correlate”. La notificazione è preventiva (art. 7, comma 1, della legge) fatto salvo quanto si dirà in ordine al regime transitorio. Pertanto, tutte le volte in cui codesti Uffici - successivamente al 1° gennaio 1998 - riterranno di attivare un nuovo trattamento di dati soggetto - per quanto testè evidenziato - ad obbligo di notificazione, dovranno provvedere al relativo adempimento prima di porre in essere il trattamento medesimo. Tutte le notificazioni dovranno essere effettuate dal “titolare” (art. 7, comma 1, della legge). Pertanto, nel richiamare le istruzioni formulate in calce al modello elaborato dall’Ufficio del Garante per la notificazione dei trattamenti, si ritiene che il “titolare” debba essere indicato nel Ministero dell’Interno, seguito dalla denominazione dell’Ufficio, centrale o periferico, che ha disposto o autorizzato il trattamento dei dati. In particolare, le Direzioni Generali e gli Uffici Centrali cureranno gli adempimenti previsti a carico del titolare con riguardo ai trattamenti di dati personali svolti dai dipendenti uffici centrali. Le Prefetture cureranno gli adempimenti di che trattasi con riguardo ai trattamenti effettuati nell’ambito degli stessi uffici. Per quanto riguarda gli Uffici periferici del Corpo Nazionale dei Vigili del Fuoco, conformemente alle intese intercorse, sarà cura della Direzione Generale della Protezione Civile e dei Servizi Antincendi impartire le opportune istruzioni. Si richiama la particolare attenzione sulle disposizioni dell’art. 8 e del comma 2, lett. e), dell’art. 1 della legge, che consentono la designazione del “responsabile” del trattamento, cioè del soggetto cui il titolare può affidare la concreta gestione e la vigilanza sulla sicurezza dei trattamenti. In assenza di tale designazione il titolare, quale notificante, viene considerato responsabile (art. 7, comma 4, lett. h) della legge). Norme transitorie in materia di notificazione dei trattamenti di dati personali La legge disciplina con disposizioni speciali il regime giuridico dei trattamenti di dati personali posti in essere anteriormente alla data della sua entrata in vigore (8 maggio 1997) o nella fase della sua prima applicazione, fino al 31 dicembre 1997 (art. 41, comma 2, della legge, come sostituito dall’art. 2 del decreto abrogato legislativo n. 255/1997). Pertanto, i trattamenti di dati personali, soggetti a notificazione secondo quanto evidenziato nel precedente punto 3, qualora già attivati prima del 1° gennaio 1998, dovranno essere notificati al Garante entro il 31 marzo 1998. I trattamenti effettuati ai sensi dell’art. 4, comma 1, lett. e), della legge dovranno essere notificati tra il 1 aprile 1998 e il 30 giugno 1998. In relazione a ciò, pur considerando la eventualità del sopravvenire di innovazioni normative riguardanti i richiamati adempimenti in sede di esercizio sia della delega legislativa ex legge n. 676/1996, che della potestà regolamentare ex art. 33, comma 3, della legge n. 675/1996, si richiama l’attenzione delle SS.LL. sulla necessità che per intanto venga avviata la ricognizione preliminare alle notificazioni al Garante, al fine di garantire la tempestiva trasmissione della relativa documentazione in prossimità della scadenza dei richiamati termini. Regime transitorio dei trattamenti di dati “sensibili” o “giudiziari” Come già evidenziato al precedente punto 2, il trattamento dei dati “sensibili” o “idonei a rivelare provvedimenti giudiziari” è consentito a regime soltanto il presenza delle rigorose condizioni di ammissibilità specificate negli artt. 22 e 24. Tuttavia, i trattamenti in essere alla data di entrata in vigore della legge possono essere proseguiti, fino al 7 maggio 1998, anche in assenza delle suddette condizioni di ammissibilità, previa comunicazione al Garante (art. 41, comma 5, della legge). Né deriva che, successivamente a tale data (dall’8 maggio 1998), i trattamenti potranno essere proseguiti soltanto se corredati al sopravvenire delle disposizioni di legge o dell’autorizzazione del Garante cui alludono gli artt. 22, comma 3, e 24 della legge. In relazione a tanto, si prega di segnalare, con ogni sollecitudine, le situazioni che richiedono l’intervento di adeguamento legislativo o autorizzatorio previsto dalla legge. Pertanto, nell’allegare i modelli predisposti dall’Ufficio del Garante per la notificazione dei trattamenti, si fa riserva di far conoscere tempestivamente il sopravvenire di ogni eventuale elemento di rilievo, restando in attesa di un cenno di assicurazione. IL DIRETTORE GENERALE (Catalani)