Il Consiglio regionale ha approvato
IL PRESIDENTE DELLA GIUNTA REGIONALE

Promulga la seguente legge

ARTICOLO 1
(Oggetto)

1. Il Consiglio regionale autorizza la Giunta regionale, ai sensi dell’articolo 70, comma 2, lett. j) dello Statuto regionale, ad adottare il regolamento regionale concernente il trattamento dei dati sensibili e giudiziari che possono essere trattati in ragione del perseguimento delle finalità di rilevante interesse pubblico di competenza dei soggetti pubblici di cui all’articolo 3, ai sensi degli articoli 20, comma 2 e 21, comma 2 del decreto legislativo 30 giugno 2003, n. 196.
2. Il regolamento regionale di cui al comma 1 conforma il trattamento dei dati
sensibili e giudiziari di cui all’articolo 2, ai principi contenuti nell’articolo 22 del d.lgs 196/2003.

ARTICOLO 2
(Trattamento dei dati)

1. Il regolamento regionale di cui all’articolo 1, individua:
a) i tipi di dati che i soggetti di cui all’articolo 3 possono trattare;
b) i tipi di operazioni eseguibili sui dati di cui alla lettera a).
2. L’identificazione dei dati e delle operazioni di cui al comma 1 è aggiornata e integrata periodicamente dalla Giunta regionale.

ARTICOLO 3
(Applicazione)

1. Il regolamento di cui all’articolo 1 si applica nei confronti della Giunta regionale, degli enti e delle agenzie regionali ivi comprese le aziende sanitarie, e degli altri soggetti pubblici per i quali la Regione esercita poteri di indirizzo e controllo.
Formula Finale:
La presente legge è dichiarata urgente ai sensi dell’articolo 38, comma 1 dello Statuto regionale ed entra in vigore il giorno successivo a quello della sua pubblicazione.
La presente legge regionale sarà pubblicata nel Bollettino Ufficiale della Regione.
È fatto obbligo a chiunque spetti di osservarla e di farla osservare come legge della Regione Umbria.
Data a Perugia, 2 maggio 2006
LORENZETTI

NOTE
Nota al titolo della legge:
? Si riporta il testo degli artt. 20, comma 2 e 21, comma 2 del decreto legislativo 30 giugno 2003, n. 196, recante “Codice in materia di protezione dei dati personali” (pubblicato nel S.O. alla G.U. n. 174 del 29 luglio 2003):
«Art. 20. Princìpi applicabili al trattamento di dati sensibili.
Omissis.
2. Nei casi in cui una disposizione di legge specifica la finalità di rilevante interesse pubblico, ma non i tipi di dati sensibili e di operazioni eseguibili, il trattamento è consentito solo in riferimento ai tipi di dati e di operazioni identificati e resi pubblici a cura dei soggetti che ne effettuano il trattamento, in relazione alle specifiche finalità perseguite nei singoli casi e nel rispetto dei princìpi di cui all’articolo 22, con atto di natura regolamentare adottato in conformità al parere espresso dal Garante ai sensi dell’articolo 154, comma 1, lettera g), anche su schemi tipo.
Omissis.
Art. 21. Princìpi applicabili al trattamento di dati giudiziari.
Omissis.
2. Le disposizioni di cui all’articolo 20, commi 2 e 4, si applicano anche al trattamento dei dati giudiziari.».
Note all’art. 1:
? Il testo dell’art. 70, comma 2, lett. j) della legge regionale 16 aprile 2005, n. 21, recante “ Nuovo Statuto della Regione Umbria” (pubblicata nell’E.S. al B.U.R. n. 17 del 18 aprile 2005), è il seguente:
«Art. 70.Attribuzioni della Giunta
Omissis.
2. In particolare la Giunta:
Omissis;
j) esercita ogni altra funzione ad essa attribuita dalla Costituzione, dallo Statuto e dalle leggi.».
? Per il testo degli artt. 20, comma 2 e 21, comma 2 del decreto legislativo 30 giugno 2003, n. 196, si veda la nota al titolo della legge.
? Si riporta il testo dell’art. 22 del decreto legislativo 30 giugno 2003, n. 196 (si veda la nota al titolo della legge):
«Art. 22. Princìpi applicabili al trattamento di dati sensibili e giudiziari.
1. I sogetti pubblici conformano il trattamento dei dati sensibili e giudiziari secondo modalità volte a prevenire violazioni dei diritti, delle libertà fondamentali e della dignità dell’interessato.
2. Nel fornire l’informativa di cui all’articolo 13 i soggetti pubblici fanno espresso riferimento alla normativa che prevede gli obblighi o i compiti in base alla quale è effettuato il trattamento dei dati sensibili e giudiziari.
3. I soggetti pubblici possono trattare solo i dati sensibili e giudiziari indispensabili per svolgere attività istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.
4. I dati sensibili e giudiziari sono raccolti, di regola, presso l’interessato.
5. In applicazione dell’articolo 11, comma 1, lettere c), d) ed e), i soggetti pubblici verificano periodicamente l’esattezza e l’aggiornamento dei dati sensibili e giudiziari, nonché la loro pertinenza, completezza, non eccedenza e indispensabilità rispetto alle finalità perseguite nei singoli casi, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa. Al fine di assicurare che i dati sensibili e giudiziari siano indispensabili rispetto agli obblighi e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli adempimenti. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene. Specifica attenzione è prestata per la verifica dell’indispensabilità dei dati sensibili e giudiziari riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti.
6. I dati sensibili e giudiziari contenuti in elenchi, registri o banche di dati, tenuti con l’ausilio di strumenti elettronici, sono trattati con tecniche di cifratura o mediante l’utilizzazione di codici identificativi o di altre soluzioni che, considerato il numero e la natura dei dati trattati, li rendono temporaneamente inintelligibili anche a chi è autorizzato ad accedervi e permettono di identificare gli interessati solo in caso di necessità.
7. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da altri dati personali trattati per finalità che non richiedono il loro utilizzo. I medesimi dati sono trattati con le modalità di cui al comma 6 anche quando sono tenuti in elenchi, registri o banche di dati senza l’ausilio di strumenti elettronici.
8. I dati idonei a rivelare lo stato di salute non possono essere diffusi.
9. Rispetto ai dati sensibili e giudiziari indispensabili ai sensi del comma 3, i soggetti pubblici sono autorizzati ad effettuare unicamente le operazioni di trattamento indispensabili per il perseguimento delle finalità per le quali il trattamento è consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi.
10. I dati sensibili e giudiziari non possono essere trattati nell’ambito di test psico-attitudinali volti a definire il profilo o la personalità dell’interessato. Le operazioni di raffronto tra dati sensibili e giudiziari, nonché i trattamenti di dati sensibili e giudiziari ai sensi dell’articolo 14, sono effettuati solo previa annotazione scritta dei motivi.
11. In ogni caso, le operazioni e i trattamenti di cui al comma 10, se effettuati utilizzando banche di dati di diversi titolari, nonché la diffusione dei dati sensibili e giudiziari, sono ammessi solo se previsti da espressa disposizione di legge.
12. Le disposizioni di cui al presente articolo recano princìpi applicabili, in conformità ai rispettivi ordinamenti, ai trattamenti disciplinati dalla Presidenza della Repubblica, dalla Camera dei deputati, dal Senato della Repubblica e dalla Corte costituzionale.».

Nota alla dichiarazione d’urgenza:
Si trascrive, per opportuna conoscenza, il testo dell’articolo 38, comma 1, dello Statuto della Regione Umbria:
«Art. 38, comma 1. – La legge regionale è pubblicata nel Bollettino Ufficiale della Regione entro dieci giorni dalla sua promulgazione da parte del Presidente della Regione ed entra in vigore non prima di quindici giorni dalla sua pubblicazione, salvo che la legge preveda un termine diverso.».