Autorizzazione n. 5/2004 al trattamento deidati sensibili da parte di diverse categorie di titolari IL GARANTE In data odierna, con la partecipazione del prof.Stefano Rodotà, presidente, del prof. Giuseppe Santaniello, vicepresidente, delprof. Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott. GiovanniButtarelli, segretario generale; Visto il decreto legislativo 30 giugno 2003, n.196, recante il Codice in materia di protezione dei dati personali; Visto, in particolare, l'art. 4, comma 1, lett.d) del citato Codice, il quale individua i dati sensibili; Considerato che, ai sensi dell'art. 26, comma 1,del Codice, i soggetti privati e gli enti pubblici economici possono trattare idati sensibili solo previa autorizzazione di questa Autorità e, ove necessario,con il consenso scritto degli interessati, nell'osservanza dei presupposti edei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti; Considerato che il trattamento dei dati inquestione può essere autorizzato dal Garante anche d'ufficio con provvedimentidi carattere generale, relativi a determinate categorie di titolari o ditrattamenti (art. 40 del Codice); Considerato che le autorizzazioni di caratteregenerale sinora rilasciate sono risultate uno strumento idoneo per prescriveremisure uniformi a garanzia degli interessati, rendendo altresì superflua larichiesta di singoli provvedimenti di autorizzazione da parte di numerosititolari del trattamento; Ritenuto opportuno, dopo l'entrata in vigore delCodice, rilasciare nuove autorizzazioni in sostituzione di quelle in scadenzail 30 giugno 2004, armonizzando le prescrizioni già impartite alla lucedell'esperienza maturata tenuto conto dei codici di deontologia e di buonacondotta di cui agli articoli 106 e 140 del Codice; Ritenuto opportuno che anche tali nuoveautorizzazioni siano provvisorie e a tempo determinato ai sensi dell'art. 41,comma 5, del Codice, e, in particolare, efficaci per il periodo di dodici mesi,in relazione alla fase di prima applicazione delle nuove disposizioni delCodice e ai lavori avviati per l'adozione dei codici di deontologia e di buonacondotta riguardanti alcuni specifici settori presi in considerazione dal presenteprovvedimento (articoli 111 e 140 del Codice); Considerata la necessità di garantire ilrispetto di alcuni princìpi volti a ridurre al minimo i rischi di danno o dipericolo che i trattamenti potrebbero comportare per i diritti e le libertàfondamentali, nonché per la dignità delle persone, e in particolare, per ildiritto alla protezione dei dati personali sancito all'art. 1 del Codice; Considerato che un elevato numero di trattamentidi dati sensibili è effettuato da parte di soggetti operanti in diversi settoridi attività economiche di seguito individuate; Visto l'art. 167 del Codice; Visto l'art. 11, comma 2, del Codice, il qualestabilisce che i dati trattati in violazione della disciplina rilevante inmateria di trattamento di dati personali non possono essere utilizzati; Visti gli articoli 31 eseguenti del Codice e il disciplinare tecnico di cui all'Allegato B almedesimo Codice recanti norme e regole sulle misure di sicurezza; Visto l'art. 41 del Codice; Visti gli atti d'ufficio; Viste le osservazioni dell'Ufficio formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n.1/2000; Relatore il prof. Gaetano Rasi; autorizza il trattamento dei dati sensibili di cuiall'art. 4, comma 1, lett. d), del Codice, fatta eccezione dei dati idonei arivelare la vita sessuale, secondo le prescrizioni di seguito indicate. Prima di iniziare o proseguire il trattamento isistemi informativi e i programmi informatici sono configurati riducendo alminimo l'utilizzazione di dati personali e di dati identificativi, in modo daescluderne il trattamento quando le finalità perseguite nei singoli casipossono essere realizzate mediante, rispettivamente, dati anonimi od opportunemodalità che permettano di identificare l'interessato solo in caso dinecessità, in conformità all'art. 3 del Codice. Capo I - Attività bancarie, creditizie,assicurative, di gestione di fondi, del settore turistico, del trasporto 1) Soggetti ai quali è rilasciatal'autorizzazione: a) impreseautorizzate all'esercizio dell'attività bancaria e creditizia o assicurativa edorganismi che le riuniscono, anche se in stato di liquidazione coattaamministrativa; b) societàed altri organismi che gestiscono fondi-pensione o di assistenza, ovvero fondio casse di previdenza; c) societàed altri organismi di intermediazione finanziaria, in particolare per lagestione o l'intermediazione di fondi comuni di investimento o di valorimobiliari; d) societàed altri organismi che emettono carte di credito o altri mezzi di pagamento, oche ne gestiscono le relative operazioni; e) impreseche svolgono autonome attività strettamente connesse e strumentali a quelleindicate nelle precedenti lettere, e relative alla rilevazione dei rischi, alrecupero dei crediti, a lavorazioni massive di documenti, alla trasmissionedati, all'imbustamento o allo smistamento della corrispondenza, nonché allagestione di esattorie o tesorerie; f) impreseche operano nel settore turistico o alberghiero o del trasporto, agenzie diviaggio e operatori turistici. 2) Finalità del trattamento La presente autorizzazione è rilasciata, anchesenza richiesta, limitatamente ai dati e alle operazioni indispensabili peradempiere agli obblighi anche precontrattuali che i soggetti di cui al punto 1)assumono, nel proprio settore di attività, al fine di fornire specifici beni,prestazioni o servizi richiesti dall'interessato.L'autorizzazione è rilasciataanche per adempiere o per esigere l'adempimento ad obblighi previsti, anche inmateria fiscale e contabile, dalla normativa comunitaria, dalla legge, dairegolamenti, o dai contratti collettivi, o prescritti da autorità od organi divigilanza o di controllo nei casi indicati dalla legge o dai regolamenti. Il trattamento avente tali finalità puòriguardare anche la tenuta di registri e scritture contabili, di elenchi, diindirizzari e di altri documenti necessari per espletare compiti diorganizzazione o di gestione amministrativa di imprese, società, cooperative oconsorzi. 3) Interessati ai quali i dati si riferisconoe categorie di dati trattati Il trattamento può riguardare i dati sensibiliattinenti ai soggetti ai quali sono forniti i beni, le prestazioni o i servizi,in misura strettamente pertinente a quanto specificamente richiestodall'interessato che, ove necessario, abbia manifestato il proprio consensoscritto ed informato. Nei medesimi limiti, è possibile trattare dati relativi aterzi, allorché non sia altrimenti possibile procedere alla fornitura albeneficiario dei beni, delle prestazioni o dei servizi. Qualora il consenso sia richiesto nei confrontidi distinti titolari di trattamenti, la manifestazione di volontà deveriferirsi specificamente a ciascuno di essi. 4) Comunicazione e diffusione dei dati I dati sensibili possono essere comunicati, neilimiti strettamente pertinenti al perseguimento delle finalità di cui al punto2), a soggetti pubblici o privati, ivi compresi fondi e casse di previdenza edassistenza o società controllate e collegate ai sensi dell'art. 2359 delcodice civile, nonché, ove necessario, ai familiari dell'interessato. I titolari del trattamento, anche ai finidell'eventuale comunicazione ad altri titolari delle modifiche apportate aidati in accoglimento di una richiesta dell'interessato (art. 7, comma 3, lett.c), del Codice), devono conservare un elenco dei destinatari dellecomunicazioni effettuate, recante un'annotazione delle specifiche categorie didati comunicati. I dati sensibili non possono essere diffusi. Capo II - Sondaggi e ricerche 1) Soggetti ai quali è rilasciata l'autorizzazionee finalità del trattamento. Imprese, società, istituti ed altri organismi osoggetti privati, ai soli fini del compimento di sondaggi di opinione, diricerche di mercato o di altre ricerche campionarie. Il sondaggio o la ricerca devono essere effettuatiper scopi puntualmente determinati e legittimi, noti all'interessato. 2) Interessati ai quali i dati si riferisconoe categorie di dati trattati. Il trattamento può riguardare i dati attinentiai soggetti che abbiano manifestato il proprio consenso informato e che abbianorisposto a questionari o ad interviste effettuate nell'ambito di sondaggi diopinione, di ricerche di mercato o di altre ricerche campionarie. Il consenso deve essere manifestato in ogni casoper iscritto. I dati personali di natura sensibile possonoessere trattati solo se il trattamento di dati anonimi non permette alsondaggio o alla ricerca di raggiungere i suoi scopi. 3) Conservazione dei dati. Il trattamento successivo alla raccolta non devepermettere di identificare gli interessati, neanche indirettamente, mediante unriferimento ad una qualsiasi altra informazione. I dati personali, individuali o aggregati,devono essere distrutti o resi anonimi subito dopo la raccolta, e comunque nonoltre la fase contestuale alla registrazione dei campioni raccolti. Laregistrazione deve essere effettuata senza ritardo anche nel caso in cui icampioni siano stati raccolti in numero elevato. Entro tale ambito temporale, resta ferma lapossibilità per il titolare della raccolta, nonché per i suoi responsabili oincaricati, di utilizzare i dati personali al fine di verificare presso gliinteressati la veridicità o l'esattezza dei campioni. 4) Comunicazione dei dati I dati sensibili non possono essere nécomunicati, né diffusi. I campioni del sondaggio o della ricerca possonoessere comunicati o diffusi in forma individuale o aggregata, sempreché nonpossano essere associati, anche a seguito di trattamento, ad interessatiidentificati o identificabili. Capo III - Attività di elaborazione di dati 1) Soggetti ai quali è rilasciatal'autorizzazione Imprese, società, istituti ed altri organismi osoggetti privati, titolari autonomi di un'attività svolta nell'interesse dialtri soggetti, e che presuppone l'elaborazione di dati ed altre operazioni ditrattamento eseguite in materia di lavoro ovvero a fini contabili, retributivi,previdenziali, assistenziali e fiscali. 2) Prescrizioni applicabili Il trattamento è regolato dalle autorizzazioni: a) n.1/2004, rilasciata il 30 giugno 2004, concernente il trattamento dei datisensibili a cura, in particolare, delle parti di un rapporto di lavoro qualorale finalità perseguite siano quelle indicate al punto 3) di taleautorizzazione; b) n.4/2004, rilasciata il 30 giugno 2004, riguardante il trattamento dei datisensibili ad opera dei liberi professionisti e di altri soggetti equiparati,qualora le finalità perseguite siano quelle indicate al punto 3) di taleautorizzazione. Qualora il consenso sia richiesto nei confrontidi distinti titolari di trattamenti, la manifestazione di volontà deveriferirsi specificamente a ciascuno di essi. Capo IV - Attività di selezione del personale 1) Soggetti ai quali è rilasciatal'autorizzazione e finalità del trattamento La presente autorizzazione è rilasciata, anchesenza richiesta, alle imprese, alle società, agli istituti e agli altriorganismi o soggetti privati, titolari autonomi di attività svolta anche dipropria iniziativa nell'interesse di terzi, ai soli fini della ricerca o dellaselezione del personale. 2) Interessati ai quali i dati si riferisconoe categorie di dati trattati Il trattamento può riguardare i dati idonei arivelare lo stato di salute e l'origine razziale ed etnica dei candidatiall'instaurazione di un rapporto di lavoro o di collaborazione, solo se la lororaccolta è giustificata da scopi determinati e legittimi ed è strettamenteindispensabile per instaurare tale rapporto. Il trattamento dei dati idonei a rivelare lostato di salute dei familiari o dei conviventi dei candidati è consentito conil consenso scritto degli interessati e qualora sia finalizzato alriconoscimento di uno specifico beneficio in favore dei candidati, inparticolare ai fini di un'assunzione obbligatoria o del riconoscimento di untitolo derivante da invalidità o infermità, da eventi bellici o da ragioni diservizio. Qualora il consenso sia richiesto nei confrontidi distinti titolari di trattamenti, la manifestazione di volontà deveriferirsi specificamente a ciascuno di essi. Il trattamento deve riguardare le sole informazionistrettamente pertinenti a tale finalità, sia in caso di risposta a questionariinviati anche per via telematica, sia nel caso in cui i candidati forniscanodati di propria iniziativa, in particolare attraverso l'invio di curricula. Non è consentito il trattamento dei dati: a) idoneia rivelare le convinzioni religiose, filosofiche o di altro genere, le opinionipolitiche, l'adesione a partiti, sindacati, associazioni a carattere religioso,filosofico, politico o sindacale, l'origine razziale ed etnica, e la vitasessuale; b) inerentia fatti non rilevanti ai fini della valutazione dell'attitudine professionaledel lavoratore; c) inviolazione delle norme in materia di pari opportunità o volte a prevenirediscriminazioni. 3) Comunicazione e diffusione dei dati I dati idonei a rivelare lo stato di salute el'origine razziale ed etnica possono essere comunicati nei limiti strettamentepertinenti al perseguimento delle finalità di cui ai punti 1) e 2), a soggettipubblici o privati che siano specificamente menzionati nella dichiarazione diconsenso dell'interessato. I dati sensibili non possono essere diffusi. 4) Norme finali Restano fermi gli ulteriori obblighi previstidalla legge e dai regolamenti. Capo V - Mediazione a fini matrimoniali 1) Soggetti ai quali è rilasciatal'autorizzazione La presente autorizzazione è rilasciata alleimprese, alle società, agli istituti e agli altri organismi o soggetti privatiche esercitano, anche attraverso agenzie autorizzate, un'attività di mediazionea fini matrimoniali o di instaurazione di un rapporto di convivenza. 2) Finalità del trattamento L'autorizzazione è rilasciata ai soli finidell'esecuzione dei singoli incarichi conferiti in conformità alle leggi e airegolamenti. 3) Interessati ai quali i dati siriferiscono. Il trattamento può riguardare i soli datisensibili attinenti alle persone direttamente interessate al matrimonio o allaconvivenza. Non è consentito il trattamento di dati relativoa persone minori di età in base all'ordinamento del Paese di appartenenza o,comunque, in base alla legge italiana. 4) Categorie di dati oggetto di trattamento. Il trattamento può riguardare i soli dati e lesole operazioni che risultino indispensabili in relazione allo specificoprofilo o alla personalità descritto o richiesto dalle persone interessate almatrimonio o alla convivenza. I dati devono essere forniti personalmente daimedesimi interessati. L'informativa preliminare al consenso scrittodeve porre in particolare evidenza le categorie di dati trattati e le modalitàdella loro comunicazione a terzi. 5) Comunicazione dei dati. I dati possono essere comunicati nei limitistrettamente pertinenti all'esecuzione degli specifici incarichi ricevuti. I titolari del trattamento, anche ai finidell'eventuale comunicazione ad altri titolari delle modifiche apportate aidati in accoglimento di una richiesta dell'interessato (art. 7, comma 3, lett.c), del Codice), devono conservare un elenco dei destinatari dellecomunicazioni effettuate, recante un'annotazione delle specifiche categorie didati comunicati. L'eventuale diffusione anche per via telematicadi taluni dati sensibili deve essere oggetto di apposita autorizzazione diquesta Autorità. 6) Norme finali Restano fermi gli ulteriori obblighi previstidalla legge e dai regolamenti, in particolare nell'ambito della legge penale edella disciplina di pubblica sicurezza, nonché in materia di tutela dei minori. Capo VI - Prescrizioni comuni a tutti itrattamenti Per quanto non previsto dai capi che precedono,ai trattamenti ivi indicati si applicano, altresì, le seguenti prescrizioni: 1) Dati idonei a rivelare lo stato di salute Il trattamento dei dati idonei a rivelare lostato di salute deve essere effettuato anche nel rispetto dell'autorizzazionen. 2/2004, rilasciata il 30 giugno 2004. Il trattamento dei dati genetici non èconsentito nei casi previsti dalla presente autorizzazione. 2) Modalità di trattamento Fermi restando gli obblighi previsti dagliarticoli 11 e 14 del Codice, dagli articoli 31 e seguenti del Codice e dall'Allegato B) al Codice, iltrattamento dei dati sensibili deve essere effettuato unicamente conoperazioni, nonché con logiche e mediante forme di organizzazione dei datistrettamente indispensabili in rapporto alle finalità indicate nei capi cheprecedono. La comunicazione di dati all'interessato deveavvenire di regola direttamente a quest'ultimo o a un suo delegato (fermorestando quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso ocon altro mezzo idoneo a prevenire la conoscenza da parte di soggetti nonautorizzati, anche attraverso la previsione di distanze di cortesia. Resta inoltre fermo l'obbligo di informarel'interessato, ai sensi dell'art. 13, commi 1, 4 e 5 del Codice, anchequando i dati sono raccolti presso terzi. 3) Conservazione dei dati Nel quadro del rispetto dell'obbligo previstodall'art. 11, comma 1, lett. e) del Codice, i dati sensibili possonoessere conservati per un periodo non superiore a quello necessario perperseguire le finalità ovvero per adempiere agli obblighi o agli incarichimenzionati nei precedenti capi. A tal fine, anche mediante controlli periodici,deve essere verificata costantemente la stretta pertinenza, non eccedenza eindispensabilità dei dati rispetto al rapporto, alla prestazione o all'incaricoin corso, da instaurare o cessati, anche con riferimento ai dati chel'interessato fornisce di propria iniziativa. I dati che, anche a seguito delleverifiche, risultano eccedenti o non pertinenti o non indispensabili nonpossono essere utilizzati, salvo che per l'eventuale conservazione, a norma dilegge, dell'atto o del documento che li contiene. Specifica attenzione èprestata per l'indispensabilità dei dati riferiti a soggetti diversi da quellicui si riferiscono direttamente le prestazioni e gli adempimenti. Restano fermi i diversi termini di conservazioneprevisti dalle leggi o dai regolamenti. Resta altresì fermo quanto previsto nel capo IIin materia di sondaggi e di ricerche. 4) Richieste di autorizzazione I titolari dei trattamenti che rientranonell'ambito di applicazione della presente autorizzazione non sono tenuti apresentare una richiesta di autorizzazione a questa Autorità, qualora iltrattamento che si intende effettuare sia conforme alle prescrizioni suddette. Le richieste di autorizzazione pervenute o cheperverranno anche successivamente alla data di adozione del presenteprovvedimento, devono intendersi accolte nei termini di cui al provvedimentomedesimo. Il Garante non prenderà in considerazionerichieste di autorizzazione per trattamenti da effettuarsi in difformità alleprescrizioni del presente provvedimento, salvo che, ai sensi dell'art.41 del Codice, il loro accoglimento sia giustificato da circostanze deltutto particolari o da situazioni eccezionali non considerate nella presenteautorizzazione. 5) Norme finali Restano fermi gli obblighi previsti da norme dilegge o di regolamento dalla normativa comunitaria, che stabiliscono divieti olimiti più restrittivi in materia di trattamento di dati personali e, in particolare: a) dallalegge 20 maggio 1970, n. 300; b) dallalegge 5 giugno 1990, n. 135; Restano altresì fermi gli obblighi di legge chevietano la rivelazione senza giusta causa e l'impiego a proprio o altruiprofitto delle notizie coperte dal segreto professionale, nonché gli obblighideontologici, previsti anche dai codici deontologici e di buona condottaadottati in attuazione dell'art. 12 del Codice. Resta ferma, infine, la possibilità didiffondere dati anonimi anche aggregati. 6) Efficacia temporale e disciplinatransitoria La presente autorizzazione ha efficacia adecorrere dal 1° luglio 2004 fino al 30 giugno 2005. Qualora alla data della pubblicazione dellapresente autorizzazione il trattamento non sia già conforme alle prescrizioninon contenute nella precedente autorizzazione n. 5/2002, iltitolare deve adeguarsi ad esse entro il 30 settembre 2004. La presente autorizzazione sarà pubblicata nellaGazzetta Ufficiale della Repubblica italiana. Roma, 30 giugno 2004 IL PRESIDENTE IL RELATORE IL SEGRETARIO GENERALE |