direttiva privacy (parte I)

non dice nulla di nuovo, ma mi sembra un utile riassunto....
DIPARTIMENTO DELLA FUNZIONE PUBBLICA - DIRETTIVA 11.02.2005 - ATTUAZIONE NELLE PP.AA DELLE DISPOSIZIONI DEL CODICE DELLA PRIVACY

Ufficio per il personale delle pubbliche amministrazioni
DIRETTIVA
Misure finalizzate all’attuazione nelle pubbliche amministrazioni delle disposizioni contenute
nel decreto legislativo 30 giugno 2003, n. 196, recante Codice in materia di protezione dei dati
personali, con particolare riguardo alle gestione delle risorse umane.

1.PREMESSA
Il primo gennaio del 2004 è entrato in vigore il decreto legislativo 30 giugno 2003, n. 196, recante il
“ Codice in materia di protezione dei dati personali”, d’ora in poi denominato “Codice”, nel quale
sono raccolte, in forma di testo unico, tutte le disposizioni in materia di tutela delle persone e di altri
soggetti rispetto al trattamento dei dati personali ed alle attività connesse.
Il Testo rappresenta il primo modello di codificazione organica della privacy in Europa e tiene
conto sia del quadro normativo comunitario (direttive n. 95/46/CE e n. 2002/58/CE) che di quello
internazionale.
La disciplina del Codice, analogamente a quella dettata dalla normativa previgente, si innesta in un
contesto prevalentemente orientato alla pubblicità dell’azione amministrativa, ad opera della legge 7
agosto 1990, n. 241 e delle altre disposizioni di settore, e conferma la graduazione dei differenti
livelli di tutela previsti all’interno della generale categoria dei dati personali predisponendo garanzie
più rigorose in relazione ai dati sensibili.
Il Codice offre al cittadino un sistema di garanzie articolato e al contempo semplificato che,
nell’individuare tutti gli strumenti idonei ad una piena realizzazione del diritto alla protezione dei
dati personali, costituisce il presupposto per la fruizione di tutti gli altri diritti fondamentali
dell’individuo che a quel diritto sono naturalmente collegati.
In tale quadro i principi ricordati nel Testo unico informano tutti gli aspetti della vita sociale e
dell’azione delle pubbliche amministrazioni ed in particolare, per quanto interessa in questa sede,
anche gli aspetti relativi alla gestione delle risorse umane in tutti gli aspetti organizzativi, di
sicurezza e di benessere.
2. I PRINCIPI E GLI OBBLIGHI
Appare opportuno ricordare in questa sede i principi che derivano dal Codice in materia di
protezione dei dati personali ai quali l’azione amministrativa dovrà ispirarsi e che sono destinati ad
esercitare una grande influenza sull’esercizio della potestà organizzativa delle pubbliche
amministrazioni.
Il “diritto alla protezione dei dati personali” quale prerogativa fondamentale della persona, è stato
introdotto nell’ordinamento in attuazione dell’articolo 8 della Carta dei diritti fondamentali
dell’Unione Europea del 7 dicembre 2000 e deve considerarsi quale diritto autonomo e distinto
rispetto al diritto alla riservatezza sostanziandosi nel diritto del suo titolare di conoscere e
controllare la circolazione delle informazioni che lo riguardano.
Il Codice, che ha dunque affermato, all’articolo 1, il diritto alla protezione dei dati personali, mira a
garantire che il trattamento di queste informazioni si svolga nel rispetto dei diritti e delle libertà
fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza,
all’identità personale e al diritto alla protezione dei dati personali (art. 2).
Un principio generale del sistema di garanzie approntato dal Codice che deve guidare l’azione
amministrativa è costituito dal principio di “necessità del trattamento dei dati personali”, da
intendersi quale principio che integra quello di “pertinenza e non eccedenza” dei dati trattati (già
individuato dalla legge n. 675 del 1996) con riferimento alla configurazione di sistemi informativi e
programmi informatici. Tale regola prescrive di predisporre i sistemi informativi e i programmi
informatici in modo da utilizzare al minimo dati personali ed identificativi escludendone il
trattamento quando le finalità perseguite possono essere raggiunte mediante l’uso di dati anonimi o
di modalità che permettano di identificare l’interessato solo in caso di necessità (art. 3). Deve
essere, inoltre, ricordato che il principio di necessità costituisce un presupposto di liceità del
trattamento dei dati personali ed il mancato rispetto di questo e degli altri presupposti comporta
conseguenze rilevanti per l’amministrazione. Infatti il Codice, nel dettare le regole per tutti i
trattamenti ha sancito l’inutilizzabilità dei dati personali trattati in violazione della disciplina
rilevante in materia di trattamento dei dati personali (articolo 11, comma 2).

Il diritto alla protezione dei dati personali potrà, pertanto, essere garantito solo se le
amministrazioni titolari dei trattamenti ispireranno la loro attività ai principi sanciti dal Codice e
conseguentemente, oltre ad ottemperare agli obblighi espressamente previsti, adotteranno una serie
di comportamenti concreti, azioni e provvedimenti organizzativi coerenti con i principi che
regolano la materia.
In particolare, il trattamento dei dati personali da parte delle pubbliche amministrazioni è consentito
solo qualora sia necessario per lo svolgimento delle funzioni istituzionali rispettando gli eventuali
altri presupposti e limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti. Al riguardo è il
caso di sottolineare che, salvo quanto previsto per i trattamenti posti in essere dagli esercenti le
professioni sanitarie e gli organismi sanitari pubblici (parte II del Codice), le pubbliche
amministrazioni non devono chiedere il consenso dell’interessato.
I dati sensibili possono, invece, essere trattati soltanto se il trattamento risulta autorizzato da
un’espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere
trattati, le operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite (artt. 18, 19,
20 e 22 del Codice. Per i dati sensibili v. più diffusamente infra la parte relativa ai “Regolamenti”).
E’ inoltre, imposto alle amministrazioni l’obbligo di garantire la sicurezza nella gestione dei dati e
dei sistemi in modo da ridurre al minimo i rischi di distruzione o perdita anche accidentale dei dati
stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Pertanto le amministrazioni, o i soggetti affidatari di servizi e sistemi per conto delle stesse, dovranno adottare tutte le cautele consentite dalle moderne tecnologie prevenendo i rischi derivanti dall’organizzazione e gestione delle banche dati e dei sistemi informativi (artt. 31-35 e disciplinare tecnico contenuto nell’Allegato B) al Codice).
Analoghe cautele dovranno essere adottate nella gestione di tutti gli atti ed i provvedimenti che
comportano l’utilizzo di dati personali e sensibili.
Nell’ambito del predetto obbligo generale di contenere nella misura più ampia possibile determinati
rischi, i titolari del trattamento sono tenuti in ogni caso ad assicurare un livello minimo di
protezione dei dati mediante l’adozione delle “misure minime” di sicurezza individuate nel Titolo
V, Capi I e II, della Parte II del Codice o che saranno individuate ai sensi dell’articolo 58, comma 3,
in relazione ai trattamenti effettuati per finalità di difesa o coperti da segreto di Stato.
La disciplina del Codice, infine, è informata dal principio di semplificazione in base al quale
l'elevato grado di tutela dei diritti è assicurato nel rispetto dei principi di semplificazione,
armonizzazione ed efficacia delle modalità di esercizio del diritto alla protezione dei dati personali e
degli altri diritti e libertà fondamentali dell’interessato e degli adempimenti in capo ai titolari del
trattamento (art. 2, comma 2).
Disposizioni in deroga o ad integrazione della disciplina generale sono poste dal Codice in relazione
a specifici settori di interesse per l’attività amministrativa, quali l’ambito giudiziario, negli articoli
da 46 a 52, i trattamenti eseguiti dalle forze di polizia, negli articoli da 53 a 57, e quelli attinenti alla
difesa e sicurezza dello Stato, di cui all’articolo 58.
3. FINALITA’ DELLA DIRETTIVA
La presente direttiva è finalizzata a richiamare l’attenzione delle amministrazioni sulle prescrizioni
del Codice che incidono maggiormente nel settore pubblico, richiedendo l’adozione di efficaci
scelte organizzative per tradurre sul piano sostanziale le garanzie previste dal legislatore, nonché
sulle conseguenze connesse alla loro mancata attuazione.
L’entrata in vigore del nuovo Codice comporta, per le pubbliche amministrazioni, la necessità di
ripensare le proprie attività e la propria organizzazione al fine di consentire una piena ed effettiva
garanzia dei diritti in esso affermati.

Infatti, le tematiche relative alla privacy investono le amministrazioni nella quasi totalità delle
proprie attività, assumendo significativo rilievo nello svolgimento di molti dei compiti istituzionali
loro affidati dall’ordinamento, come ad esempio, la gestione delle risorse umane.
In considerazione di ciò, il Codice (art. 176) ha aggiunto il comma 1-bis al comma 1 dell’articolo 2
del decreto legislativo 30 marzo 2001, n. 165. Pertanto le amministrazioni dovranno attuare le linee
fondamentali di organizzazione degli uffici nel rispetto della disciplina in materia di trattamento dei
dati personali, in aggiunta ai criteri indicati nella medesima disposizione .
Da quanto premesso emerge la necessità di provvedere all’adozione degli strumenti necessari per
L’attuazione pratica delle previsioni del Codice, quali:
- regolamenti indicanti i tipi di dati sensibili e giudiziari che possono essere trattati e le operazioni
che possono essere eseguite su di essi in relazione al perseguimento di finalità di rilevante interesse
pubblico qualora manchi una specifica indicazione legislativa (artt. 20, 21 e 22);
- le informative all™interessato (art. 13);
- la notificazione al Garante nei casi previsti dall™art. 37;
- le eventuali comunicazioni al Garante (art. 39);
- le misure minime di sicurezza e, in particolare, il documento programmatico sulla sicurezza (art.
34, comma 1, lett. g) e regola n. 19 dell’’Allegato B) al Codice)).
Occorrerà, inoltre, procedere a puntuali ricognizioni dei dati trattati alla luce delle disposizioni
vigenti e alla revisione delle modalità di gestione degli stessi, ponendo particolare attenzione alla
necessità di garantire agli interessati l’’sercizio del diritto di accesso ai dati che li riguardano e degli
altri diritti sanciti dall’art. 7 del Codice, nonché alle problematiche relative all’accesso ai documenti
amministrativi ed alla necessità di contemperare le esigenze di trasparenza dell’azione
amministrativa con quelle di tutela del diritto alla protezione dei dati personali.
Pertanto ci si rivolge ai dirigenti ed ai funzionari preposti alle unità di loro competenza perché
nell’ambito delle attività di direzione, coordinamento e controllo degli uffici dei quali sono
responsabili adottino tutte le misure utili a garantire il rispetto e la piena attuazione dei principi
sanciti dal Codice, prevengano i rischi presenti nelle singole attività e adottino, conseguentemente,
tutti gli atti, le soluzioni organizzative ed i comportamenti necessari.
4. CLASSIFICAZIONE DEI DATI E TIPOLOGIA DEI RELATIVI
ADEMPIMENTI
4.1 Dati personali
L’articolo 4, comma 1, lettera b) del Codice definisce dati personali “qualunque informazione
relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche
indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di
identificazione personalel”.
Alle pubbliche amministrazioni è consentito il trattamento dei dati personali quando risponda alla
necessità di esercitare le proprie funzioni istituzionali. Pertanto, salvo quanto previsto per gli
esercenti le professioni sanitarie e gli organismi sanitari pubblici (si vedano le disposizioni della
parte II del Codice), le medesime non debbono chiedere il consenso dell’interessato ai sensi
dell’articolo 18.
In particolare, il trattamento dei dati diversi da quelli sensibili e giudiziari è consentito anche in
assenza di una specifica previsione normativa purché sia finalizzato allo svolgimento delle funzioni
istituzionali dell’amministrazione, mentre la comunicazione di questi dati da una pubblica
amministrazione ad un’altra o a privati oppure la loro diffusione è possibile solo quando vi sia una
espressa previsione normativa, come indicato all’articolo 19.
Nel caso in cui le amministrazioni abbiano necessità di fornire tali informazioni ad un altra pubblica
amministrazione, sempre ai fini dello svolgimento delle attività istituzionali, ma in assenza di
6
idonea previsione normativa, possono però informarne preventivamente il Garante, ai sensi dell’art.
39 del Codice. In base a tale nuovo meccanismo, decorsi quarantacinque giorni dalla
comunicazione al Garante, l’operazione di comunicazione dei dati può essere avviata, ferma
restando la possibilità di una diversa determinazione dell'Autorità adottata anche successivamente al
decorso del termine.
Deve essere effettuata una preventiva comunicazione al Garante, a norma dell’articolo 39, anche nel
caso di trattamento di dati idonei a rivelare lo stato di salute previsto da un programma di ricerca
biomedica o sanitaria, conformemente a quanto dispone l’art. 110 del Codice.
Sulle amministrazioni titolari del trattamento grava inoltre l’obbligo di notificare al Garante i
trattamenti di dati personali che sono elencati nel comma 1 dell’articolo 37 del Codice. Tale
adempimento deve essere effettuato prima dell’inizio del trattamento ed una sola volta, a
prescindere delle operazioni che debbono essere effettuate (salvo, ovviamente, l'obbligo di
notificare le eventuali modifiche del trattamento o la sua cessazione). In base agli articoli 37 e 38, la
notificazione si intende validamente effettuata solo se inviata telepaticamente utilizzando le
modalità indicate dal Garante tramite il modello all’uopo predisposto e disponibile sul sito
dell’Autorità (www.garanteprivacy.it). Al riguardo si segnala che, con provvedimento n. 1 del 31
marzo 2004, disponibile anch’esso sul sito. dell’Autorità, sono stati individuati alcuni trattamenti di
dati non suscettibili, in concreto, di recare pregiudizio agli interessati e quindi sottratti all’obbligo di
notificazione di cui al citato articolo 37.
Si rammenta infine che sulla base della disciplina del Codice configura una “comunicazione” di dati
personali il dare conoscenza di tali informazioni ad uno o più soggetti diversi dall’interessato, in
qualunque forma, anche mediante la loro messa a disposizione o consultazione. Non può
considerarsi tale, invece, la comunicazione effettuata nei confronti dell'interessato, del
rappresentante del titolare nel territorio dello Stato, del responsabile o dell'incaricato (art. 4,
comma1, lett. l).
4.2 Regole generali per il trattamento dei dati
Le regole generali, comuni a tutti i trattamenti di dati, sono rinvenibili negli articoli da 11 a 17 del
Codice.
4.2.1 Modalità del trattamento e requisiti dei dati
In particolare, l’articolo 11, nell’indicare le modalità del trattamento e i requisiti dei dati, individua
anche i presupposti di liceità del trattamento. Secondo la disciplina introdotta dal Codice, il mancato
rispetto dei presupposti sanciti da tale disposizione e delle altre norme rilevanti in materia
trattamento di dati personali comporta l’inutilizzabilità dei dati (art. 11, comma 2).
4.2.2 Titolare, responsabile, incaricati
Per quanto riguarda i soggetti che effettuano il trattamento, l’articolo 28 chiarisce che il “titolare del
trattamento”, nel caso delle pubbliche amministrazioni, coincide con l’entità nel suo complesso
ovvero con l’unità o l’organismo periferico che esercita un potere decisionale del tutto autonomo
sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza, anziché con la
persona fisica incardinata nell'organo o preposta all'ufficio.
Per le strutture amministrative complesse si suggerisce di avvalersi della facoltà accordata al titolare
dall’art. 29 del Codice di designare uno o più “responsabili del trattamento”, fra i soggetti che, per
qualità professionali e personali, forniscano idonea garanzia del rispetto delle disposizioni vigenti in
materia. Tale designazione deve essere accompagnata dalla specificazione analitica per iscritto dei
compiti affidati e dalla vigilanza periodica sulla puntuale osservanza delle istruzioni impartite e sul
generale rispetto delle norme in materia di protezione dei dati personali, come previsto dal comma 5
dell’articolo 29.
A chiusura del sistema è posta la previsione relativa agli “incaricati del trattamento” i soli che
possono materialmente effettuare le operazioni di trattamento di dati personali. Gli incaricati
operano sotto la diretta autorità del titolare o del responsabile, previa designazione espressa per
iscritto, contenente la puntuale individuazione dell’ambito del trattamento loro consentito e
l’indicazione delle istruzioni cui devono attenersi nello svolgimento del trattamento. Per
semplificare tale adempimento, in considerazione della frequenza con cui il personale viene
soggetto a rotazione e avvicendamento all’interno delle strutture amministrative, il Codice
considera equivalente alla designazione nominativa degli incaricati, la preposizione del personale ad
un’unità organizzativa (ad esempio, tramite un ordine di servizio) per la quale venga altresì
individuato per iscritto l'ambito del trattamento consentito agli addetti che operano all’interno della
medesima unità.
4.2.3 Informativa agli interessati
A tutela dell’esercizio del diritto alla protezione dei dati personali il Codice pone in capo ai titolari
del trattamento l’obbligo, previsto dall’articolo 13, di fornire agli interessati un’adeguata
informativa. L’interessato o la persona presso la quale sono raccolti i dati personali deve pertanto
essere informato oralmente o per iscritto, fra l’altro, delle finalità e delle modalità del trattamento
dei dati, della eventuale obbligatorietà del loro conferimento, delle conseguenze relative al rifiuto di
fornire i dati, dei diritti esercitabili dal medesimo interessato, nonché dei dati identificativi del
titolare del trattamento e del responsabile. Nel caso di designazione di più responsabili, il Codice
introduce un’ulteriore semplificazione dando possibilità di riportare nell’informativa all’interessato
gli estremi identificativi di un solo responsabile indicando contestualmente le modalità attraverso le
quali è conoscibile l’elenco completo e aggiornato dei responsabili (ad esempio, attraverso
l’indicazione del sito istituzionale dell’amministrazione in cui l’elenco è eventualmente pubblicato).
4.3 Dati sensibili
L’articolo 4, comma 1, lettera d) del Codice definisce dati sensibili “i dati personali idonei a
rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e
la vita sessuale”.
Il trattamento dei dati sensibili è consentito solo se autorizzato da espressa disposizione di legge
nella quale sono specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le
rilevanti finalità di interesse pubblico perseguite.
Qualora una disposizione di legge non specifichi i tipi di dati sensibili e giudiziari che possono
essere trattati e le operazioni che possono essere svolte su di essi, le amministrazioni sono tenute ad
identificare e rendere pubblici i tipi di dati utilizzabili e le operazioni eseguibili, in relazione al
perseguimento di finalità ritenute dalla legge di rilevante interesse pubblico, aggiornando ed
integrando tale identificazione periodicamente (art. 20, commi 1, 2 e 4, del Codice). Al riguardo, la
parte II del Codice individua alcune attività di rilevante interesse pubblico, tra le quali assumono
rilievo per le pubbliche amministrazioni, a titolo esemplificativo, le attività finalizzate
all’applicazione della disciplina sull’accesso ai documenti amministrativi (art. 59), o della
normativa in materia di concessione, liquidazione, modifica e revoca di benefici economici,
agevolazioni, elargizioni, altri emolumenti o abilitazioni (art. 68), le attività socio-assistenziali (art.
73) e quelle volte all’instaurazione e alla gestione da parte di soggetti pubblici di rapporti di lavoro
(art.112).
Nel caso in cui invece le amministrazioni intendano porre in essere un trattamento di dati sensibili
che non risulti previsto espressamente da una disposizione normativa di rango primario, esse
possono richiedere al Garante se siano ravvisabili i presupposti di rilevante interesse pubblico che
ne autorizzano il trattamento, secondo il meccanismo previsto dall™articolo 26, comma 2, del
Codice.
In tal caso, il trattamento è consentito soltanto se l’amministrazione interessata provveda altresì ad
identificare e rendere pubblici i tipi di dati utilizzabili e le operazioni eseguibili con un atto di
natura regolamentare (art. 20, comma 3, del Codice, al riguardo, v. più diffusamente infra la parte
relativa ai “Regolamenti”).
4.4 Dati giudiziari
L’articolo 4, comma 1, lettera e) del Codice definisce “dati giudiziari” i dati personali idonei a
rivelare provvedimenti iscrivibili nel casellario giudiziale indicati dall’articolo 3, comma 1, lettere
da a) ad o) e da r) ad u) del d.P.R. 14 novembre 2002, n. 313, o la qualità di imputato o di indagato
ai sensi degli articolo 60 e 61 del codice di procedura penale.
È possibile per le pubbliche amministrazioni trattare tali informazioni quando ciò sia previsto da
una norma di legge oppure da un provvedimento del Garante che specifichi espressamente le
rilevanti finalità di interesse pubblico perseguite, i dati personali che possono essere utilizzati e le
operazioni di trattamento eseguibili. Nel caso in cui la legge specifichi soltanto le finalità di
rilevante interesse pubblico, valgono le prescrizioni relative al trattamento dei dati sensibili, di cui
all’articolo 20, commi 2 e 4, del Codice per quanto riguarda la necessità di individuare e rendere
pubblici attraverso un atto di natura regolamentare i tipi di dati utilizzabili e le operazioni eseguibili
(art. 21).
4.5 Regolamenti
Gli articoli 20, comma 2, e 21, comma 2, del Codice prevedono che, quando una disposizione di
legge abbia specificato le finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e
giudiziari che possono essere trattati e le operazioni che possono essere svolte su di essi, le
amministrazioni dovranno adottare un apposito regolamento con il quale identificare e rendere
pubblici, a cura dei soggetti che ne effettuano il trattamento, i tipi di dati utilizzabili e le operazioni
eseguibili, in relazione ai fini istituzionali perseguiti e nel rispetto dei principi affermati dall’articolo
22 del Codice. L’adozione di tali provvedimenti postula la previa ricognizione di tutte le attività
poste in essere dal soggetto pubblico che comportano
un trattamento di dati sensibili o giudiziari, nonché la valutazione della indispensabilità dei dati
utilizzati e delle operazioni svolte nell’ambito di tali attività rispetto alle finalità di volta in volta
perseguite. I dati trattati vanno indicati per categorie (ad esempio, dati sulla salute, vita sessuale,
sull’origine razziale, sull’origine etnica, ecc.), tenendo conto che le tipologie di dati non individuate
nel regolamento non potranno essere trattate.
In altri termini, tramite tali regolamenti dovrà risultare chiaro ai cittadini il collegamento tra le
finalità di rilevante interesse pubblico perseguite dalle amministrazioni in relazione ai compiti ad
esse attribuiti dall’ordinamento e le modalità con cui vengono effettivamente utilizzate le
informazioni che li riguardano.
Al fine di dare efficacia al sistema di garanzie delineato dal Codice per i dati sensibili
e giudiziari è pertanto necessario che le amministrazioni provvedano a tale identificazione, ove
mancante, tramite atti di natura regolamentare, entro il 31 dicembre 2005, previa acquisizione del
parere di conformità del Garante ai sensi dell’articolo 154, comma 1, lettera g), del Codice (art. 3,
d.l. 24 giugno 2004, n. 158 convertito con l. 27 luglio 2004, n. 188 che modifica l™art. 181, comma
1, lettera a) del Codice). L’identificazione dei tipi di dati e di operazioni è poi aggiornata e integrata
periodicamente, come indicato dall’articolo 20 del Codice.
Per rendere più agevole e rapida l’adozione di tali atti, il Codice prevede che il parere del Garante
possa essere formulato anche su schemi tipo. Nel caso in cui gli schemi regolamentari predisposti
dalle amministrazioni corrispondano ai modelli su cui il Garante ha reso un parere conforme, non
sarà quindi necessario sottoporli caso per caso allo specifico esame da parte dell’Autorità.
A tal fine, si esortano le amministrazioni ad avviare ogni iniziativa utile ad identificare settori di
attività, comuni a più amministrazioni, per i quali si possa procedere ad un’elaborazione congiunta
di schemi tipo da sottoporre all’attenzione del Garante, anche attraverso i progetti che questo
Dipartimento avvierà in collaborazione con il Formez.
4.6 Criteri applicabili al trattamento dei dati sensibili e giudiziari
L’articolo 22 indica i criteri applicabili al trattamento dei dati sensibili e giudiziari. In primo luogo,
le pubbliche amministrazioni devono prestare particolare attenzione alla prevenzione di possibili
danni per l'interessato, conformando il trattamento di queste informazioni in modo da prevenire
violazioni dei diritti, delle libertà fondamentali e della dignità dell’interessato.
In tale contesto assume uno specifico rilievo il principio di indispensabilità, in base al quale
possono essere trattati soltanto i dati sensibili e giudiziari indispensabili allo svolgimento di
funzioni istituzionali che non potrebbero essere adempiute altrimenti (mediante il ricorso a dati
anonimi o dati personali di diversa natura).
Analogamente, sui dati sensibili e giudiziari indispensabili, le amministrazioni possono effettuare
unicamente le operazioni di trattamento strettamente necessarie al raggiungimento delle finalità
consentite nei singoli casi.
Rispetto alla normativa previgente, è confermato infine il divieto di diffondere i dati idonei a
rivelare lo stato di salute.
4.7 Sicurezza dei dati
Una particolare attenzione è posta dal Codice, negli articoli 31 e seguenti, alle tematiche della
sicurezza dei dati e dei sistemi.
Il Codice distingue in proposito le misure di sicurezza da adottare in:
• misure idonee e preventive volte a ridurre al minimo i rischi di distruzione o perdita, anche
accidentale, dei dati stessi, i rischi di accesso non autorizzato o di trattamento non consentito
o non conforme alle finalità della raccolta (art. 31);
• misure minime, indicate negli articoli 34 e 35 secondo le modalità applicative
analiticamente specificate nell’Allegato B) al Codice e diversificate a seconda che il
trattamento sia effettuato o meno con strumenti elettronici, ovvero da individuare, ai sensi
dell’articolo 58, comma 3, in relazione ai trattamenti effettuati per finalità di difesa o coperti
da segreto di Stato (art. 33).
La distinzione rileva ai fini sanzionatori perché, mentre l’inosservanza delle misure “minime”
configura una condotta penalmente rilevante, ai sensi dell’art. 169 del Codice, l’inosservanza delle
misure “idonee” rende il trattamento illecito e, nel caso in cui si cagioni un danno all’interessato,
espone l’autore del danno ad eventuali azioni risarcitorie da parte del soggetto leso (art. 15 del
Codice).
In particolare, l’omessa adozione delle misure minime di sicurezza è punita con l’arresto sino a due
anni o con l’ammenda da 10 mila euro a 50 mila euro. In questo caso è però previsto il meccanismo
del “ravvedimento operoso” applicabile a coloro i quali adempiano puntualmente alle prescrizioni
impartite dal Garante una volta accertato il reato ed effettuino un pagamento in sede amministrativa
di una somma pari al quarto del massimo dell’ammenda, ottenendo così l’estinzione del reato.

(segue prossimo post )