PROTEZIONE DATI PERSONALI – DATI SENSIBILI E GIUDIZIARI – REGOLAMENTO – LEGGE 20/02/2006 n.82
COMMISSIONE
NAZIONALE PER LE SOCIETA’ E LA BORSA
DELIBERAZIONE8 febbraio 2006
(pubblicata
nella Gazzetta Ufficiale n. 60 del 13 marzo 2006)
ADOZIONE DEL
REGOLAMENTO RECANTE L’INDIVIDUAZIONE DEI TIPI DI DATI SENSIBILI E GIUDIZIARI E
DI OPERAZIONI ESEGUIBILI AI SENSI DELL’ARTICOLO 20, COMMA 2, E DELL’ARTICOLO 21,
COMMA 2, DEL DECRETO LEGISLATIVO 30 GIUGNO 2003, N. 196, CODICE IN MATERIA DI
PROTEZIONE DEI DATI PERSONALI (Deliberazione n. 15318)
La Commissione Nazionale per le società e la borsa
Vista la legge 7 giugno 1974, n. 216, conversione in legge, con modificazioni,
del decreto-legge 8 aprile 1974, n. 95, recante disposizioni relative al mercato
mobiliare ed al trattamento fiscale dei titoli azionari, e successive
modificazioni ed, in particolare, l’articolo 1, comma 8, del citato
decreto-legge 8 aprile 1974, n. 95, ai sensi del quale la Commissione delibera
le norme concernenti la propria organizzazione ed il proprio funzionamento;
Visto il decreto legislativo 24 febbraio 1998, n. 58, testo unico delle
disposizioni in materia di intermediazione finanziaria, ai sensi degli articoli
8 e 21 della legge 6 febbraio 1996, n. 52;
Visto il Regolamento di organizzazione e funzionamento dell’Istituto, adottato
con delibera n. 8674 del 17 novembre 1994, resa esecutiva con decreto del
Presidente del Consiglio dei Ministri del 25 novembre 1994;
Visto il regolamento del personale della CONSOB, approvato con delibera n. 13859
del 4 dicembre 2002, resa esecutiva con decreto del Presidente del Consiglio dei
Ministri del 30 dicembre 2002;
Visto il regolamento per l’amministrazione e la contabilità della Commissione
nazionale per le società e la borsa, adottato con delibera n. 10359 dell’11
dicembre 1996 e reso esecutivo con decreto del Presidente del Consiglio dei
Ministri del 21 gennaio 1997;
Visto l’articolo 20, comma 1, del decreto legislativo 30 giugno 2003, n. 196,
Codice in materia di protezione dei dati personali, ai sensi del quale il
trattamento dei dati sensibili da parte di soggetti pubblici è consentito solo
se autorizzato da espressa disposizione di legge nella quale sono specificati i
tipi di dati che possono essere trattati e di operazioni eseguibili e le
finalità di rilevante interesse pubblico perseguite, e l’articolo 20, comma 2,
del medesimo decreto, ai sensi del quale nei casi in cui una disposizione di
legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di
dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in
riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura
dei soggetti che ne effettuano il trattamento, in relazione alle specifiche
finalità perseguite nei singoli casi e nel rispetto dei principi di cui
all’articolo 22, con atto di natura regolamentare adottato in conformità al
parere espresso dal Garante per la protezione dei dati personali ai sensi
dell’articolo 154, comma 1, lettera g), del medesimo decreto;
Visto l’articolo 21, comma 1, del sopra citato decreto legislativo 30 giugno
2003, n. 196, ai sensi del quale il trattamento di dati giudiziari da parte di
soggetti pubblici è consentito solo se autorizzato da espressa disposizione di
legge o provvedimento del Garante che specifichi le finalità di rilevante
interesse pubblico del trattamento, i tipi di dati trattati e di operazioni
eseguibili, e l’articolo 21, comma 2, del medesimo decreto, ai sensi del quale
la disposizione dell’articolo 20, comma 2, si applica anche al trattamento dei
dati giudiziari;
Vista la Parte II del medesimo decreto legislativo 30 giugno 2003, n. 196,
intitolata «Disposizioni relative a specifici settori», nella quale sono
indicate finalità di rilevante interesse pubblico che rendono ammissibile il
trattamento di dati sensibili e giudiziari da parte di soggetti pubblici;
Visto il provvedimento del Garante per la protezione dei dati personali in data
21 dicembre 2005 recante autorizzazione n. 7/2005 al trattamento dei dati a
carattere giudiziario da parte di privati, di enti pubblici economici e di
soggetti pubblici;
Ravvisata la necessità di provvedere all’individuazione dei tipi di dati
sensibili e giudiziari e di operazioni eseguibili, ai sensi dell’articolo 20,
comma 2, e dell’articolo 21, comma 2, del decreto legislativo 30 giugno 2003, n.
196, nell’ambito dei trattamenti di dati personali effettuati per le finalità
di interesse pubblico individuate dalla legge;
Ritenuto di individuare analiticamente nelle tabelle allegate le operazioni
effettuate dalla Consob che possono spiegare effetti maggiormente significativi
per l’interessato, con particolare riguardo alle operazioni di comunicazione a
terzi, di diffusione e di trasferimento di dati personali all’estero ai sensi
dell’articolo 43 del decreto legislativo 30 giugno 2003, n. 196;
Ritenuto, altresi’, di indicare sinteticamente anche le operazioni ordinarie che
la Consob deve necessariamente svolgere per perseguire le finalità di rilevante
interesse pubblico individuate dalla legge (operazioni di raccolta,
registrazione, organizzazione, conservazione, consultazione, elaborazione,
modificazione, selezione, estrazione, utilizzo, blocco, cancellazione e
distruzione);
Considerato che per quanto concerne tutti i trattamenti di cui alle allegate
tabelle è stato verificato il rispetto dei principi e delle garanzie previste
dall’articolo 22 del decreto legislativo 30 giugno 2003, n. 196, con particolare
riferimento alla pertinenza, non eccedenza e indispensabilità dei dati
sensibili e giudiziari utilizzati rispetto alle finalità perseguite,
all’indispensabilità delle predette operazioni per il perseguimento delle
finalità di rilevante interesse pubblico individuate dalla legge, nonchè
all’esistenza di fonti normative idonee a rendere lecite le medesime operazioni
o, ove richiesta, all’indicazione scritta dei motivi;
In conformità al parere favorevole espresso in data 15 dicembre 2005 dal
Garante per la protezione dei dati personali, ai sensi dagli articoli 20, comma
2, 21, comma 2, e 154, comma 1, lettera g), del decreto legislativo 30 giugno
2003, n. 196;
Delibera:
E’ adottato il regolamento recante l’individuazione dei tipi di dati sensibili e
giudiziari e di operazioni eseguibili ai sensi dell’articolo 20, comma 2, e
dell’articolo 21, comma 2, del decreto legislativo 30 giugno 2003, n. 196,
Codice in materia di protezione dei dati personali. Il regolamento consta di 4
articoli e di 10 tabelle allegate.
La presente delibera e l’annesso Regolamento saranno trasmessi alla Presidenza
del Consiglio dei Ministri per gli adempimenti di competenza e saranno
pubblicati nel bollettino della Consob e nella Gazzetta Ufficiale della
Repubblica italiana.
REGOLAMENTO RECANTE L’INDIVIDUAZIONE DEI TIPI DI DATI SENSIBILI E GIUDIZIARI E
DI OPERAZIONI ESEGUIBILI AI SENSI DELL’ARTICOLO 20, COMMA 2, E DELL’ARTICOLO 21,
COMMA 2, DEL DECRETO LEGISLATIVO 30 GIUGNO 2003, n. 196, CODICE IN MATERIA DI
PROTEZIONE DEI DATI PERSONALI
Art. 1.
(Ambito applicativo)
Le norme del presente regolamento si applicano ai trattamenti di dati personali
di cui all’articolo 20, comma 2, e all’articolo 21, comma 2, del decreto
legislativo 30 giugno 2003, n. 196, effettuati dalla Consob.
Art. 2.
(Tipi di dati e di operazioni eseguibili)
1. I trattamenti di dati personali di cui all’articolo 1, effettuati per il
perseguimento di finalità di interesse pubblico individuate dalla legge, hanno
ad oggetto i tipi di dati indicati nelle tabelle, contraddistinte dai numeri da
1 a 10, allegate al presente regolamento; dette tabelle individuano le
operazioni eseguibili sui medesimi dati.
2. Le tabelle di cui al comma 1 indicano, per ciascuno dei trattamenti di cui
all’articolo 1:
1) la denominazione del trattamento;
2) la fonte normativa dell’attività istituzionale al cui svolgimento il
trattamento è funzionale;
3) la finalità di rilevante interesse pubblico del trattamento individuata
dalla legge;
4) i tipi di dati sensibili e/o giudiziari trattati;
5) i tipi di operazioni eseguibili;
6) la descrizione del trattamento.
3. Nelle tabelle di cui al comma 1 per «TUF» si intende il decreto legislativo
24 febbraio 1998, n. 58, testo unico delle disposizioni in materia di
intermediazione finanziaria, ai sensi degli articoli 8 e 21 della legge 6
febbraio 1996, n. 52.
Art. 3.
(Pertinenza, completezza e indispensabilità)
1. I dati sensibili e giudiziari individuati dal presente regolamento sono
trattati previa verifica della loro pertinenza, completezza e indispensabilità
rispetto alle finalità perseguite nei singoli casi, specie nel caso in cui la
raccolta non avvenga presso l’interessato.
2. Non possono essere utilizzati i dati trattati in violazione della disciplina
rilevante in materia di trattamento dei dati personali e i dati che, anche a
seguito delle verifiche, risultano eccedenti o non pertinenti o non
indispensabili, salvo che per l’eventuale conservazione, a norma di legge,
dell’atto o del documento che li contiene.
Art. 4.
(Riferimenti normativi)
1. Al fine di assicurare una maggiore semplificazione e leggibilità del
presente regolamento, le disposizioni di legge e di regolamento nonchè le
disposizioni comunitarie individuate sotto la voce «fonte normativa» delle
allegate tabelle si intendono come recanti le successive modifiche ed
integrazioni.