INDICE
Art. 1 - Oggetto
Art. 2 - Disposizioni generali
Art. 3 - Tipi di dati e di operazioni eseguibili
Art. 4 - Aggiornamento
Art. 5 - Pubblicazione sul Bollettino Ufficiale della Regione del Veneto e diffusione su Internet

------------------------------
Dati informativi concernenti il regolamento regionale 13 gennaio 2006, n. 1

Il presente elaborato ha carattere meramente informativo, per cui è sprovvisto di qualsiasi valenza vincolante o di carattere interpretativo. Pertanto, si declina ogni responsabilità conseguente a eventuali errori od omissioni.
Per comodità del lettore sono qui di seguito pubblicati a cura del direttore:

1 - Procedimento di formazione
2 - Relazione al Consiglio regionale
3 - Note agli articoli
4 - Struttura di riferimento


1. Procedimento di formazione
- La proposta di regolamento di iniziativa dei Consiglieri Finozzi, Tesserin, Variati, Marchese e Teso è stato assegnato alla 1° commissione consiliare;

- La 1° commissione consiliare ha completato l'esame del progetto di legge in data 6 dicembre 2005;

- Il Consiglio regionale, su relazione del consigliere Carlo Alberto Tesserin, ha esaminato e approvato il progetto di regolamento con deliberazione 23 dicembre 2005, n. 74.


2. Relazione al Consiglio regionale
Signor Presidente, colleghi consiglieri,
l'adozione del Regolamento per il trattamento dei dati sensibili e giudiziari da parte di ciascuna Pubblica Amministrazione è previsto dall'articolo 20, comma 2 e dall'articolo 21, comma 2 del decreto legislativo 30 giugno 2003, n. 196 "Codice in materia di protezione dei dati personali".
L'articolo 20, comma 2 recita:
"Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e le operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei principi di cui all'articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal garante ai sensi dell'articolo 154, commi 1, lettera g), anche su schemi tipo".
L'articolo 5, comma 4 del D.Lgs. n. 135/1999 prevedeva che i soggetti pubblici avviassero l'adeguamento dei propri ordinamenti a quanto previsto dai commi 3 e 3 bis dell'articolo 22 della legge n. 675/1996, individuando i tipi di dati e di operazioni eseguibili per il trattamento dei dati particolari, entro il 31 dicembre 1999. Questo adeguamento doveva sfociare, dal punto di vista della forma giuridica e a seguito di ulteriori specificazioni da parte del Garante, nell'adozione di un Regolamento per il trattamento dei dati sensibili e giudiziari. Nel D.Lgs. n. 135/1999 non veniva, tuttavia, individuato un termine perentorio per l'adozione di tale Regolamento.
Nel 2002 da un'indagine svolta sullo stato di avanzamento dei lavori era emerso che soltanto la Regione Toscana e la Provincia autonoma di Bolzano avevano adottato il suddetto Regolamento, mentre solo alcune Regioni avevano avviato l'istruttoria.
Nel corso di questi anni il Garante per la protezione dei dati personali ha più volte sollecitato le Amministrazioni a mettersi in regola, affermando che i soggetti pubblici che non hanno ancora provveduto all'adozione del Regolamento operano sprovvisti del necessario presupposto di liceità, trattando dati sensibili e giudiziari relativi ad innumerevoli cittadini senza alcune necessarie garanzie, privando gli interessati della possibilità di conoscere le utilizzazioni effettive dei dati che li riguardano. In altri termini, l'individuazione dei dati sensibili e giudiziari che deve essere fatta dai soggetti pubblici non ha un carattere meramente ricognitivo, ma incide su aspetti sostanziali ed è necessaria per poter ritenere leciti i trattamenti in oggetto.
L'Autorità Garante stessa ha ormai avviato la verifica, sistematica a partire dal 2003, sugli adempimenti in materia di tutela della riservatezza da parte delle pubbliche amministrazioni, attraverso controlli su un campione casuale di enti. Per lo svolgimento della propria funzione di controllo il Garante ha recentemente stipulato un protocollo d'intesa con la Guardia di Finanza, che attiverà uno specifico nucleo sulla tutela della riservatezza.
L'adozione del Regolamento per il trattamento dei dati sensibili e giudiziari da parte di ciascuna Pubblica Amministrazione è un'operazione necessaria ed urgente, visto che l'articolo 181, comma 1 lettera a) del Codice prevedeva nella versione originale che il Regolamento fosse adottato entro il 30 settembre 2004. Il DL 24 giugno 2004, n. 158 (Permanenza in carica degli attuali consigli degli ordini professionali e proroga di termini in materia di difesa d'ufficio e procedimenti civili davanti al tribunale per i minorenni, nonché di protezione dei dati personali) convertito, con modificazioni, dalla legge 27 luglio 2004, n. 188, ha prorogato il termine al 31 dicembre 2005.
Nell'ambito del Gruppo di lavoro, istituito nel dicembre 2002 presso la Conferenza dei Presidenti delle Regioni e delle Province autonome, si è avvertita ben presto l'esigenza di dedicare uno specifico momento di studio e di elaborazione all'applicazione del tema della privacy da parte dei Consigli regionali e provinciali. Per questo, nel dicembre 2003, si è costituito un autonomo Gruppo di lavoro, a cui hanno apportato il contributo rappresentanti dei Consigli regionali dell'Emilia-Romagna, Toscana, Lombardia, Piemonte, Umbria, Marche, Veneto, del Consiglio della Provincia autonoma di Trento, del Consiglio e della Provincia autonoma di Bolzano.
Il Consiglio regionale del Veneto con deliberazione dell'Ufficio di Presidenza n. 102 del 24 marzo 1998 ha individuato quale soggetto titolare del trattamento dei dati effettuati presso l'Ente il Consiglio.
L'attuale adempimento consiste nell'approvazione del Regolamento per il trattamento dei dati personali sensibili e giudiziari effettuato da parte delle strutture organizzative del Consiglio regionale della Regione Veneto e da parte del Consiglio, degli Organi consiliari e loro membri, limitatamente allo svolgimento delle loro funzioni e attività istituzionali in materia di dati sensibili e giudiziari.
Il Regolamento consta della seguente documentazione allegata quale parte integrante e sostanziale dello stesso:
1. testo del Regolamento per il trattamento dei dati personali sensibili e giudiziari;
2. elenco dei trattamenti dei dati sensibili e giudiziari effettuati da parte delle strutture organizzative del Consiglio regionale della Regione Veneto e da parte del Consiglio, degli Organi consiliari e loro membri, limitatamente allo svolgimento delle loro funzioni e attività istituzionali;
3. schede per ogni tipo di trattamento rilevato.

1) Testo del Regolamento per il trattamento dei dati personali sensibili e giudiziari.
Il Regolamento consta di cinque articoli.
Nell'articolo 1 viene esplicitato l'oggetto del Regolamento: la ricognizione viene fatta esclusivamente per i dati sensibili e giudiziari, ex articoli 20 e 21 del D.Lgs. n. 196/2003.
La necessità di individuare, con Regolamento del titolare, i tipi di dati e le operazioni eseguibili per ogni singolo trattamento si ha soltanto nel momento in cui la legge o il provvedimento del Garante che autorizzano il trattamento per rilevanti finalità di interesse pubblico non li indicano (in questo senso vanno intese le specifiche di cui alle lettere a, b, c dell'articolo 1 del Regolamento).
In caso contrario, il trattamento esula dall'oggetto del presente Regolamento.
Nell'articolo 2 si precisa che si applicano le definizioni contenute nell'articolo 4 del D.Lgs. n. 196/2003 e che i trattamenti oggetto del Regolamento devono riferirsi allo svolgimento di attività che sono state riconosciute espressamente di "rilevante interesse pubblico" dal D.Lgs. n. 196/2003 o da altro Provvedimento del Garante o dalla specifica legge di riferimento.
Nel caso in cui l'attività non rientri in tali tipologie è necessario preventivamente richiedere al Garante il riconoscimento della finalità di rilevante interesse pubblico (articolo 20, comma 3).
Nell'articolo 3 viene effettuato il richiamo alle singole schede allegate, ciascuna delle quali indica per ogni trattamento: le fonti normative ed altre fonti istitutive, la finalità del trattamento, i tipi di dati, le operazioni eseguibili, la descrizione del trattamento ed il flusso informativo.
Nell'articolo 4 si precisa che il Regolamento viene aggiornato e integrato periodicamente nell'identificazione dei tipi di dati e di operazioni eseguibili. Di conseguenza anche le schede allegate vengono aggiornate e integrate.
Nell'articolo 5 viene indicato che il Regolamento è pubblicato sul Bollettino Ufficiale della Regione del Veneto, come previsto dall'articolo 20, comma 2 del D.Lgs. n. 196/2003, e reso disponibile anche in Internet, nel sito WEB del Consiglio regionale.

2) Elenco dei trattamenti di dati sensibili e giudiziari effettuati da parte delle strutture organizzative del Consiglio regionale e da parte del Consiglio, degli Organi consiliari e loro membri in relazione, per questi ultimi, allo svolgimento delle loro funzioni e attività istituzionali.
Dalla ricognizione compiuta è emerso che vengono effettuati n. 10 trattamenti relativi ai dati sensibili e giudiziari.

3) Schede per ogni tipo di trattamento rilevato.
Per ogni trattamento compreso nell'Elenco è stata compilata la relativa scheda, nella quale vengono specificati le fonti normative ed altre fonti istitutive, la finalità del trattamento, i tipi di dati, le operazioni eseguibili ed inoltre la descrizione del trattamento ed il flusso informativo.

La Prima Commissione consiliare ha esaminato il provvedimento oggi al vostro esame nella seduta del 6 dicembre 2005 e l'ha approvato a maggioranza avendo espresso voto favorevole i rappresentanti dei gruppi consiliari FI, AN, LV-LN-P, UDC, Uniti nell'Ulivo-DS (con delega Uniti per Carraro), Misto, Progetto Nordest, Rifondazione Comunista-SE, mentre si è astenuto il rappresentante del gruppo consiliare Uniti nell'Ulivo-La Margherita.


3. Note agli articoli
Nota all'articolo 1
- Il testo degli artt. 20 e 21 del decreto legislativo n. 196/2003 è il seguente:
"20. Princìpi applicabili al trattamento di dati sensibili.
1. Il trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge nella quale sono specificati i tipi di dati che possono essere trattati e di operazioni eseguibili e le finalità di rilevante interesse pubblico perseguite.
2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei princìpi di cui all'articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell'articolo 154, comma 1, lettera g), anche su schemi tipo.
3. Se il trattamento non è previsto espressamente da una disposizione di legge i soggetti pubblici possono richiedere al Garante l'individuazione delle attività, tra quelle demandate ai medesimi soggetti dalla legge, che perseguono finalità di rilevante interesse pubblico e per le quali è conseguentemente autorizzato, ai sensi dell'articolo 26, comma 2, il trattamento dei dati sensibili. Il trattamento è consentito solo se il soggetto pubblico provvede altresì a identificare e rendere pubblici i tipi di dati e di operazioni nei modi di cui al comma 2.
4. L'identificazione dei tipi di dati e di operazioni di cui ai commi 2 e 3 è aggiornata e integrata periodicamente.".
"21. Princìpi applicabili al trattamento di dati giudiziari.
1. Il trattamento di dati giudiziari da parte di soggetti pubblici è consentito solo se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalità di rilevante interesse pubblico del trattamento, i tipi di dati trattati e di operazioni eseguibili.
2. Le disposizioni di cui all'articolo 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.".

Nota all'articolo 2
- Il testo dell'art. 4 del decreto legislativo n. 196/2003 è il seguente:
"4. Definizioni.
1. Ai fini del presente codice si intende per:
a) «trattamento», qualunque operazione o complesso di operazioni, effettuati anche senza l'ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l'organizzazione, la conservazione, la consultazione, l'elaborazione, la modificazione, la selezione, l'estrazione, il raffronto, l'utilizzo, l'interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati;
b) «dato personale», qualunque informazione relativa a persona fisica, persona giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale;
c) «dati identificativi», i dati personali che permettono l'identificazione diretta dell'interessato;
d) «dati sensibili», i dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale;
e) «dati giudiziari», i dati personali idonei a rivelare provvedimenti di cui all'articolo 3, comma 1, lettere da a) a o) e da r) a u), del D.P.R. 14 novembre 2002, n. 313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale;
f) «titolare», la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;
g) «responsabile», la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;
h) «incaricati», le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;
i) «interessato», la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;
l) «comunicazione», il dare conoscenza dei dati personali a uno o più soggetti determinati diversi dall'interessato, dal rappresentante del titolare nel territorio dello Stato, dal responsabile e dagli incaricati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
m) «diffusione», il dare conoscenza dei dati personali a soggetti indeterminati, in qualunque forma, anche mediante la loro messa a disposizione o consultazione;
n) «dato anonimo», il dato che in origine, o a seguito di trattamento, non può essere associato ad un interessato identificato o identificabile;
o) «blocco», la conservazione di dati personali con sospensione temporanea di ogni altra operazione del trattamento;
p) «banca di dati», qualsiasi complesso organizzato di dati personali, ripartito in una o più unità dislocate in uno o più siti;
q) «Garante», l'autorità di cui all'articolo 153, istituita dalla legge 31 dicembre 1996, n. 675.
2. Ai fini del presente codice si intende, inoltre, per:
a) «comunicazione elettronica», ogni informazione scambiata o trasmessa tra un numero finito di soggetti tramite un servizio di comunicazione elettronica accessibile al pubblico. Sono escluse le informazioni trasmesse al pubblico tramite una rete di comunicazione elettronica, come parte di un servizio di radiodiffusione, salvo che le stesse informazioni siano collegate ad un abbonato o utente ricevente, identificato o identificabile;
b) «chiamata», la connessione istituita da un servizio telefonico accessibile al pubblico, che consente la comunicazione bidirezionale in tempo reale;
c) «reti di comunicazione elettronica», i sistemi di trasmissione, le apparecchiature di commutazione o di instradamento e altre risorse che consentono di trasmettere segnali via cavo, via radio, a mezzo di fibre ottiche o con altri mezzi elettromagnetici, incluse le reti satellitari, le reti terrestri mobili e fisse a commutazione di circuito e a commutazione di pacchetto, compresa Internet, le reti utilizzate per la diffusione circolare dei programmi sonori e televisivi, i sistemi per il trasporto della corrente elettrica, nella misura in cui sono utilizzati per trasmettere i segnali, le reti televisive via cavo, indipendentemente dal tipo di informazione trasportato;
d) «rete pubblica di comunicazioni», una rete di comunicazioni elettroniche utilizzata interamente o prevalentemente per fornire servizi di comunicazione elettronica accessibili al pubblico;
e) «servizio di comunicazione elettronica», i servizi consistenti esclusivamente o prevalentemente nella trasmissione di segnali su reti di comunicazioni elettroniche, compresi i servizi di telecomunicazioni e i servizi di trasmissione nelle reti utilizzate per la diffusione circolare radiotelevisiva, nei limiti previsti dall'articolo 2, lettera c), della direttiva 2002/21/CE del 7 marzo 2002, del Parlamento europeo e del Consiglio;
f) «abbonato», qualunque persona fisica, persona giuridica, ente o associazione parte di un contratto con un fornitore di servizi di comunicazione elettronica accessibili al pubblico per la fornitura di tali servizi, o comunque destinatario di tali servizi tramite schede prepagate;
g) «utente», qualsiasi persona fisica che utilizza un servizio di comunicazione elettronica accessibile al pubblico, per motivi privati o commerciali, senza esservi necessariamente abbonata;
h) «dati relativi al traffico», qualsiasi dato sottoposto a trattamento ai fini della trasmissione di una comunicazione su una rete di comunicazione elettronica o della relativa fatturazione;
i) «dati relativi all'ubicazione», ogni dato trattato in una rete di comunicazione elettronica che indica la posizione geografica dell'apparecchiatura terminale dell'utente di un servizio di comunicazione elettronica accessibile al pubblico;
l) «servizio a valore aggiunto», il servizio che richiede il trattamento dei dati relativi al traffico o dei dati relativi all'ubicazione diversi dai dati relativi al traffico, oltre a quanto è necessario per la trasmissione di una comunicazione o della relativa fatturazione;
m) «posta elettronica», messaggi contenenti testi, voci, suoni o immagini trasmessi attraverso una rete pubblica di comunicazione, che possono essere archiviati in rete o nell'apparecchiatura terminale ricevente, fino a che il ricevente non ne ha preso conoscenza.
3. Ai fini del presente codice si intende, altresì, per:
a) «misure minime», il complesso delle misure tecniche, informatiche, organizzative, logistiche e procedurali di sicurezza che configurano il livello minimo di protezione richiesto in relazione ai rischi previsti nell'articolo 31;
b) «strumenti elettronici», gli elaboratori, i programmi per elaboratori e qualunque dispositivo elettronico o comunque automatizzato con cui si effettua il trattamento;
c) «autenticazione informatica», l'insieme degli strumenti elettronici e delle procedure per la verifica anche indiretta dell'identità;
d) «credenziali di autenticazione», i dati ed i dispositivi, in possesso di una persona, da questa conosciuti o ad essa univocamente correlati, utilizzati per l'autenticazione informatica;
e) «parola chiave», componente di una credenziale di autenticazione associata ad una persona ed a questa nota, costituita da una sequenza di caratteri o altri dati in forma elettronica;
f) «profilo di autorizzazione», l'insieme delle informazioni, univocamente associate ad una persona, che consente di individuare a quali dati essa può accedere, nonché i trattamenti ad essa consentiti;
g) «sistema di autorizzazione», l'insieme degli strumenti e delle procedure che abilitano l'accesso ai dati e alle modalità di trattamento degli stessi, in funzione del profilo di autorizzazione del richiedente.
4. Ai fini del presente codice si intende per:
a) «scopi storici», le finalità di studio, indagine, ricerca e documentazione di figure, fatti e circostanze del passato;
b) «scopi statistici», le finalità di indagine statistica o di produzione di risultati statistici, anche a mezzo di sistemi informativi statistici;
c) «scopi scientifici», le finalità di studio e di indagine sistematica finalizzata allo sviluppo delle conoscenze scientifiche in uno specifico settore.".


4. Struttura di riferimento
Direzione per i rapporti e le attività istituzionali del Consiglio regionale