Seminario
NORMATIVA SUL TRATTAMENTO DEI DATI PERSONALI –
PROGRAMMA STATISTICO NAZIONALE: PROBLEMI E
OPPORTUNITA’
I trattamenti di dati personali in ambito Sistan
Maria Rosaria Simeone (Istat)
1
A partire dal 1 gennaio 2004
I TRATTAMENTO DI DATI PERSONALI
SVOLTI DA SOGGETTI CHE FANNO PARTE DEL
SISTAN
sono disciplinati da:
 CODICE IN MATERIA DI PROTEZIONE DEI DATI
PERSONALI – T.U. (in particolare artt. da 104 a 107).
 DECRETO LEGISLATIVO 6.9.1989, n. 322 (in particolare
art. 6-bis e 9).
 CODICE DI DEONTOLOGIA E BUONA CONDOTTA PER IL
SISTAN (G. U. n. 230 del 1.10.2002).
2
LE REGOLE “SPECIALI” DETTATE PER IL SISTAN
si applicano ai trattamenti di dati personali effettuati:
a) da enti e uffici
di statistica che
fanno parte del
Sistan;
 per rilevazioni comprese nel PSN
b) da altre strutture della medesima
amministrazione
(ipotesi del tutto
eccezionale)

 per la produzione di statistiche “proprie”
per rilevazioni comprese nel PSN
(purché l’ufficio di statistica
attesti le metodologie
adottate)
3
PRESUPPOSTI
Perché l’avvio di un trattamento di dati
personali sia legittimo devono coesistere due
condizioni:
1. IL PERSEGUIMENTO DEGLI SCOPI PREVISTI DAL
D.LGS. N. 322/89 O DA ALTRA LEGGE;
2. L’IMPOSSIBILITA’ DI RAGGIUNGERE I MEDESIMI
SCOPI CON L’IMPIEGO DI DATI ANONIMI.
4
PROGETTAZIONE DELL’INDAGINE_
LE SCELTE SU
ORGANIZZAZIONE,
CONTENUTO E
MODALITA’ DELLA
RILEVAZIONE
CONDIZIONANO LA
CORRETTEZZA E LA
LICEITA’ DELLE
SUCCESSIVE FASI DEL
TRATTAMENTO
5
I SOGGETTI DEL TRATTAMENTO
1.
COMPITI E RESPONSABILITA’
- RESPONSABILE/I DEL TRATTAMENTO
(interni o esterni all’amministrazione);
- INCARICATI DEL TRATAMENTO
(interni o esterni all’amministrazione)
6
L’OGGETTO DEL TRATTAMENTO
1. I DATI RACCOLTI DIRETTAMENTE
PRESSO IMPRESE,ISTITUZIONI,
PERSONE FISICHE
Profili rilevanti
- rapporto con soggetti esterni
-
incaricati
della rilevazione (pubblici o privati)
selezione e formazione dei rilevatori
7
(segue)
2. I DATI IN PRECEDENZA
RACCOLTI PER ALTRI SCOPI
(statistici o di diversa
natura)
8
COMPATIBILITÀ’
fra gli scopi inizialmente perseguiti
e i successivi trattamenti statistici
-
è affermata in via generale all’art. 99 del T.U.
(“Compatibilità tra scopi e durata del trattamento”)
si desume inoltre dall’ all’art. 16 del T.U.
(“Cessazione del trattamento”)
9
Accesso agli archivi amministrativi
(art. 6 del 322/89)
Gli uffici di statistica del Sistan:
 hanno accesso a tutti i dati in possesso dell’amministrazione
di appartenenza per l’espletamento dei propri compiti, ad
eccezione dei dati coperti da segreto in base ad espressa
disposizione di legge e di quelli che l’amministrazione ritenga
di assoggettare a vincolo di riservatezza (commi 3 e 5);
 sono tenuti a fornire ad altri uffici di statistica che ne facciano
richiesta i dati per l’attuazione del PSN relativi alla propria
amministrazione (comma 1 lett. b);
(Al di fuori del PSN la comunicazione di dati amministrativi
può avvenire soltanto nell’ambito della procedura di cui all’art.
19 del T.U.)
N.B. L’Istat ha accesso a tutti gli archivi detenuti da enti pubblici
o soggetti a controllo pubblico (art.8 della legge n.681/96).
10
NOTIFICAZIONE
Dal 1.1.2004 l’obbligo di notifica al Garante è limitato ai
casi di particolare delicatezza di cui all’art. 37 del T.U. e al
provvedimento del Garante del 31 marzo 2004.
Non vi rientrano i trattamenti a fini statistici
Il TRATTAMENTO NON
ERA SOGGETTO
A NOTIFICAZIONE
ERA SOGGETTO A
NOTIFICAZIONE
SEMPLIFICATA
se compreso nel PSN o in altri atti di
programmazione statistica previsti
dalla legge
in tutti gli altri casi
11
CONSENSO
DELL’INTERESSATO
(diverso da obbligo di risposta)
NON E’ RICHIESTO
per i trattamenti a scopi
scientifici o statistici
(v. “T.U.” art. 24, lett. i))
N. B. Norma rilevante solo per i
privati che fanno parte del Sistan
I soggetti pubblici Sistan già
godevano di questa prerogativa (v.
artt. 18 e segg. del “T.U.”- già art.
27 della legge 675/96: i soggetti
pubblici possono trattare dati
personali per lo svolgimento delle
loro funzioni istituzionali nei limiti
fissati da leggi o regolamenti senza
bisogno del consenso) .
12
INFORMATIVA
ALL’INTERESSATO
 oltre alle informazioni di cui all’art. 13 del “T.U.” (già art.
10 l. 675) i soggetti Sistan avvertono l’interessato che i dati
da lui forniti possono essere utilizzati anche per successivi
ulteriori trattamenti all’interno del Sistan;
L’art. 6 del
codice deontologico  se i dati non sono raccolti presso l’interessato,
l’informativa, ove eccessivamente onerosa, si considera
stabilisce che
resa se il trattamento è incluso nel PSN o è oggetto di
pubblicità nelle forme da comunicare preventivamente al
Garante ove;
 è possibile differire l’informativa (es: teapia cieca);
 l’informativa può essere resa al soggetto che risponde
in nome e per conto dell’interessato (familiare,
convivente).
13
I DATI PERSONALI
1. DI REGOLA SONO RESI ANONIMI DOPO LA
RACCOLTA O AL TERMINE DEL TRATTAMENTO
2. POSSONO
ESSERE
CONSERVATI
solo se idonei ad ulteriori
trattamenti statistici
in forma personale
14
IN TALI CASI
I DATI
IDENTIFICATIVI
DEVONO ESSERE CONSERVATI
SEPARATAMENTE
DALLE ALTRE INFORMAZIONI
(a meno che ciò -in base ad atto motivato per iscritto- risulti
impossibile per le particolari caratteristiche del
trattamento o richieda l’impiego di mezzi sproporzionati)
15
Un problema connesso
LA DISTRUZIONE DEI QUESTIONARI DI
RILEVAZIONE
DEVE AVVENIRE NEL RISPETTO DELLE NORME CHE
REGOLANO LO SCARTO DEI DOCUMENTI D’ARCHIVIO
(art. 21, comma 1, lett. d, del d. lgs. n. 41 del 2004)
16
I DATI PERSONALI
POSSONO
ESSERE
DIFFUSI
solo in forma aggregata in modo che non
si possa risalire alla persona a cui i dati
si riferiscono, con l’impiego di mezzi
ragionevoli *
Eccezioni:
 Variabili pubbliche
 Variabili disaggregate espressamente
indicate nel PSN
* N.B. il rischio di identificazione va
valutato sulla base dei criteri indicati agli
artt. 3 e 4 del codice deontologico
17
I DATI PERSONALI PRIVI DI DATI IDENTIFICATIVI
* art. 10,c.5 d.lgs.281/99)
art. 4, lett. c) del “T.U.” (già
POSSONO ESSERE
COMUNICATI
( art. 8 del codice
deontologico)
AD ALTRI SOGGETTI SISTAN per scopi
statistici determinati rientranti nelle
finalità del 322 o di altra legge (art.6 bis,
c.4, del d.lgs. 322/89), nel rispetto del
principio di pertinenza e non eccedenza)
( direttiva COMSTAT)
(N.B: il codice deontologico prevede la
possibilità di trasmettere, in via
eccezionale, anche i dati identificativi
indispensabili per particolari trattamenti)
18
I DATI PERSONALI PRIVI DI DATI IDENTIFICATIVI
*
POSSONO
ESSERE
COMUNICATI
A organismi
comunitari
e
internazionali
in
base
a
regolamenti, atti normativi, accordi
internazionali
19
DATI PERSONALI
(privi di dati identificativi)
COMUNICAZIONE A TERZI ESTRANEI AL SISTAN
(per fini di ricerca)
1. sotto forma di collezioni campionarie di dati individuali, che garantiscano
comunque la non identificabilità dell’interessato;
2. in appositi laboratori di analisi di microdati (in Istat ADELE);
3. nell’ambito di progetti congiunti, previa stipula di protocolli
di ricerca (v. art. 7 del codice deontologico)
20
I SOGGETTI SISTAN DEVONO PREDISPORRE LE
MISURE VOLTE A CONSENTIRE
ALL’INTERESSATO
L’ESERCIZIO DEI
DIRITTI PREVISTI
DALL’ART. 7 DEL
T.U.
(salvo che ciò risulti
impossibile o richieda
l’impiego di mezzi
manifestamente
sproporzionati )
I
N
O
G
N
I
C
A
S
O
“ L’aggiornamento, la rettificazione o
l’integrazione dei dati sono annotati
senza modificare questi ultimi
qualora il risultato di tali operazioni
non produca effetti significativi
sull’analisi statistica o sui risultati
statistici” (art.6 bis del d.lgs.322/89).
N.B. Non si procede alla variazione dei dati
se le modifiche richieste contrastano con le
classificazioni e le metodologie statistiche
adottate sulla base di norme internazionali,
comunitarie e nazionali
21
(segue)
PER L’ESERCIZIO DI TALI DIRITTI
 Non sono previste particolari modalita’.
 Non è richiesta alcuna motivazione.
 L’interessato e’ tenuto unicamente a:
 DIMOSTRARE LA PROPRIA IDENTITÀ PERSONALE
 Il titolare non è tenuto a rilasciare copia degli atti ma a:
 ESTRARRE DAI PROPRI ARCHIVI LE INFORMAZIONI
ANALITICHE CHE RIGUARDANO L’INTERESSATO.
 RENDERLE INTELLEGIBILI.
 DARE TEMPESTIVO RISCONTRO, ANCHE NEGATIVO,
ALL’INTERESSATO
22
DATI SENSIBILI e DATI GIUDIZIARI
possono essere trattati
A) DAI SOGGETTI PUBBLICI Sistan
•SENZA AUTORIZZAZIONE DEL GARANTE;
•SENZA CONSENSO SCRITTO DELL’INTERESSATO.
(L’attività statistica da essi svolti è riconosciuta, infatti, “di rilevante interesse
pubblico” dall’art. 98, lett. b) del “T.U.” (già art. 22 del d.lgs n. 135/99)
P
U
R
C
H
E’
 il P.S.N. (v. art. 6 bis 322/89)
 o un regolamento (v. art. 20, c. 2, e art. 181 c. 1, lett. a)
del codice- termine ultimo 30.9.2004)
specifichino:
a) i tipi di dati da trattare;
b) le rilevazioni per le quali i dati sono trattati;
c) le modalità del trattamento.
23
DATI SENSIBILI e DATI GIUDIZIARI
possono essere trattati
B) DAI SOGGETTI PRIVATI Sistan (l. n.125/98)
purché coesistano le seguenti condizioni:
- autorizzazione del Garante o inserimento nel PSN (che è adottato
“sentito” il Garante);
- consenso dell’interessato espresso in forma scritta, o
documentato per iscritto;
- separazione dei dati identificativi già al momento della raccolta
(salvo che ciò risulti irragionevole o richieda uno sforzo
sproporzionato)
24
Ai sensi dell’art. 7, comma 2, del 322/89
L’ OBBLIGO DI RISPOSTA
non sussiste
per
 DATI SENSIBILI (art. 20 “codice”)
e
 DATI GIUDIZIARI (art. 21 “codice”)
25
Per custodire e controllare in concreto i dati personali
MISURE DI SICUREZZA
complesso di misure
tecniche,informatiche, organizzative, logistiche e procedurali
idonee a prevenire e ridurre al minimo il rischio di:
 DISTRUZIONE O PERDITA DEI DATI
 ACCESSO NON AUTORIZZATO O TRATTAMENTO NON
CONSENTITO
(art.31 “T.U.”- già art. 15 l. 675/96)
26
MISURE MINIME DI SICUREZZA
(livello minimo di protezione)
(artt.33- 36 del T.U.)
Gli standard minimi, già fissati nel D.P.R. n. 318/99, sono stati
adeguati con il disciplinare tecnico allegato al “T.U.”.
Termine ultimo per l’adeguamento 30.6.2004. Proroga fino al
31.12.2004 per obiettive ragioni tecniche dichiarate entro il
31.12.2003
( il documento programmatico per la sicurezza -prescritto
per i dati sensibili e giudiziari - va in ogni caso redatto
entro il 30.6.2004)
N.B. La mancata adozione delle misure minime è punita con
l’arresto fino a 2 anni o con l’ammenda da 10.000 a 50.000 euro.
27
Ravvedimento operoso estingue reato (art. 169 del “T.U.”).
28