REGOLAMENTO REGIONALE 24 aprile 2006, n. 3
REGOLAMENTO PER IL TRATTAMENTO DEI DATI SENSIBILI E GIUDIZIARI DI TITOLARITA' DELLA GIUNTA REGIONALE E DELLE AGENZIE, ISTITUTI ED ENTI CHE FANNO RIFERIMENTO ALL'AMMINISTRAZIONE REGIONALE
L'ASSEMBLEA LEGISLATIVA REGIONALE HA APPROVATO
con delibera n. 53 del 19 aprile 2006
IL PRESIDENTE DELLA GIUNTA REGIONALE EMANA
il seguente regolamento con decreto n. 83 del 24 aprile 2006
Art. 1
Oggetto
1. Il presente regolamento, ai sensi degli articoli 20 e 21 del
decreto legislativo 30 giugno 2003, n. 196 (Codice in materia di
protezione dei dati personali), identifica i tipi di dati e le
operazioni eseguibili da parte della Giunta regionale e da parte degli
enti di cui all'articolo 3 nello svolgimento delle proprie funzioni
istituzionali, con riferimento ai trattamenti di dati sensibili e
giudiziari effettuati per il perseguimento delle rilevanti finalita'
di interesse pubblico individuate da espressa disposizione di legge,
ove non siano legislativamente specificati i tipi di dati e le
operazioni eseguibili.
Art. 2
Disposizioni generali
1. Ai fini del presente regolamento si applicano le definizioni
contenute nell'articolo 4 del decreto legislativo n. 196 del 2003.
2. Il trattamento dei dati avviene nel rispetto dei diritti e delle
liberta' fondamentali dell'interessato ed e' compiuto quando, per lo
svolgimento delle finalita' di interesse pubblico, non e' possibile il
trattamento dei dati anonimi oppure di dati personali non sensibili o
giudiziari.
Art. 3
Tipi di dati e di operazioni eseguibili
1. Nelle schede allegate al presente regolamento sono individuati i
dati sensibili e giudiziari oggetto di trattamento, le finalita' di
interesse pubblico perseguite, nonche' le operazioni eseguibili. Dette
schede sono contenute negli allegati di seguito individuati in
relazione ai seguenti organismi ed amministrazioni con riguardo al
territorio regionale:
a) Giunta regionale (Allegato A, schede da n. 1 a n. 29);
b) Aziende Unita' sanitarie locali, Aziende Ospedaliere, Aziende
Ospedaliero-Universitarie, Istituti di Ricovero e Cura a Carattere
Scientifico (Allegato B, schede da n. 1 a n. 44);
c) Agenzia Regionale Prevenzione e Ambiente (Allegato C, schede da n.
1 a n. 5);
d) Azienda Regionale per il Diritto allo Studio Universitario di
Bologna (Allegato D, schede da 1 a 5);
e) Azienda Regionale per il Diritto allo Studio Universitario di
Ferrara (Allegato E, schede da n. 1 a n. 4);
f) Azienda Regionale per il Diritto allo Studio Universitario di
Modena/Reggio Emilia (Allegato F, schede da n. 1 a n. 5);
g) Azienda Regionale per il Diritto allo Studio Universitario di Parma
(Allegato G, schede da n. 1 a n. 5);
h) Azienda Regionale per la Navigazione Interna (Allegato H, schede da
n. 1 a n. 4);
i) Agenzia Regionale per le Erogazioni in Agricoltura (Allegato I,
schede da n. 1 a n. 3);
j) Istituto per i Beni Artistici Culturali e Naturali (Allegato J,
scheda n. 1);
k) Agenzia regionale di sviluppo dei mercati telematici INTERCENT-ER
(Allegato K, scheda n. 1);
l) Agenzia Regionale di Protezione Civile (Allegato L, schede da n. 1
a n. 2);
m) Consorzio Fitosanitario di Modena (Allegato M, scheda n. 1);
n) Consorzio Fitosanitario di Parma (Allegato N, scheda n. 1);
o) Consorzio Fitosanitario di Piacenza (Allegato O, scheda n. 1);
p) Consorzio Fitosanitario di Reggio Emilia (Allegato P, scheda n.
1);
q) Agenzia Interregionale per il fiume Po (Allegato Q, schede da n. 1
a n. 4);
r) Autorita' di Bacino del Reno (Allegato R, schede da n. 1 a n. 3);
s) Autorita' di Bacino Marecchia - Conca (Allegato S, schede da n. 1 a
n. 3);
t) Istituto Zooprofilattico Sperimentale per la Lombardia e
l'Emilia-Romagna (Allegato T, schede da n. 1 a n. 3);
u) Autorita' dei Bacini Regionali Romagnoli (Allegato U, scheda n.
1);
v) Istituzioni di pubblica assistenza e beneficenza (IPAB) (Allegato
V, schede da n. 1 a n. 3).
Art. 4
Entrata in vigore
1. Il presente regolamento entra in vigore il giorno successivo alla
sua pubblicazione nel Bollettino Ufficiale della Regione.
Il presente regolamento sara' pubblicato nel Bollettino Ufficiale
della Regione.
E' fatto obbligo a chiunque spetti di ossevarlo e farlo osservare come
regolamento della Regione Emilia-Romagna.
Bologna, 24 aprile 2006 VASCO ERRANI
Proposta di regolamento d'iniziativa della Giunta regionale:
deliberazione n. 1843 del 14 novembre 2005; oggetto consiliare n. 761
(VIII legislatura);
pubblicato nel Supplemento Speciale del Bollettino Ufficiale della
Regione n. 46 in data 18 novembre 2005;
assegnato alla I Commissione assembleare permanente "Bilancio Affari
generali ed istituzionali" in sede referente.
Testo licenziato dalla Commissione referente con atto n. 8 del 13
dicembre 2005, con preannuncio di richiesta di relazione orale in aula
del consigliere Matteo Richetti;
approvata dall'Assemblea legislativa nella seduta del 19 aprile 2006,
atto n. 53.
NOTE ALL'ART. 1
Comma 1
1) Il testo dell'art. 20 del DLgs 30 giugno 2003, n. 196 che concerne
Codice in materia di protezione di dati personali e' il seguente:
"Art. 20 - Principi applicabili al trattamento di dati sensibili
1. Il trattamento dei dati sensibili da parte di soggetti pubblici e'
consentito solo se autorizzato da espressa disposizione di legge nella
quale sono specificati i tipi di dati che possono essere trattati e di
operazioni eseguibili e le finalita' di rilevante interesse pubblico
perseguite.
2. Nei casi in cui una disposizione di legge specifica la finalita' di
rilevante interesse pubblico, ma non i tipi di dati sensibili e di
operazioni eseguibili, il trattamento e' consentito solo in
riferimento ai tipi di dati e di operazioni identificati e resi
pubblici a cura dei soggetti che ne effettuano il trattamento, in
relazione alle specifiche finalita' perseguite nei singoli casi e nel
rispetto dei princi'pi di cui all'articolo 22, con atto di natura
regolamentare adottato in conformita' al parere espresso dal Garante
ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi
tipo.
3. Se il trattamento non e' previsto espressamente da una disposizione
di legge i soggetti pubblici possono richiedere al Garante
l'individuazione delle attivita', tra quelle demandate ai medesimi
soggetti dalla legge, che perseguono finalita' di rilevante interesse
pubblico e per le quali e' conseguentemente autorizzato, ai sensi
dell'articolo 26, comma 2, il trattamento dei dati sensibili. Il
trattamento e' consentito solo se il soggetto pubblico provvede
altresi' a identificare e rendere pubblici i tipi di dati e di
operazioni nei modi di cui al comma 2.
4. L'identificazione dei tipi di dati e di operazioni di cui ai commi
2 e 3 e' aggiornata e integrata periodicamente.".
2) Il testo dell art. 21del DLgs 30 giugno 2003, n. 196 che concerne
Codice in materia di protezione dei dati personali e' il seguente:
"Art. 21 - Princi'pi applicabili al trattamento di dati giudiziari
1. Il trattamento di dati giudiziari da parte di soggetti pubblici e'
consentito solo se autorizzato da espressa disposizione di legge o
provvedimento del Garante che specifichino le finalita' di rilevante
interesse pubblico del trattamento, i tipi di dati trattati e di
operazioni eseguibili.
2. Le disposizioni di cui all'articolo 20, commi 2 e 4, si applicano
anche al trattamento dei dati giudiziari.".
3) La parte II del DLgs n. 196 del 30 giugno 2003 che concerne Codice
in materia di protezione dei dati personali e' titolata "Trattamento
dei dati giudiziari".
NOTA ALL'ART. 2
Comma 1
1) Il testo dell'art 4 del DLgs n. 196 del 30 giugno 2003 che
concerne Codice in materia di protezione dei dati personali e' il
seguente:
"Art. 4 - Definizioni
1. Ai fini del presente codice si intende per:
a) "trattamento", qualunque operazione o complesso di operazioni,
effettuati anche senza l'ausilio di strumenti elettronici, concernenti
la raccolta, la registrazione, l'organizzazione, la conservazione, la
consultazione, l'elaborazione, la modificazione, la selezione,
l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco,
la comunicazione, la diffusione, la cancellazione e la distruzione di
dati, anche se non registrati in una banca di dati;
b) "dato personale", qualunque informazione relativa a persona fisica,
persona giuridica, ente od associazione, identificati o
identificabili, anche indirettamente, mediante riferimento a qualsiasi
altra informazione, ivi compreso un numero di identificazione
personale;
c) "dati identificativi", i dati personali che permettono
l'identificazione diretta dell'interessato;
d) "dati sensibili", i dati personali idonei a rivelare l'origine
razziale ed etnica, le convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l'adesione a partiti, sindacati,
associazioni od organizzazioni a carattere religioso, filosofico,
politico o sindacale, nonche' i dati personali idonei a rivelare lo
stato di salute e la vita sessuale;
e) "dati giudiziari", i dati personali idonei a rivelare provvedimenti
di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del
DPR 14 novembre 2002, n. 313, in materia di casellario giudiziale, di
anagrafe delle sanzioni amministrative dipendenti da reato e dei
relativi carichi pendenti, o la qualita' di imputato o di indagato ai
sensi degli articoli 60 e 61 del codice di procedura penale;
f) "titolare", la persona fisica, la persona giuridica, la pubblica
amministrazione e qualsiasi altro ente, associazione od organismo cui
competono, anche unitamente ad altro titolare, le decisioni in ordine
alle finalita', alle modalita' del trattamento di dati personali e
agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
g) "responsabile", la persona fisica, la persona giuridica, la
pubblica amministrazione e qualsiasi altro ente, associazione od
organismo preposti dal titolare al trattamento di dati personali;
h) "incaricati", le persone fisiche autorizzate a compiere operazioni
di trattamento dal titolare o dal responsabile;
i) "interessato", la persona fisica, la persona giuridica, l'ente o
l'associazione cui si riferiscono i dati personali;
l) "comunicazione", il dare conoscenza dei dati personali a uno o piu'
soggetti determinati diversi dall'interessato, dal rappresentante del
titolare nel territorio dello Stato, dal responsabile e dagli
incaricati, in qualunque forma, anche mediante la loro messa a
disposizione o consultazione;
m) "diffusione", il dare conoscenza dei dati personali a soggetti
indeterminati, in qualunque forma, anche mediante la loro messa a
disposizione o consultazione;
n) "dato anonimo", il dato che in origine, o a seguito di trattamento,
non puo' essere associato ad un interessato identificato o
identificabile;
o) "blocco", la conservazione di dati personali con sospensione
temporanea di ogni altra operazione del trattamento;
p) "banca di dati", qualsiasi complesso organizzato di dati personali,
ripartito in una o piu' unita' dislocate in uno o piu' siti;
q) "Garante", l'autorita' di cui all'articolo 153, istituita dalla
legge 31 dicembre 1996, n. 675.
2. Ai fini del presente codice si intende, inoltre, per:
a) "comunicazione elettronica", ogni informazione scambiata o
trasmessa tra un numero finito di soggetti tramite un servizio di
comunicazione elettronica accessibile al pubblico. Sono escluse le
informazioni trasmesse al pubblico tramite una rete di comunicazione
elettronica, come parte di un servizio di radiodiffusione, salvo che
le stesse informazioni siano collegate ad un abbonato o utente
ricevente, identificato o identificabile;
b) "chiamata", la connessione istituita da un servizio telefonico
accessibile al pubblico, che consente la comunicazione bidirezionale
in tempo reale;
c) "reti di comunicazione elettronica", i sistemi di trasmissione, le
apparecchiature di commutazione o di instradamento e altre risorse che
consentono di trasmettere segnali via cavo, via radio, a mezzo di
fibre ottiche o con altri mezzi elettromagnetici, incluse le reti
satellitari, le reti terrestri mobili e fisse a commutazione di
circuito e a commutazione di pacchetto, compresa Internet, le reti
utilizzate per la diffusione circolare dei programmi sonori e
televisivi, i sistemi per il trasporto della corrente elettrica, nella
misura in cui sono utilizzati per trasmettere i segnali, le reti
televisive via cavo, indipendentemente dal tipo di informazione
trasportato;
d) "rete pubblica di comunicazioni", una rete di comunicazioni
elettroniche utilizzata interamente o prevalentemente per fornire
servizi di comunicazione elettronica accessibili al pubblico;
e) "servizio di comunicazione elettronica", i servizi consistenti
esclusivamente o prevalentemente nella trasmissione di segnali su reti
di comunicazioni elettroniche, compresi i servizi di telecomunicazioni
e i servizi di trasmissione nelle reti utilizzate per la diffusione
circolare radiotelevisiva, nei limiti previsti dall'articolo 2,
lettera c), della direttiva 2002/21/CE del 7 marzo 2002, del
Parlamento europeo e del Consiglio;
f) "abbonato", qualunque persona fisica, persona giuridica, ente o
associazione parte di un contratto con un fornitore di servizi di
comunicazione elettronica accessibili al pubblico per la fornitura di
tali servizi, o comunque destinatario di tali servizi tramite schede
prepagate;
g) "utente", qualsiasi persona fisica che utilizza un servizio di
comunicazione elettronica accessibile al pubblico, per motivi privati
o commerciali, senza esservi necessariamente abbonata;
h) "dati relativi al traffico", qualsiasi dato sottoposto a
trattamento ai fini della trasmissione di una comunicazione su una
rete di comunicazione elettronica o della relativa fatturazione;
i) "dati relativi all'ubicazione", ogni dato trattato in una rete di
comunicazione elettronica che indica la posizione geografica
dell'apparecchiatura terminale dell'utente di un servizio di
comunicazione elettronica accessibile al pubblico;
l) "servizio a valore aggiunto", il servizio che richiede il
trattamento dei dati relativi al traffico o dei dati relativi
all'ubicazione diversi dai dati relativi al traffico, oltre a quanto
e' necessario per la trasmissione di una comunicazione o della
relativa fatturazione;
m) "posta elettronica", messaggi contenenti testi, voci, suoni o
immagini trasmessi attraverso una rete pubblica di comunicazione, che
possono essere archiviati in rete o nell'apparecchiatura terminale
ricevente, fino a che il ricevente non ne ha preso conoscenza.
3. Ai fini del presente codice si intende, altresi', per:
a) "misure minime", il complesso delle misure tecniche, informatiche,
organizzative, logistiche e procedurali di sicurezza che configurano
il livello minimo di protezione richiesto in relazione ai rischi
previsti nell'articolo 31;
b) "strumenti elettronici", gli elaboratori, i programmi per
elaboratori e qualunque dispositivo elettronico o comunque
automatizzato con cui si effettua il trattamento;
c) "autenticazione informatica", l'insieme degli strumenti elettronici
e delle procedure per la verifica anche indiretta dell'identita';
d) "credenziali di autenticazione", i dati ed i dispositivi, in
possesso di una persona, da questa conosciuti o ad essa univocamente
correlati, utilizzati per l'autenticazione informatica;
e) "parola chiave", componente di una credenziale di autenticazione
associata ad una persona ed a questa nota, costituita da una sequenza
di caratteri o altri dati in forma elettronica;
f) "profilo di autorizzazione", l'insieme delle informazioni,
univocamente associate ad una persona, che consente di individuare a
quali dati essa puo' accedere, nonche' i trattamenti ad essa
consentiti;
g) "sistema di autorizzazione", l'insieme degli strumenti e delle
procedure che abilitano l'accesso ai dati e alle modalita' di
trattamento degli stessi, in funzione del profilo di autorizzazione
del richiedente.
4. Ai fini del presente codice si intende per:
a) "scopi storici", le finalita' di studio, indagine, ricerca e
documentazione di figure, fatti e circostanze del passato;
b) "scopi statistici", le finalita' di indagine statistica o di
produzione di risultati statistici, anche a mezzo di sistemi
informativi statistici;
c) "scopi scientifici", le finalita' di studio e di indagine
sistematica finalizzata allo sviluppo delle conoscenze scientifiche in
uno specifico settore.".
Allegato fotografato.
