| Garante per la protezione dei dati personali Autorizzazione n.5/2008 al trattamento dei dati sensibili da parte di diverse categorie dititolari Registro delledeliberazioni n. 36 del 19 giugno 2008
IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI In data odierna, con la partecipazionedel prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,componenti, e del dott. Giovanni Buttarelli, segretario generale; Visto il decreto legislativo 30 giugno2003, n. 196, recante il Codice in materia di protezione dei dati personali; Visto, in particolare, l'art. 4, comma 1,lett. d) del citato Codice, il quale individua i dati sensibili; Considerato che, ai sensi dell'art. 26,comma 1, del Codice, i soggetti privati e gli enti pubblici economici possonotrattare i dati sensibili solo previa autorizzazione di questa Autorit e, ovenecessario, con il consenso scritto degli interessati, nell'osservanza deipresupposti e dei limiti stabiliti dal Codice, nonch dalla legge e dai regolamenti; Considerato che il trattamento dei datiin questione pu essere autorizzato dal Garante anche d'ufficio conprovvedimenti di carattere generale, relativi a determinate categorie dititolari o di trattamenti (art. 40 del Codice); Considerato che le autorizzazioni dicarattere generale sinora rilasciate sono risultate uno strumento idoneo perprescrivere misure uniformi a garanzia degli interessati, rendendo altressuperflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosititolari del trattamento; Ritenuto opportuno rilasciare nuoveautorizzazioni in sostituzione di quelle in scadenza il 30 giugno 2008,armonizzando le prescrizioni gi impartite alla luce dell'esperienza maturata; Ritenuto opportuno che anche tali nuoveautorizzazioni siano provvisorie e a tempo determinato, ai sensi dell'art. 41,comma 5, del Codice, e, in particolare, efficaci per il periodo di diciottomesi; Considerata la necessit di garantire ilrispetto di alcuni princpi volti a ridurre al minimo i rischi di danno o dipericolo che i trattamenti potrebbero comportare per i diritti e le libertfondamentali, nonch per la dignit delle persone, e in particolare, per ildiritto alla protezione dei dati personali sancito dall'art. 1 del Codice; Considerato che un elevato numero ditrattamenti di dati sensibili effettuato da parte di soggetti operanti indiversi settori di attivit economiche di seguito individuate; Visto l'art. 167 del Codice; Visto l'art. 11, comma 2, del Codice, ilquale stabilisce che i dati trattati in violazione della disciplina rilevantein materia di trattamento di dati personali non possono essere utilizzati; Visti gli articoli 31 e seguenti delCodice e il disciplinare tecnico di cui all'Allegato B) al medesimo Codice, recantinorme e regole sulle misure di sicurezza; Visto l'art. 41 del Codice; Visti gli atti d'ufficio; Viste le osservazioni dell'Ufficioformulate dal segretario generale ai sensi dell'art. 15 del regolamento delGarante n. 1/2000; Relatore il dott. Giuseppe Fortunato; Autorizza il trattamento dei dati sensibili di cuiall'art. 4, comma 1, lett. d), del Codice, fatta eccezione dei dati idonei arivelare la vita sessuale, secondo le prescrizioni di seguito indicate. Prima di iniziare o proseguire iltrattamento i sistemi informativi e i programmi informatici sono configuratiriducendo al minimo l'utilizzazione di dati personali e di dati identificativi,in modo da escluderne il trattamento quando le finalit perseguite nei singolicasi possono essere realizzate mediante, rispettivamente, dati anonimi odopportune modalit che permettano di identificare l'interessato solo in caso dinecessit, in conformit all'art. 3 del Codice. Capo I Attivit bancarie,creditizie, assicurative, di gestione di fondi, del settore turistico, deltrasporto ed altre attivit autorizzate 1) Soggetti ai quali rilasciatal'autorizzazione: a) imprese autorizzate all'eserciziodell'attivit bancaria e creditizia o assicurativa ed organismi che leriuniscono, anche se in stato di liquidazione coatta amministrativa; b) societ ed altri organismi chegestiscono fondi-pensione o di assistenza, ovvero fondi o casse di previdenza; c) societ ed altri organismi diintermediazione finanziaria, in particolare per la gestione o l'intermediazionedi fondi comuni di investimento o di valori mobiliari; d) societ ed altri organismi cheemettono carte di credito o altri mezzi di pagamento, o che ne gestiscono lerelative operazioni; e) imprese che svolgono autonomeattivit strettamente connesse e strumentali a quelle indicate nelle precedentilettere, e relative alla rilevazione dei rischi, al recupero dei crediti, alavorazioni massive di documenti, alla trasmissione dati, all'imbustamento oallo smistamento della corrispondenza, nonch alla gestione di esattorie otesorerie; f) imprese che operano nel settoreturistico o alberghiero o del trasporto, agenzie di viaggio e operatorituristici; g) operatori economici autorizzati asvolgere la propria attivit in base ad autorizzazione comunque resa ai sensidelle norme contenute nel regio decreto 18 giugno 1931, n. 773 (T.u.l.p.s.) onel decreto legislativo 31 marzo 1998, n. 112.
2) Finalit del trattamento L'autorizzazione rilasciata anche peradempiere o per esigere l'adempimento ad obblighi previsti, anche in materiafiscale e contabile, dalla normativa comunitaria, dalla legge, dai regolamenti,o dai contratti collettivi, o prescritti da autorit od organi di vigilanza odi controllo nei casi indicati dalla legge o dai regolamenti. Il trattamento avente tali finalit puriguardare anche la tenuta di registri e scritture contabili, di elenchi, diindirizzari e di altri documenti necessari per espletare compiti diorganizzazione o di gestione amministrativa di imprese, societ, cooperative oconsorzi.
3) Interessati ai quali i dati siriferiscono e categorie di dati trattati Qualora il consenso sia richiesto neiconfronti di distinti titolari di trattamenti, la manifestazione di volontdeve riferirsi specificamente a ciascuno di essi.
4) Comunicazione e diffusione deidati I dati sensibili possonoessere comunicati, nei limiti strettamente pertinenti al perseguimento dellefinalit di cui al punto 2), a soggetti pubblici o privati, ivi compresi fondie casse di previdenza ed assistenza o societ controllate e collegate ai sensidell'art. 2359 del codice civile, nonch, ove necessario, ai familiaridell'interessato. I titolari del trattamento, anche ai finidell'eventuale comunicazione ad altri titolari delle modifiche apportate aidati in accoglimento di una richiesta dell'interessato (art. 7, comma 3,lettera c), del Codice), devono conservare un elenco dei destinatari dellecomunicazioni effettuate, recante un'annotazione delle specifiche categorie didati comunicati. I dati sensibili non possono esserediffusi. Capo II Sondaggie ricerche 1) Soggetti ai quali rilasciatal'autorizzazione e finalit del trattamento Il sondaggio o la ricerca devono essereeffettuati per scopi puntualmente determinati e legittimi, notiall'interessato.
2) Interessati ai quali i dati siriferiscono e categorie di dati trattati Il consenso deve essere manifestato inogni caso per iscritto. I dati personali di natura sensibilepossono essere trattati solo se il trattamento di dati anonimi non permette alsondaggio o alla ricerca di raggiungere i suoi scopi.
3) Conservazione dei dati I dati personali, individuali oaggregati, devono essere distrutti o resi anonimi subito dopo la raccolta, ecomunque non oltre la fase contestuale alla registrazione dei campioniraccolti. La registrazione deve essere effettuata senza ritardo anche nel casoin cui i campioni siano stati raccolti in numero elevato. Entro tale ambito temporale, resta fermala possibilit per il titolare della raccolta, nonch per i suoi responsabili oincaricati, di utilizzare i dati personali al fine di verificare presso gliinteressati la veridicit o l'esattezza dei campioni.
4) Comunicazione dei dati I campioni del sondaggio o della ricercapossono essere comunicati o diffusi in forma individuale o aggregata, sempreche non possano essere associati, anche a seguito di trattamento, adinteressati identificati o identificabili. Capo III Attivitdi elaborazione di dati
2) Prescrizioni applicabili a) n. 1/2008 concernente iltrattamento dei dati sensibili a cura, in particolare, delle parti di unrapporto di lavoro qualora le finalit perseguite siano quelle indicate alpunto 3) di tale autorizzazione; b) n. 4/2008 riguardante iltrattamento dei dati sensibili ad opera dei liberi professionisti e di altrisoggetti equiparati, qualora le finalit perseguite siano quelle indicate alpunto 3) di tale autorizzazione. Qualora il consenso sia richiesto neiconfronti di distinti titolari di trattamenti, la manifestazione di volontdeve riferirsi specificamente a ciascuno di essi. Capo IV Attivitdi selezione del personale 2) Interessati ai quali i dati siriferiscono e categorie di dati trattati Il trattamento dei dati idonei a rivelarelo stato di salute dei familiari o dei conviventi dei candidati consentitocon il consenso scritto degli interessati e qualora sia finalizzato al riconoscimentodi uno specifico beneficio in favore dei candidati, in particolare ai fini diun'assunzione obbligatoria o del riconoscimento di un titolo derivante dainvalidit o infermit, da eventi bellici o da ragioni di servizio. Qualora il consenso sia richiesto neiconfronti di distinti titolari di trattamenti, la manifestazione di volontdeve riferirsi specificamente a ciascuno di essi. Il trattamento deve riguardare le soleinformazioni strettamente pertinenti a tale finalit, sia in caso di risposta aquestionari inviati anche per via telematica, sia nel caso in cui i candidatiforniscano dati di propria iniziativa, in particolare attraverso l'invio dicurricula. Non consentito il trattamento dei dati: a) idonei a rivelare le convinzionireligiose, filosofiche o di altro genere, le opinioni politiche, l'adesione apartiti, sindacati, associazioni a carattere religioso, filosofico, politico osindacale, l'origine razziale ed etnica, e la vita sessuale; b) inerenti a fatti non rilevanti aifini della valutazione dell'attitudine professionale del lavoratore; c) in violazione delle norme inmateria di pari opportunit o volte a prevenire discriminazioni. 3) Comunicazione e diffusione dei dati I dati sensibili non possono esserediffusi.
4) Norme finali Capo V Mediazionea fini matrimoniali 1) Soggetti ai quali rilasciatal'autorizzazione La presenteautorizzazione rilasciata alle imprese, alle societ, agli istituti e aglialtri organismi o soggetti privati che esercitano, anche attraverso agenzieautorizzate, un'attivit di mediazione a fini matrimoniali o di instaurazionedi un rapporto di convivenza.
2) Finalit del trattamento
3) Interessati ai quali i dati siriferiscono Il trattamento puriguardare i soli dati sensibili attinenti alle persone direttamenteinteressate al matrimonio o alla convivenza. Non consentito il trattamento di datirelativo a persone minori di et in base all'ordinamento del Paese diappartenenza o, comunque, in base alla legge italiana.
4) Categorie di dati oggetto ditrattamento Il trattamento puriguardare i soli dati e le sole operazioni che risultino indispensabili inrelazione allo specifico profilo o alla personalit descritto o richiesto dallepersone interessate al matrimonio o alla convivenza. I dati devono essere fornitipersonalmente dai medesimi interessati. L'informativa preliminare al consensoscritto deve porre in particolare evidenza le categorie di dati trattati e lemodalit della loro comunicazione a terzi.
5) Comunicazione dei dati I titolari del trattamento, anche ai finidell'eventuale comunicazione ad altri titolari delle modifiche apportate aidati in accoglimento di una richiesta dell'interessato (art. 7, comma 3,lettera c), del Codice), devono conservare un elenco dei destinatari dellecomunicazioni effettuate, recante un'annotazione delle specifiche categorie didati comunicati. L'eventuale diffusione anche per viatelematica di taluni dati sensibili deve essere oggetto di appositaautorizzazione di questa Autorit.
6) Norme finali CapoVI Prescrizioni comuni a tutti i trattamenti Per quanto non previsto dai capi cheprecedono, ai trattamenti ivi indicati si applicano, altres, le seguentiprescrizioni:
1) Dati idonei a rivelare lo stato disalute Il trattamento dei datiidonei a rivelare lo stato di salute deve essere effettuato anche nel rispettodell'autorizzazione n. 2/2008. Il trattamento di dati genetici restaautorizzato nei limiti e alle condizioni individuati nell'autorizzazione del 22febbraio 2007, pubblicata nella Gazzetta Ufficiale n. 65 del 19 marzo 2007.
2) Modalit di trattamento Fermi restando gli obblighi previstidagli articoli 11 e 14 del Codice, dagli articoli 31 e seguenti del Codice edall'Allegato B) al Codice, il trattamento dei dati sensibili deve essereeffettuato unicamente con operazioni, nonch con logiche e mediante forme diorganizzazione dei dati strettamente indispensabili in rapporto alle finalitindicate nei capi che precedono. La comunicazione di dati all'interessatodeve avvenire di regola direttamente a quest'ultimo o a un suo delegato (fermorestando quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso ocon altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati,anche attraverso la previsione di distanze di cortesia. Resta inoltre fermo l'obbligo diinformare l'interessato, ai sensi dell'art. 13, commi 1, 4 e 5 del Codice,anche quando i dati sono raccolti presso terzi.
3) Conservazione dei dati Restano fermi i diversi termini diconservazione previsti dalle leggi o dai regolamenti. Resta altres fermo quanto previsto nelcapo II in materia di sondaggi e di ricerche.
4) Richieste di autorizzazione Le richieste di autorizzazione pervenuteo che perverranno anche successivamente alla data di adozione del presenteprovvedimento, devono intendersi accolte nei termini di cui al provvedimentomedesimo. Il Garante non prender in considerazionerichieste di autorizzazione per trattamenti da effettuarsi in difformit alleprescrizioni del presente provvedimento, salvo che, ai sensi dell'art. 41 delCodice, il loro accoglimento sia giustificato da circostanze del tuttoparticolari o da situazioni eccezionali non considerate nella presenteautorizzazione.
5) Norme finali a) dalla legge 20 maggio 1970, n.300; b) dalla legge 5 giugno 1990, n.135; c) dal decreto legislativo 10settembre 2003, n. 276. Restano altres fermi gli obblighi dilegge che vietano la rivelazione senza giusta causa e l'impiego a proprio oaltrui profitto delle notizie coperte dal segreto professionale, nonch gliobblighi deontologici, previsti anche dai codici deontologici e di buonacondotta adottati in attuazione dell'art. 12 del Codice. Resta ferma, infine, la possibilit didiffondere dati anonimi anche aggregati.
6) Efficacia temporale e disciplinatransitoria La presenteautorizzazione ha efficacia a decorrere dal 1 luglio 2008 fino al 31 dicembre2009, salve eventuali modifiche che il Garante ritenga di dover apportare inconseguenza di eventuali novit normative rilevanti in materia. La presente autorizzazione sarpubblicata nella Gazzetta Ufficiale della Repubblica italiana. Roma, 19 giugno 2008 ILPRESIDENTE Pizzetti ILRELATORE Fortunato |