Copyright © Ambiente Diritto.it
Info: AmbienteDiritto.it - Consulenza DPS (privacy)
Garante per la Protezione dei Dati Personali
- Autorizzazione al trattamento dei dati sensibili da parte di
diverse categorie di titolari. (Autorizzazione n. 5/2002).
(Pubblicato su GU n. 83 del 9-4-2002-
Suppl. Ordinario n.70)
IL GARANTE PER LA PROTEZIONE DEI DATI
PERSONALI
In data odierna, con la partecipazione del
prof. Stefano Rodota', presidente, del prof. Giuseppe Santaniello,
vicepresidente, del prof. Gaetano Rasi e del dott. Mauro Paissan, componenti e
del dott. Giovanni Buttarelli, segretario generale;
Vista
la legge 31 dicembre 1996, n. 675, e successive modificazioni ed integrazioni, in
materia di tutela delle persone e di altri soggetti rispetto al trattamento dei
dati personali;
Visto,
in particolare, l'art. 22, comma 1, della citata legge n. 675/1996, il quale
individua i dati personali "sensibili";
Considerato
che i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili
solo previa autorizzazione di questa Autorita' e, ove necessario, con il
consenso scritto degli interessati;
Considerato
che il trattamento dei dati in questione puo' essere autorizzato dal Garante anche
d'ufficio con provvedimenti di carattere generale, relativi a determinate
categorie di titolari o di trattamenti (art. 41, comma 7, legge n. 675/1996);
Considerato
che le autorizzazioni di carattere generale sinora rilasciate sono risultate
uno strumento idoneo per prescrivere misure uniformi a garanzia degli
interessati, rendendo altresi' superflua la richiesta di singoli provvedimenti
autorizzatori da parte di numerosi titolari del trattamento;
Ritenuto
opportuno rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza
il 31 gennaio 2002, armonizzando le prescrizioni gia' impartite alla luce
dell'esperienza maturata;
Ritenuto
opportuno che anche tali nuove autoriz-zazioni provvisorie siano a tempo determinato
ai sensi dell'art. 14 del decreto del Presidente della Repubblica 31 marzo 1998
n. 501, in relazione alla prevista emanazione del testo unico della normativa
in materia di protezione dei dati personali, in attuazione della legge n. 127
del 2001;
Considerata
la necessita' di garantire il rispetto di alcuni principi volti a ridurre al
minimo i rischi di danno o di pericolo che i trattamenti potrebbero comportare
per i diritti e le liberta' fondamentali, nonche' per la dignita' delle
persone;
Considerato
che un elevato numero di trattamenti di dati sensibili e' effettuato da parte di
soggetti operanti in diversi settori di attivita' economiche di seguito
individuate;
Visto
l'art. 35 della legge n. 675/1996;
Visto
il regolamento recante norme sulle misure minime di sicurezza adottato con
decreto del Presidente della Repubblica 28 luglio 1999, n. 318;
Visto
l'art. 14 del decreto del Presidente della Repubblica 31 marzo 1998, n. 501;
Visti
gli atti d'ufficio;
Viste
le osservazioni dell'Ufficio formulate dal segretario generale ai sensi
dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore
il prof. Gaetano Rasi;
Autorizza
il trattamento dei dati sensibili di cui
all'art. 22, comma 1, della legge n. 675/1996, fatta eccezione dei dati idonei
a rivelare la vita sessuale, secondo le prescrizioni di seguito indicate.
Capo I
Attivita' bancarie, creditizie,
assicurative, di gestione di fondi, del settore turistico, del trasporto.
1) Soggetti ai quali e' rilasciata
l'autorizzazione:
a)
imprese autorizzate all'esercizio dell'attivita' bancaria e creditizia o
assicurativa ed organismi che le riuniscono, anche se in stato di liquidazione
coatta amministrativa;
b)
societa' ed altri organismi che gestiscono fondi-pensione o di assistenza,
ovvero fondi o casse di previdenza;
c)
societa' ed altri organismi di intermediazione finanziaria, in particolare per la
gestione o l'intermediazione di fondi comuni di investimento o di valori
mobiliari;
d)
societa' ed altri organismi che emettono carte di credito o altri mezzi di
pagamento, o che ne gestiscono le relative operazioni;
e)
imprese che svolgono autonome attivita' strettamente connesse e strumentali a
quelle indicate nelle precedenti lettere, e relative alla rilevazione dei
rischi, al recupero dei crediti, a lavorazioni massive di documenti, alla
trasmissione dati, all'imbustamento o allo smistamento della corrispondenza,
nonche' alla gestione di esattorie o tesorerie;
f)
imprese che operano nel settore turistico o alberghiero o del trasporto,
agenzie di viaggio e operatori turistici.
2) Finalita' del trattamento.
La
presente autorizzazione e' rilasciata, anche senza richiesta, limitatamente ai
dati e alle operazioni indispensabili per adempiere agli obblighi anche
precontrattuali che i soggetti di cui al punto 1) assumono, nel proprio settore
di attivita', al fine di fornire specifici beni, prestazioni o servizi
richiesti dall'interessato.
L'autorizzazione
e' rilasciata anche per adempiere o per esigere l'adempimento ad obblighi
previsti, anche in materia fiscale, dalla normativa comunitaria, dalla legge,
dai regolamenti, o dai contratti collettivi, o prescritti da autorita' od
organi di vigilanza o di controllo nei casi indicati dalla legge o dai
regolamenti.
Il
trattamento avente tali finalita' puo' riguardare anche la tenuta di registri e
scritture contabili, di elenchi, di indirizzari e di altri documenti necessari per
espletare compiti di organizzazione o di gestione amministrativa di imprese,
societa', cooperative o consorzi.
3) Interessati ai quali i dati si
riferiscono e categorie di dati trattati.
Il
trattamento puo' riguardare i dati sensibili attinenti ai soggetti ai quali
sono forniti i beni, le prestazioni o i servizi, in misura strettamente pertinente
a quanto specificamente richiesto dall'interessato che abbia manifestato il
proprio consenso scritto ed informato. Nei medesimi limiti, e' possibile
trattare dati relativi a
terzi, allorche' non sia altrimenti possibile
procedere alla fornitura al beneficiario dei beni, delle prestazioni o dei
servizi.
Qualora
il consenso sia richiesto nei confronti di distinti titolari di trattamenti, la
manifestazione di volonta' deve riferirsi specificamente a ciascuno di essi.
4) Comunicazione e diffusione dei dati.
I dati
sensibili possono essere comunicati nei limiti strettamente pertinenti al perseguimento
delle finalita' di cui al punto 2), a soggetti pubblici o privati, ivi compresi
fondi e casse di previdenza ed assistenza o societa' controllate e collegate ai
sensi dell'art. 2359 del codice civile, nonche', ove necessario, ai familiari dell'interessato.
I titolari
del trattamento, anche ai fini dell'eventuale comunicazione ad altri titolari
delle modifiche apportate ai dati in accoglimento di una richiesta dell'interessato
(art. 13, comma 1, lettera c), n. 4) legge n. 675/1996), devono conservare un
elenco dei destinatari delle comunicazioni effettuate, recante un'annotazione delle
specifiche categorie di dati comunicati.
I
dati sensibili non possono essere diffusi.
Capo II
Sondaggi e ricerche
1) Soggetti ai quali e' rilasciata
l'autorizzazione e finalita' del trattamento.
Imprese,
societa', istituti ed altri organismi o soggetti privati, ai soli fini del
compimento di sondaggi di opinione, di ricerche di mercato o di altre ricerche
campionarie.
Il
sondaggio o la ricerca devono essere effettuati per scopi puntualmente
determinati e legittimi, noti all'interessato.
2) Interessati ai quali i dati si
riferiscono e categorie di dati trattati.
Il
trattamento puo' riguardare i dati attinenti ai soggetti che abbiano manifestato
il proprio consenso informato e che abbiano risposto a questionari o ad interviste
effettuate nell'ambito di sondaggi di opinione, di ricerche di mercato o di
altre ricerche campionarie.
Il
consenso deve essere manifestato in ogni caso per iscritto.
I dati
personali di natura sensibile possono essere trattati solo se il trattamento di
dati anonimi non permette al sondaggio o alla ricerca di raggiungere i suoi
scopi.
3) Conservazione dei dati.
Il
trattamento successivo alla raccolta non deve permettere di identificare gli interessati,
neanche indirettamente, mediante un riferimento ad una qualsiasi altra
informazione.
I dati
personali, individuali o aggregati, devono essere distrutti o resi anonimi
subito dopo la raccolta, e comunque non oltre la fase contestuale alla registrazione
dei campioni raccolti. La registrazione deve essere effettuata senza ritardo
anche nel caso in cui i campioni siano stati raccolti in numero elevato.
Entro
tale ambito temporale, resta ferma la possibilita' per il titolare della raccolta,
nonche' per i suoi responsabili o incaricati, di utilizzare i dati personali al
fine di verificare presso gli interessati la veridicita' o l'esattezza dei
campioni.
4) Comunicazione dei dati.
I
dati sensibili non possono essere ne' comunicati ne' diffusi.
I campioni
del sondaggio o della ricerca possono essere comunicati o diffusi in forma
individuale o aggregata, sempreche' non possano essere associati, anche a seguito
di trattamento, ad interessati
identificati o identificabili.
Capo III
Attivita' di elaborazione di dati
1) Soggetti ai quali e' rilasciata
l'autorizzazione.
Imprese,
societa', istituti ed altri organismi o soggetti privati, titolari autonomi di un'attivita'
svolta nell'interesse di altri soggetti, e che presuppone l'elaborazione di
dati ed altre operazioni di trattamento eseguite in materia di lavoro ovvero a
fini contabili, retributivi, previdenziali, assistenziali e fiscali.
2) Prescrizioni applicabili.
Il
trattamento e' regolato dalle autorizzazioni:
a)
n. 1/2002, rilasciata il 31 gennaio 2002, concernente il trattamento dei dati
sensibili a cura, in particolare, delle parti di un rapporto di lavoro qualora
le finalita' perseguite siano quelle indicate al punto 3) di tale
autorizzazione;
b)
n. 4/2002, rilasciata il 31 gennaio 2002, riguardante il trattamento dei dati
sensibili ad opera dei liberi professionisti e di altri soggetti equiparati,
qualora le finalita' perseguite siano quelle indicate al punto 3) di tale
autorizzazione.
Qualora
il consenso sia richiesto nei confronti di distinti titolari di trattamenti, la
manifestazione di volonta' deve riferirsi specificamente a ciascuno di essi.
Capo IV
Attivita' di selezione del personale
1) Soggetti ai quali e' rilasciata
l'autorizzazione e finalita' del trattamento.
La
presente autorizzazione e' rilasciata, anche senza richiesta, alle imprese, alle
societa', agli istituti e agli altri organismi o soggetti privati, titolari
autonomi di un'attivita' svolta anche di propria iniziativa nell'interesse di terzi,
ai soli fini della ricerca o della selezione di personale.
2) Interessati ai quali i dati si
riferiscono e categorie di dati trattati.
Il
trattamento puo' riguardare i dati idonei a rivelare lo stato di salute e
l'origine razziale ed etnica dei candidati all'instaurazione di un rapporto di lavoro
o di collaborazione, solo se la loro raccolta e' giustificata da scopi determinati
e legittimi ed e' strettamente indispensabile per instaurare tale rapporto.
Il
trattamento dei dati idonei a rivelare lo stato di salute dei familiari o dei conviventi
dei candidati e' consentito con il consenso scritto degli interessati e qualora
sia finalizzato al riconoscimento di uno specifico beneficio in favore dei
candidati, in particolare ai fini di un'assunzione obbligatoria o del
riconoscimento di un titolo derivante da
invalidita' o infermita', da eventi bellici o da ragioni di servizio.
Qualora
il consenso sia richiesto nei confronti di distinti titolari di trattamenti, la
manifestazione di volonta' deve riferirsi specificamente a ciascuno di essi.
Il
trattamento deve riguardare le sole informazioni strettamente pertinenti a tale
finalita', sia in caso di risposta a questionari inviati anche per via telematica,
sia nel caso in cui i candidati forniscano dati di propria iniziativa, in
particolare attraverso l'invio di curricula.
Non
e' consentito il trattamento dei dati:
a)
idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, le
opinioni politiche, l'adesione a partiti, sindacati, associazioni a carattere religioso,
filosofico, politico o sindacale, l'origine razziale ed etnica, e la vita
sessuale;
b)
inerenti a fatti non rilevanti ai fini della valutazione dell'attitudine
professionale del lavoratore;
c)
in violazione delle norme in materia di pari opportunita' o volte a prevenire
discriminazioni.
3) Comunicazione e diffusione dei dati.
I
dati idonei a rivelare lo stato di salute e l'origine razziale ed etnica possono
essere comunicati nei limiti strettamente pertinenti al perseguimento delle
finalita' di cui ai punti 1) e 2), a soggetti pubblici o privati che siano specificamente
menzionati nella dichiarazione di consenso dell'interessato.
I
dati sensibili non possono essere diffusi.
Capo V
Mediazione a fini matrimoniali
1) Soggetti ai quali e' rilasciata
l'autorizzazione.
La presente autorizzazione e' rilasciata, anche senza richiesta, alle imprese, alle societa', agli istituti e agli altri organismi o soggetti privati che esercitano, anche attraverso agenzie autorizzate, un'attivita' di mediazione a fini matrimoniali o di instaurazione di un rapporto di convivenza.
2) Finalita' del trattamento.
L'autorizzazione
e' rilasciata, anche senza richiesta, ai soli fini dell'esecuzione dei singoli
incarichi conferiti in conformita' alle leggi e ai regolamenti.
3) Interessati ai quali i dati si
riferiscono.
Il
trattamento puo' riguardare i soli dati sensibili attinenti alle persone
direttamente interessate al matrimonio o alla convivenza.
Non
e' consentito il trattamento di dati relativo a persone minori di eta' in base all'ordinamento
del Paese di appartenenza o, comunque, in base alla legge italiana.
4) Categorie di dati oggetto di
trattamento.
Il
trattamento puo' riguardare i soli dati e le sole operazioni che risultino indispensabili
in relazione allo specifico profilo o alla personalita' descritto o richiesto dalle
persone interessate al matrimonio o alla convivenza.
I dati
devono essere forniti personalmente dai medesimi interessati.
L'informativa
preliminare al consenso scritto deve porre in particolare evidenza le categorie
di dati trattati e le modalita' della loro comunicazione a terzi.
5) Comunicazione dei dati.
I
dati possono essere comunicati nei limiti strettamente pertinenti all'esecuzione
degli specifici incarichi ricevuti.
I titolari
del trattamento, anche ai fini dell'eventuale comunicazione ad altri titolari
delle modifiche apportate ai dati in accoglimento di una richiesta dell'interessato
(art. 13, comma 1, lettera c), n. 4), della legge n. 675/1996), devono
conservare un elenco dei destinatari delle comunicazioni effettuate, recante un'annotazione
delle specifiche categorie di dati comunicati.
L'eventuale
diffusione anche per via telematica di taluni dati sensibili deve essere oggetto
di apposita autorizzazione di questa Autorita'.
6) Norme finali.
Restano fermi gli ulteriori obblighi previsti dalla legge e dai regolamenti, in particolare nell'ambito della legge penale e della disciplina di pubblica sicurezza, nonche' in materia di tutela dei minori.
Capo VI
Prescrizioni comuni a tutti i trattamenti
Per
quanto non previsto dai capi che precedono, ai trattamenti ivi indicati si
applicano, altresi', le seguenti prescrizioni:
1) Dati idonei a rivelare lo stato di
salute.
Il
trattamento dei dati idonei a rivelare lo stato di salute deve essere effettuato
anche nel rispetto dell'autorizzazione n. 2/2002, rilasciata il 31 gennaio
2002.
Il
trattamento dei dati genetici non e' consentito nei casi previsti dalla
presente autorizzazione.
2) Modalita' di trattamento.
Fermi
restando gli obblighi previsti dagli articoli 9, 15, 17 e 28 della legge n.
675/1996 e dal decreto del Presidente della Repubblica n. 318/1999, il
trattamento dei dati sensibili deve essere effettuato unicamente con logiche e forme
di organizzazione dei dati strettamente correlate alle finalita' indicate nei capi
che precedono.
La
comunicazione di dati all'interessato deve avvenire di regola direttamente a quest'ultimo
o a un suo delegato (fermo restando quanto previsto dall'art. 23, comma 2,
della legge n. 675/1996), in plico chiuso o con altro mezzo idoneo a prevenire
la conoscenza da parte di soggetti non autorizzati, anche attraverso la
previsione di distanze di cortesia.
Resta
inoltre fermo l'obbligo di informare l'interessato, ai sensi dell'art. 10, commi
1 e 3, della legge n. 675/1996, anche quando i dati sono raccolti presso terzi.
3) Conservazione dei dati.
Nel
quadro del rispetto dell'obbligo previsto dall'art. 9, comma 1, lettera e) della
legge 31 dicembre 1996, n. 675, i dati sensibili possono essere conservati per un
periodo non superiore a quello necessario per perseguire le finalita' ovvero
per adempiere agli obblighi o agli incarichi menzionati nei precedenti capi. A
tal fine, anche mediante controlli periodici, deve essere verificata costantemente
la stretta pertinenza e la non eccedenza dei dati rispetto al rapporto, alla
prestazione o all'incarico in corso, da
instaurare o cessati, anche con
riferimento ai dati che l'interessato fornisce di propria iniziativa. I dati
che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o
non necessari non possono essere utilizzati, salvo che per l'eventuale
conservazione, a norma di legge, dell'atto o del documento che li contiene.
Specifica attenzione e' prestata per l'essenzialita' dei dati riferiti a soggetti
diversi da quelli cui si riferiscono direttamente le prestazioni e gli
adempimenti.
Restano
fermi i diversi termini di conservazione previsti dalle leggi o dai
regolamenti.
Resta
altresi' fermo quanto previsto nel capo II in materia di sondaggi e di
ricerche.
4) Richieste di autorizzazione.
I titolari
dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione
non sono tenuti a presentare una richiesta di autorizzazione a questa Autorita',
qualora il trattamento che si intende effettuare sia conforme alle prescrizioni
suddette.
Le
richieste di autorizzazione pervenute o che perverranno anche successivamente alla
data di adozione del presente provvedimento, devono intendersi accolte nei termini
di cui al provvedimento
medesimo.
Il
Garante non prendera' in considerazione richieste di autorizzazione per trattamenti
da effettuarsi in difformita' alle prescrizioni del presente provvedimento, salvo
che il loro accoglimento sia giustificato da circostanze del tutto particolari
o da situazioni eccezionali non considerate nella presente autorizzazione.
5) Norme finali.
Restano
fermi gli obblighi previsti dalla normativa comunitaria, da norme di legge o di
regolamento che stabiliscono divieti o limiti piu' restrittivi in materia di
trattamento di dati personali e, in particolare:
a)
dalla legge 20 maggio 1970, n. 300;
b)
dalla legge 5 giugno 1990, n. 135.
Restano
altresi' fermi gli obblighi deontologici, previsti anche dai codici deontologici
e di buona condotta adottati in attuazione dell'art. 20 del decreto legislativo
n. 467/2001, nonche' gli obblighi di legge che vietano la rivelazione senza
giusta causa e l'impiego a proprio o altrui profitto delle notizie coperte dal
segreto professionale.
Resta
ferma, infine, la possibilita' di diffondere dati anonimi anche aggregati.
6) Efficacia temporale e disciplina
transitoria.
La
presente autorizzazione ha efficacia a decorrere dal 1 febbraio 2002 fino al 30
giugno 2003.
Qualora
alla data della pubblicazione della presente autorizzazione il trattamento non
sia gia' conforme alle prescrizioni non contenute nella precedente
autorizzazione n. 5/2000, il titolare deve adeguarsi ad esse entro il 31 maggio
2002.
La
presente autorizzazione sara' pubblicata nella Gazzetta Ufficiale della
Repubblica italiana.
Roma,
31 gennaio 2002
Il presidente
Rodota'
Il relatore
Rasi
Il segretario generale
Buttarelli