GARANTE PER LAPROTEZIONE DEI DATI PERSONALI PROVVEDIMENTO 21dicembre 2005 (Autorizzazione n.2/2005 – pubblicata sulla G.U. n.2 del 3/1/2006).
IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del prof.Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,componenti, e del dott. Giovanni Buttarelli, segretario generale; Visto il decreto legislativo 30 giugno 2003, n.196, recante il Codice in materia di protezione dei dati personali; Visto, in particolare, l'art. 4, comma 1, lett.d), del citato Codice, il quale individua i dati sensibili; Considerato che, ai sensi dell'art. 26, comma 1,del Codice, i soggetti privati e gli enti pubblici economici possono trattare idati sensibili solo previa autorizzazione di questa Autorità e, ove necessario,con il consenso scritto degli interessati, nell'osservanza dei presupposti edei limiti stabiliti dal Codice, nonchŽ dalla legge e dai regolamenti; Visto l'art. 76 del Codice, secondo cui gliesercenti le professioni sanitarie e gli organismi sanitari pubblici, anchenell'ambito di un'attività di rilevante interesse pubblico ai sensidell'articolo 85 del medesimo Codice, possono trattare i dati personali idoneia rivelare lo stato di salute anche senza il consenso dell'interessato, previaautorizzazione del Garante, se il trattamento riguarda dati e operazioniindispensabili per perseguire una finalità di tutela della salute odell'incolumità fisica di un terzo o della collettività; Considerato che il trattamento dei dati inquestione può essere autorizzato dal Garante anche d'ufficio con provvedimenti dicarattere generale, relativi a determinate categorie di titolari o ditrattamenti (art. 40 del Codice); Considerato che le autorizzazioni di caratteregenerale sin ora rilasciate sono risultate uno strumento idoneo per prescriveremisure uniformi a garanzia degli interessati, rendendo altresì superflua larichiesta di singoli provvedimenti di autorizzazione da parte di numerosititolari del trattamento; Ritenuto opportuno rilasciare nuoveautorizzazioni in sostituzione di quelle in scadenza il 31 dicembre 2005,armonizzando le prescrizioni già impartite alla luce dell'esperienza maturata; Ritenuto opportuno che anche tali nuoveautorizzazioni siano provvisorie e a tempo determinato, ai sensi dall'art. 41,comma 5, del Codice e, in particolare, efficaci per il periodo di diciottomesi; Considerata la necessità di garantire ilrispetto di alcuni principi volti a ridurre al minimo i rischi di danno o dipericolo che i trattamenti potrebbero comportare per i diritti e le libertàfondamentali, nonchŽ per la dignità delle persone, e, in particolare, per ildiritto alla protezione dei dati personali sancito all'art. 1 del Codice,principi valutati anche sulla base delle raccomandazioni adottate in materia didati sanitari dal Consiglio d'Europa ed in particolare dalla Raccomandazione N.R (97) 5, in base alla quale i dati sanitari devono essere trattati, di regola,solo nell'ambito dell'assistenza sanitaria o sulla base di regole di segretezzae di efficacia pari a quelle previste in tale ambito; Considerato che un elevato numero di trattamentiidonei a rivelare lo stato di salute e la vita sessuale è effettuato perfinalità di prevenzione o di cura, per la gestione di servizi socio-sanitari,per ricerche scientifiche o per la fornitura all'interessato di prestazioni,beni o servizi; Visto l'art. 167 del Codice; Visto l'art. 11, comma 2, del Codice, il qualestabilisce che i dati trattati in violazione della disciplina rilevante inmateria di trattamento di dati personali non possono essere utilizzati; Visti gli articoli 31 e seguenti del Codice e ildisciplinare tecnico di cui all'Allegato B) al Codice in materia di protezionedei dati personali recanti norme e regole sulle misure di sicurezza; Visto l'art. 41 del Codice; Visti gli atti d'ufficio; Viste le osservazioni dell'Ufficio formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000; Relatore il prof. Francesco Pizzetti; Autorizza
a) gliesercenti le professioni sanitarie a trattare i dati idonei a rivelare lo statodi salute, qualora i dati e le operazioni siano indispensabili per tutelarel'incolumità fisica o la salute di un terzo o della collettività, e il consensonon sia prestato o non possa essere prestato per effettiva irreperibilità; b) gliorganismi e le case di cura private, nonchŽ ogni altro soggetto privato, atrattare con il consenso i dati idonei a rivelare lo stato di salute e la vitasessuale; c) gliorganismi sanitari pubblici, istituiti anche presso università, ivi compresi isoggetti pubblici allorchŽ agiscano nella qualità di autorità sanitarie, atrattare i dati idonei a rivelare lo stato di salute, qualora ricorranocontemporaneamente le seguenti condizioni:
2. manchiil consenso (articolo 76, comma 1, lett. b), del Codice), in quanto non siaprestato o non possa essere prestato per effettiva irreperibilità; 3. nonsi tratti di attività amministrative correlate a quelle di prevenzione, diagnosi,cura e riabilitazione ai sensi dell'art. 85, commi 1 e 2, del Codice; d) anchesoggetti diversi da quelli di cui alle lettere a), b) e c) a trattare i datiidonei a rivelare lo stato di salute e la vita sessuale, qualora il trattamentosia necessario per la salvaguardia della vita o dell'incolumità fisica di unterzo. Se la medesima finalità riguarda l'interessato e quest'ultimo non puòprestare il proprio consenso per impossibilità fisica, per incapacità di agireo per incapacità d'intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da unfamiliare, da un convivente o, in loro assenza, dal responsabile dellastruttura presso cui dimora l'interessato. Per l'informativa e, ove previsto, il consensosi osservano anche le disposizioni di cui agli articoli 13, 23, 26 e da 75 a 82del Codice.
1) Ambito di applicazione e finalità deltrattamento
1.1. L'autorizzazione è rilasciata: a) aimedici-chirurghi, ai farmacisti, agli odontoiatri, agli psicologi e agli altriesercenti le professioni sanitarie iscritti in albi o in elenchi; b) alpersonale sanitario infermieristico, tecnico e della riabilitazione cheesercita l'attività in regime di libera professione; c) alleistituzioni e agli organismi sanitari privati, anche quando non operino inrapporto con il servizio sanitario nazionale. In tali casi, l'autorizzazione è rilasciataanche per consentire ai destinatari di adempiere o di esigere l'adempimento dispecifici obblighi o di eseguire specifici compiti previsti da leggi, dallanormativa comunitaria o da regolamenti, in particolare in materia di igiene edi sanità pubblica, di prevenzione delle malattie professionali e degliinfortuni, di diagnosi e cura, ivi compresi i trapianti di organi e tessuti, diriabilitazione degli stati di invalidità e di inabilità fisica e psichica, diprofilassi delle malattie infettive e diffusive, di tutela della salutementale, di assistenza farmaceutica, di medicina scolastica e di assistenzasanitaria alle attività sportive o di accertamento, in conformità alla legge,degli illeciti previsti dall'ordinamento sportivo. Il trattamento puòriguardare anche la compilazione di cartelle cliniche, di certificati e dialtri documenti di tipo sanitario, ovvero di altri documenti relativi allagestione amministrativa la cui utilizzazione sia necessaria per i fini appenaindicati. Qualora il perseguimento di tali fini richiedal'espletamento di compiti di organizzazione o di gestione amministrativa, idestinatari della presente autorizzazione devono esigere che i responsabili egli incaricati del trattamento preposti a tali compiti osservino le stesseregole di segretezza alle quali sono sottoposti i medesimi destinatari dellapresente autorizzazione, nel rispetto di quanto previsto anche dall'art. 83,comma 1, del Codice.
1.2. L'autorizzazione è rilasciata, altresì,ai seguenti soggetti: a) allepersone fisiche o giuridiche, agli enti, alle associazioni e agli altriorganismi privati, per scopi di ricerca scientifica, anche statistica,finalizzata alla tutela della salute dell'interessato, di terzi o dellacollettività in campo medico, biomedico o epidemiologico, allorchŽ si debbaintraprendere uno studio delle relazioni tra i fattori di rischio e la saluteumana, o indagini su interventi sanitari di tipo diagnostico, terapeutico opreventivo, ovvero sull'utilizzazione di strutture socio-sanitarie, e ladisponibilità di dati solo anonimi su campioni della popolazione non permettaalla ricerca di raggiungere i suoi scopi. In tali casi occorre acquisire ilconsenso (in conformità a quanto previsto dagli articoli 106, 107 e 110 delCodice), e il trattamento successivo alla raccolta non deve permettere diidentificare gli interessati anche indirettamente, salvo che l'abbinamento almateriale di ricerca dei dati identificativi dell'interessato sia temporaneo edessenziale per il risultato della ricerca, e sia motivato, altresì, periscritto. I risultati della ricerca non possono essere diffusi se non in formaanonima. Resta fermo quanto previsto dall'art. 98 del Codice; b) alleorganizzazioni di volontariato o assistenziali, limitatamente ai dati e alleoperazioni indispensabili per perseguire scopi determinati e legittimiprevisti, in particolare, nelle rispettive norme statutarie; c) allecomunità di recupero e di accoglienza, alle case di cura e di riposo,limitatamente ai dati e alle operazioni indispensabili per perseguire scopideterminati e legittimi previsti, in particolare, nelle rispettive normestatutarie; d) aglienti, alle associazioni e alle organizzazioni religiose riconosciute,relativamente ai dati e alle operazioni indispensabili per perseguire scopideterminati e legittimi nei limiti di quanto stabilito dall'art. 26, comma 4,lettera a), del Codice, fermo restando quanto previsto per le confessionireligiose dagli articoli 26, comma 3, lettera a), e 181, comma 6, del Codice edell'autorizzazione n. 3/2005; e) allepersone fisiche e giuridiche, alle imprese, agli enti, alle associazioni e adaltri organismi, limitatamente ai dati, ove necessario attinenti anche allavita sessuale, e alle operazioni indispensabili per adempiere agli obblighi,anche precontrattuali, derivanti da un rapporto di fornitura all'interessato dibeni, di prestazioni o di servizi. Se il rapportointercorre con istituti di credito, imprese assicurative o riguarda valorimobiliari, devono considerarsi indispensabili i soli dati ed operazioninecessari per fornire specifici prodotti o servizi richiesti dall'interessato.Il rapporto può riguardare anche la fornitura di strumenti di ausilio per lavista, per l'udito o per la deambulazione; f) allepersone fisiche e giuridiche, agli enti, alle associazioni e agli altriorganismi che gestiscono impianti o strutture sportive, limitatamente ai dati ealle operazioni indispensabili per accertare l'idoneità fisica allapartecipazione ad attività sportive o agonistiche; g) allepersone fisiche e giuridiche e ad altri organismi, limitatamente ai dati deibeneficiari e dei donatori e alle operazioni indispensabili per effettuaretrapianti di organi e tessuti, nonchŽ donazioni di sangue.
1.3. La presente autorizzazione è rilasciata,altresì, quando il trattamento dei dati idonei a rivelare lo stato di salute ela vita sessuale sia necessario per: a) losvolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000,n. 397, o comunque per far valere o difendere un diritto anche da parte di unterzo in sede giudiziaria, nonchŽ in sede amministrativa o nelle procedure diarbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativacomunitaria, dai regolamenti o dai contratti collettivi, sempre che il dirittosia di rango pari a quello dell'interessato, ovvero consistente in un dirittodella personalità o in altro diritto o libertà fondamentale e inviolabile, e idati siano trattati esclusivamente per tali finalità e per il periodostrettamente necessario per il loro perseguimento; b) adempiereo esigere l'adempimento di specifici obblighi o per eseguire specifici compitiprevisti dalla normativa comunitaria, da leggi, da regolamenti o da contratticollettivi per la gestione del rapporto di lavoro, nonchŽ della normativa inmateria di previdenza e assistenza o in materia di igiene e sicurezza dellavoro o della popolazione, nei limiti previsti dalla autorizzazione generaledel Garante n. 1/2005 e ferme restando le disposizioni del codice dideontologia e di buona condotta di cui all'articolo 111 del Codice.
1.4. Fino alla data in cui sarà efficacel'apposita autorizzazione per il trattamento dei dati genetici previstadall'art. 90 del Codice, restano autorizzati i trattamenti di dati genetici neisoli limiti e alle condizioni individuate al punto 2, lettera b),dell'autorizzazione n. 2/2002.
2) Categorie di dati oggetto di trattamento Prima di iniziare o proseguire il trattamento isistemi informativi e i programmi informatici sono configurati riducendo alminimo l'utilizzazione di dati personali e di dati identificativi, in modo daescluderne il trattamento quando le finalità perseguite nei singoli casipossono essere realizzate mediante, rispettivamente, dati anonimi od opportunemodalità che permettano di identificare l'interessato solo in caso dinecessità, in conformità all'art. 3 del Codice. Il trattamento può avere per oggetto i dati strettamentepertinenti ai sopra indicati obblighi, compiti o finalità che non possanoessere adempiuti o realizzati, caso per caso, mediante il trattamento di datianonimi o di dati personali di natura diversa, e può comprendere leinformazioni relative a stati di salute pregressi. Devono essere considerate sottoposte all'ambitodi applicazione della presente autorizzazione anche le informazioni relative ainascituri, che devono essere trattate alla stregua dei dati personali inconformità a quanto previsto dalla citata raccomandazione N. R (97) 5 delConsiglio d'Europa.
3) Modalità di trattamento Fermi restando gli obblighi previsti dagliarticoli 11 e 14 del Codice, nonchŽ dagli articoli 31 e seguenti del Codice edall'Allegato B) al medesimo Codice, il trattamento dei dati sensibili deveessere effettuato unicamente con operazioni, nonchŽ con logiche e medianteforme di organizzazione dei dati strettamente indispensabili in rapporto aisopra indicati obblighi, compiti o finalità. I dati sono raccolti, di regola, pressol'interessato. La comunicazione di dati all'interessato deveavvenire di regola direttamente a quest'ultimo o a un suo delegato (fermorestando quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso ocon altro mezzo idoneo a prevenire la conoscenza da parte di soggetti nonautorizzati, anche attraverso la previsione di distanze di cortesia. Per le informazioni relative ai nascituri, ilconsenso è prestato dalla gestante. Dopo il raggiungimento della maggiore etàl'informativa è fornita all'interessato anche ai fini della acquisizione di unanuova manifestazione del consenso quando questo è necessario (art. 82, comma 4,del Codice).
4) Conservazione dei dati Nel quadro del rispetto dell'obbligo previstodall'art. 11, comma 1, lett. e) del Codice, i dati possono essere conservatiper un periodo non superiore a quello necessario per adempiere agli obblighi oai compiti sopra indicati, ovvero per perseguire le finalità ivi menzionate. Atal fine, anche mediante controlli periodici, deve essere verificatacostantemente la stretta pertinenza, non eccedenza e indispensabilità dei datirispetto al rapporto, alla prestazione o all'incarico in corso, da instaurare ocessati, anche con riferimento ai dati che l'interessato fornisce di propriainiziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti onon pertinenti o non indispensabili non possono essere utilizzati, salvo cheper l'eventuale conservazione, a norma di legge, dell'atto o del documento cheli contiene. Specifica attenzione è prestata per l'indispensabilità dei datiriferiti a soggetti diversi da quelli cui si riferiscono direttamente leprestazioni e gli adempimenti.
5) Comunicazione e diffusione dei dati I dati idonei a rivelare lo stato di salute,esclusi i dati genetici, possono essere comunicati, nei limiti strettamentepertinenti agli obblighi, ai compiti e alle finalità di cui al punto 1), asoggetti pubblici e privati, ivi compresi i fondi e le casse di assistenzasanitaria integrativa, le aziende che svolgono attività strettamente correlateall'esercizio di professioni sanitarie o alla fornitura all'interessato dibeni, di prestazioni o di servizi, gli istituti di credito e le impreseassicurative, le associazioni od organizzazioni di volontariato e i familiaridell'interessato. Ai sensi degli artt. 22, comma 8, e 26, comma 5,del Codice, i dati idonei a rivelare lo stato di salute non possono esserediffusi. I dati idonei a rivelare la vita sessuale nonpossono essere diffusi, salvo il caso in cui la diffusione riguardi dati resimanifestamente pubblici dall'interessato e per i quali l'interessato stesso nonabbia manifestato successivamente la sua opposizione per motivi legittimi.
6) Richieste di autorizzazione I titolari dei trattamenti che rientranonell'ambito di applicazione della presente autorizzazione non sono tenuti apresentare una richiesta di autorizzazione a questa Autorità, qualora iltrattamento che si intende effettuare sia conforme alle prescrizioni suddette. Le richieste di autorizzazione pervenute o cheperverranno anche successivamente alla data di adozione del presenteprovvedimento, devono intendersi accolte nei termini di cui al provvedimentomedesimo. Il Garante non prenderà in considerazionerichieste di autorizzazione per trattamenti da effettuarsi in difformità alleprescrizioni del presente provvedimento, salvo che, ai sensi dell'art. 41 delCodice, il loro accoglimento sia giustificato da circostanze del tuttoparticolari o da situazioni eccezionali non considerate nella presenteautorizzazione, relative, ad esempio, al caso in cui la raccolta del consensocomporti un impiego di mezzi manifestamente sproporzionato in ragione, inparticolare, del numero di persone interessate.
7) Norme finali Restano fermi gli obblighi previsti da norme dilegge o di regolamento o dalla normativa comunitaria che stabiliscono divieti olimiti più restrittivi in materia di trattamento di dati personali e, inparticolare: a) dall'art.5, comma 2, della legge 5 giugno 1990, n. 135, come modificato dall'art. 178del Codice, secondo cui la rilevazione statistica della infezione da HIV deveessere effettuata con modalità che non consentano l'identificazione dellapersona; b) dall'art.11 della legge 22 maggio 1978, n. 194, il quale dispone che l'ente ospedaliero,la casa di cura o il poliambulatorio nei quali è effettuato un intervento diinterruzione di gravidanza devono inviare al medico provinciale competente perterritorio una dichiarazione che non faccia menzione dell'identità della donna; c) dall'art.734-bis del codice penale, il quale vieta la divulgazione non consensuale dellegeneralità o dell'immagine della persona offesa da atti di violenza sessuale. Restano altresì fermi gli obblighi di legge chevietano la rivelazione senza giusta causa e l'impiego a proprio o altruiprofitto delle notizie coperte dal segreto professionale, nonchŽ gli obblighideontologici previsti, in particolare, dal Codice di deontologia medicaadottato dalla Federazione nazionale degli ordini dei medici chirurghi e degliodontoiatri. Resta ferma, infine, la possibilità didiffondere dati anonimi anche aggregati e di includerli, in particolare, nellepubblicazioni a contenuto scientifico o finalizzate all'educazione, allaprevenzione o all'informazione di carattere sanitario.
8) Efficacia temporale e disciplinatransitoria La presente autorizzazione ha efficacia adecorrere dal 1¡ gennaio 2006 fino al 30 giugno 2007, salve eventuali modificheche il Garante ritenga di dover apportare in conseguenza di eventuali novità normativerilevanti in materia. La presente autorizzazione sarà pubblicata nellaGazzetta Ufficiale della Repubblica italiana. Roma, 21 dicembre 2005 IL PRESIDENTE IL RELATORE IL SEGRETARIO GENERALE |