Conferenza Regioni
e Province Autonome
Doc. Approvato - Informatica - TRATTAMENTO DATI SENSIBILI - avvertenze COMPILAZIONE/CONSULTAZIONE DELLE SCHEDE RELATIVE AI SINGOLI TRATTAMENTI
Conferenza Regioni
e Province Autonome
martedì 28 marzo 2006
SCHEMA TIPO DI REGOLAMENTO PER IL TRATTAMENTO DEI DATI SENSIBILI
E GIUDIZIARI DI COMPETENZA DELLE REGIONI/PROVINCE AUTONOME,
DELLE AZIENDE SANITARIE, DEGLI ENTI E AGENZIE REGIONALI/PROVINCIALI,
DEGLI ENTI VIGILATI DALLA REGIONE/PROVINCIA AUTONOMA
AVVERTENZE PER LA COMPILAZIONE/CONSULTAZIONE DELLE SCHEDE RELATIVE AI SINGOLI TRATTAMENTI
Denominazione del trattamento: si intende il titolo del trattamento, che deve individuare categorie omogenee di attività abbastanza ampie, tali da poter includere nella stessa scheda i trattamenti che riguardano tutte le fasi relative a quella specifica attività ( es. Instaurazione e gestione del rapporto di lavoro del personale ).
Fonte normativa legislativa: si intende la specifica disposizione di legge che origina o regola l’attività istituzionale in relazione alla quale la Regione effettua il trattamento.
Altre Fonti: Si fa riferimento a quei provvedimenti amministrativi (Delibere, decreti) che istituiscono o regolano l’attività cui il trattamento si riferisce, ma non hanno la forma della legge, che si ritiene utile indicare nella scheda per fini conoscitivi.
Finalità del trattamento: si intende la finalità di rilevante interesse pubblico per il cui perseguimento è possibile effettuare il trattamento e la normativa che riconosce il rilevante interesse pubblico. La finalità deve essere compresa fra quelle individuate dal D.Lgs. 196/03 (specificare sempre l’articolo relativo alla finalità cui è riconducibile il trattamento), oppure espressamente dichiarata “di rilevante interesse pubblico” dalla specifica legge di riferimento o da provvedimento del Garante.
Tipi di dati trattati: si ricorda che il presente Regolamento disciplina i dati sensibili e giudiziari escludendo quelli cosiddetti comuni (“dati non sensibili o giudiziari”). Pertanto nell’individuazione dei tipi di dati trattati devono essere menzionati esclusivamente quelli di cui agli Artt. 20 – 21 D.Lgs 196/03. Devono, conseguentemente, essere barrate le caselle che specificano la tipologia dei dati sensibili o giudiziari trattati, mentre i dati comuni non sono indicati nella scheda.
Si ricorda che, ai sensi dell’art. 22 del D.Lgs. 196/03, i soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa. Il titolare deve verificare periodicamente la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa.
I dati eccedenti, non pertinenti o non indispensabili, anche se acquisiti in modo occasionale o forniti spontaneamente dall’interessato o desumibili indirettamente da altre informazioni legittimamente trattate (ad esempio dai dati anagrafici), non possono essere utilizzati, salvo che per la eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene.
Tipologia delle operazioni eseguite: le operazioni eseguibili sui tipi di dati trattati si dividono in operazioni standard e operazioni particolari.
Nella prima categoria rientrano la raccolta del dato (avvenuta sia in maniera diretta presso l’interessato sia acquisita da altri soggetti esterni), la registrazione, organizzazione, conservazione, elaborazione, modificazione, selezione, estrazione, utilizzo, blocco, accesso, distruzione del dato.
Nella seconda categoria rientrano l’interconnessione e il raffronto con altri trattamenti o archivi, sia dello stesso Ente sia di altri soggetti), nonché la comunicazione e la diffusione del dato.
Nel Regolamento sono individuati soltanto l’interconnessione e il raffronto con altre banche dati relative anch’esse a dati sensibili e giudiziari .
L’interconnessione e il raffronto tra dati sensibili e giudiziari contenuti in banche dati appartenenti a due o più diversi titolari sono ammessi solo se previsti da espressa disposizione di legge (art. 22 D.Lgs. 196/03). Pertanto se nella scheda è indicata l’operazione di interconnessione o raffronto con dati sensibili e giudiziari contenuti in una banca dati di altro titolare, è necessario indicare la norma di legge che prevede tale operazione.
Se il raffronto è effettuato fra archivi di dati sensibili e giudiziari dello stesso titolare è comunque necessario specificare quali trattamenti/archivi vengono raffrontati o interconnessi e fornire una motivazione adeguata.
Nel caso della comunicazione è necessario anche indicare i soggetti destinatari della stessa. Si precisa che questi ultimi sono i soggetti esterni all'ente titolare (Regione/Giunta Regionale/ Consiglio Regionale), mentre non costituisce “comunicazione” ai sensi del D.Lgs. 196/03 il dare conoscenza di dati personali al rappresentante del titolare nel territorio dello Stato, ai responsabili e agli incaricati del trattamento (così come all’interessato).
Modalità del trattamento: si intende specificare se le operazioni eseguite sul tipo di dato vengono effettuate con procedure informatizzate e quindi contenute su supporti informatici oppure con attività manuale e quindi contenute solo su supporti cartacei.
Descrizione del trattamento e del flusso informativo: si intende specificare quanto contenuto nella denominazione del trattamento, ovvero descrivere in forma sintetica tutte le varie fasi relative a quel determinato trattamento. Questa voce è, per così dire, riepilogativa di tutta la scheda e ha lo scopo di dare al cittadino una informazione più immediata sul percorso che il suo dato segue una volta venuto in possesso dell’Amministrazione.
Si ricorda che si prendono in considerazione soltanto quelle fasi in cui sono presenti dati sensibili e giudiziari perché questo è l’oggetto del Regolamento; eventuali fasi comprendenti solo dati comuni esulano da questa descrizione di flusso.