Ufficio Centrale di monitoraggio e coordinamento in materia di protezione dei dati
personali e accesso alle banche dati
Direzione Centrale Organizzazione
Direzione Centrale Risorse Umane
Direzione Centrale Sistemi Informativi e Tecnologici
Roma, 18/06/2015
Circolare n. 123
Ai Dirigenti centrali e periferici
Ai Responsabili delle Agenzie
Ai Coordinatori generali, centrali e
periferici dei Rami professionali
Al Coordinatore generale Medico legale e
Dirigenti Medici
e, per conoscenza,
Al Presidente
Al Presidente e ai Componenti del Consiglio di
Indirizzo e Vigilanza
Al Presidente e ai Componenti del Collegio dei
Sindaci
Al Magistrato della Corte dei Conti delegato
all'esercizio del controllo
Ai Presidenti dei Comitati amministratori
di fondi, gestioni e casse
Al Presidente della Commissione centrale
per l'accertamento e la riscossione
dei contributi agricoli unificati
Ai Presidenti dei Comitati regionali
Ai Presidenti dei Comitati provinciali
Allegati n.2
OGGETTO: Modello organizzativo privacy per l’INPS – Aggiornamento e nuove
disposizioni in attuazione del Codice in materia di protezione dei dati
personali (decreto legislativo 30 giugno 2003, n. 196).
SOMMARIO: Premessa
Principi generali per il trattamento dei dati personali e particolari regole per i
trattamenti
Modello organizzativo privacy in INPS - Soggetti coinvolti nel trattamento dei
dati personali:
Titolare del trattamento
Responsabili del trattamento
Incaricati del trattamento
Responsabili esterni per il trattamento dei dati
Sanzioni
Premessa
A fronte delle nuove competenze che il legislatore ha attribuito all’INPS negli ultimi anni e in
considerazione degli ulteriori trattamenti di dati personali, anche sensibili e giudiziari, acquisiti
a seguito delle intervenute integrazioni con altri Enti previdenziali (in particolare, con l’IPOST,
ai sensi dell’art. 7, co. 2, del decreto legge 31 maggio 2010, n. 78, convertito con
modificazioni in legge 30 luglio 2010, n. 122; con l’INPDAP e l’ENPALS, ai sensi dell’articolo 21
del decreto legge n. 201/2011, convertito in legge n. 214/2011) e del nuovo conseguente
modello organizzativo integrato, l’Istituto è chiamato ad aggiornare la propria governance della
privacy, ridefinendo l’assetto dei ruoli, delle responsabilità, dei compiti attinenti alla protezione
dei dati personali rispetto a quanto era stato delineato con la circolare n. 50 del 2007,
emanata alla luce del d. lgs. n. 196/2003, recante il “Codice in materia di protezione dei dati
personali” (d’ora in avanti soltanto “Codice”).
Principi generali per il trattamento dei dati personali e regole particolari
In attuazione dei principi dettati dal Codice, l’INPS è tenuto ad assicurare la protezione dei dati
personali trattati nell’ambito della propria attività istituzionale. Tali dati, per la maggior parte,
sono conferiti direttamente dagli interessati (utenti, dipendenti, fornitori e quanti altri entrino
in contatto con l’Istituto) oppure possono essere acquisiti presso terzi nei casi di legge. Al fine
predetto, l’INPS adotta tutte le misure tecnologiche, organizzative e logistiche più adeguate a
garantire l’effettivo rispetto delle garanzie e dei principi previsti dal Codice, nonché una
appropriata copertura dei rischi di perdita dell’integrità, della riservatezza e della disponibilità
delle informazioni di cui è in possesso.
Alla luce di quanto sopra, l’Istituto definisce i processi di trattamento dei dati personali in
modo che le operazioni materiali di trattamento dei dati (raccolta, registrazione,
organizzazione, conservazione, consultazione, elaborazione, modificazione, selezione,
estrazione, raffronto, utilizzo, interconnessione, blocco, comunicazione, diffusione,
cancellazione, distruzione) avvengano nel rispetto dei principi generali in materia fissati dal
Codice e da altre leggi, i più rilevanti dei quali, sono qui di seguito sinteticamente descritti:
1. Il diritto alla protezione dei dati personali
Si tratta di una regola fondamentale, secondo la quale ogni individuo ha il diritto che il
trattamento dei suoi dati personali si svolga nel rispetto dei suoi diritti e libertà
fondamentali, nonché della sua dignità, con particolare riferimento alla riservatezza,
all’identità personale e al diritto alla protezione dei dati personali. Nel rispetto di tali
prerogative, pertanto, il trattamento di dati dell’interessato da parte di tutti i soggetti
coinvolti deve avvenire con modalità che assicurino un elevato livello di tutela.
2. Il principio di finalità
È il principio secondo cui la raccolta dei dati deve essere collegata alla finalità perseguita,
che deve essere legittima, determinata e non incompatibile con l’impiego dei dati. In
particolare, per espressa previsione del Codice, qualunque trattamento di dati personali
da parte di soggetti pubblici è consentito soltanto per lo svolgimento delle funzioni
istituzionali.
3. Il principio di necessità nel trattamento dei dati
Tale regola impone che le raccolte e i trattamenti di dati siano limitati alle sole
informazioni necessarie all’attività, in modo da ridurre al minimo l’utilizzo di dati personali
e di dati identificativi; infatti, laddove le stesse finalità possano essere perseguite anche
senza l’uso di dati personali, il trattamento deve riguardare solo dati anonimi oppure
deve essere posto in essere adottando opportune modalità che permettano di identificare
l’interessato solo in caso di necessità.
4. Principio di proporzionalità
Tale principio prevede che una volta riscontrata, osservando il principio di necessità, la
possibilità di trattare dati personali, occorre altresì verificare, in ogni fase del
trattamento, se le singole operazioni siano in concreto pertinenti e non eccedenti le
finalità perseguite.
5. Il principio di liceità e correttezza
E’ la regola che impone al soggetto che agisce sui dati personali che il trattamento posto
in essere sia conforme alla legge e che la raccolta e le altre operazioni avvengano in
modo trasparente per l’interessato e non mediante ricorso ad artifizi e raggiri.
6. Divieto di utilizzo
Il Codice prevede che i dati personali trattati in violazione della disciplina rilevante in
materia di trattamento dei dati personali non possono essere utilizzati.
7. Il principio di prevenzione a tutela dell’integrità del dato e degli abusi
I dati personali oggetto di trattamento devono essere custoditi e controllati, anche in
relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle
specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante
l'adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita,
anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non
consentito o non conforme alle finalità della raccolta.
In coerenza con questi principi fondamentali, il Codice fissa esplicitamente le modalità a cui
devono attenersi tutti i soggetti che, a qualsiasi titolo, compiono materialmente operazioni di
trattamento sulle informazioni che l’Istituto ha a disposizione.
In particolare i dati personali oggetto di trattamento devono essere:
trattati in modo lecito e secondo correttezza;
raccolti e registrati per scopi determinati, espliciti e legittimi, e utilizzati in altre
operazioni del trattamento in termini compatibili con tali scopi;
esatti e, se necessario, aggiornati;
pertinenti, completi e non eccedenti rispetto alle finalità per le quali sono raccolti o
successivamente trattati;
conservati in una forma che consenta l’identificazione dell’interessato per un periodo di
tempo non superiore a quello necessario agli scopi per i quali essi sono stati raccolti o
successivamente trattati.
Il Codice, inoltre, detta specifiche regole di trattamento con riferimento alle diverse tipologie di
dati trattati, a particolari tipi di trattamento oppure, ancora, con riguardo al soggetto Titolare,
differenziando se si tratti di un soggetto pubblico o privato. In tali ambiti, è utile sottolineare
quanto rilevante per l’INPS:
1. Distinzione tra dati comuni e dati sensibili e giudiziari: all’interno della categoria dei dati
personali, riferiti alle sole informazioni relative a persone fisiche (identificate o
identificabili) ai sensi dell’art. 4, comma 1, lettera b) del d.lgs. n. 196/2003 e s.m.i., la
normativa individua in modo specifico i “dati sensibili” e i “dati giudiziari”. Infatti l’art. 4,
comma 1, lettera d) del Codice definisce dati sensibili “i dati personali idonei a rivelare
l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato
di salute e la vita sessuale”. E sempre l’art. 4, comma 1, alla lettera e) del Codice
definisce “dati giudiziari” i dati personali idonei a rivelare provvedimenti iscrivibili nel
casellario giudiziale indicati dall’articolo 3, comma 1, lettere da a) ad o) e da r) ad u) del
d.P.R. del 14 novembre 2002, n. 313, o la qualità di imputato o di indagato ai sensi degli
articolo 60 e 61 del codice di procedura penale.
Rispetto ai dati comuni, il trattamento dei dati sensibili e dei dati giudiziari è sottoposto
ad una specifica disciplina e a particolari cautele sia che avvenga con strumenti elettronici
sia in formato cartaceo, e ciò si riflette anche sulle più rafforzate misure di sicurezza
dettate dalla legge a tutela di tale tipologia di dati. In generale il Codice legittima il
trattamento dei soli dati sensibili e giudiziari indispensabili a svolgere le attività
istituzionali che, caso per caso, non possono essere realizzate mediante il trattamento di
dati anonimi o di dati personali di diversa natura. Inoltre, il Codice impone che il
trattamento dei dati sensibili e giudiziari da parte di un soggetto pubblico debba essere
previsto da espressa disposizione di legge, che indichi i dati che possono essere trattati,
le operazioni eseguibili sugli stessi e le finalità di rilevante interesse pubblico perseguite.
In linea con la normativa di riferimento l’INPS si è dotato di un proprio Regolamento per il
trattamento dei dati sensibili e giudiziari, adottato con deliberazione del Consiglio di
Amministrazione n. 343 del 13 dicembre 2006. Detto Regolamento è reperibile sulla
INTRANET dell’Istituto, alla sezione Direzione generale - Ufficio centrale di monitoraggio e
coordinamento in materia di protezione dei dati personali e accesso alle banche dati –
Documentazione – Documentazione in materia di protezione dei dati personali. Nella
stessa sezione sono pubblicati altresì i Regolamenti afferenti ex INPDAP, ENPALS e
IPOST.
La consultazione dei Regolamenti predetti è utile per gli operatori poiché essi delimitano i
confini del trattamento dei dati sensibili e giudiziari in Istituto; i Regolamenti, infatti,
effettuano una ricognizione alla data odierna di tutte le attività istituzionali dell’INPS che
implicano il trattamento di dati sensibili e, per ciascuna di esse, indicano le disposizioni di
legge che autorizzano il trattamento e individuano le finalità di rilevante interesse
pubblico perseguite dall’Inps, identificando i tipi di dati sensibili e le operazioni eseguibili.
Pertanto, non è consentito effettuare trattamenti di dati sensibili e giudiziari al di fuori
delle ipotesi contemplate nei suddetti Regolamenti e il trattamento eventualmente posto
in essere in violazione dei Regolamenti configura un illecito che può avere conseguenze
penali, civili e amministrative.
Per quanto attiene alle modalità prescritte dall’INPS per effettuare il trattamento di tale
particolare tipologia di dati personali, si rinvia alle istruzioni per gli incaricati di cui
all’Allegato 2 alla presente circolare.
Regola generale, per i dati idonei a rivelare lo stato di salute e la vita sessuale, è che
devono essere conservati separatamente dagli altri dati personali trattati per finalità che
non richiedono il loro utilizzo.
2. Strumenti cartacei e strumenti elettronici: le operazioni di trattamento dei dati personali
possono essere effettuate in forma cartacea (in realtà sempre meno in uso in Istituto)
oppure con l’ausilio di strumenti elettronici e il Codice detta precise regole con riferimento
a ciascuno dei casi per l’adozione di apposite misure di sicurezza volte ad assicurare la
protezione dei dati personali e, quindi, ridurre al minimo i rischi di distruzione o perdita
dei dati stessi, di accessi abusivi o non conformi alle finalità della raccolta. Le istruzioni
operative per entrambi i trattamenti sono contenute nell’Allegato 2 alla presente
circolare.
3. Consenso: ai sensi dell’art. 18, comma 4, del Codice, l’INPS, in quanto soggetto pubblico,
agisce senza il consenso degli interessati, rendendo loro, secondo quanto previsto
dall’art. 13 del medesimo testo, una informativa circa le modalità dei trattamenti
effettuati. A tal fine l’Istituto ha predisposto un’informativa generale sul trattamento dei
dati (accessibile dalla home page del sito istituzionale e disponibile presso tutte le Sedi
territoriali aperte al pubblico), nonché informative specifiche relative ai diversi
procedimenti amministrativi, apposte di norma in calce ai moduli di domanda di
prestazioni.
Modello organizzativo privacy in INPS - Soggetti coinvolti nel trattamento dei dati
personali
Come è noto, il Codice individua tre principali figure - il “Titolare del trattamento”, il
“Responsabile del trattamento” e l’ “Incaricato del trattamento” - a diverso titolo e con
differenti responsabilità coinvolte nelle operazioni sui dati personali; alle stesse fanno
riferimento rispettivamente gli articoli 28, 29 e 30 del Codice. Di seguito si rappresenta
l’organizzazione dell’Istituto con riferimento a tali soggetti.
• Titolare del trattamento è l’INPS nel suo complesso.
L'articolo 28 del Codice chiarisce, infatti, che quando il trattamento è effettuato da una
pubblica amministrazione, il Titolare coincide con l'entità giuridica nel suo complesso ovvero
con l'unità o l'organismo periferico che esercita un potere decisionale del tutto autonomo sulle
finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. Pertanto,
l’INPS, a livello centrale, pianifica ed attua le linee strategiche ed organizzative per quanto
attiene al governo dei trattamenti dei dati e ne fissa criteri di attuazione circa la raccolta,
l’utilizzo e l’elaborazione, l’individuazione degli scopi pertinenti e l’implementazione delle
misure di sicurezza.
A questo ampio potere di direzione corrisponde, a norma del Codice, un’articolata serie di
responsabilità ed adempimenti, che investono i rapporti con gli interessati e con il Garante.
• Responsabile del trattamento, a norma dell’art. 29 del Codice, è il soggetto designato dal
Titolare che sovraintende all’intero processo del trattamento dei dati, dalla iniziale acquisizione
fino alla eventuale cessazione o distruzione, sulla base delle istruzioni impartitegli dal Titolare
stesso. In linea con tali funzioni, in Istituto sono designati Responsabili tutti i Direttori delle
strutture di livello dirigenziale (generale e non) centrali e territoriali e i Coordinatori generali
delle attività professionali, relativamente al complesso di attività e alle operazioni svolte
nell’ambito delle unità organizzative di cui sono responsabili.
Nell’attuale assetto organizzativo, ai sensi della determina n. 10 del 2 aprile 2015, in dettaglio,
risultano designati Responsabili i soggetti titolari pro tempore delle seguenti funzioni: Direttori
centrali, dirigenti titolari di funzione di livello dirigenziale generale e di funzioni specifiche
centrali, Coordinatori generali delle attività professionali, titolari degli uffici centrali di supporto
agli organi, Direttori regionali, Direttori provinciali / di Aree Metropolitane e Direttori delle filiali
di coordinamento.
I Responsabili designati, oltre che al rispetto delle prescrizioni del Codice, si attengono alle
istruzioni specificate dal Titolare, a partire da quanto contenuto nell’Allegato 1 alla presente
circolare.
• Incaricato del trattamento, secondo la previsione del Codice, è la persona fisica che esegue
materialmente le operazioni di trattamento dei dati, con l’ausilio di strumenti informatici e/o
mediante supporti cartacei, sotto la diretta autorità del Titolare o del Responsabile.
L’INPS, in considerazione della complessità della propria organizzazione e del rilevante numero
dei dipendenti, applicando il meccanismo della designazione “con modalità semplificata”
previsto dall’articolo 30 del Codice, nomina ciascun dipendente “Incaricato del trattamento dei
dati”, anche sensibili o giudiziari, attraverso “la documentata preposizione della persona fisica
ad una unità per la quale è individuato, per iscritto, l'ambito del trattamento consentito agli
addetti all'unità medesima”.
In tal senso occorre, anzitutto, riferirsi all’ordine di servizio con il quale il Direttore della
struttura di livello dirigenziale di appartenenza, come sopra individuato quale Responsabile del
trattamento, nel disporre l’assegnazione del singolo dipendente ad una unità organizzativa, nel
contempo, nomina, ai sensi della citata norma del Codice, detto dipendente incaricato del
trattamento dei dati personali.
L’ambito del trattamento di dati personali consentito all’operatore incaricato è
specificato e circoscritto attraverso l’individuazione del complesso delle attività
correlate allo svolgimento dell’attività lavorativa all’interno dell’unità organizzativa a
cui è assegnato e, in tale cornice, sono individuati i tipi di dati personali che lo
stesso è abilitato a trattare e le singole operazioni che può eseguire.
Inoltre, anche per fare fronte ai casi in cui siano da disciplinare profili di autorizzazione
trasversali rispetto a più unità funzionali, resta comunque nella facoltà del Direttore della
struttura di livello dirigenziale di individuare puntualmente le possibilità di trattamento
consentite ai dipendenti interessati.
Con le modalità sopra descritte tutti i dipendenti dell’INPS sono nominati, ai sensi e per gli
effetti dell’art. 30 del Codice, Incaricati del trattamento dei dati personali, compresi quelli di
natura sensibile o giudiziaria, necessari allo svolgimento delle attività lavorative alle quali sono
addetti.
Per le materiali operazioni sui dati, ciascuno degli Incaricati deve puntualmente attenersi alle
istruzioni impartite dal Responsabile del trattamento nonché alle più generali istruzioni e linee
guida, valide per tutti gli incaricati del trattamento, indicate in allegato alla presente circolare
(Allegato 2).
• Responsabili esterni. Per lo svolgimento della propria azione amministrativa, l’INPS, con
contratto o mediante convenzione, può affidare l’esercizio di alcune attività, operazioni e
servizi a soggetti esterni che, a tal fine, vengono designati, ai sensi dell’art. 29 del Codice,
quali Responsabili esterni dei trattamenti dei dati.
In tali casi l’INPS mantiene l’autonomia decisionale in qualità di Titolare dei dati ed esercita
l’autorità e il potere di controllo sui trattamenti effettuati dagli outsourcers.
Contestualmente all’atto di nomina a Responsabile esterno, l’Istituto impartisce le istruzioni
alle quali il Responsabile medesimo deve attenersi nell’effettuazione delle operazioni poste in
essere per suo conto e, in ogni caso, poiché mantiene la titolarità dei trattamenti
esternalizzati, è tenuto a vigilare sulla puntuale osservanza delle proprie prescrizioni, anche
tramite verifiche periodiche.
Si fa presente che la normativa prevede che la designazione dei Responsabili (anche esterni)
sia atto del Titolare, dunque dell’INPS nel suo complesso, e, pertanto, in tale ambito è fatta
salva esclusivamente la possibilità di una delega da parte del Presidente alla sola firma degli
atti di nomina per i Responsabili esterni.
Al fine poi di garantire un unitario punto di raccordo e di riferimento nel processo continuo di
adeguamento dell’attività dell’Istituto alle norme contenute nel Codice, è stato istituito, presso
la Direzione generale, l’Ufficio centrale di monitoraggio e coordinamento in materia di
protezione dei dati personali e accesso alle banche dati, con il compito di sovraintendere alla
corretta applicazione della normativa in argomento allo scopo di evitare che un uso improprio
delle informazioni possa recare danno o ledere i diritti, le libertà fondamentali e la dignità delle
persone interessate a cui le stesse si riferiscono. Detto Ufficio coordina l’attività di tutti i
soggetti coinvolti nelle operazioni di trattamento di dati personali e accesso alle banche dati,
assicurando alle questioni di particolare rilievo una specifica trattazione, e, in tali ambiti,
intrattiene a livello unitario i rapporti con il Garante per la protezione dei dati, il Ministero
vigilante e tutti gli altri soggetti pubblici e privati interessati nell’applicazione della normativa in
questione.
Sanzioni
Il Codice prevede illeciti penali, violazioni amministrative e responsabilità civile per danni
collegati ai trattamenti illegittimi di dati o non conformi alla normativa di riferimento.
Molte delle norme in tema di sanzioni si applicano al Titolare, ma è opportuno in questa sede
segnalare che sono previste ipotesi di responsabilità direttamente in capo ai soggetti che
materialmente compiono le operazioni di trattamento dei dati.
Tra gli illeciti penali, si segnala l’articolo 167 del Codice, a norma del quale, chi agisca al fine di
trarne per sé o per altri profitto o di recare ad altri un danno, trattando dati personali in
violazione della normativa, è punito con pene detentive che possono arrivare anche a tre anni
di reclusione.
Per quel che concerne la responsabilità civile per danni, il Codice, all’articolo 15, dispone che
chiunque cagioni “danno ad altri per effetto del trattamento di dati personali è tenuto al
risarcimento ai sensi dell'articolo 2050 del codice civile” e che “il danno non patrimoniale è
risarcibile anche in caso di violazione dell'articolo 11”.
In tale ambito, pertanto, il trattamento dei dati personali è qualificato come attività pericolosa
ai sensi dell’art. 2050 c.c. ed è da evidenziare come ciò comporti un’inversione dell'onere della
prova nell'azione risarcitoria.
La presente circolare e le istruzioni allegate, che abrogano le precedenti disposizioni dettate
dall’Istituto in materia, devono essere notificate, con le consuete modalità, a tutto il personale,
ai collaboratori a qualsiasi titolo, ai membri dei comitati centrali e periferici e notificate al
personale assente dal servizio per periodi di lunga durata mediante raccomandata con avviso
di ricevimento.
Il Direttore Generale
Cioffi
