Garante per la protezione
    dei dati personali


Parere del Garante su una versioneaggiornata dello schema tipo di regolamento per il trattamento di datipersonali sensibili e giudiziari da effettuarsi presso i consigli e leassemblee legislative delle regioni e delle province autonome

PROVVEDIMENTO DEL 25 LUGLIO 2013

Registro dei provvedimenti
n. 370 del 25 luglio 2013

IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI

Indata odierna, con la partecipazione del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, del dott.ssa Giovanna Bianchi Clericie della prof.ssa Licia Califano, componenti, e del dott. Giuseppe Busia,segretario generale;

Vistoil decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia diprotezione dei dati personali (di seguito "Codice");

Vistala richiesta di parere della Conferenza dei presidenti delle assembleelegislative delle regioni e delle province autonome sullo schema tipoaggiornato di regolamento per il trattamento di dati personali sensibili egiudiziari presso i consigli e le assemblee legislative delle Regioni e delleProvince autonome (prot. n. 55/EB/2013 del 20 giugno 2013);

Vistigli atti d'ufficio;

Vistele osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000;

Relatorela prof.ssa Licia Califano;

PREMESSO:

LaConferenza dei presidenti delle assemblee legislative delle regioni e delleprovince autonome ha chiesto il parere del Garante in ordine ad una versioneaggiornata dello schema tipo di regolamento per il trattamento di datipersonali sensibili e giudiziari da effettuarsi presso i consigli e leassemblee legislative delle regioni e delle province autonome.

Larevisione del predetto schema tipo, curata dal gruppo di lavoro interregionalecui ha partecipato l'Ufficio del Garante, trae origine dalla necessità diadeguare i regolamenti regionali sul trattamento di dati sensibili e giudiziarial mutato quadro normativo in vari settori di attività di competenza deiconsigli e delle assemblee legislative delle regioni e delle province autonome.

Leregioni e le province autonome, al pari degli altri soggetti pubblici, possonotrattare i dati sensibili e giudiziari, in base ad un'espressa disposizione dilegge nella quale siano specificati i tipi di dati, le operazioni eseguibili ele finalità di rilevante interesse pubblico perseguite.

Inpresenza di una disposizione primaria che si limiti a specificare solo lafinalità di rilevante interesse pubblico, è necessario identificare e renderepubblici, in un atto di natura regolamentare conforme al parere reso dalGarante, i tipi di dati sensibili o giudiziari, nonché le operazioni eseguibiliin relazione alle finalità di rilevante interesse pubblico perseguite neisingoli casi, al fine di rendere legittimo il trattamento.

Atale scopo, le regioni e le province autonome sono tenute ad adottare un attodi natura regolamentare conforme al parere reso dal Garante, che, in armoniacon il principio di semplificazione, nel quadro di un elevato livello di tuteladei diritti, può essere fornito anche su schemi-tipo (art. 20 del Codice).

Inquesta prospettiva il Garante, sin dal 2004, ha intrapreso alcune iniziativesia con la Conferenza delle regioni e delle province autonome, sia con laConferenza dei presidenti delle assemblee legislative delle regioni e delleprovince autonome. Com'è noto, i lavori svolti con la Conferenza delle regionie delle province autonome hanno portato alla predisposizione, nel 2006, di unprimo schema tipo di regolamento per il trattamento dei dati personalisensibili e giudiziari presso le regioni e le province autonome, le aziendesanitarie, gli enti e agenzie regionali/provinciali, gli enti vigilati dalleregioni e dalle province autonome e, successivamente, ad uno schema tipo aggiornatodi tale regolamento che ha ottenuto il parere del Garante condizionato alrispetto di alcune indicazioni (Provv. 26 luglio 2012).

Analogamente,la collaborazione prestata alla Conferenza dei presidenti delle assembleelegislative delle regioni e delle province autonome ha condotto, in un primotempo, all'elaborazione di uno schema tipo di regolamento per il trattamento didati personali sensibili e giudiziari presso i consigli e le assemblee legislativedelle regioni e delle province autonome, sul quale l'Autorità ha espresso unparere condizionato al rispetto di alcune indicazioni (Provv. 29 dicembre 2005). In unsecondo tempo, sono state apportate talune modifiche e integrazioni a questoprimo schema in relazione alle quali l'Autorità ha reso un nuovo parere, semprecondizionato (Provv. 12 giugno 2008). In seguito, è stato approntato l'odierno schema tipoaggiornato di regolamento che fa riferimento esclusivamente ai trattamenti didati personali sensibili e giudiziari da effettuarsi presso i consigli e leassemblee legislative delle regioni e delle province autonome.

Quest'ultimoschema tipo nasce dall'esigenza di individuare un quadro aggiornato digaranzie, alla luce, come detto, del mutato quadro normativo, in conformità alquale potranno essere adottati i necessari atti regolamentari sul trattamentodi dati sensibili e giudiziari di pertinenza dei consigli e delle assembleelegislative delle regioni e delle province autonome.

Qualoratali atti siano adottati in conformità all'odierno schema tipo aggiornato diregolamento, essi non dovranno essere sottoposti singolarmente al Garante peril parere. Eventuali ulteriori trattamenti di dati sensibili e/o giudiziari nonconsiderati nell'odierno schema tipo non potranno essere effettuati. Laddove sirenda, tuttavia, indispensabile trattare ulteriori categorie di dati, oeseguire altre operazioni di trattamento per perseguire finalità di rilevanteinteresse pubblico individuate dalla legge, le integrazioni o modifichedovranno essere sottoposte al parere del Garante.

OSSERVA

1.Il parere è reso su una versione riveduta dello schema tipo di regolamento chetiene conto degli approfondimenti e delle indicazioni suggeriti, in viacollaborativa, dall'Ufficio del Garante, nell'ambito del gruppo di lavorointerregionale.

Leosservazioni dell'Ufficio, volte a perfezionare il testo e a renderlopienamente conforme alla disciplina in materia di protezione dei datipersonali, hanno riguardato, in particolare: la pertinenza, non eccedenza eindispensabilità dei dati sensibili riferiti ai titolari di incarichi politicie di responsabilità amministrativa di vertice nelle pubbliche amministrazioni,nonché ai titolari di incarichi dirigenziali, di collaborazione e di consulenzapresso i consigli e le assemblee legislative trattati in attuazione degliobblighi di pubblicazione previsti dalla disciplina in materia di trasparenza edi prevenzione e contrasto della corruzione (schede nn. 1, 2, 4 e 9); laspecificazione delle condizioni e dei limiti nel rispetto dei quali può essereconsentito il trattamento di dati idonei a rivelare la vita sessuale nelleattività di difesa amministrativa e giudiziaria dei consigli e delle assembleelegislative in relazione alla materia del rapporto di lavoro (scheda n. 5); ladefinizione delle cautele da adottare nel trattamento di dati idonei a rivelarela vita sessuale dei detenuti nelle attività di garanzia dei diritti dellepersone soggette a misure restrittive della libertà personale (scheda n. 6),nonché nel trattamento di dati sensibili e giudiziari di terzi interessatinelle attività di sindacato ispettivo e di indirizzo politico e nelle attivitàdi documentazione dell'attività istituzionale dei consigli e delle assembleelegislative (schede nn. 8, 11 e 12). Ciò, a tutela dei diritti delle libertàfondamentali e della dignità delle persone interessate.

2.Ciò premesso, residua un aspetto dell'odierno schema tipo che merita qualcheperfezionamento, con rifermento ai trattamenti di dati sensibili e giudiziarieffettuati nello svolgimento delle attività di controllo, d'indirizzo politicoe di sindacato ispettivo. Nella descrizione del trattamento riportata nellarelativa scheda (n. 8) non vi è infatti alcuna menzione dei trattamentieffettuati presso i consigli e le assemblee legislative per consentirel'accesso ai documenti, riconosciuto dalla legge e dai regolamenti consiliari oassembleari, per esclusive finalità direttamente connesse all'espletamento diun mandato elettivo. In relazione a tale finalità, individuata dal Codice dirilevante interesse pubblico e correttamente menzionata nella medesima scheda(art. 65, comma 4, lett. b)), è necessario integrare la descrizione deltrattamento specificando che le richieste dei consiglieri delle regioni e delleprovince autonome possono essere legittimamente accolte soltanto ove risultino,appunto, utilmente ricondotte alle "esclusive" finalità di rilevanteinteresse pubblico "direttamente connesse all'espletamento di un mandatoelettivo". Sempre nella descrizione del trattamento è opportuno precisareche nel soddisfare le predette richieste i consigli e le assemblee legislativedevono aver cura di adottare modalità tali da assicurare che l'accesso delconsigliere sia esercitato, in concreto, in modo da comportare il minorpregiudizio possibile alla vita privata delle persone cui si riferiscono i daticontenuti nei documenti oggetto dell'istanza di accesso. Ciò, anche al fine digarantire che il diritto di accesso del consigliere sia esercitato con riguardoai dati effettivamente utili per l'esercizio del mandato e ai fini di questo efermo restando che i dati personali eventualmente acquisiti dal consiglierepossono essere utilizzati per le sole finalità realmente pertinenti al mandato(Cfr. Provv. 25 luglio 2013).

Nell'aggiornamento,in conformità allo schema tipo in esame, degli atti regolamentari sul trattamentodi dati sensibili e giudiziari, da effettuarsi presso i consigli e le assembleelegislative delle regioni e delle province autonome, occorrerà pertantorecepire le indicazioni sopra formulate, tenendo presente che il trattamento ditali dati non potrà essere effettuato in difformità dalle indicazioni medesime.Al riguardo, si precisa che gli atti regolamentari adottati in conformitàall'odierno schema tipo aggiornato, modificato sulla base delle indicazionicontenute nel punto 2 del presente parere, non devono essere sottopostinuovamente al Garante per il parere.

TUTTO CI PREMESSO IL GARANTE:

aisensi degli articoli 20, comma 2, e 154, comma 1, lett. g) del Codice, esprimeparere favorevole sullo schema tipo di regolamento predisposto dalla Conferenzadei presidenti delle assemblee legislative delle regioni e delle provinceautonome con riferimento al trattamento di dati personali sensibili egiudiziari presso i consigli e le assemblee legislative delle regioni e delleprovince autonome, in relazione alle finalità di rilevante interesse pubblicoperseguite nei singoli casi a condizione che il medesimo schema sia integratoin conformità alle indicazioni fornite nel punto 2 del presente parere.

Roma, 25 luglio 2013

Il presidente
Soro

Il relatore
Califano

Il segretario generale
Busia