Autorizzazione n. 5/2008

Autorizzazione n.5/2008 al trattamento dei dati sensibili da parte di diverse categorie dititolari
(Pubblicata sulla G.U. n. 169 del 21-7-2008 - Suppl. Ordinario n. 175)

Registro delledeliberazioni n. 36 del 19 giugno 2008

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazionedel prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,componenti, e del dott. Giovanni Buttarelli, segretario generale;

Visto il decreto legislativo 30 giugno2003, n. 196, recante il Codice in materia di protezione dei dati personali;

Visto, in particolare, l'art. 4, comma 1,lett. d) del citato Codice, il quale individua i dati sensibili;

Considerato che, ai sensi dell'art. 26,comma 1, del Codice, i soggetti privati e gli enti pubblici economici possonotrattare i dati sensibili solo previa autorizzazione di questa Autorità e, ovenecessario, con il consenso scritto degli interessati, nell'osservanza deipresupposti e dei limiti stabiliti dal Codice, nonché dalla legge e dai regolamenti;

Considerato che il trattamento dei datiin questione può essere autorizzato dal Garante anche d'ufficio conprovvedimenti di carattere generale, relativi a determinate categorie dititolari o di trattamenti (art. 40 del Codice);

Considerato che le autorizzazioni dicarattere generale sinora rilasciate sono risultate uno strumento idoneo perprescrivere misure uniformi a garanzia degli interessati, rendendo altresìsuperflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosititolari del trattamento;

Ritenuto opportuno rilasciare nuoveautorizzazioni in sostituzione di quelle in scadenza il 30 giugno 2008,armonizzando le prescrizioni già impartite alla luce dell'esperienza maturata;

Ritenuto opportuno che anche tali nuoveautorizzazioni siano provvisorie e a tempo determinato, ai sensi dell'art. 41,comma 5, del Codice, e, in particolare, efficaci per il periodo di diciottomesi;

Considerata la necessità di garantire ilrispetto di alcuni princìpi volti a ridurre al minimo i rischi di danno o dipericolo che i trattamenti potrebbero comportare per i diritti e le libertàfondamentali, nonché per la dignità delle persone, e in particolare, per ildiritto alla protezione dei dati personali sancito dall'art. 1 del Codice;

Considerato che un elevato numero ditrattamenti di dati sensibili è effettuato da parte di soggetti operanti indiversi settori di attività economiche di seguito individuate;

Visto l'art. 167 del Codice;

Visto l'art. 11, comma 2, del Codice, ilquale stabilisce che i dati trattati in violazione della disciplina rilevantein materia di trattamento di dati personali non possono essere utilizzati;

Visti gli articoli 31 e seguenti delCodice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codice, recantinorme e regole sulle misure di sicurezza;

Visto l'art. 41 del Codice;

Visti gli atti d'ufficio;

Viste le osservazioni dell'Ufficioformulate dal segretario generale ai sensi dell'art. 15 del regolamento delGarante n. 1/2000;

Relatore il dott. Giuseppe Fortunato;

Autorizza

il trattamento dei dati sensibili di cuiall'art. 4, comma 1, lett. d), del Codice, fatta eccezione dei dati idonei arivelare la vita sessuale, secondo le prescrizioni di seguito indicate.

Prima di iniziare o proseguire iltrattamento i sistemi informativi e i programmi informatici sono configuratiriducendo al minimo l'utilizzazione di dati personali e di dati identificativi,in modo da escluderne il trattamento quando le finalità perseguite nei singolicasi possono essere realizzate mediante, rispettivamente, dati anonimi odopportune modalità che permettano di identificare l'interessato solo in caso dinecessità, in conformità all'art. 3 del Codice.

Capo I

Attività bancarie,creditizie, assicurative, di gestione di fondi, del settore turistico, deltrasporto ed altre attività autorizzate

1) Soggetti ai quali è rilasciatal'autorizzazione:

a) imprese autorizzate all'eserciziodell'attività bancaria e creditizia o assicurativa ed organismi che leriuniscono, anche se in stato di liquidazione coatta amministrativa;

b) società ed altri organismi chegestiscono fondi-pensione o di assistenza, ovvero fondi o casse di previdenza;

c) società ed altri organismi diintermediazione finanziaria, in particolare per la gestione o l'intermediazionedi fondi comuni di investimento o di valori mobiliari;

d) società ed altri organismi cheemettono carte di credito o altri mezzi di pagamento, o che ne gestiscono lerelative operazioni;

e) imprese che svolgono autonomeattività strettamente connesse e strumentali a quelle indicate nelle precedentilettere, e relative alla rilevazione dei rischi, al recupero dei crediti, alavorazioni massive di documenti, alla trasmissione dati, all'imbustamento oallo smistamento della corrispondenza, nonché alla gestione di esattorie otesorerie;

f) imprese che operano nel settoreturistico o alberghiero o del trasporto, agenzie di viaggio e operatorituristici;

g) operatori economici autorizzati asvolgere la propria attività in base ad autorizzazione comunque resa ai sensidelle norme contenute nel regio decreto 18 giugno 1931, n. 773 (T.u.l.p.s.) onel decreto legislativo 31 marzo 1998, n. 112.

2) Finalità del trattamento La presente autorizzazione è rilasciata, anche senzarichiesta, limitatamente ai dati e alle operazioni indispensabili per adempiereagli obblighi anche precontrattuali che i soggetti di cui al punto 1) assumono,nel proprio settore di attività, al fine di fornire specifici beni, prestazionio servizi richiesti dall'interessato.

L'autorizzazione è rilasciata anche peradempiere o per esigere l'adempimento ad obblighi previsti, anche in materiafiscale e contabile, dalla normativa comunitaria, dalla legge, dai regolamenti,o dai contratti collettivi, o prescritti da autorità od organi di vigilanza odi controllo nei casi indicati dalla legge o dai regolamenti.

Il trattamento avente tali finalità puòriguardare anche la tenuta di registri e scritture contabili, di elenchi, diindirizzari e di altri documenti necessari per espletare compiti diorganizzazione o di gestione amministrativa di imprese, società, cooperative oconsorzi.

3) Interessati ai quali i dati siriferiscono e categorie di dati trattati Il trattamento può riguardare i dati sensibiliattinenti ai soggetti ai quali sono forniti i beni, le prestazioni o i servizi,in misura strettamente pertinente a quanto specificamente richiestodall'interessato che, ove necessario, abbia manifestato il proprio consensoscritto ed informato. Nei medesimi limiti, è possibile trattare dati relativi aterzi, allorché non sia altrimenti possibile procedere alla fornitura albeneficiario dei beni, delle prestazioni o dei servizi.

Qualora il consenso sia richiesto neiconfronti di distinti titolari di trattamenti, la manifestazione di volontàdeve riferirsi specificamente a ciascuno di essi.

4) Comunicazione e diffusione deidati I dati sensibili possonoessere comunicati, nei limiti strettamente pertinenti al perseguimento dellefinalità di cui al punto 2), a soggetti pubblici o privati, ivi compresi fondie casse di previdenza ed assistenza o società controllate e collegate ai sensidell'art. 2359 del codice civile, nonché, ove necessario, ai familiaridell'interessato.

I titolari del trattamento, anche ai finidell'eventuale comunicazione ad altri titolari delle modifiche apportate aidati in accoglimento di una richiesta dell'interessato (art. 7, comma 3,lettera c), del Codice), devono conservare un elenco dei destinatari dellecomunicazioni effettuate, recante un'annotazione delle specifiche categorie didati comunicati.

I dati sensibili non possono esserediffusi.

Capo II Sondaggie ricerche

1) Soggetti ai quali è rilasciatal'autorizzazione e finalità del trattamento Imprese, società, istituti ed altri organismi osoggetti privati, ai soli fini del compimento di sondaggi di opinione, diricerche di mercato o di altre ricerche campionarie.

Il sondaggio o la ricerca devono essereeffettuati per scopi puntualmente determinati e legittimi, notiall'interessato.

2) Interessati ai quali i dati siriferiscono e categorie di dati trattati Il trattamento può riguardare i dati attinenti aisoggetti che abbiano manifestato il proprio consenso informato e che abbianorisposto a questionari o ad interviste effettuate nell'ambito di sondaggi diopinione, di ricerche di mercato o di altre ricerche campionarie.

Il consenso deve essere manifestato inogni caso per iscritto.

I dati personali di natura sensibilepossono essere trattati solo se il trattamento di dati anonimi non permette alsondaggio o alla ricerca di raggiungere i suoi scopi.

3) Conservazione dei dati Il trattamento successivo alla raccolta non devepermettere di identificare gli interessati, neanche indirettamente, mediante unriferimento ad una qualsiasi altra informazione.

I dati personali, individuali oaggregati, devono essere distrutti o resi anonimi subito dopo la raccolta, ecomunque non oltre la fase contestuale alla registrazione dei campioniraccolti. La registrazione deve essere effettuata senza ritardo anche nel casoin cui i campioni siano stati raccolti in numero elevato.

Entro tale ambito temporale, resta fermala possibilità per il titolare della raccolta, nonché per i suoi responsabili oincaricati, di utilizzare i dati personali al fine di verificare presso gliinteressati la veridicità o l'esattezza dei campioni.

4) Comunicazione dei dati I dati sensibili non possono essere né comunicati, nédiffusi.

I campioni del sondaggio o della ricercapossono essere comunicati o diffusi in forma individuale o aggregata, sempreche non possano essere associati, anche a seguito di trattamento, adinteressati identificati o identificabili.

Capo III Attivitàdi elaborazione di dati

1) Soggetti ai quali è rilasciatal'autorizzazione Imprese,società, istituti ed altri organismi o soggetti privati, titolari autonomi diun'attività svolta nell'interesse di altri soggetti, e che presupponel'elaborazione di dati ed altre operazioni di trattamento eseguite in materiadi lavoro, ovvero a fini contabili, retributivi, previdenziali, assistenziali efiscali.

2) Prescrizioni applicabili Il trattamento è regolato dalle autorizzazioni:

a) n. 1/2008 concernente iltrattamento dei dati sensibili a cura, in particolare, delle parti di unrapporto di lavoro qualora le finalità perseguite siano quelle indicate alpunto 3) di tale autorizzazione;

b) n. 4/2008 riguardante iltrattamento dei dati sensibili ad opera dei liberi professionisti e di altrisoggetti equiparati, qualora le finalità perseguite siano quelle indicate alpunto 3) di tale autorizzazione.

Qualora il consenso sia richiesto neiconfronti di distinti titolari di trattamenti, la manifestazione di volontàdeve riferirsi specificamente a ciascuno di essi.

Capo IV Attivitàdi selezione del personale

1) Soggetti ai quali è rilasciata l'autorizzazionee finalità del trattamento Lapresente autorizzazione è rilasciata, anche senza richiesta, alle agenzie peril lavoro e agli altri soggetti che, in conformità alla legge, svolgono,nell'interesse di terzi, attività di intermediazione, ricerca e selezione delpersonale o supporto alla ricollocazione professionale.

2) Interessati ai quali i dati siriferiscono e categorie di dati trattati Il trattamento può riguardare i dati idonei arivelare lo stato di salute e l'origine razziale ed etnica dei candidatiall'instaurazione di un rapporto di lavoro o di collaborazione, solo se la lororaccolta è giustificata da scopi determinati e legittimi ed è strettamenteindispensabile per instaurare tale rapporto.

Il trattamento dei dati idonei a rivelarelo stato di salute dei familiari o dei conviventi dei candidati è consentitocon il consenso scritto degli interessati e qualora sia finalizzato al riconoscimentodi uno specifico beneficio in favore dei candidati, in particolare ai fini diun'assunzione obbligatoria o del riconoscimento di un titolo derivante dainvalidità o infermità, da eventi bellici o da ragioni di servizio.

Qualora il consenso sia richiesto neiconfronti di distinti titolari di trattamenti, la manifestazione di volontàdeve riferirsi specificamente a ciascuno di essi.

Il trattamento deve riguardare le soleinformazioni strettamente pertinenti a tale finalità, sia in caso di risposta aquestionari inviati anche per via telematica, sia nel caso in cui i candidatiforniscano dati di propria iniziativa, in particolare attraverso l'invio dicurricula.

Non è consentito il trattamento dei dati:

a) idonei a rivelare le convinzionireligiose, filosofiche o di altro genere, le opinioni politiche, l'adesione apartiti, sindacati, associazioni a carattere religioso, filosofico, politico osindacale, l'origine razziale ed etnica, e la vita sessuale;

b) inerenti a fatti non rilevanti aifini della valutazione dell'attitudine professionale del lavoratore;

c) in violazione delle norme inmateria di pari opportunità o volte a prevenire discriminazioni.

3) Comunicazione e diffusione dei dati I dati idonei a rivelare lo stato di salute el'origine razziale ed etnica possono essere comunicati nei limiti strettamentepertinenti al perseguimento delle finalità di cui ai punti 1) e 2), a soggettipubblici o privati che siano specificamente menzionati nella dichiarazione diconsenso dell'interessato.

I dati sensibili non possono esserediffusi.

4) Norme finali Restano fermi gli ulteriori obblighi previsti dallalegge e dai regolamenti.

Capo V Mediazionea fini matrimoniali

1) Soggetti ai quali è rilasciatal'autorizzazione La presenteautorizzazione è rilasciata alle imprese, alle società, agli istituti e aglialtri organismi o soggetti privati che esercitano, anche attraverso agenzieautorizzate, un'attività di mediazione a fini matrimoniali o di instaurazionedi un rapporto di convivenza.

2) Finalità del trattamento L'autorizzazione è rilasciata ai soli finidell'esecuzione dei singoli incarichi conferiti in conformità alle leggi e airegolamenti.

3) Interessati ai quali i dati siriferiscono Il trattamento puòriguardare i soli dati sensibili attinenti alle persone direttamenteinteressate al matrimonio o alla convivenza.

Non è consentito il trattamento di datirelativo a persone minori di età in base all'ordinamento del Paese diappartenenza o, comunque, in base alla legge italiana.

4) Categorie di dati oggetto ditrattamento Il trattamento puòriguardare i soli dati e le sole operazioni che risultino indispensabili inrelazione allo specifico profilo o alla personalità descritto o richiesto dallepersone interessate al matrimonio o alla convivenza.

I dati devono essere fornitipersonalmente dai medesimi interessati.

L'informativa preliminare al consensoscritto deve porre in particolare evidenza le categorie di dati trattati e lemodalità della loro comunicazione a terzi.

5) Comunicazione dei dati I dati possono essere comunicati nei limitistrettamente pertinenti all'esecuzione degli specifici incarichi ricevuti.

L'eventuale diffusione anche per viatelematica di taluni dati sensibili deve essere oggetto di appositaautorizzazione di questa Autorità.

6) Norme finali Restano fermi gli ulteriori obblighi previsti dallalegge e dai regolamenti, in particolare nell'ambito della legge penale e delladisciplina di pubblica sicurezza, nonché in materia di tutela dei minori.

CapoVI Prescrizioni comuni a tutti i trattamenti

Per quanto non previsto dai capi cheprecedono, ai trattamenti ivi indicati si applicano, altresì, le seguentiprescrizioni:

1) Dati idonei a rivelare lo stato disalute Il trattamento dei datiidonei a rivelare lo stato di salute deve essere effettuato anche nel rispettodell'autorizzazione n. 2/2008.

Il trattamento di dati genetici restaautorizzato nei limiti e alle condizioni individuati nell'autorizzazione del 22febbraio 2007, pubblicata nella Gazzetta Ufficiale n. 65 del 19 marzo 2007.

2) Modalità di trattamento

Fermi restando gli obblighi previstidagli articoli 11 e 14 del Codice, dagli articoli 31 e seguenti del Codice edall'Allegato B) al Codice, il trattamento dei dati sensibili deve essereeffettuato unicamente con operazioni, nonché con logiche e mediante forme diorganizzazione dei dati strettamente indispensabili in rapporto alle finalitàindicate nei capi che precedono.

La comunicazione di dati all'interessatodeve avvenire di regola direttamente a quest'ultimo o a un suo delegato (fermorestando quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso ocon altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati,anche attraverso la previsione di distanze di cortesia.

Resta inoltre fermo l'obbligo diinformare l'interessato, ai sensi dell'art. 13, commi 1, 4 e 5 del Codice,anche quando i dati sono raccolti presso terzi.

3) Conservazione dei dati Nel quadro del rispetto dell'obbligo previstodall'art. 11, comma 1, lett. e) del Codice, i dati sensibili possono essereconservati per un periodo non superiore a quello necessario per perseguire lefinalità, ovvero per adempiere agli obblighi o agli incarichi menzionati neiprecedenti capi. A tal fine, anche mediante controlli periodici, deve essereverificata costantemente la stretta pertinenza, non eccedenza eindispensabilità dei dati rispetto al rapporto, alla prestazione o all'incaricoin corso, da instaurare o cessati, anche con riferimento ai dati chel'interessato fornisce di propria iniziativa. I dati che, anche a seguito delleverifiche, risultano eccedenti o non pertinenti o non indispensabili nonpossono essere utilizzati, salvo che per l'eventuale conservazione, a norma dilegge, dell'atto o del documento che li contiene. Specifica attenzione èprestata per l'indispensabilità dei dati riferiti a soggetti diversi da quellicui si riferiscono direttamente le prestazioni e gli adempimenti.

Restano fermi i diversi termini diconservazione previsti dalle leggi o dai regolamenti.

Resta altresì fermo quanto previsto nelcapo II in materia di sondaggi e di ricerche.

4) Richieste di autorizzazione I titolari dei trattamenti che rientrano nell'ambitodi applicazione della presente autorizzazione non sono tenuti a presentare unarichiesta di autorizzazione a questa Autorità, qualora il trattamento che siintende effettuare sia conforme alle prescrizioni suddette.

Le richieste di autorizzazione pervenuteo che perverranno anche successivamente alla data di adozione del presenteprovvedimento, devono intendersi accolte nei termini di cui al provvedimentomedesimo.

Il Garante non prenderà in considerazionerichieste di autorizzazione per trattamenti da effettuarsi in difformità alleprescrizioni del presente provvedimento, salvo che, ai sensi dell'art. 41 delCodice, il loro accoglimento sia giustificato da circostanze del tuttoparticolari o da situazioni eccezionali non considerate nella presenteautorizzazione.

5) Norme finali Restano fermi gli obblighi previsti da norme di leggeo di regolamento e dalla normativa comunitaria, che stabiliscono divieti olimiti più restrittivi in materia di trattamento di dati personali e, inparticolare:

a) dalla legge 20 maggio 1970, n.300;

b) dalla legge 5 giugno 1990, n.135;

c) dal decreto legislativo 10settembre 2003, n. 276.

Restano altresì fermi gli obblighi dilegge che vietano la rivelazione senza giusta causa e l'impiego a proprio oaltrui profitto delle notizie coperte dal segreto professionale, nonché gliobblighi deontologici, previsti anche dai codici deontologici e di buonacondotta adottati in attuazione dell'art. 12 del Codice.

Resta ferma, infine, la possibilità didiffondere dati anonimi anche aggregati.

6) Efficacia temporale e disciplinatransitoria La presenteautorizzazione ha efficacia a decorrere dal 1° luglio 2008 fino al 31 dicembre2009, salve eventuali modifiche che il Garante ritenga di dover apportare inconseguenza di eventuali novità normative rilevanti in materia.

La presente autorizzazione saràpubblicata nella Gazzetta Ufficiale della Repubblica italiana.

Roma, 19 giugno 2008

ILPRESIDENTE Pizzetti

ILRELATORE Fortunato

IL SEGRETARIO GENERALE Buttarelli