REGOLAMENTO REGIONALE 13 febbraio 2006, n. 2
REGOLAMENTO PER IL TRATTAMENTO DEI DATI PERSONALI SENSIBILI E GIUDIZIARI DELL'ASSEMBLEA LEGISLATIVA DELLA REGIONE EMILIA-ROMAGNA (ARTT. 20 E 21 DEL DECRETO LEGISLATIVO N. 196 DEL 2003 "CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI")
L'ASSEMBLEA LEGISLATIVA REGIONALE HA APPROVATO
con delibera n. 43 del 7 febbraio 2006
IL PRESIDENTE DELLA GIUNTA REGIONALE EMANA
il seguente regolamento con decreto n. 29 del 13 febbraio 2006
Art. 1
1. Il presente regolamento, ai sensi degli articoli 20 e 21 del
decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di
protezione dei dati personali), individua le categorie di dati e le
relative operazioni eseguibili, strettamente pertinenti e necessarie,
da parte dell'Assemblea legislativa della Regione Emilia-Romagna,
degli Organi assembleari e loro membri, limitatamente allo svolgimento
delle loro funzioni e attività istituzionali in materia di dati
sensibili e giudiziari, e da parte delle strutture organizzative
dell'Assemblea legislativa, con riferimento:
a) ai trattamenti effettuati per il perseguimento delle rilevanti
finalità di interesse pubblico individuate dalla parte seconda del
decreto legislativo n. 196 del 2003;
b) ai trattamenti autorizzati da espressa disposizione di legge per
rilevanti finalità di interesse pubblico, ove non sono
legislativamente specificati i tipi di dati e le operazioni
eseguibili;
c) ai trattamenti connessi alle attività che perseguono rilevanti
finalità di interesse pubblico individuate con provvedimento del
Garante per la protezione dei dati personali.
Art. 2
Disposizioni generali
1. Ai fini del presente regolamento si applicano le definizioni
contenute nell'articolo 4 del decreto legislativo n. 196 del 2003.
2. Il trattamento dei dati avviene nel rispetto dei diritti e delle
libertà fondamentali dell'interessato ed è compiuto quando, per lo
svolgimento delle finalità di interesse pubblico, non è possibile il
trattamento dei dati anonimi oppure di dati personali non sensibili o
giudiziari.
Art. 3
Tipi di dati e di operazioni eseguibili
1. Nelle schede allegate al presente Regolamento numerate dal n. 1 al
n. 13 sono individuati i dati sensibili e giudiziari oggetto di
trattamento, le finalità di interesse pubblico perseguite, nonché le
operazioni eseguibili.
Art. 4
Aggiornamento
1. Con apposito Regolamento dell'Assemblea legislativa viene
aggiornata e integrata periodicamente l'identificazione dei tipi di
dati e di operazioni eseguibili.
Art. 5
Pubblicazione ed entrata in vigore
1. Il presente Regolamento è pubblicato nel Bollettino Ufficiale della
Regione Emilia-Romagna e reso disponibile in Internet, nel sito WEB
dell'Assemblea legislativa ed entra in vigore il giorno successivo
alla sua pubblicazione nel Bollettino Ufficiale.
Il presente regolamento sarà pubblicato nel Bollettino Ufficiale della
Regione.
È fatto obbligo a chiunque spetti di osservarlo e farlo osservare come
regolamento della Regione Emilia-Romagna.
Bologna, 13 febbraio 2006 VASCO ERRANI
Elenco dei trattamenti dei dati personali sensibili e giudiziari
effettuati da parte dell'Assemblea legislativa della Regione
Emilia-Romagna, degli Organi assembleari e loro membri, limitatamente
allo svolgimento delle loro funzioni e attività istituzionali, e da
parte delle strutture organizzative dell'Assemblea legislativa -
(Artt. 20 - 21, DLgs 196/03 Codice in materia di protezione dei dati
personali)
1. Nomine e designazioni
2. Instaurazione e gestione del rapporto di lavoro del personale
(compreso collocamento obbligatorio, assicurazioni integrative,
assunzione oneri di difesa, procedure di conciliazione in materia di
rapporto di lavoro, gestione cause di lavoro)
3. Assicurazione rischi di morte, invalidità permanente e temporanea,
dipendenti da infortunio o infermità, e assicurazione infortuni dei
Consiglieri e Assessori regionali in carica
4. A. Anagrafe patrimoniale dei titolari di cariche elettive
B. Gestione economica, fiscale e previdenziale delle indennità, degli
assegni vitalizi e delle reversibilità dei Consiglieri, ex Consiglieri
e Assessori regionali
5. Attività di tutela amministrativa e giudiziaria
6. Difesa civica regionale
7. Strumenti di democrazia diretta (iniziativa legislativa popolare,
petizioni e referendum)
8. Attività politica, di indirizzo e di controllo - sindacato
ispettivo
9. Verifica elettorato passivo e requisiti per l'esercizio del
mandato
10. Riconoscimento inabilità totale e permanente al lavoro degli
eletti alla carica di Consigliere regionale
11. Documentazione dell'attività istituzionale dell'Assemblea
legislativa regionale e degli Organi assembleari
12. Patrocinio legale - rimborso spese legali amministratori e
dipendenti regionali per fatti e atti connessi all'espletamento del
mandato o del servizio
13. Attività del Comitato regionale per le comunicazioni
Avvertenze per la consultazione delle schede
Denominazione del trattamento: s'intende il titolo del trattamento,
che deve individuare categorie omogenee di attività abbastanza ampie,
tali da poter includere nella stessa scheda i trattamenti che
riguardano tutte le fasi relative a quella specifica attività (es.
instaurazione e gestione del rapporto di lavoro del personale).
Fonti normative: s'intendono le specifiche disposizioni di legge o
comunque le fonti normative che originano o regolano l'attività
istituzionale in relazione alla quale l'Amministrazione pubblica
effettua il trattamento. Tali norme possono essere diverse da quella
in cui è specificata la rilevante finalità di interesse pubblico, che
deve essere indicata al successivo punto "Finalità".
Si ricorda che, ai sensi dell'art. 20 D. Lgs. 196/2003, il trattamento
dei dati sensibili è consentito solo se autorizzato da espressa
disposizione di legge o, nelle more della specificazione legislativa,
da espresso provvedimento del Garante che individua le rilevanti
finalità di interesse pubblico.
Altre fonti istitutive: è una voce di completamento e fa riferimento a
quegli atti che istituiscono o regolano l'attività cui il trattamento
si riferisce, ma non hanno la forma della legge. Qui inoltre sono
indicati i regolamenti interni ed i vari atti degli Organi
assembleari.
Finalità del trattamento: s'intende la rilevante finalità di interesse
pubblico in base alla quale è possibile effettuare il trattamento e la
normativa che riconosce il rilevante interesse pubblico. La finalità
deve essere compresa fra quelle individuate dal D.Lgs. 196/2003 (viene
specificato sempre l'articolo, con la sua rubrica, relativo alla
finalità cui è riconducibile il trattamento e sintetizzata la finalità
in modo da renderla di facile e immediata comprensione), oppure
espressamente dichiarata "di rilevante interesse pubblico" dalla
specifica legge di riferimento.
Tipologia dei dati trattati: si ricorda che il presente Regolamento
disciplina i dati sensibili e giudiziari escludendo quelli comuni.
Pertanto nell'individuazione dei tipi di dati trattati sono menzionati
esclusivamente quelli di cui agli artt. 20 - 21 del DLgs 196/03. Sono,
conseguentemente, state barrate le caselle che specificano la
tipologia dei dati sensibili o giudiziari trattati, mentre i dati
comuni non sono indicati nella scheda.
Modalità di trattamento dei dati: s'intende specificare se le
operazioni eseguite sul tipo di dato vengono effettuate con procedure
informatizzate e quindi contenute su supporti informatici oppure con
attività manuale e quindi contenute solo su supporti cartacei.
Tipologia delle operazioni eseguite: le operazioni eseguibili sui tipi
di dati trattati si dividono in operazioni standard e operazioni
particolari.
Nella prima categoria rientrano la raccolta del dato -avvenuta sia in
maniera diretta presso l'interessato sia acquisita da altri soggetti
esterni-, la registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modificazione, la selezione,
l'estrazione, l'utilizzo, il blocco, la cancellazione e la distruzione
del dato.
Nella seconda categoria rientrano l'interconnessione e il raffronto
del dato sia con altri trattamenti o archivi dello stesso Ente sia con
altri trattamenti o archivi di altri soggetti (in entrambi i casi
viene specificato quali trattamenti sono raffrontati o incrociati e
viene fornita una motivazione adeguata), nonché la comunicazione e la
diffusione del dato. Si precisa che viene specificata la base
normativa che consente tali operazioni.
Nel caso della comunicazione vengono indicati anche i soggetti
destinatari della stessa. Si precisa che questi ultimi sono i soggetti
esterni al Titolare (es. Giunta regionale, etc.), mentre eventuali
forme di comunicazione interna agli uffici del Titolare sono segnalate
nella descrizione del trattamento e nel flusso informativo.
Descrizione del trattamento e flusso informativo: s'intende
specificare quanto contenuto nella denominazione del trattamento,
ovvero descrivere in forma sintetica tutte le varie fasi relative a
quel determinato trattamento. Queste voci sono, per così dire,
riepilogative di tutta la scheda e hanno lo scopo di dare al cittadino
un'informazione più immediata sul percorso che il dato segue una volta
venuto in possesso dell'Amministrazione.
Si ricorda che vengono prese in considerazione soltanto quelle fasi in
cui sono presenti dati sensibili e giudiziari, perché questo è
l'oggetto del Regolamento; eventuali fasi comprendenti solo dati
comuni esulano dalla descrizione del flusso.
(segue allegato fotografato)
Proposta di regolamento, d'iniziativa dell'Ufficio di Presidenza
dell'Assemblea legislativa: deliberazione n. 130 del 18 novembre 2005;
oggetto consiliare n. 785 (VIII legislatura);
pubblicato nel Supplemento Speciale del Bollettino Ufficiale della
Regione n. 47, in data 18 novembre 2005;
assegnato alla I Commissione assembleare permanente "Bilancio Affari
generali ed istituzionali" in sede referente.
Testo licenziato dalla Commissione referente con atto n. 9 del 13
dicembre 2005, con preannuncio di richiesta di relazione orale in aula
del consigliere Gian Luca Rivi;
approvata dall'Assemblea legislativa nella seduta del 7 febbraio 2006,
atto n. 43.
NOTE ALL'ART. 1
Comma 1
1) Il testo dell'art. 20 del DLgs 30 giugno 2003, n. 196 che concerne
Codice in materia di protezione di dati personali è il seguente:
"Art. 20 - Princìpi applicabili al trattamento di dati sensibili
1. Il trattamento dei dati sensibili da parte di soggetti pubblici è
consentito solo se autorizzato da espressa disposizione di legge nella
quale sono specificati i tipi di dati che possono essere trattati e di
operazioni eseguibili e le finalità di rilevante interesse pubblico
perseguite.
2. Nei casi in cui una disposizione di legge specifica la finalità di
rilevante interesse pubblico, ma non i tipi di dati sensibili e di
operazioni eseguibili, il trattamento è consentito solo in riferimento
ai tipi di dati e di operazioni identificati e resi pubblici a cura
dei soggetti che ne effettuano il trattamento, in relazione alle
specifiche finalità perseguite nei singoli casi e nel rispetto dei
princìpi di cui all'articolo 22, con atto di natura regolamentare
adottato in conformità al parere espresso dal Garante ai sensi
dell'articolo 154, comma 1, lettera g), anche su schemi tipo.
3. Se il trattamento non è previsto espressamente da una disposizione
di legge i soggetti pubblici possono richiedere al Garante
l'individuazione delle attività, tra quelle demandate ai medesimi
soggetti dalla legge, che perseguono finalità di rilevante interesse
pubblico e per le quali è conseguentemente autorizzato, ai sensi
dell'articolo 26, comma 2, il trattamento dei dati sensibili. Il
trattamento è consentito solo se il soggetto pubblico provvede altresì
a identificare e rendere pubblici i tipi di dati e di operazioni nei
modi di cui al comma 2.
4. L'identificazione dei tipi di dati e di operazioni di cui ai commi
2 e 3 è aggiornata e integrata periodicamente.".
2) Il testo dell'art. 21del DLgs 30 giugno 2003, n. 196 che concerne
Codice in materia di protezione dei dati personali è il seguente:
"Art. 21 - Princìpi applicabili al trattamento di dati giudiziari
1. Il trattamento di dati giudiziari da parte di soggetti pubblici è
consentito solo se autorizzato da espressa disposizione di legge o
provvedimento del Garante che specifichino le finalità di rilevante
interesse pubblico del trattamento, i tipi di dati trattati e di
operazioni eseguibili.
2. Le disposizioni di cui all'articolo 20, commi 2 e 4, si applicano
anche al trattamento dei dati giudiziari.".
3) La Parte II del DLgs n. 196 del 30 giugno 2003 che concerne Codice
in materia di protezione dei dati personali è titolata "Trattamento
dei dati giudiziari".
NOTA ALL'ART. 2
Comma 1
1) Il testo dell'art. 4 del DLgs n. 196 del 30 giugno 2003 che
concerne Codice in materia di protezione dei dati personali è il
seguente:
"Art. 4 - Definizioni
1. Ai fini del presente codice si intende per:
a) "trattamento", qualunque operazione o complesso di operazioni,
effettuati anche senza l'ausilio di strumenti elettronici, concernenti
la raccolta, la registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco,
la comunicazione, la diffusione, la cancellazione e la distruzione di
dati, anche se non registrati in una banca di dati;
b) "dato personale", qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati o
identificabili, anche indirettamente, mediante riferimento a qualsiasi
altra informazione, ivi compreso un numero di identificazione
personale;
c) "dati identificativi", i dati personali che permettono
l'identificazione diretta dell'interessato;
d) "dati sensibili", i dati personali idonei a rivelare l'origine
razziale ed etnica, le convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonché i dati personali idonei a rivelare lo
stato di salute e la vita sessuale;
e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti
di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del
DPR 14 novembre 2002, n. 313, in materia di casellario giudiziale, di
anagrafe delle sanzioni amministrative dipendenti da reato e dei
relativi carichi pendenti, o la qualità di imputato o di indagato ai
sensi degli articoli 60 e 61 del codice di procedura penale;
f) "titolare", la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo cui
competono, anche unitamente ad altro titolare, le decisioni in ordine
alle finalità, alle modalità del trattamento di dati personali e agli
strumenti utilizzati, ivi compreso il profilo della sicurezza;
g) "responsabile", la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente, associazione od
organismo preposti dal titolare al trattamento di dati personali;
h) "incaricati", le persone fisiche autorizzate a compiere operazioni
di trattamento dal titolare o dal responsabile;
i) "interessato", la persona fisica, la persona giuridica, l'ente o
l'associazione cui si riferiscono i dati personali;
l) "comunicazione", il dare conoscenza dei dati personali a uno o più
soggetti determinati diversi dall'interessato, dal rappresentante del
titolare nel territorio dello Stato, dal responsabile e dagli
incaricati, in qualunque forma, anche mediante la loro messa a
disposizione o consultazione;
m) "diffusione", il dare conoscenza dei dati personali a soggetti
indeterminati, in qualunque forma, anche mediante la loro messa a
disposizione o consultazione;
n) "dato anonimo", il dato che in origine, o a seguito di trattamento,
non può essere associato ad un interessato identificato o
identificabile;
o) "blocco", la conservazione di dati personali con sospensione
temporanea di ogni altra operazione del trattamento;
p) "banca di dati", qualsiasi complesso organizzato di dati personali,
ripartito in una o più unità dislocate in uno o più siti;
q) "Garante", l'autorità di cui all'articolo 153, istituita dalla
Legge 31 dicembre 1996, n. 675.
2. Ai fini del presente codice si intende, inoltre, per:
a) "comunicazione elettronica", ogni informazione scambiata o
trasmessa tra un numero finito di soggetti tramite un servizio di
comunicazione elettronica accessibile al pubblico. Sono escluse le
informazioni trasmesse al pubblico tramite una rete di comunicazione
elettronica, come parte di un servizio di radiodiffusione, salvo che
le stesse informazioni siano collegate ad un abbonato o utente
ricevente, identificato o identificabile;
b) "chiamata", la connessione istituita da un servizio telefonico
accessibile al pubblico, che consente la comunicazione bidirezionale
in tempo reale;
c) "reti di comunicazione elettronica", i sistemi di trasmissione, le
apparecchiature di commutazione o di instradamento e altre risorse che
consentono di trasmettere segnali via cavo, via radio, a mezzo di
fibre ottiche o con altri mezzi elettromagnetici, incluse le reti
satellitari, le reti terrestri mobili e fisse a commutazione di
circuito e a commutazione di pacchetto, compresa Internet, le reti
utilizzate per la diffusione circolare dei programmi sonori e
televisivi, i sistemi per il trasporto della corrente elettrica, nella
misura in cui sono utilizzati per trasmettere i segnali, le reti
televisive via cavo, indipendentemente dal tipo di informazione
trasportato;
d) "rete pubblica di comunicazioni", una rete di comunicazioni
elettroniche utilizzata interamente o prevalentemente per fornire
servizi di comunicazione elettronica accessibili al pubblico;
e) "servizio di comunicazione elettronica", i servizi consistenti
esclusivamente o prevalentemente nella trasmissione di segnali su reti
di comunicazioni elettroniche, compresi i servizi di telecomunicazioni
e i servizi di trasmissione nelle reti utilizzate per la diffusione
circolare radiotelevisiva, nei limiti previsti dall'articolo 2,
lettera c) della direttiva 2002/21/CE del 7 marzo 2002, del Parlamento
Europeo e del Consiglio;
f) "abbonato", qualunque persona fisica, persona giuridica, ente o
associazione parte di un contratto con un fornitore di servizi di
comunicazione elettronica accessibili al pubblico per la fornitura di
tali servizi, o comunque destinatario di tali servizi tramite schede
prepagate;
g) "utente", qualsiasi persona fisica che utilizza un servizio di
comunicazione elettronica accessibile al pubblico, per motivi privati
o commerciali, senza esservi necessariamente abbonata;
h) "dati relativi al traffico", qualsiasi dato sottoposto a
trattamento ai fini della trasmissione di una comunicazione su una
rete di comunicazione elettronica o della relativa fatturazione;
i) "dati relativi all'ubicazione", ogni dato trattato in una rete di
comunicazione elettronica che indica la posizione geografica
dell'apparecchiatura terminale dell'utente di un servizio di
comunicazione elettronica accessibile al pubblico;
l) "servizio a valore aggiunto", il servizio che richiede il
trattamento dei dati relativi al traffico o dei dati relativi
all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è
necessario per la trasmissione di una comunicazione o della relativa
fatturazione;
m) "posta elettronica", messaggi contenenti testi, voci, suoni o
immagini trasmessi attraverso una rete pubblica di comunicazione, che
possono essere archiviati in rete o nell'apparecchiatura terminale
ricevente, fino a che il ricevente non ne ha preso conoscenza.
3. Ai fini del presente codice si intende, altresì, per:
a) "misure minime", il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza che configurano
il livello minimo di protezione richiesto in relazione ai rischi
previsti nell'articolo 31;
b) "strumenti elettronici", gli elaboratori, i programmi per
elaboratori e qualunque dispositivo elettronico o comunque
automatizzato con cui si effettua il trattamento;
c) "autenticazione informatica", l'insieme degli strumenti elettronici
e delle procedure per la verifica anche indiretta dell'identità;
d) "credenziali di autenticazione", i dati ed i dispositivi, in
possesso di una persona, da questa conosciuti o ad essa univocamente
correlati, utilizzati per l'autenticazione informatica;
e) "parola chiave", componente di una credenziale di autenticazione
associata ad una persona ed a questa nota, costituita da una sequenza
di caratteri o altri dati in forma elettronica;
f) "profilo di autorizzazione", l'insieme delle informazioni,
univocamente associate ad una persona, che consente di individuare a
quali dati essa può accedere, nonché i trattamenti ad essa
consentiti;
g) "sistema di autorizzazione", l'insieme degli strumenti e delle
procedure che abilitano l'accesso ai dati e alle modalità di
trattamento degli stessi, in funzione del profilo di autorizzazione
del richiedente.
4. Ai fini del presente codice si intende per:
a) "scopi storici", le finalità di studio, indagine, ricerca e
documentazione di figure, fatti e circostanze del passato;
b) "scopi statistici", le finalità di indagine statistica o di
produzione di risultati statistici, anche a mezzo di sistemi
informativi statistici;
c)
"scopi scientifici", le finalità di studio e di indagine sistematica
finalizzata allo sviluppo delle conoscenze scientifiche in uno
specifico settore.".
