Enti pubblici

Tuesday 16 January 2007

MINISTERO DELLA PUBBLICA ISTRUZIONE – DECRETO 7 dicembre 2006, n. 305 – (in G.U. n. 11 del 15 gennaio 2007) – Regolamento recante identificazione dei dati sensibili e giudiziari trattati e delle relative operazioni effettuate dal Ministero della pubblica

MINISTERO DELLA PUBBLICA
ISTRUZIONE – DECRETO 7 dicembre 2006, n. 305 – (in G.U. n. 11 del 15 gennaio
2007) – Regolamento recante identificazione dei dati sensibili e giudiziari
trattati e delle relative operazioni effettuate dal Ministero della pubblica
istruzione, in attuazione degli articoli 20 e 21 del decreto legislativo 30
giugno 2003, n. 196, recante «Codice in materia di protezione dei dati
personali».

IL MINISTRO DELLA PUBBLICA
ISTRUZIONE

Visto il decreto legislativo 30
giugno 2003, n. 196, recante «Codice in materia di protezione dei dati
personali»;

Visti in particolare gli articoli
20, comma 2, e 21, comma 2, del citato decreto legislativo 30 giugno 2003, n.
196, i quali dispongono che, nel caso in cui una disposizione di legge
specifichi la finalità di rilevante interesse pubblico, ma non i tipi di dati
sensibili e giudiziari trattabili ed i tipi di operazioni su questi eseguibili,
il trattamento è consentito solo in riferimento a quei
tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti
che ne effettuano il trattamento, in relazione alle specifiche finalità
perseguite nei singoli casi;

Visto in particolare l’articolo
20, comma 2, del citato decreto legislativo 30 giugno 2003, n. 196, in cui è stabilito che
detta identificazione deve avvenire con atto di natura regolamentare adottato
in conformità al parere espresso dal Garante, ai sensi dell’articolo
154, comma 1, lettera g) del medesimo decreto legislativo;

Considerato che possono spiegare
effetti maggiormente significativi per l’interessato le operazioni svolte, in
particolare, pressoché interamente mediante siti web o volte a definire in
forma completamente automatizzata profili o personalità di interessati, le
interconnessioni e i raffronti, di cui all’articolo 4, comma
1, lettera a) del citato decreto legislativo 30 giugno 2003, n. 196, tra
banche di dati gestite da diversi titolari oppure con altre informazioni sensibili
e giudiziarie detenute dal medesimo titolare del trattamento, nonché la
comunicazione dei dati a terzi;

Ritenuto di individuare
analiticamente nelle schede allegate al presente regolamento, con riferimento
alle predette operazioni che possono spiegare effetti maggiormente
significativi per l’interessato, quelle effettuate da questa amministrazione,
dalle istituzioni scolastiche e educative e dagli istituti regionali di ricerca
educativa, in particolare le operazioni di interconnessione e di raffronto tra
banche di dati gestite da diversi titolari, oppure con altre informazioni
sensibili e giudiziarie detenute dal medesimo titolare del trattamento, nonché
di comunicazione a terzi;

Ritenuto, altresì, di indicare
sinteticamente anche le operazioni ordinarie che i diversi titolari indicati
nel presente regolamento devono necessariamente svolgere per perseguire le
finalità di rilevante interesse pubblico individuate per legge (operazioni di
raccolta, registrazione, organizzazione, conservazione, consultazione,
elaborazione, modificazione, selezione, estrazione, utilizzo, blocco,
cancellazione e distruzione);

Considerato che per quanto
concerne tutti i trattamenti di cui sopra è stato verificato il rispetto dei
principi e delle garanzie previste dall’articolo 22 del citato decreto
legislativo 30 giugno 2003, n. 196, con particolare riferimento alla
pertinenza, non eccedenza e indispensablità dei dati sensibili e giudiziari
utilizzati rispetto alle finalità perseguite, all’indispensabilità delle
predette operazioni per il perseguimento delle finalità di rilevante interesse
pubblico individuate per legge, nonché all’esistenza di fonti normative idonee
a rendere lecite le medesime operazioni o, ove richiesta, all’indicazione
scritta dei motivi;

Visto il provvedimento generale
del Garante della protezione dei dati personali del 30 giugno 2005 (pubblicato
in Gazzetta Ufficiale n. 170 del 23 luglio 2005);

Visto l’articolo 17, commi 3 e 4,
della legge 23 agosto 1988, n. 400;

Visto il decreto del Presidente
della Repubblica 11 agosto 2003, n. 319 relativo al regolamento
dell’organizzazione e delle funzioni degli uffici di livello dirigenziale
generale dell’amministrazione centrale e periferica del Ministero
dell’istruzione, dell’università e della ricerca;

Vista la direttiva del Ministro
della funzione pubblica in data 11 febbraio 2005, riguardante le «Misure
finalizzate all’attuazione nelle pubbliche amministrazioni delle disposizioni
contenute nel decreto legislativo 30 giugno 2003, n. 196»;

Ravvisata la necessità di
provvedere ad identificare le tipologie di dati sensibili e giudiziari trattati
nell’ambito dell’amministrazione dell’istruzione, le finalità d’interesse
pubblico perseguite attraverso il trattamento dei citati dati, nonché le
operazioni eseguite con gli stessi;

Sentito il Garante per la
protezione dei dati personali di cui all’articolo 154, comma
1, lettera g) del citato decreto legislativo 30 giugno 2003, n 196;

Udito il parere del Consiglio di
Stato espresso dalla Sezione consultiva per gli atti normativi nell’adunanza
del 6 novembre 2006;

Vista la comunicazione al
Presidente del Consiglio dei Ministri effettuata, a
norma dell’articolo 17, comma 3, della citata legge n. 400 del 1988, con nota
del 21 novembre 2006;

A d o t t
a

il
seguente regolamento:

Art. 1.

Oggetto del regolamento

1. Il presente regolamento, in
attuazione degli articoli 20, comma 2, e 21, comma 2,
del decreto legislativo 30 giugno 2003, n. 196, recante «Codice in materia di
protezione dei dati personali», di seguito denominato «codice», identifica
nelle schede allegate, che ne formano parte integrante, le tipologie di dati
sensibili e giudiziari e di operazioni indispensabili per la gestione del
sistema dell’istruzione, nel perseguimento delle finalità di rilevante
interesse pubblico individuate dal codice e dalle specifiche previsioni di
legge.

Art. 2.

Individuazione dei tipi di dati e
di operazioni eseguibili

1. I dati sensibili e giudiziari
individuati dal presente regolamento sono trattati previa verifica della loro
pertinenza, completezza e indispensabilità rispetto alle finalità perseguite
nei singoli casi, specie quando la raccolta non avvenga
presso l’interessato.

2. Le operazioni di
interconnessione e raffronto con banche di dati di altri titolari del
trattamento e di comunicazione a terzi individuate nel presente regolamento
sono ammesse soltanto se indispensabili allo svolgimento degli obblighi o
compiti di volta in volta indicati e solo per il perseguimento delle rilevanti
finalità di interesse pubblico specificate, le operazioni sopraindicate sono inoltre
svolte nel rispetto delle disposizioni in materia di protezione dei dati
personali e degli altri limiti stabiliti dalla legge e dai regolamenti.

3. I raffronti e le
interconnessioni con altre informazioni sensibili e giudiziarie sono consentite
soltanto previa verifica della loro stretta indispensabilità rispetto ai
singoli casi e previa indicazione scritta dei motivi che ne giustificano
l’effettuazione. Le operazioni effettuate utilizzando banche di dati di diversi
titolari del trattamento e la diffusione di dati sensibili e giudiziari sono
ammesse esclusivamente previa verifica della loro stretta indispensabilità in
relazione ai singoli casi e nel rispetto dei limiti e con le modalità stabiliti
dalle disposizioni legislative che le prevedono.

4. Sono inutilizzabili i dati
trattati in violazione della disciplina rilevante in materia di trattamento dei
dati personali.

Art. 3.

Norma finale

1. L’identificazione dei tipi
di dati sensibili e giudiziari e delle operazioni su questi eseguibili, di cui
alle schede allegate al presente decreto, è aggiornata in relazione ad
eventuali esigenze sopravvenute e, comunque, con periodicità triennale.

Il presente decreto, munito del
sigillo di Stato, sarà inserito nella Raccolta ufficiale degli atti normativi
della Repubblica italiana. È fatto obbligo a chiunque spetti di osservarlo e di
farlo osservare.

Roma, 7 dicembre 2006.

Il Ministro: Fioroni

Visto, il Guardasigilli: Mastella

Registrato alla Corte dei conti
il 5 gennaio 2007 Ufficio di controllo preventivo sui Ministeri dei servizi
alla persona e dei beni culturali, registro n. 1, foglio n. 1