Garante per la protezione dei dati personali Archivi

Garante per la protezione dei dati personali

Deliberazione Garante per la protezione dei dati personali 21/4/2011 n. 161

Redazione

IL GARANTE PER LA PROTEZIONE
DEI DATI PERSONALI

In data odierna, con la partecipazione del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali;
Visto, in particolare, l’art. 4, comma 1, lett. d), del citato Codice, il quale individua i dati sensibili;
Considerato che, ai sensi dell’art. 26, comma 1, del Codice, i soggetti privati e gli enti pubblici economici possono trattare i dati sensibili solo previa autorizzazione di questa Autorita’ e, ove necessario, con il consenso scritto degli interessati, nell’osservanza dei presupposti e dei limiti stabiliti dal Codice, nonche’ dalla legge e dai regolamenti;
Considerato che il trattamento dei dati in questione puo’ essere autorizzato dal Garante anche d’ufficio con provvedimenti di carattere generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice);
Considerato che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure uniformi a garanzia degli interessati, rendendo altresi’ superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari del trattamento;
Visto il decreto legislativo 4 marzo 2010, n. 28 di attuazione dell’art. 60 della legge 18 giugno 2009, n. 69 in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali e il d.m. del 18 ottobre 2010, n. 180 emanato ai sensi dell’art. 16 del predetto decreto legislativo;
Considerato che un elevato numero di trattamenti di dati sensibili e’ effettuato da parte degli organismi definiti a norma dell’art. 1 comma 1, lett. d) del decreto legislativo n. 28/2010 per l’espletamento delle rispettive attivita’;
Vista l’autorizzazione generale n. 2/2009 al trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale rilasciata, altresi’, quando il trattamento sia necessario «per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonche’ in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che il diritto sia di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalita’ o in altro diritto o liberta’ fondamentale e inviolabile, e i dati siano trattati esclusivamente per tali finalita’ e per il periodo strettamente necessario per il loro perseguimento» (punto 1.3., lett. a);
Ritenuto che il trattamento di dati sensibili effettuato dagli organismi di mediazione ai sensi del decreto legislativo n. 28/2010 non sia riconducibile all’autorizzazione generale n. 5/2009 al trattamento dei dati sensibili da parte di diverse categorie di titolari in considerazione delle categorie di soggetti a cui si rivolge e delle relative prescrizioni;
Ritenuto necessario, pertanto, per permettere il trattamento di dati sensibili nell’esercizio della mediazione finalizzata alla conciliazione delle controversie civili e commerciali ai sensi del decreto legislativo n. 28/2010, rilasciare una nuova autorizzazione al trattamento dei dati sensibili;
Visto l’art. 27 del Codice, che consente il trattamento di dati giudiziari da parte di privati o di enti pubblici economici, soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalita’ di rilevante interesse pubblico del trattamento, i tipi di dati trattati e le operazioni eseguibili;
Vista l’autorizzazione generale n. 7/2009 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici rilasciata «a chiunque, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonche’ in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi […]» (punto 2) lett. a), e, quindi, applicabile anche al trattamento di dati a carattere giudiziario indispensabili nell’ambito dell’attivita’ di mediazione di cui al decreto legislativo n. 28/2010;
Considerato opportuno che anche tale nuova autorizzazione sia provvisoria e a tempo determinato, ai sensi dell’art. 41, comma 5, del Codice; ritenuto congruo, in particolare, statuirne l’efficacia, nella fase di prima applicazione della disciplina normativa di cui al menzionato decreto legislativo n. 28/2010, fino al 30 giugno 2012, cio’ in quanto entro tale periodo di tempo dovrebbero essere ultimati gli adempimenti necessari per dare attuazione all’art. 16 del decreto legislativo n. 28/2010 secondo i criteri indicati dall’art. 4 del d.m. n. 180/2010 con conseguente completamento del quadro normativo di riferimento;
Considerata la necessita’ di garantire il rispetto di alcuni principi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti potrebbero comportare per i diritti e le liberta’ fondamentali, nonche’ per la dignita’ delle persone, e in particolare, per il diritto alla protezione dei dati personali sancito dall’art. 1 del Codice;
Visto l’art. 167 del Codice;
Visto l’art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;
Visti gli articoli 31 e seguenti del Codice e il disciplinare tecnico di cui all’Allegato B) al medesimo Codice, recanti norme e regole sulle misure di sicurezza;
Visto l’art. 41 del Codice;
Visti gli articoli 42 e seguenti del Codice in materia di trasferimento di dati personali all’estero;
Visti gli atti d’ufficio;
Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;

Autorizza:

1) Soggetti ai quali e’ rilasciata l’autorizzazione.
Sono autorizzati, anche senza richiesta, a trattare i dati sensibili di cui all’art. 4, comma 1, lett. d), del Codice, secondo le prescrizioni di seguito indicate gli organismi di mediazione privati di cui all’art. 1, comma 1, del decreto legislativo 4 marzo 2010, n. 28 e successive modificazioni e integrazioni.
2) Finalita’ del trattamento.
Il trattamento dei dati sensibili puo’ essere effettuato ai soli fini dell’espletamento di un’attivita’ che rientri tra quelle che i soggetti indicati al punto 1) possono svolgere ai sensi del decreto legislativo n. 28/2010 e successive modifiche ed integrazioni e, in particolare, per assistere due o piu’ soggetti sia nella ricerca di un accordo amichevole per la composizione di una controversia, sia, ove tale accordo non venga raggiunto, nella formulazione di una proposta per la risoluzione della stessa. Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere deve essere di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalita’ o in un altro diritto o liberta’ fondamentale e inviolabile.
3) Interessati ai quali i dati si riferiscono.
Il trattamento puo’ riguardare i soli dati sensibili attinenti ai soggetti coinvolti nella controversia oggetto di conciliazione.
I dati sensibili relativi ai terzi possono essere trattati ove cio’ sia strettamente indispensabile per l’attivita’ di mediazione.
4) Categorie di dati e operazioni di trattamento.
Il trattamento puo’ riguardare i soli dati e le sole operazioni che risultino indispensabili, pertinenti e non eccedenti in relazione alla specifica controversia oggetto di mediazione e rispetto ad attivita’ che non possano essere svolte mediante il trattamento di dati anonimi o di dati personali di natura diversa.
Il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale deve essere effettuato anche nel rispetto della citata autorizzazione generale n. 2/2009.
5) Comunicazione dei dati.
I dati sensibili possono essere comunicati, laddove indispensabile, alle parti nel procedimento di mediazione finalizzata alla conciliazione delle controversie civili e commerciali, nei limiti strettamente pertinenti all’espletamento dello specifico incarico di mediazione conferito e nel rispetto del decreto legislativo n. 28/2010.
I dati sensibili non possono essere diffusi.
6) Conservazione dei dati.
Nel quadro del rispetto dell’obbligo previsto dall’art. 11, comma 1, lett. e), del Codice, i dati sensibili possono essere conservati, per il periodo di tempo previsto dalla normativa comunitaria, da leggi, o da regolamenti e, comunque, per un periodo non superiore a quello strettamente necessario per la gestione dell’attivita’ di mediazione.
A tal fine, anche mediante controlli periodici, deve essere verificata la stretta pertinenza, non eccedenza e indispensabilita’ dei dati rispetto agli incarichi in corso, da instaurare o cessati, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene. Specifica attenzione e’ prestata per l’indispensabilita’ dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti.
7) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell’ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorita’, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prendera’ in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformita’ alle prescrizioni del presente provvedimento, salvo che, ai sensi dell’art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.
8) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti piu’ restrittivi in materia di trattamento di dati personali.
Restano fermi, altresi’, gli obblighi di legge che vietano la rivelazione senza giusta causa e l’impiego a proprio o altrui profitto delle notizie coperte dal segreto professionale, nonche’ gli obblighi deontologici o di buona condotta relativi alle singole figure professionali.
9) Efficacia temporale.
La presente autorizzazione ha efficacia fino al 30 giugno 2012, salve eventuali modifiche che il Garante ritenga di dover apportare in conseguenza di eventuali novita’ normative rilevanti in materia.
La presente autorizzazione sara’ pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 21 aprile 2011

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Deliberazione Garante per la protezione dei dati personali 21/4/2011 n. 162

Redazione

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia di protezione dei dati personali;
Visto, in particolare, l’art. 4, comma 1, lett. e), del Codice, il quale individua i dati giudiziari;
Visti gli articoli 21, comma 1, e 27 del Codice, che consentono il trattamento di dati giudiziari, rispettivamente, da parte di soggetti pubblici e di privati o di enti pubblici economici, soltanto se autorizzato da espressa disposizione di legge o provvedimento del Garante che specifichino le finalita’ di rilevante interesse pubblico del trattamento, i tipi di dati trattati e le operazioni eseguibili;
Visti gli articoli 20, commi 2 e 4, e le disposizioni relative a specifici settori di cui alla Parte II del Codice e, in particolare, il Capo IV del Titolo IV nel quale sono indicate finalita’ di rilevante interesse pubblico che rendono ammissibile il trattamento di dati giudiziari da parte di soggetti pubblici;
Visto l’art. 22 del Codice, che enuncia i principi applicabili, in particolare, al trattamento di dati giudiziari da parte di soggetti pubblici;
Considerato che il trattamento dei dati in questione puo’ essere autorizzato dal Garante anche d’ufficio con provvedimenti di carattere generale, relativi a determinate categorie di titolari o di trattamenti (art. 40 del Codice);
Considerato che le autorizzazioni di carattere generale sinora rilasciate sono risultate uno strumento idoneo per prescrivere misure uniformi a garanzia degli interessati, rendendo altresi’ superflua la richiesta di singoli provvedimenti di autorizzazione da parte di numerosi titolari del trattamento;
Visto il decreto legislativo 4 marzo 2010, n. 28 di attuazione dell’art. 60 della legge 18 giugno 2009, n. 69 in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali e il d.m. del 18 ottobre 2010, n. 180 emanato ai sensi dell’art. 16 del predetto decreto legislativo;
Considerato che il decreto legislativo n. 28/2010 e il d.m. n. 180/2010, prevedono che gli organismi di mediazione, gli enti di formazione e il Ministero della giustizia trattino i dati giudiziari per l’accertamento dei requisiti di onorabilita’ dei mediatori nonche’ dei soci, associati, amministratori e rappresentanti dei predetti enti di natura privata e attribuiscono al Ministero della giustizia l’esercizio di poteri di vigilanza e controllo in merito a tali requisiti;
Vista l’autorizzazione generale n. 7/2009 al trattamento dei dati a carattere giudiziario da parte di privati, di enti pubblici economici e di soggetti pubblici che non contempla il predetto trattamento correlato all’attivita’ di mediazione finalizzata alla conciliazione delle controversie civili e commerciali;
Ritenuto necessario, pertanto, prevedere una nuova autorizzazione al fine di consentirne il relativo trattamento;
Considerato opportuno che anche tale nuova autorizzazione sia provvisoria e a tempo determinato, ai sensi dell’art. 41, comma 5, del Codice; ritenuto congruo, in particolare, statuirne l’efficacia, nella fase di prima applicazione della disciplina normativa di cui al menzionato decreto legislativo n. 28/2010, fino al 30 giugno 2012, cio’ in quanto entro tale periodo di tempo dovrebbero essere ultimati gli adempimenti necessari per dare attuazione all’art. 16 del decreto legislativo n. 28/2010 secondo i criteri indicati dall’art. 4 del d.m. n. 180/2010 con conseguente completamento del quadro normativo di riferimento;
Considerata la necessita’ di garantire il rispetto di alcuni principi volti a ridurre al minimo i rischi di danno o di pericolo che i trattamenti potrebbero comportare per i diritti e le liberta’ fondamentali, nonche’ per la dignita’ delle persone, e in particolare, per il diritto alla protezione dei dati personali sancito dall’art. 1 del Codice;
Visto l’art. 167 del Codice;
Visto l’art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati in violazione della disciplina rilevante in materia di trattamento di dati personali non possono essere utilizzati;
Visti gli articoli 31 e seguenti del Codice e il disciplinare tecnico di cui all’Allegato B) al medesimo Codice, recanti norme e regole sulle misure di sicurezza;
Visto l’art. 41 del Codice;
Visti gli articoli 42 e seguenti del Codice in materia di trasferimento di dati personali all’estero;
Visti gli atti d’ufficio;
Viste le osservazioni dell’Ufficio formulate dal segretario generale ai sensi dell’art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Francesco Pizzetti;

Autorizza

i trattamenti di dati giudiziari per le finalita’ di rilevante interesse pubblico di seguito specificate ai sensi degli artt. 21 e 27 del Codice, secondo le prescrizioni di seguito indicate.
1) Soggetti ai quali e’ rilasciata l’autorizzazione e finalita’ del trattamento.
a) Per il perseguimento della finalita’ di rilevante interesse pubblico individuata dall’art. 69 (Onorificenze, ricompense e riconoscimenti) sono autorizzati, anche senza richiesta, a trattare i dati giudiziari di cui all’art. 4, comma 1, lett. e), del Codice per adempiere ad obblighi previsti da disposizioni di legge e regolamento in materia di mediazione finalizzata alla conciliazione delle controversie civili e commerciali:
1. gli organismi di mediazione costituiti da enti privati di cui all’art. 1, comma 1, lett. d), del decreto legislativo n. 28/2010 e successive modificazioni e integrazioni, con riferimento ai dati dei soci, associati, amministratori e rappresentanti, nonche’ dei mediatori iscritti;
2. gli organismi di mediazione costituiti da enti pubblici di cui all’art. 1, comma 1, lett. d), del decreto legislativo n. 28/2010 e successive modificazioni e integrazioni, con riferimento ai dati dei mediatori iscritti;
3. gli enti di formazione di cui all’art. 16, comma 5, del decreto legislativo n. 28/2010 e successive modificazioni e integrazioni, e art. 1, comma 1, lett. n) del d.m. n. 180/2010 con riferimento ai dati dei soci, associati, amministratori e rappresentanti;
b) Per il perseguimento delle finalita’ di rilevante interesse pubblico individuate dall’art. 69 (Onorificenze, ricompense e riconoscimenti), nonche’ dall’art. 67 (Attivita’ di controllo e ispettive) il Ministero della giustizia e’ autorizzato a trattare i dati giudiziari di cui all’art. 4, comma 1, lett. e), del Codice ai sensi dell’art. 16 del decreto legislativo n. 28/2010 e successive modificazioni e integrazioni, nonche’ relative disposizioni attuative, per la gestione del registro degli organismi di mediazione e dell’elenco degli enti di formazione e per la verifica dei requisiti di onorabilita’ di cui al d.m. n. 180/2010 di soci, associati, amministratori e rappresentanti degli organismi di mediazione e degli enti di formazione di natura privata, nonche’ dei singoli mediatori.
2) Interessati ai quali i dati si riferiscono e categorie di dati oggetto di trattamento.
Il trattamento puo’ riguardare i soli dati giudiziari relativi ai requisiti di onorabilita’ previsti dal d.m. n. 180/2010 previsti per soci, associati, amministratori e rappresentanti degli organismi di mediazione e degli enti di formazione di natura privata, nonche’ dei singoli mediatori («non avere riportato condanne definitive per delitti non colposi o a pena detentiva non sospesa; non essere incorso nell’interdizione perpetua o temporanea dai pubblici uffici; non essere stato sottoposto a misure di prevenzione o di sicurezza»).
3) Categorie di dati e operazioni di trattamento.
Il trattamento puo’ riguardare i soli dati giudiziari e le sole operazioni che risultino indispensabili, pertinenti e non eccedenti in relazione alla specifica finalita’ perseguita, nei limiti stabiliti dalle norme di legge e regolamento.
4) Comunicazione dei dati.
Il Ministero della giustizia, nell’ambito dei poteri di vigilanza e controllo attribuitigli dalla normativa di settore puo’ comunicare i dati giudiziari di cui all’art. 4, comma 1, lett. e) del Codice: agli organismi di mediazione e agli enti di formazione di natura privata in relazione ai requisiti di onorabilita’ previsti dagli artt. 4, comma 2, lett. c) e 18, comma 2, lett. b), del d.m. n. 180/2010 per i propri soci, associati, amministratori e rappresentanti; agli organismi di mediazione di natura pubblica e privata in relazione ai requisiti di onorabilita’ previsti dall’art. 4, comma 3, lett. c), del d.m. n. 180/2010 per i mediatori individuati nei propri elenchi.
5) Conservazione dei dati.
Nel quadro del rispetto dell’obbligo previsto dall’art. 11, comma 1, lett. e), del Codice, i dati giudiziari possono essere conservati per il periodo di tempo previsto dalla normativa comunitaria, da leggi, o da regolamenti e, comunque, per un periodo non superiore a quello strettamente necessario.
I soggetti autorizzati verificano periodicamente l’esattezza e l’aggiornamento dei dati, nonche’ la loro pertinenza, completezza, non eccedenza e necessita’ rispetto alle finalita’ perseguite nei singoli casi. Al fine di assicurare che i dati siano strettamente pertinenti, non eccedenti e indispensabili rispetto alle finalita’ medesime, i soggetti autorizzati valutano specificamente il rapporto tra i dati e i singoli obblighi e compiti. I dati che, anche a seguito delle verifiche, risultino eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene.
6) Richieste di autorizzazione.
 I titolari dei trattamenti che rientrano nell’ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorita’, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prendera’ in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformita’ alle prescrizioni del presente provvedimento, salvo che, ai sensi dell’art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.
7) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti piu’ restrittivi in materia di trattamento di dati personali. Restano fermi, altresi’, gli obblighi di legge che vietano la rivelazione senza giusta causa e l’impiego a proprio o altrui profitto delle notizie coperte dal segreto professionale, nonche’ gli obblighi deontologici o di buona condotta relativi alle singole figure professionali.
8) Efficacia temporale.
La presente autorizzazione ha efficacia fino al 30 giugno 2012, salve eventuali modifiche che il Garante ritenga di dover apportare in conseguenza di eventuali novita’ normative rilevanti in materia.
La presente autorizzazione sara’ pubblicata nella Gazzetta Ufficiale della Repubblica italiana.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Autorizzazione Garante per la protezione dei dati personali 16/12/2009 n. 4

Redazione

Autorizza

i liberi professionisti iscritti in albi o elenchi professionali a trattare i dati sensibili di cui all’art. 4, comma 1, lett. d), del Codice, secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità, in conformità all’art. 3 del Codice.

1) Ambito di applicazione

L’autorizzazione è rilasciata, anche senza richiesta, ai liberi professionisti tenuti ad iscriversi in albi o elenchi per l’esercizio di un’attività professionale in forma individuale o associata, anche in conformità al decreto legislativo 2 febbraio 2001, n. 96, o alle norme di attuazione dell’art. 24, comma 2, della legge 7 agosto 1997, n. 266, in tema di attività di assistenza e consulenza.
Sono equiparati ai liberi professionisti i soggetti iscritti nei corrispondenti albi o elenchi speciali istituiti anche ai sensi dell’art. 34 del regio decreto-legge 27 novembre 1933, n. 1578 e successive modificazioni e integrazioni, recante l’ordinamento della professione di avvocato.
L’autorizzazione è rilasciata anche ai sostituti e agli ausiliari che collaborano con il libero professionista ai sensi dell’art. 2232 del Codice civile, ai praticanti e ai tirocinanti presso il libero professionista, qualora tali soggetti siano titolari di un autonomo trattamento o siano contitolari del trattamento effettuato dal libero professionista.
Il presente provvedimento non si applica al trattamento dei dati sensibili effettuato:
a) dagli esercenti le professioni sanitarie e dagli psicologi, dal personale sanitario infermieristico, tecnico e della riabilitazione, ai quali si riferisce l’autorizzazione generale n. 2/2009;
b) per la gestione delle prestazioni di lavoro o di collaborazione di cui si avvale il libero professionista o taluno dei soggetti sopra indicati, alla quale si riferisce l’autorizzazione generale n. 1/2009;
c) da soggetti privati che svolgono attività investigative, dai giornalisti, dai pubblicisti e dai praticanti giornalisti di cui agli articoli 26 e 33 della legge 3 febbraio 1963, n. 69.

2) Interessati ai quali i dati si riferiscono e categorie di dati

Il trattamento può riguardare i dati sensibili relativi ai clienti.
I dati sensibili relativi ai terzi possono essere trattati ove ciò sia strettamente indispensabile per l’esecuzione di specifiche prestazioni professionali richieste dai clienti per scopi determinati e legittimi.
In ogni caso, i dati devono essere strettamente pertinenti e non eccedenti rispetto ad incarichi conferiti che non possano essere svolti mediante il trattamento di dati anonimi o di dati personali di natura diversa.
Il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale deve essere effettuato anche nel rispetto della citata autorizzazione generale n. 2/2009.

3) Finalità del trattamento

Il trattamento dei dati sensibili può essere effettuato ai soli fini dell’espletamento di un incarico che rientri tra quelli che il libero professionista può eseguire in base al proprio ordinamento professionale, e in particolare:
a) per curare gli adempimenti in materia di lavoro, di previdenza ed assistenza sociale e fiscale nell’interesse di altri soggetti che sono parte di un rapporto di lavoro dipendente o autonomo, ai sensi della legge 11 gennaio 1979, n. 12, che disciplina la professione di consulente del lavoro;
b) ai fini dello svolgimento da parte del difensore delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, anche a mezzo di sostituti e di consulenti tecnici, o, comunque, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi. Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere deve essere di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;
c) per l’esercizio del diritto di accesso ai documenti amministrativi, nei limiti di quanto stabilito dalle leggi e dai regolamenti in materia, salvo quanto previsto dall’art. 60 del Codice in relazione ai dati sullo stato di salute e sulla vita sessuale.

4) Modalità di trattamento

Il trattamento dei dati sensibili deve essere effettuato unicamente con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto all’incarico conferito dal cliente.
Restano fermi gli obblighi previsti dagli articoli 11 e 14 del Codice, nonché dagli articoli 31 e seguenti del Codice e dall’Allegato B) al medesimo Codice.
Resta inoltre fermo l’obbligo di informare l’interessato ai sensi dell’art. 13, commi 1, 4 e 5, del Codice, anche quando i dati sono raccolti presso terzi, e di acquisire, ove necessario, il consenso scritto. L’avvocato può fornire tale informativa e le notizie che deve indicare ai sensi della disciplina sulle indagini difensive in un unico contesto, anche mediante affissione nei locali dello Studio e, se ne dispone, pubblicazione sul proprio sito Internet, anche utilizzando formule sintetiche e colloquiali.
Se i dati sono raccolti per l’esercizio di un diritto in sede giudiziaria o per le indagini difensive (punto 3), lettera b)), l’informativa relativa ai dati raccolti presso terzi, e il consenso scritto, sono necessari solo se i dati sono trattati per un periodo superiore a quello strettamente necessario al perseguimento di tali finalità, oppure per altre finalità con esse non incompatibili.
Le informative devono permettere all’interessato di comprendere agevolmente se il titolare del trattamento è un singolo professionista o un’associazione di professionisti, ovvero se ricorre un’ipotesi di contitolarità tra più liberi professionisti o di esercizio della professione in forma societaria ai sensi del decreto legislativo 2 febbraio 2001, n. 96.
Resta ferma la facoltà del libero professionista di designare quali responsabili o incaricati del trattamento i sostituti, gli ausiliari, i tirocinanti e i praticanti presso il libero professionista, i quali, in tal caso, possono avere accesso ai soli dati strettamente pertinenti alla collaborazione ad essi richiesta.
Analoga cautela deve essere adottata in riferimento agli incaricati del trattamento preposti all’espletamento di compiti amministrativi.

5) Conservazione dei dati

Nel quadro del rispetto dell’obbligo previsto dall’art. 11, comma 1, lett. e), del Codice, i dati sensibili possono essere conservati, per il periodo di tempo previsto dalla normativa comunitaria, da leggi, o da regolamenti e, comunque, per un periodo non superiore a quello strettamente necessario per adempiere agli incarichi conferiti.
A tal fine, anche mediante controlli periodici, deve essere verificata la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto agli incarichi in corso, da instaurare o cessati, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene. Specifica attenzione è prestata per l’indispensabilità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti.
I dati acquisiti in occasione di precedenti incarichi possono essere mantenuti se pertinenti, non eccedenti e indispensabili rispetto a successivi incarichi.

6) Comunicazione e diffusione dei dati

I dati sensibili possono essere comunicati e ove necessario diffusi, a soggetti pubblici o privati, nei limiti strettamente pertinenti all’espletamento dell’incarico conferito e nel rispetto, in ogni caso, del segreto professionale.
I dati idonei a rivelare lo stato di salute possono essere comunicati solo se necessario per finalità di prevenzione, accertamento o repressione dei reati, con l’osservanza delle norme che regolano la materia.
I dati relativi allo stato di salute e alla vita sessuale non possono essere diffusi.

7) Richieste di autorizzazione

I titolari dei trattamenti che rientrano nell’ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità alle prescrizioni del presente provvedimento, salvo che, ai sensi dell’art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.

8) Norme finali

Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali e, in particolare, dalle leggi 20 maggio 1970, n. 300, e 5 giugno 1990, n. 135, come modificata dall’art. 178 del Codice, nonché dalle norme volte a prevenire discriminazioni.
Restano fermi, altresì, gli obblighi di legge che vietano la rivelazione senza giusta causa e l’impiego a proprio o altrui profitto delle notizie coperte dal segreto professionale, nonché gli obblighi deontologici o di buona condotta relativi alle singole figure professionali.

9) Efficacia temporale e disciplina transitoria

La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2010 fino al 30 giugno 2011, salve eventuali modifiche che il Garante ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.

La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Autorizzazione Garante per la protezione dei dati personali 16/12/2009 n. 1

Redazione

Autorizza

il trattamento dei dati sensibili di cui all’art. 4, comma 1, lett. d), del Codice, finalizzato alla gestione dei rapporti di lavoro, secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità, in conformità all’art. 3 del Codice.

1) Ambito di applicazione

La presente autorizzazione è rilasciata:
a) alle persone fisiche e giuridiche, alle imprese, anche sociali, agli enti, alle associazioni e agli organismi che sono parte di un rapporto di lavoro o che utilizzano prestazioni lavorative anche atipiche, parziali o temporanee, o che comunque conferiscono un incarico professionale alle figure indicate al successivo punto 2, lettere b) e c);
b) ad organismi paritetici o che gestiscono osservatori in materia di lavoro, previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi anche aziendali;

l’autorizzazione riguarda anche l’attività svolta:
c) dal medico competente in materia di igiene e di sicurezza del lavoro, in qualità di libero professionista o di dipendente dei soggetti di cui alla lettera a) o di strutture convenzionate;
d) dal rappresentante dei lavoratori per la sicurezza, anche territoriale e di sito;
e) da associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro, al solo fine di perseguire le finalità di cui al punto 3), lettera h).

2) Interessati ai quali i dati si riferiscono

Il trattamento può riguardare i dati sensibili attinenti:
a) a lavoratori subordinati, anche se parti di un contratto di apprendistato, o di formazione e lavoro, o di inserimento, o di lavoro ripartito, o di lavoro intermittente o a chiamata, ovvero prestatori di lavoro nell’ambito di un contratto di somministrazione, o in rapporto di tirocinio, ovvero ad associati anche in compartecipazione e, se necessario in base ai punti 3) e 4), ai relativi familiari e conviventi;
b) a consulenti e a liberi professionisti, ad agenti, rappresentanti e mandatari;
c) a soggetti che effettuano prestazioni coordinate e continuative, anche nella modalità di lavoro a progetto, o ad altri lavoratori autonomi in rapporto di collaborazione, anche sotto forma di prestazioni di lavoro accessorio, con i soggetti di cui al punto 1);
d) a candidati all’instaurazione dei rapporti di lavoro di cui alle lettere precedenti;
e) a persone fisiche che ricoprono cariche sociali o altri incarichi nelle persone giuridiche, negli enti, nelle associazioni e negli organismi di cui al punto 1);
f) a terzi danneggiati nell’esercizio dell’attività lavorativa o professionale dai soggetti di cui alle precedenti lettere.

3) Finalità del trattamento

Il trattamento dei dati sensibili deve essere indispensabile:
a) per adempiere o per esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi anche aziendali, in particolare ai fini dell’instaurazione, gestione ed estinzione del rapporto di lavoro, nonché dell’applicazione della normativa in materia di previdenza ed assistenza anche integrativa, o in materia di igiene e sicurezza del lavoro o della popolazione, nonché in materia fiscale, sindacale, di tutela della salute, dell’ordine e della sicurezza pubblica;
b) anche fuori dei casi di cui alla lettera a), in conformità alla legge e per scopi determinati e legittimi, ai fini della tenuta della contabilità o della corresponsione di stipendi, assegni, premi, altri emolumenti, liberalità o benefici accessori;
c) per perseguire finalità di salvaguardia della vita o dell’incolumità fisica dell’interessato o di un terzo;
d) per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario al loro perseguimento. Qualora i dati siano idonei a rivelare lo stato di salute e la vita sessuale, il diritto da far valere o difendere deve essere di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale e inviolabile;
e) per esercitare il diritto di accesso ai documenti amministrativi, nel rispetto di quanto stabilito dalle leggi e dai regolamenti in materia;
f) per adempiere ad obblighi derivanti da contratti di assicurazione finalizzati alla copertura dei rischi connessi alla responsabilità del datore di lavoro in materia di igiene e di sicurezza del lavoro e di malattie professionali o per i danni cagionati a terzi nell’esercizio dell’attività lavorativa o professionale;
g) per garantire le pari opportunità;
h) per perseguire scopi determinati e legittimi individuati dagli statuti di associazioni, organizzazioni, federazioni o confederazioni rappresentative di categorie di datori di lavoro o dai contratti collettivi, in materia di assistenza sindacale ai datori di lavoro.

4) Categorie di dati

Il trattamento può avere per oggetto i dati strettamente pertinenti ai sopra indicati obblighi, compiti o finalità che non possano essere adempiuti o realizzati, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa, e in particolare:
a) nell’ambito dei dati idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, ovvero l’adesione ad associazioni od organizzazioni a carattere religioso o filosofico, i dati concernenti la fruizione di permessi e festività religiose o di servizi di mensa, nonché la manifestazione, nei casi previsti dalla legge, dell’obiezione di coscienza;
b) nell’ambito dei dati idonei a rivelare le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere politico o sindacale, i dati concernenti l’esercizio di funzioni pubbliche e di incarichi politici, di attività o di incarichi sindacali (sempre che il trattamento sia effettuato ai fini della fruizione di permessi o di periodi di aspettativa riconosciuti dalla legge o, eventualmente, dai contratti collettivi anche aziendali), ovvero l’organizzazione di pubbliche iniziative, nonché i dati inerenti alle trattenute per il versamento delle quote di servizio sindacale o delle quote di iscrizione ad associazioni od organizzazioni politiche o sindacali;
c) nell’ambito dei dati idonei a rivelare lo stato di salute, i dati raccolti e ulteriormente trattati in riferimento a invalidità, infermità, gravidanza, puerperio o allattamento, ad infortuni, ad esposizioni a fattori di rischio, all’idoneità psico-fisica a svolgere determinate mansioni, all’appartenenza a determinate categorie protette, nonché i dati contenuti nella certificazione sanitaria attestante lo stato di malattia, anche professionale dell’interessato, o comunque relativi anche all’indicazione della malattia come specifica causa di assenza del lavoratore.

5) Modalità di trattamento

Fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, nonché dagli articoli 31 e seguenti del Codice e dall’Allegato B) al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità.
I dati sono raccolti, di regola, presso l’interessato.
La comunicazione di dati all’interessato deve avvenire di regola direttamente a quest’ultimo o a un suo delegato (fermo restando quanto previsto dall’art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia.
Restano inoltre fermi gli obblighi di informare l’interessato e, ove necessario, di acquisirne il consenso scritto, in conformità a quanto previsto dagli articoli 13, 23 e 26 del Codice.

6) Conservazione dei dati

Nel quadro del rispetto dell’obbligo previsto dall’art. 11, comma 1, lettera e), del Codice, i dati sensibili possono essere conservati per un periodo non superiore a quello necessario per adempiere agli obblighi o ai compiti di cui al punto 3), ovvero per perseguire le finalità ivi menzionate. A tal fine, anche mediante controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o all’incarico in corso, da instaurare o cessati, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene. Specifica attenzione è prestata per l’indispensabilità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti.

7) Comunicazione e diffusione dei dati

I dati sensibili possono essere comunicati e, ove necessario, diffusi nei limiti strettamente pertinenti agli obblighi, ai compiti o alle finalità di cui al punto 3), a soggetti pubblici o privati, ivi compresi organismi sanitari, casse e fondi di previdenza ed assistenza sanitaria integrativa anche aziendale, istituti di patronato e di assistenza sociale, centri di assistenza fiscale, agenzie per il lavoro, associazioni ed organizzazioni sindacali di datori di lavoro e di prestatori di lavoro, liberi professionisti, società esterne titolari di un autonomo trattamento di dati e familiari dell’interessato.
Ai sensi dell’art. 26, comma 5, del Codice, i dati idonei a rivelare lo stato di salute non possono essere diffusi.

8) Richieste di autorizzazione

I titolari dei trattamenti che rientrano nell’ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità dalle prescrizioni del presente provvedimento, salvo che, ai sensi dell’art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.

9) Norme finali

Restano fermi gli obblighi previsti da norme di legge o di regolamento, ovvero dalla normativa comunitaria, che stabiliscono divieti o limiti in materia di trattamento di dati personali e, in particolare, dalle disposizioni contenute:
a) nell’art. 8 della legge 20 maggio 1970, n. 300, che vieta al datore di lavoro ai fini dell’assunzione e nello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore;
b) nell’art. 6 della legge 5 giugno 1990, n. 135, che vieta ai datori di lavoro lo svolgimento di indagini volte ad accertare, nei dipendenti o in persone prese in considerazione per l’instaurazione di un rapporto di lavoro, l’esistenza di uno stato di sieropositività;
c) nelle norme in materia di pari opportunità o volte a prevenire discriminazioni;
d) fermo restando quanto disposto dall’art. 8 della legge 20 maggio 1970, n. 300, nell’art. 10 del decreto legislativo 10 settembre 2003, n. 276, che vieta alle agenzie per il lavoro e agli altri soggetti privati autorizzati o accreditati di effettuare qualsivoglia indagine o comunque trattamento di dati ovvero di preselezione di lavoratori, anche con il loro consenso, in base alle convinzioni personali, alla affiliazione sindacale o politica, al credo religioso, al sesso, all’orientamento sessuale, allo stato matrimoniale o di famiglia o di gravidanza, alla età, all’handicap, alla razza, all’origine etnica, al colore, alla ascendenza, all’origine nazionale, al gruppo linguistico, allo stato di salute e ad eventuali controversie con i precedenti datori di lavoro, nonché di trattare dati personali dei lavoratori che non siano strettamente attinenti alle loro attitudini professionali e al loro inserimento lavorativo.

10) Efficacia temporale e disciplina transitoria

La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2010 fino al 30 giugno 2011, salve eventuali modifiche che il Garante ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.

La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Autorizzazione Garante per la protezione dei dati personali 16/12/2009 n. 2

Redazione

Autorizza

a) gli esercenti le professioni sanitarie a trattare i dati idonei a rivelare lo stato di salute, qualora i dati e le operazioni siano indispensabili per tutelare l’incolumità fisica o la salute di un terzo o della collettività, e il consenso non sia prestato o non possa essere prestato per effettiva irreperibilità;
b) gli organismi e le case di cura private, nonché ogni altro soggetto privato, a trattare con il consenso i dati idonei a rivelare lo stato di salute e la vita sessuale;
c) gli organismi sanitari pubblici, istituiti anche presso università, ivi compresi i soggetti pubblici allorché agiscano nella qualità di autorità sanitarie, a trattare i dati idonei a rivelare lo stato di salute, qualora ricorrano contemporaneamente le seguenti condizioni:
1) il trattamento sia finalizzato alla tutela dell’incolumità fisica e della salute di un terzo o della collettività;
2) manchi il consenso (articolo 76, comma 1, lett. b), del Codice), in quanto non sia prestato o non possa essere prestato per effettiva irreperibilità;
3) non si tratti di attività amministrative correlate a quelle di prevenzione, diagnosi, cura e riabilitazione ai sensi dell’art. 85, commi 1 e 2, del Codice;
d) anche soggetti diversi da quelli di cui alle lettere a), b) e c) a trattare i dati idonei a rivelare lo stato di salute e la vita sessuale, qualora il trattamento sia necessario per la salvaguardia della vita o dell’incolumità fisica di un terzo. Se la medesima finalità riguarda l’interessato e quest’ultimo non può prestare il proprio consenso per impossibilità fisica, per incapacità di agire o per incapacità d’intendere o di volere, il consenso è manifestato da chi esercita legalmente la potestà, ovvero da un prossimo congiunto, da un familiare, da un convivente o, in loro assenza, dal responsabile della struttura presso cui dimora l’interessato.
Per l’informativa e, ove previsto, il consenso si osservano anche le disposizioni di cui agli articoli 13, 23, 26 e da 75 a 82 del Codice.

1) Ambito di applicazione e finalità del trattamento

1.1. L’autorizzazione è rilasciata:
a) ai medici-chirurghi, ai farmacisti, agli odontoiatri, agli psicologi e agli altri esercenti le professioni sanitarie iscritti in albi o in elenchi;
b) al personale sanitario infermieristico, tecnico e della riabilitazione che esercita l’attività in regime di libera professione;
c) alle istituzioni e agli organismi sanitari privati, anche quando non operino in rapporto con il servizio sanitario nazionale.
In tali casi, l’autorizzazione è rilasciata anche per consentire ai destinatari di adempiere o di esigere l’adempimento di specifici obblighi o di eseguire specifici compiti previsti da leggi, dalla normativa comunitaria o da regolamenti, in particolare in materia di igiene e di sanità pubblica, di prevenzione delle malattie professionali e degli infortuni, di diagnosi e cura, ivi compresi i trapianti di organi e tessuti, di riabilitazione degli stati di invalidità e di inabilità fisica e psichica, di profilassi delle malattie infettive e diffusive, di tutela della salute mentale, di assistenza farmaceutica, di medicina scolastica e di assistenza sanitaria alle attività sportive o di accertamento, in conformità alla legge, degli illeciti previsti dall’ordinamento sportivo. Il trattamento può riguardare anche la compilazione di cartelle cliniche, di certificati e di altri documenti di tipo sanitario, ovvero di altri documenti relativi alla gestione amministrativa la cui utilizzazione sia necessaria per i fini appena indicati.
Qualora il perseguimento di tali fini richieda l’espletamento di compiti di organizzazione o di gestione amministrativa, i destinatari della presente autorizzazione devono esigere che i responsabili e gli incaricati del trattamento preposti a tali compiti osservino le stesse regole di segretezza alle quali sono sottoposti i medesimi destinatari della presente autorizzazione, nel rispetto di quanto previsto anche dall’art. 83, comma 1, del Codice.

1.2. L’autorizzazione è rilasciata, altresì, ai seguenti soggetti:
a) alle persone fisiche o giuridiche, agli enti, alle associazioni e agli altri organismi privati, per scopi di ricerca scientifica, anche statistica, finalizzata alla tutela della salute dell’interessato, di terzi o della collettività in campo medico, biomedico o epidemiologico, allorché si debba intraprendere uno studio delle relazioni tra i fattori di rischio e la salute umana anche con riguardo a studi condotti su persone nell’ambito della sperimentazione clinica di farmaci, o indagini su interventi sanitari di tipo diagnostico, terapeutico o preventivo, ovvero sull’utilizzazione di strutture socio-sanitarie, e la disponibilità di dati solo anonimi su campioni della popolazione non permetta alla ricerca di raggiungere i suoi scopi. In tali casi occorre acquisire il consenso (in conformità a quanto previsto dagli articoli 106, 107 e 110 del Codice), e il trattamento successivo alla raccolta non deve permettere di identificare gli interessati anche indirettamente, salvo che l’abbinamento al materiale di ricerca dei dati identificativi dell’interessato sia temporaneo ed essenziale per il risultato della ricerca, e sia motivato, altresì, per iscritto. I risultati della ricerca non possono essere diffusi se non in forma anonima. Resta fermo quanto previsto dall’art. 98 del Codice;
b) alle organizzazioni di volontariato o assistenziali, limitatamente ai dati e alle operazioni indispensabili per perseguire scopi determinati e legittimi previsti, in particolare, nelle rispettive norme statutarie;
c) alle comunità di recupero e di accoglienza, alle case di cura e di riposo, limitatamente ai dati e alle operazioni indispensabili per perseguire scopi determinati e legittimi previsti, in particolare, nelle rispettive norme statutarie;
d) agli enti, alle associazioni e alle organizzazioni religiose riconosciute, relativamente ai dati e alle operazioni indispensabili per perseguire scopi determinati e legittimi nei limiti di quanto stabilito dall’art. 26, comma 4, lett. a), del Codice, fermo restando quanto previsto per le confessioni religiose dagli articoli 26, comma 3, lett. a), e 181, comma 6, del Codice e dall’autorizzazione n. 3/2009;
e) alle persone fisiche e giuridiche, alle imprese, anche sociali, agli enti, alle associazioni e ad altri organismi, limitatamente ai dati, ove necessario attinenti anche alla vita sessuale, e alle operazioni indispensabili per adempiere agli obblighi, anche precontrattuali, derivanti da un rapporto di fornitura all’interessato di beni, di prestazioni o di servizi.
Se il rapporto intercorre con istituti di credito, imprese assicurative o riguarda valori mobiliari, devono considerarsi indispensabili i soli dati ed operazioni necessari per fornire specifici prodotti o servizi richiesti dall’interessato. Il rapporto può riguardare anche la fornitura di strumenti di ausilio per la vista, per l’udito o per la deambulazione;
f) alle persone fisiche e giuridiche, agli enti, alle associazioni e agli altri organismi che gestiscono impianti o strutture sportive, limitatamente ai dati e alle operazioni indispensabili per accertare l’idoneità fisica alla partecipazione ad attività sportive o agonistiche;
g) alle persone fisiche e giuridiche e ad altri organismi, limitatamente ai dati dei beneficiari e dei donatori e alle operazioni indispensabili per effettuare trapianti di organi e tessuti, nonché donazioni di sangue.

1.3. La presente autorizzazione è rilasciata, altresì, quando il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale sia necessario per:
a) lo svolgimento delle investigazioni difensive di cui alla legge 7 dicembre 2000, n. 397, o comunque per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che il diritto sia di rango pari a quello dell’interessato, ovvero consistente in un diritto della personalità o in altro diritto o libertà fondamentale e inviolabile, e i dati siano trattati esclusivamente per tali finalità e per il periodo strettamente necessario per il loro perseguimento;
b) adempiere o esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti dalla normativa comunitaria, da leggi, da regolamenti o da contratti collettivi per la gestione del rapporto di lavoro, nonché dalla normativa in materia di previdenza e assistenza o in materia di igiene e sicurezza del lavoro o della popolazione, nei limiti previsti dalla autorizzazione generale del Garante n. 1/2009 e ferme restando le disposizioni del codice di deontologia e di buona condotta di cui all’articolo 111 del Codice.

1.4. Il trattamento di dati genetici resta autorizzato nei limiti e alle condizioni individuati nell’autorizzazione adottata ai sensi dell’art. 90 del Codice.

2) Categorie di dati oggetto di trattamento

Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità, in conformità all’art. 3 del Codice.
Il trattamento può avere per oggetto i dati strettamente pertinenti ai sopra indicati obblighi, compiti o finalità che non possano essere adempiuti o realizzati, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa, e può comprendere le informazioni relative a stati di salute pregressi.
Devono essere considerate sottoposte all’ambito di applicazione della presente autorizzazione anche le informazioni relative ai nascituri, che devono essere trattate alla stregua dei dati personali in conformità a quanto previsto dalla citata raccomandazione N. R (97) 5 del Consiglio d’Europa.

3) Modalità di trattamento

Fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, nonché dagli articoli 31 e seguenti del Codice e dall’Allegato B) al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto ai sopra indicati obblighi, compiti o finalità.
I dati sono raccolti, di regola, presso l’interessato.
La comunicazione di dati all’interessato deve avvenire di regola direttamente a quest’ultimo o a un suo delegato (fermo restando quanto previsto dall’art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia.
Per le informazioni relative ai nascituri, il consenso è prestato dalla gestante. Dopo il raggiungimento della maggiore età l’informativa è fornita all’interessato anche ai fini della acquisizione di una nuova manifestazione del consenso quando questo è necessario (art. 82, comma 4, del Codice).

4) Conservazione dei dati

Nel quadro del rispetto dell’obbligo previsto dall’art. 11, comma 1, lett. e) del Codice, i dati possono essere conservati per un periodo non superiore a quello necessario per adempiere agli obblighi o ai compiti sopra indicati, ovvero per perseguire le finalità ivi menzionate. A tal fine, anche mediante controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o all’incarico in corso, da instaurare o cessati, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene. Specifica attenzione è prestata per l’indispensabilità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti.

5) Comunicazione e diffusione dei dati

Salvo quanto previsto per i dati genetici nell’autorizzazione adottata ai sensi dell’art. 90 del Codice, i dati idonei a rivelare lo stato di salute possono essere comunicati, nei limiti strettamente pertinenti agli obblighi, ai compiti e alle finalità di cui al punto 1), a soggetti pubblici e privati, ivi compresi i fondi e le casse di assistenza sanitaria integrativa, le aziende che svolgono attività strettamente correlate all’esercizio di professioni sanitarie o alla fornitura all’interessato di beni, di prestazioni o di servizi, gli istituti di credito e le imprese assicurative, le associazioni od organizzazioni di volontariato e i familiari dell’interessato.
Ai sensi degli artt. 22, comma 8, e 26, comma 5, del Codice, i dati idonei a rivelare lo stato di salute non possono essere diffusi.
I dati idonei a rivelare la vita sessuale non possono essere diffusi, salvo il caso in cui la diffusione riguardi dati resi manifestamente pubblici dall’interessato e per i quali l’interessato stesso non abbia manifestato successivamente la sua opposizione per motivi legittimi.

6) Richieste di autorizzazione

I titolari dei trattamenti che rientrano nell’ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità alle prescrizioni del presente provvedimento, salvo che, ai sensi dell’art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione, relative, ad esempio, al caso in cui la raccolta del consenso comporti un impiego di mezzi manifestamente sproporzionato in ragione, in particolare, del numero di persone interessate.

7) Norme finali

Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali e, in particolare:
a) dall’art. 5, comma 2, della legge 5 giugno 1990, n. 135, come modificato dall’art. 178 del Codice, secondo cui la rilevazione statistica della infezione da HIV deve essere effettuata con modalità che non consentano l’identificazione della persona;
b) dall’art. 11 della legge 22 maggio 1978, n. 194, il quale dispone che l’ente ospedaliero, la casa di cura o il poliambulatorio nei quali è effettuato un intervento di interruzione di gravidanza devono inviare all’autorità sanitaria competente per territorio una dichiarazione che non faccia menzione dell’identità della donna;
c) dall’art. 734-bis del codice penale, il quale vieta la divulgazione non consensuale delle generalità o dell’immagine della persona offesa da atti di violenza sessuale.
Restano altresì fermi gli obblighi di legge che vietano la rivelazione senza giusta causa e l’impiego a proprio o altrui profitto delle notizie coperte dal segreto professionale, nonché gli obblighi deontologici previsti, in particolare, dal codice di deontologia medica adottato dalla Federazione nazionale degli ordini dei medici chirurghi e degli odontoiatri.
Resta ferma, infine, la possibilità di diffondere dati anonimi anche aggregati e di includerli, in particolare, nelle pubblicazioni a contenuto scientifico o finalizzate all’educazione, alla prevenzione o all’informazione di carattere sanitario.

8) Efficacia temporale e disciplina transitoria

La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2010 fino al 30 giugno 2011, salve eventuali modifiche che il Garante ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.

La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Autorizzazione Garante per la protezione dei dati personali 16/12/2009 n. 3

Redazione

Autorizza

il trattamento dei dati sensibili di cui all’art. 4, comma 1, lett. d), del Codice da parte di associazioni, fondazioni, comitati ed altri organismi di tipo associativo, secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità, in conformità all’art. 3 del Codice.

1) Ambito di applicazione

La presente autorizzazione è rilasciata:
a) alle associazioni anche non riconosciute, ai partiti e ai movimenti politici, alle associazioni e alle organizzazioni sindacali, ai patronati e alle associazioni di categoria, alle casse di previdenza, alle organizzazioni assistenziali o di volontariato, nonché alle federazioni e confederazioni nelle quali tali soggetti sono riuniti in conformità, ove esistenti, allo statuto, all’atto costitutivo o ad un contratto collettivo;
b) alle fondazioni, ai comitati e ad ogni altro ente, consorzio od organismo senza scopo di lucro, dotati o meno di personalità giuridica, ivi comprese le organizzazioni non lucrative di utilità sociale (Onlus);
c) alle cooperative sociali e alle società di mutuo soccorso di cui, rispettivamente, alle leggi 8 novembre 1991, n. 381 e 15 aprile 1886, n. 3818.
L’autorizzazione è rilasciata altresì agli istituti scolastici, limitatamente al trattamento dei dati idonei a rivelare le convinzioni religiose e per le operazioni strettamente necessarie per l’applicazione dell’articolo 310 del decreto legislativo 16 aprile 1994, n. 297 e degli artt. 3 e 10 del decreto legislativo 19 febbraio 2004, n. 59.
Resta fermo l’obbligo per le confessioni religiose di determinare, ai sensi dell’art. 26, comma 3, lett. a) del Codice, idonee garanzie relativamente ai trattamenti effettuati nel rispetto dei princìpi indicati con la presente autorizzazione.
Ai sensi dell’art. 181, comma 6, del Codice, le confessioni religiose che, prima dell’adozione del medesimo Codice, abbiano determinato e adottato nell’ambito del rispettivo ordinamento le garanzie di cui all’art. 26, comma 3, lett. a), del Codice possono proseguire l’attività di trattamento effettuato dai relativi organi, ovvero da enti civilmente riconosciuti, nel rispetto delle medesime.

2) Finalità del trattamento

L’autorizzazione è rilasciata per il perseguimento di scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o dal contratto collettivo, ove esistenti, e in particolare per il perseguimento di finalità culturali, religiose, politiche, sindacali, sportive o agonistiche di tipo non professionistico, di istruzione anche con riguardo alla libertà di scelta dell’insegnamento religioso, di formazione, di ricerca scientifica, di patrocinio, di tutela dell’ambiente e delle cose d’interesse artistico e storico, di salvaguardia dei diritti civili, nonché di beneficenza, assistenza sociale o socio-sanitaria.
La presente autorizzazione è rilasciata, altresì, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalla normativa comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi.
La presente autorizzazione è rilasciata per l’esercizio del diritto di accesso ai documenti amministrativi, nei limiti di quanto stabilito dalle leggi e dai regolamenti in materia.
Per i fini predetti, il trattamento dei dati sensibili può riguardare anche la tenuta di registri e scritture contabili, di elenchi, di indirizzari e di altri documenti necessari per la gestione amministrativa dell’associazione, della fondazione, del comitato o del diverso organismo, o per l’adempimento di obblighi fiscali, ovvero per la diffusione di riviste, bollettini e simili.
Qualora i soggetti di cui alle lettere a), b) e c) del punto 1 si avvalgano di persone giuridiche o di altri organismi con scopo di lucro o di liberi professionisti per perseguire le predette finalità, ovvero richiedano ad essi la fornitura di beni, prestazioni o servizi, la presente autorizzazione è rilasciata anche ai medesimi organismi, persone giuridiche o liberi professionisti.
I soggetti di cui alle predette lettere a), b) e c) possono comunicare alle persone giuridiche e agli organismi con scopo di lucro titolari di un autonomo trattamento, i soli dati sensibili strettamente indispensabili per le attività di effettivo ausilio alle predette finalità, con particolare riferimento alle generalità degli interessati e ad indirizzari, sulla base di un atto scritto che individui con precisione le informazioni comunicate, le modalità del successivo utilizzo, le particolari misure di sicurezza, nonché, ove previsto, le idonee garanzie determinate. La dichiarazione scritta di consenso degli interessati deve porre tale circostanza in particolare evidenza e deve recare la precisa menzione dei titolari del trattamento e delle finalità da essi perseguite. Le persone giuridiche e gli organismi con scopo di lucro, oltre a quanto previsto nei punti 4) e 6) in tema di pertinenza, non eccedenza e indispensabilità dei dati, possono trattare i dati così acquisiti solo per scopi di ausilio alle finalità predette, ovvero per scopi amministrativi e contabili.

3) Interessati ai quali i dati si riferiscono

Il trattamento può riguardare i dati sensibili attinenti:
a) agli associati, ai soci e, se strettamente indispensabile per il perseguimento delle finalità di cui al punto 1), ai relativi familiari e conviventi;
b) agli aderenti, ai sostenitori o sottoscrittori, nonché ai soggetti che presentano richiesta di ammissione o di adesione o che hanno contatti regolari con l’associazione, la fondazione o il diverso organismo;
c) ai soggetti che ricoprono cariche sociali o onorifiche;
d) ai beneficiari, agli assistiti e ai fruitori delle attività o dei servizi prestati dall’associazione o dal diverso organismo, limitatamente ai soggetti individuabili in base allo statuto o all’atto costitutivo, ove esistenti, o comunque a coloro nell’interesse dei quali i soggetti menzionati al punto 1) possono operare in base ad una previsione normativa;
e) agli studenti iscritti o che hanno presentato domanda di iscrizione agli istituti di cui al punto 1) e, qualora si tratti di minori, ai loro genitori o a chi ne esercita la potestà;
f) ai lavoratori dipendenti degli associati e dei soci, limitatamente ai dati idonei a rivelare l’adesione a sindacati, associazioni od organizzazioni a carattere sindacale e alle operazioni necessarie per adempiere a specifici obblighi derivanti da contratti collettivi anche aziendali.

4) Categorie di dati oggetto di trattamento

L’autorizzazione non riguarda i dati idonei a rivelare lo stato di salute e la vita sessuale, ai quali si riferisce l’autorizzazione generale n. 2/2009.
Il trattamento può avere per oggetto gli altri dati sensibili di cui all’articolo 4, comma 1, lett. d) del Codice, idonei a rivelare l’origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale.
Il trattamento può riguardare i dati e le operazioni indispensabili per perseguire le finalità di cui al punto 1) o, comunque, per adempiere ad obblighi derivanti dalla legge, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, che non possano essere perseguiti o adempiuti, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.
A tal fine, anche mediante controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto ai predetti obblighi e finalità, in particolare per quanto riguarda i dati che rivelano le opinioni e le intime convinzioni, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene.

5) Modalità di trattamento

Fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, e dagli articoli 31 e seguenti del Codice e dall’Allegato B) al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto alle finalità, agli scopi e agli obblighi di cui al punto 2).
I dati sono raccolti, di regola, presso l’interessato.
Fermo restando quanto previsto ai punti 2) e 7) della presente autorizzazione, se è indispensabile, in conformità al medesimo punto 7), comunicare o diffondere dati all’esterno dell’associazione, della fondazione, del comitato o del diverso organismo, il consenso scritto è acquisito previa idonea informativa resa agli interessati ai sensi dell’art. 13 del Codice, la quale deve precisare le specifiche modalità di utilizzo dei dati tenuto conto delle idonee garanzie adottate relativamente ai trattamenti effettuati.

6) Conservazione dei dati

Nel quadro del rispetto dell’obbligo previsto dall’art. 11, comma 1, lett. e) del Codice, i dati sensibili possono essere conservati per un periodo non superiore a quello necessario per perseguire le finalità e gli scopi di cui al punto 2), ovvero per adempiere agli obblighi ivi menzionati.
Le verifiche di cui all’ultimo periodo del punto 4) devono riguardare anche la pertinenza, non eccedenza e indispensabilità dei dati rispetto all’attività svolta dall’interessato o al rapporto che intercorre tra l’interessato e i soggetti di cui al punto 1), tenendo presente il genere di prestazione, di beneficio o di servizio offerto all’interessato e la posizione di quest’ultimo rispetto ai soggetti stessi.

7) Comunicazione e diffusione dei dati

I dati sensibili possono essere comunicati a soggetti pubblici o privati, e ove necessario diffusi, solo se strettamente pertinenti alle finalità, agli scopi e agli obblighi di cui al punto 2) e tenendo presenti le altre prescrizioni sopraindicate.
I dati sensibili possono essere comunicati alle autorità competenti se necessario per finalità di prevenzione, accertamento o repressione dei reati, con l’osservanza delle norme che regolano la materia.
I dati relativi allo stato di salute e alla vita sessuale non possono essere diffusi.

8) Richieste di autorizzazione

I titolari dei trattamenti che rientrano nell’ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità alle prescrizioni del presente provvedimento, salvo che, ai sensi dell’art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.

9) Norme finali

Restano fermi gli obblighi previsti dalla normativa comunitaria, da norme di legge o di regolamento che stabiliscono divieti o limiti in materia di trattamento di dati personali.
Restano inoltre ferme le norme volte a prevenire discriminazioni, e in particolare le disposizioni contenute nel decreto-legge 26 aprile 1993, n. 122, convertito, con modificazioni, dalla legge 25 giugno 1993, n. 205, in materia di discriminazione per motivi razziali, etnici, nazionali o religiosi e di delitti di genocidio, nel decreto legislativo 9 luglio 2003, n. 215 di attuazione della direttiva 2000/43/CE per la parità di trattamento tra le persone indipendentemente dalla razza e dall’origine etnica e nel decreto legislativo 9 luglio 2003, n. 216, di attuazione della direttiva 2000/78/CE per la parità di trattamento in materia di occupazione e di condizioni di lavoro.

10) Efficacia temporale e disciplina transitoria

La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2010 fino al 30 giugno 2011, salve eventuali modifiche che il Garante ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.

La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Autorizzazione Garante per la protezione dei dati personali 16/12/2009 n. 5

Redazione

Autorizza

il trattamento dei dati sensibili di cui all’art. 4, comma 1, lett. d), del Codice, fatta eccezione dei dati idonei a rivelare la vita sessuale, secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità, in conformità all’art. 3 del Codice.

Capo I – ATTIVITÀ BANCARIE, CREDITIZIE, ASSICURATIVE, DI GESTIONE DI FONDI, DEL SETTORE TURISTICO, DEL TRASPORTO ED ALTRE ATTIVITÀ AUTORIZZATE

1) Soggetti ai quali è rilasciata l’autorizzazione

a) imprese autorizzate all’esercizio dell’attività bancaria e creditizia o assicurativa ed organismi che le riuniscono, anche se in stato di liquidazione coatta amministrativa;
b) società ed altri organismi che gestiscono fondi-pensione o di assistenza, ovvero fondi o casse di previdenza;
c) società ed altri organismi di intermediazione finanziaria, in particolare per la gestione o l’intermediazione di fondi comuni di investimento o di valori mobiliari;
d) società ed altri organismi che emettono carte di credito o altri mezzi di pagamento, o che ne gestiscono le relative operazioni;
e) imprese che svolgono autonome attività strettamente connesse e strumentali a quelle indicate nelle precedenti lettere, e relative alla rilevazione dei rischi, al recupero dei crediti, a lavorazioni massive di documenti, alla trasmissione dati, all’imbustamento o allo smistamento della corrispondenza, nonché alla gestione di esattorie o tesorerie;
f) imprese che operano nel settore turistico o alberghiero o del trasporto, agenzie di viaggio e operatori turistici;
g) operatori economici autorizzati a svolgere la propria attività in base ad autorizzazione comunque resa ai sensi delle norme contenute nel regio decreto 18 giugno 1931, n. 773 (T.u.l.p.s.) o nel decreto legislativo 31 marzo 1998, n. 112.

2) Finalità del trattamento

La presente autorizzazione è rilasciata, anche senza richiesta, limitatamente ai dati e alle operazioni indispensabili per adempiere agli obblighi anche precontrattuali che i soggetti di cui al punto 1) assumono, nel proprio settore di attività, al fine di fornire specifici beni, prestazioni o servizi richiesti dall’interessato.
L’autorizzazione è rilasciata anche per adempiere o per esigere l’adempimento di obblighi previsti, anche in materia fiscale e contabile, dalla normativa comunitaria, dalla legge, dai regolamenti, o dai contratti collettivi, o prescritti da autorità od organi di vigilanza o di controllo nei casi indicati dalla legge o dai regolamenti.
Il trattamento avente tali finalità può riguardare anche la tenuta di registri e scritture contabili, di elenchi, di indirizzari e di altri documenti necessari per espletare compiti di organizzazione o di gestione amministrativa di imprese, società, cooperative o consorzi.

3) Interessati ai quali i dati si riferiscono e categorie di dati trattati

Il trattamento può riguardare i dati sensibili attinenti ai soggetti ai quali sono forniti i beni, le prestazioni o i servizi, in misura strettamente pertinente a quanto specificamente richiesto dall’interessato che, ove necessario, abbia manifestato il proprio consenso scritto ed informato. Nei medesimi limiti, è possibile trattare dati relativi a terzi, allorché non sia altrimenti possibile procedere alla fornitura al beneficiario dei beni, delle prestazioni o dei servizi.
Qualora il consenso sia richiesto nei confronti di distinti titolari di trattamenti, la manifestazione di volontà deve riferirsi specificamente a ciascuno di essi.

4) Comunicazione e diffusione dei dati

I dati sensibili possono essere comunicati, nei limiti strettamente pertinenti al perseguimento delle finalità di cui al punto 2), a soggetti pubblici o privati, ivi compresi fondi e casse di previdenza ed assistenza o società controllate e collegate ai sensi dell’art. 2359 del codice civile, nonché, ove necessario, ai familiari dell’interessato.
I titolari del trattamento, anche ai fini dell’eventuale comunicazione ad altri titolari delle modifiche apportate ai dati in accoglimento di una richiesta dell’interessato (art. 7, comma 3, lettera c), del Codice), devono conservare un elenco dei destinatari delle comunicazioni effettuate, recante un’annotazione delle specifiche categorie di dati comunicati.
I dati sensibili non possono essere diffusi.

Capo II – SONDAGGI E RICERCHE

1) Soggetti ai quali è rilasciata l’autorizzazione e finalità del trattamento

Imprese, società, istituti ed altri organismi o soggetti privati, ai soli fini del compimento di sondaggi di opinione, di ricerche di mercato o di altre ricerche campionarie.
Il sondaggio o la ricerca devono essere effettuati per scopi puntualmente determinati e legittimi, noti all’interessato.

2) Interessati ai quali i dati si riferiscono e categorie di dati trattati

Il trattamento può riguardare i dati attinenti ai soggetti che abbiano manifestato il proprio consenso informato e che abbiano risposto a questionari o ad interviste effettuate nell’ambito di sondaggi di opinione, di ricerche di mercato o di altre ricerche campionarie.
Il consenso deve essere manifestato in ogni caso per iscritto.
I dati personali di natura sensibile possono essere trattati solo se il trattamento di dati anonimi non permette al sondaggio o alla ricerca di raggiungere i suoi scopi.

3) Conservazione dei dati

Il trattamento successivo alla raccolta non deve permettere di identificare gli interessati, neanche indirettamente, mediante un riferimento ad una qualsiasi altra informazione.
I dati personali, individuali o aggregati, devono essere distrutti o resi anonimi subito dopo la raccolta, e comunque non oltre la fase contestuale alla registrazione dei campioni raccolti. La registrazione deve essere effettuata senza ritardo anche nel caso in cui i campioni siano stati raccolti in numero elevato.
Entro tale ambito temporale, resta ferma la possibilità per il titolare della raccolta, nonché per i suoi responsabili o incaricati, di utilizzare i dati personali al fine di verificare presso gli interessati la veridicità o l’esattezza dei campioni.

4) Comunicazione dei dati

I dati sensibili non possono essere né comunicati, né diffusi.
I campioni del sondaggio o della ricerca possono essere comunicati o diffusi in forma individuale o aggregata, sempre che non possano essere associati, anche a seguito di trattamento, ad interessati identificati o identificabili.

Capo III – ATTIVITÀ DI ELABORAZIONE DI DATI

1) Soggetti ai quali è rilasciata l’autorizzazione

Imprese, società, istituti ed altri organismi o soggetti privati, titolari autonomi di un’attività svolta nell’interesse di altri soggetti, e che presuppone l’elaborazione di dati ed altre operazioni di trattamento eseguite in materia di lavoro, ovvero a fini contabili, retributivi, previdenziali, assistenziali e fiscali.

2) Prescrizioni applicabili

Il trattamento è regolato dalle autorizzazioni:
a) n. 1/2009 concernente il trattamento dei dati sensibili a cura, in particolare, delle parti di un rapporto di lavoro qualora le finalità perseguite siano quelle indicate al punto 3) di tale autorizzazione;
b) n. 4/2009 riguardante il trattamento dei dati sensibili ad opera dei liberi professionisti e di altri soggetti equiparati, qualora le finalità perseguite siano quelle indicate al punto 3) di tale autorizzazione.
Qualora il consenso sia richiesto nei confronti di distinti titolari di trattamenti, la manifestazione di volontà deve riferirsi specificamente a ciascuno di essi.

Capo IV – ATTIVITÀ DI SELEZIONE DEL PERSONALE

1) Soggetti ai quali è rilasciata l’autorizzazione e finalità del trattamento

La presente autorizzazione è rilasciata, anche senza richiesta, alle agenzie per il lavoro e agli altri soggetti che, in conformità alla legge, svolgono, nell’interesse di terzi, attività di intermediazione, ricerca e selezione del personale o supporto alla ricollocazione professionale.

2) Interessati ai quali i dati si riferiscono e categorie di dati trattati

Il trattamento può riguardare i dati idonei a rivelare lo stato di salute e l’origine razziale ed etnica dei candidati all’instaurazione di un rapporto di lavoro o di collaborazione, solo se la loro raccolta è giustificata da scopi determinati e legittimi ed è strettamente indispensabile per instaurare tale rapporto.
Il trattamento dei dati idonei a rivelare lo stato di salute dei familiari o dei conviventi dei candidati è consentito con il consenso scritto degli interessati e qualora sia finalizzato al riconoscimento di uno specifico beneficio in favore dei candidati, in particolare ai fini di un’assunzione obbligatoria o del riconoscimento di un titolo derivante da invalidità o infermità, da eventi bellici o da ragioni di servizio.
Qualora il consenso sia richiesto nei confronti di distinti titolari di trattamenti, la manifestazione di volontà deve riferirsi specificamente a ciascuno di essi.
Il trattamento deve riguardare le sole informazioni strettamente pertinenti a tale finalità, sia in caso di risposta a questionari inviati anche per via telematica, sia nel caso in cui i candidati forniscano dati di propria iniziativa, in particolare attraverso l’invio di curricula.
Non è consentito il trattamento dei dati:
a) idonei a rivelare le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni a carattere religioso, filosofico, politico o sindacale, l’origine razziale ed etnica – fatto salvo quanto sopra stabilito–, e la vita sessuale;
b) inerenti a fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore;
c) in violazione delle norme in materia di pari opportunità o volte a prevenire discriminazioni.

3) Comunicazione e diffusione dei dati

I dati idonei a rivelare lo stato di salute e l’origine razziale ed etnica possono essere comunicati nei limiti strettamente pertinenti al perseguimento delle finalità di cui ai punti 1) e 2), a soggetti pubblici o privati che siano specificamente menzionati nella dichiarazione di consenso dell’interessato.
I dati sensibili non possono essere diffusi.

4) Norme finali

Restano fermi gli ulteriori obblighi previsti dalla legge e dai regolamenti.

Capo V – MEDIAZIONE A FINI MATRIMONIALI

1) Soggetti ai quali è rilasciata l’autorizzazione

La presente autorizzazione è rilasciata alle imprese, alle società, agli istituti e agli altri organismi o soggetti privati che esercitano, anche attraverso agenzie autorizzate, un’attività di mediazione a fini matrimoniali o di instaurazione di un rapporto di convivenza.

2) Finalità del trattamento

L’autorizzazione è rilasciata ai soli fini dell’esecuzione dei singoli incarichi conferiti in conformità alle leggi e ai regolamenti.

3) Interessati ai quali i dati si riferiscono

Il trattamento può riguardare i soli dati sensibili attinenti alle persone direttamente interessate al matrimonio o alla convivenza.
Non è consentito il trattamento di dati relativo a persone minori di età in base all’ordinamento del Paese di appartenenza o, comunque, in base alla legge italiana.

4) Categorie di dati oggetto di trattamento

Il trattamento può riguardare i soli dati e le sole operazioni che risultino indispensabili in relazione allo specifico profilo o alla personalità descritto o richiesto dalle persone interessate al matrimonio o alla convivenza.
I dati devono essere forniti personalmente dai medesimi interessati.
L’informativa preliminare al consenso scritto deve porre in particolare evidenza le categorie di dati trattati e le modalità della loro comunicazione a terzi.

5) Comunicazione dei dati

I dati possono essere comunicati nei limiti strettamente pertinenti all’esecuzione degli specifici incarichi ricevuti.
I titolari del trattamento, anche ai fini dell’eventuale comunicazione ad altri titolari delle modifiche apportate ai dati in accoglimento di una richiesta dell’interessato (art. 7, comma 3, lettera c), del Codice), devono conservare un elenco dei destinatari delle comunicazioni effettuate, recante un’annotazione delle specifiche categorie di dati comunicati.
L’eventuale diffusione anche per via telematica di taluni dati sensibili deve essere oggetto di apposita autorizzazione di questa Autorità.

6) Norme finali

Restano fermi gli ulteriori obblighi previsti dalla legge e dai regolamenti, in particolare nell’ambito della legge penale e della disciplina di pubblica sicurezza, nonché in materia di tutela dei minori.

Capo VI – PRESCRIZIONI COMUNI A TUTTI I TRATTAMENTI

Per quanto non previsto dai capi che precedono, ai trattamenti ivi indicati si applicano, altresì, le seguenti prescrizioni:

1) Dati idonei a rivelare lo stato di salute

Il trattamento dei dati idonei a rivelare lo stato di salute deve essere effettuato anche nel rispetto dell’autorizzazione n. 2/2009.
Il trattamento di dati genetici resta autorizzato nei limiti e alle condizioni individuati nell’autorizzazione adottata ai sensi dell’art. 90 del Codice.

2) Modalità di trattamento

Fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, dagli articoli 31 e seguenti del Codice e dall’Allegato B) al Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto alle finalità indicate nei capi che precedono.
La comunicazione di dati all’interessato deve avvenire di regola direttamente a quest’ultimo o a un suo delegato (fermo restando quanto previsto dall’art. 84, comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati, anche attraverso la previsione di distanze di cortesia.
Resta inoltre fermo l’obbligo di informare l’interessato, ai sensi dell’art. 13, commi 1, 4 e 5 del Codice, anche quando i dati sono raccolti presso terzi.

3) Conservazione dei dati

Nel quadro del rispetto dell’obbligo previsto dall’art. 11, comma 1, lett. e) del Codice, i dati sensibili possono essere conservati per un periodo non superiore a quello necessario per perseguire le finalità, ovvero per adempiere agli obblighi o agli incarichi menzionati nei precedenti capi. A tal fine, anche mediante controlli periodici, deve essere verificata costantemente la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto, alla prestazione o all’incarico in corso, da instaurare o cessati, anche con riferimento ai dati che l’interessato fornisce di propria iniziativa. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene. Specifica attenzione è prestata per l’indispensabilità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti.
Restano fermi i diversi termini di conservazione previsti dalle leggi o dai regolamenti.
Resta altresì fermo quanto previsto nel capo II in materia di sondaggi e di ricerche.

4) Richieste di autorizzazione

I titolari dei trattamenti che rientrano nell’ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità alle prescrizioni del presente provvedimento, salvo che, ai sensi dell’art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.

5) Norme finali

Restano fermi gli obblighi previsti da norme di legge o di regolamento e dalla normativa comunitaria, che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali e, in particolare:
a) dalla legge 20 maggio 1970, n. 300;
b) dalla legge 5 giugno 1990, n. 135;
c) dal decreto legislativo 10 settembre 2003, n. 276.
Restano altresì fermi gli obblighi di legge che vietano la rivelazione senza giusta causa e l’impiego a proprio o altrui profitto delle notizie coperte dal segreto professionale, nonché gli obblighi deontologici, previsti anche dai codici deontologici e di buona condotta adottati in attuazione dell’art. 12 del Codice.
Resta ferma, infine, la possibilità di diffondere dati anonimi anche aggregati.

6) Efficacia temporale e disciplina transitoria

La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2010 fino al 30 giugno 2011, salve eventuali modifiche che il Garante ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.

La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Autorizzazione Garante per la protezione dei dati personali 16/12/2009 n. 6

Redazione

Autorizza

gli investigatori privati a trattare i dati sensibili di cui all’art. 4, comma 1, lett. d), del Codice, secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità, in conformità all’art. 3 del Codice.

1) Ambito di applicazione

La presente autorizzazione è rilasciata, anche senza richiesta, alle persone fisiche e giuridiche, agli istituti, agli enti, alle associazioni e agli organismi che esercitano un’attività di investigazione privata autorizzata con licenza prefettizia (art. 134 del regio decreto 18 giugno 1931, n. 773, e successive modificazioni e integrazioni).

2) Finalità del trattamento

Il trattamento può essere effettuato unicamente per l’espletamento dell’incarico ricevuto dai soggetti di cui al punto 1) e in particolare:
a) per permettere a chi conferisce uno specifico incarico di far valere o difendere in sede giudiziaria un proprio diritto, che, quando i dati siano idonei a rivelare lo stato di salute e la vita sessuale dell’interessato, deve essere di rango pari a quello del soggetto al quale si riferiscono i dati, ovvero consistente in un diritto della personalità o in un altro diritto o libertà fondamentale;
b) su incarico di un difensore in riferimento ad un procedimento penale, per ricercare e individuare elementi a favore del relativo assistito da utilizzare ai soli fini dell’esercizio del diritto alla prova (art. 190 del codice di procedura penale e legge 7 dicembre 2000, n. 397).
Restano ferme le altre autorizzazioni generali rilasciate ai fini dello svolgimento delle investigazioni in relazione ad un procedimento penale o per l’esercizio di un diritto in sede giudiziaria, in particolare:
a) nell’ambito dei rapporti di lavoro (autorizzazione n. 1/2009);
b) relativamente ai dati idonei a rivelare lo stato di salute e la vita sessuale (autorizzazione n. 2/2009);
c) da parte degli organismi di tipo associativo e delle fondazioni (autorizzazione n. 3/2009);
d) da parte dei liberi professionisti iscritti in albi o elenchi professionali, ivi inclusi i difensori e i relativi sostituti ed ausiliari (autorizzazione n. 4/2009);
e) relativamente ai dati di carattere giudiziario (autorizzazione n. 7/2009).

3) Categorie di dati e interessati ai quali i dati si riferiscono

Il trattamento può riguardare i dati sensibili di cui all’art. 4, comma 1, lett. d) del Codice, qualora ciò sia strettamente indispensabile per eseguire specifici incarichi conferiti per scopi determinati e legittimi nell’ambito delle finalità di cui al punto 1), che non possano essere adempiute mediante il trattamento di dati anonimi o di dati personali di natura diversa.
I dati devono essere pertinenti e non eccedenti rispetto agli incarichi conferiti.

4) Modalità di trattamento

Gli investigatori privati non possono intraprendere di propria iniziativa investigazioni, ricerche o altre forme di raccolta di dati.
Tali attività possono essere eseguite esclusivamente sulla base di un apposito incarico conferito per iscritto, anche da un difensore, per le esclusive finalità di cui al punto 2).
L’atto di incarico deve menzionare in maniera specifica il diritto che si intende esercitare in sede giudiziaria, ovvero il procedimento penale al quale l’investigazione è collegata, nonché i principali elementi di fatto che giustificano l’investigazione e il termine ragionevole entro cui questa deve essere conclusa.
Fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, nonché dagli articoli 31 e seguenti del Codice e dall’Allegato B) al medesimo Codice, il trattamento dei dati sensibili deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto alle finalità di cui al punto 2).
L’interessato o la persona presso la quale sono raccolti i dati deve essere informata ai sensi dell’art. 13 del Codice, ponendo in particolare evidenza l’identità e la qualità professionale dell’investigatore, nonché la natura facoltativa del conferimento dei dati.
Nel caso in cui i dati siano raccolti presso terzi, è necessario informare l’interessato e acquisire il suo consenso scritto (art. 13, commi 1, 4 e 5 e art. 26, comma 4, del Codice), solo se i dati sono trattati per un periodo superiore a quello strettamente necessario per esercitare il diritto in sede giudiziaria o per svolgere le investigazioni difensive, oppure se i dati sono utilizzati per ulteriori finalità non incompatibili con quelle precedentemente perseguite.
Il difensore o il soggetto che ha conferito l’incarico devono essere informati periodicamente dell’andamento dell’investigazione, anche al fine di permettere loro una valutazione tempestiva circa le determinazioni da adottare riguardo all’esercizio del diritto in sede giudiziaria o al diritto alla prova.
L’investigatore privato deve eseguire personalmente l’incarico ricevuto e non può avvalersi di altri investigatori non indicati nominativamente all’atto del conferimento dell’incarico, oppure successivamente in calce a esso qualora tale possibilità sia stata prevista nell’atto di incarico.
Nel caso in cui si avvalga di collaboratori interni designati quali responsabili o incaricati del trattamento in conformità a quanto previsto dagli articoli 29 e 30 del Codice, l’investigatore privato deve vigilare con cadenza almeno settimanale sulla puntuale osservanza delle norme di legge e delle istruzioni impartite. Tali soggetti possono avere accesso ai soli dati strettamente pertinenti alla collaborazione ad essi richiesta.
Per quanto non previsto nella presente autorizzazione, il trattamento dei dati idonei a rivelare lo stato di salute e la vita sessuale deve essere effettuato nel rispetto delle ulteriori prescrizioni contenute nell’autorizzazione generale n. 2/2009 e, per ciò che riguarda le informazioni relative ai dati genetici, nel rispetto dell’autorizzazione adottata ai sensi dell’art. 90 del Codice.
Il trattamento dei dati deve inoltre rispettare le prescrizioni del codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive emanato ai sensi dell’art. 12 del Codice (deliberazione del Garante n. 60 del 6 novembre 2008, in G.U. 24 novembre 2008, n. 275).

5) Conservazione dei dati

Nel quadro del rispetto dell’obbligo previsto dall’art. 11, comma 1, lett. e), del Codice i dati sensibili possono essere conservati per un periodo non superiore a quello strettamente necessario per eseguire l’incarico ricevuto.
A tal fine deve essere verificata costantemente, anche mediante controlli periodici, la stretta pertinenza, non eccedenza e indispensabilità dei dati rispetto alle finalità perseguite e all’incarico conferito.
Una volta conclusa la specifica attività investigativa, il trattamento deve cessare in ogni sua forma, fatta eccezione per l’immediata comunicazione al difensore o al soggetto che ha conferito l’incarico i quali possono consentire, anche in sede di mandato, l’eventuale conservazione temporanea di materiale strettamente personale dei soggetti che hanno curato l’attività svolta, ai soli fini dell’eventuale dimostrazione della liceità e correttezza del proprio operato. Se è stato contestato il trattamento il difensore o il soggetto che ha conferito l’incarico possono anche fornire all’investigatore il materiale necessario per dimostrare la liceità e correttezza del proprio operato, per il tempo a ciò strettamente necessario.
La sola pendenza del procedimento al quale l’investigazione è collegata, ovvero il passaggio ad altre fasi di giudizio in attesa della formazione del giudicato, non costituiscono, di per se stessi, una giustificazione valida per la conservazione dei dati da parte dell’investigatore privato.

6) Comunicazione e diffusione dei dati

I dati possono essere comunicati unicamente al soggetto che ha conferito l’incarico.
I dati non possono essere comunicati ad un altro investigatore privato, salvo che questi sia stato indicato nominativamente nell’atto di incarico e la comunicazione sia necessaria per lo svolgimento dei compiti affidati.
I dati idonei a rivelare lo stato di salute possono essere comunicati alle autorità competenti solo se ciò è necessario per finalità di prevenzione, accertamento o repressione dei reati, con l’osservanza delle norme che regolano la materia.
I dati relativi allo stato di salute e alla vita sessuale non possono essere diffusi.

7) Richieste di autorizzazione

I titolari dei trattamenti che rientrano nell’ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorità, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per trattamenti da effettuarsi in difformità alle prescrizioni del presente provvedimento, salvo che, ai sensi dell’art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.

8) Norme finali

Restano fermi gli obblighi previsti dalla normativa comunitaria, ovvero da norme di legge o di regolamento, che stabiliscono divieti o limiti in materia di trattamento di dati personali e, in particolare:
a) dagli articoli 4 (impianti e apparecchiature per finalità di controllo a distanza dei lavoratori) e 8 (indagini sulle opinioni del lavoratore o su altri fatti non rilevanti ai fini della valutazione dell’attitudine professionale) della legge 20 maggio 1970, n. 300 e dall’art. 10 (indagini sulle opinioni del lavoratore e trattamenti discriminatori) del decreto legislativo 10 settembre 2003, n. 276;
b) dalla legge 5 giugno 1990, n. 135, in materia di sieropositività e di infezione da HIV;
c) dalle norme volte a prevenire discriminazioni;
d) dall’art. 734-bis del codice penale, il quale vieta la divulgazione non consensuale delle generalità o dell’immagine della persona offesa da atti di violenza sessuale.
Restano fermi, in particolare, gli obblighi previsti in tema di liceità e di correttezza nell’uso di strumenti o apparecchiature che permettono la raccolta di informazioni anche sonore o visive, ovvero in tema di accesso a banche dati o di cognizione del contenuto della corrispondenza e di comunicazioni o conversazioni telefoniche, telematiche o tra soggetti presenti.
Resta ferma la facoltà per le persone fisiche di trattare direttamente dati per l’esclusivo fine della tutela di un proprio diritto in sede giudiziaria, anche nell’ambito delle investigazioni relative ad un procedimento penale. In tali casi, il Codice non si applica anche se i dati sono comunicati occasionalmente ad una autorità giudiziaria o a terzi, sempre che i dati non siano destinati ad una comunicazione sistematica o alla diffusione (art. 5, comma 3, del Codice).

9) Efficacia temporale e disciplina transitoria

La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2010 fino al 30 giugno 2011, salve eventuali modifiche che il Garante ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.

La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Autorizzazione Garante per la protezione dei dati personali 16/12/2009 n. 7

Redazione

Autorizza

i trattamenti di dati giudiziari per le finalità di rilevante interesse pubblico di seguito specificate ai sensi degli articoli 21 e 27 del Codice, secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità, in conformità all’art. 3 del Codice.

Capo I – RAPPORTI DI LAVORO

1) Ambito di applicazione e finalità del trattamento

L’autorizzazione è rilasciata, anche senza richiesta, a persone fisiche e giuridiche, enti, associazioni ed organismi che:
a) sono parte di un rapporto di lavoro;
b) utilizzano prestazioni lavorative anche atipiche, parziali o temporanee;
c) conferiscono un incarico professionale a consulenti, liberi professionisti, agenti, rappresentanti e mandatari.
Il trattamento deve essere indispensabile per:
A. adempiere o per esigere l’adempimento di specifici obblighi o per eseguire specifici compiti previsti da leggi, dalla normativa comunitaria, da regolamenti o da contratti collettivi, anche aziendali, e ai soli fini della gestione del rapporto di lavoro, anche autonomo o non retribuito od onorario;
B. verificare, limitatamente ai dati strettamente necessari, i requisiti di onorabilità dei dipendenti di società operanti nel settore del rating.
L’autorizzazione è altresì rilasciata a soggetti che in relazione ad un’attività di composizione di controversie esercitata in conformità alla legge svolgono un trattamento indispensabile al medesimo fine.

2) Interessati ai quali i dati si riferiscono

Il trattamento può riguardare dati attinenti a soggetti che hanno assunto o intendono assumere la qualità di:
a) lavoratori subordinati, anche se parti di un contratto di apprendistato, o di formazione e lavoro, o di inserimento, o di lavoro ripartito, o di lavoro intermittente o a chiamata, ovvero prestatori di lavoro nell’ambito di un contratto di somministrazione, o in rapporto di tirocinio, ovvero di associati anche in compartecipazione o di titolari di borse di lavoro e di rapporti analoghi e, con riferimento a quanto previsto al punto 1), lettera B), limitatamente ai soli lavoratori effettivamente impiegati in attività di rating;
b) amministratori o membri di organi esecutivi o di controllo;
c) consulenti e liberi professionisti, agenti, rappresentanti e mandatari.

Capo II – ORGANISMI DI TIPO ASSOCIATIVO E FONDAZIONI

1) Ambito di applicazione e finalità del trattamento

L’autorizzazione è rilasciata anche senza richiesta:
a) ad associazioni anche non riconosciute, ivi compresi partiti e movimenti politici, associazioni ed organizzazioni sindacali, patronati, associazioni a scopo assistenziale o di volontariato, a fondazioni, comitati e ad ogni altro ente, consorzio od organismo senza scopo di lucro, dotati o meno di personalità giuridica, nonché a cooperative sociali e società di mutuo soccorso di cui, rispettivamente, alle leggi 8 novembre 1991, n. 381 e 15 aprile 1886, n. 3818;
b) ad enti ed associazioni anche non riconosciute che curano il patrocinio, il recupero, l’istruzione, la formazione professionale, l’assistenza socio-sanitaria, la beneficenza e la tutela di diritti in favore dei soggetti cui si riferiscono i dati o dei relativi familiari e conviventi.
Il trattamento deve essere indispensabile per perseguire scopi determinati e legittimi individuati dall’atto costitutivo, dallo statuto o da un contratto collettivo.

2) Interessati ai quali i dati si riferiscono

Il trattamento può riguardare dati attinenti:
a) ad associati, soci e aderenti, nonché, nei casi in cui l’utilizzazione dei dati sia prevista dall’atto costitutivo o dallo statuto, a soggetti che presentano richiesta di ammissione o di adesione;
b) a beneficiari, assistiti e fruitori delle attività o dei servizi prestati dall’associazione, dall’ente o dal diverso organismo.

Capo III – LIBERI PROFESSIONISTI

1) Ambito di applicazione e finalità del trattamento

L’autorizzazione è rilasciata anche senza richiesta ai:
a) liberi professionisti, anche associati, tenuti ad iscriversi in albi o elenchi per l’esercizio di un’attività professionale in forma individuale o associata, anche in conformità al decreto legislativo 2 febbraio 2001, n. 96 o alle norme di attuazione dell’art. 24, comma 2, della legge 7 agosto 1997, n. 266, in tema di attività di assistenza e consulenza;
b) soggetti iscritti nei corrispondenti albi o elenchi speciali, istituiti anche ai sensi dell’art. 34 del regio decreto-legge 27 novembre 1933, n. 1578 e successive modificazioni e integrazioni, recante l’ordinamento della professione di avvocato;
c) sostituti e ausiliari che collaborano con il libero professionista ai sensi dell’art. 2232 del codice civile, praticanti e tirocinanti, qualora tali soggetti siano titolari di un autonomo trattamento o siano contitolari del trattamento effettuato dal libero professionista.

2) Interessati ai quali i dati si riferiscono

Il trattamento può riguardare dati attinenti ai clienti.
I dati relativi ai terzi possono essere trattati solo ove ciò sia strettamente indispensabile per eseguire specifiche prestazioni professionali richieste dai clienti per scopi determinati e legittimi.

Capo IV – IMPRESE BANCARIE ED ASSICURATIVE ED ALTRI TITOLARI DEI TRATTAMENTI

1) Ambito di applicazione e finalità del trattamento

L’autorizzazione è rilasciata, anche senza richiesta:
a) ad imprese autorizzate o che intendono essere autorizzate all’esercizio dell’attività bancaria e creditizia, assicurativa o dei fondi pensione, anche se in stato di liquidazione coatta amministrativa, ai fini:
1) dell’accertamento, nei casi previsti dalle leggi e dai regolamenti, del requisito di onorabilità nei confronti di soci e titolari di cariche direttive o elettive;
2) dell’accertamento, nei soli casi espressamente previsti dalla legge, di requisiti soggettivi e di presupposti interdittivi;
3) dell’accertamento di responsabilità in relazione a sinistri o eventi attinenti alla vita umana;
4) dell’accertamento di situazioni di concreto rischio per il corretto esercizio dell’attività assicurativa, in relazione ad illeciti direttamente connessi con la medesima attività. Per questi ultimi casi, limitatamente ai trattamenti di dati registrati in una specifica banca di dati ai sensi dell’art. 4, comma 1, lett. p), del Codice, il titolare deve inviare al Garante una dettagliata relazione sulle modalità del trattamento;
b) a soggetti titolari di un trattamento di dati svolto nell’ambito di un’attività di richiesta, acquisizione e consegna di atti e documenti presso i competenti uffici pubblici, effettuata su incarico degli interessati;
c) alle società di intermediazione mobiliare, alle società di investimento a capitale variabile, alle società di gestione del risparmio e dei fondi pensione e alle società di gestione dei mercati regolamentati o alle società di gestione accentrata di strumenti finanziari ai fini dell’accertamento dei requisiti di onorabilità in applicazione della normativa in materia di intermediazione finanziaria e di previdenza o di forme pensionistiche complementari, e di eventuali altre norme di legge o di regolamento;
d) alle società operanti nel settore del rating, limitatamente alle informazioni strettamente indispensabili a verificare la sussistenza o meno dei requisiti di onorabilità in capo ai soli soci responsabili di incarichi di revisione presso società italiane che abbiano emesso strumenti finanziari quotati su mercati finanziari non nazionali, in relazione ai comportamenti penalmente rilevanti individuati dalla normativa nazionale e al fine di consentire la registrazione della società (e degli stessi soci) presso le organizzazioni governative responsabili della stabilità e trasparenza dei mercati finanziari di riferimento.

2) Ulteriori trattamenti

L’autorizzazione è rilasciata altresì:
a) a chiunque, per far valere o difendere un diritto anche da parte di un terzo in sede giudiziaria, nonché in sede amministrativa o nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratti collettivi, sempre che il diritto da far valere o difendere sia di rango pari a quello dell’interessato e i dati siano trattati esclusivamente per tale finalità e per il periodo strettamente necessario per il suo perseguimento;
b) a chiunque, per l’esercizio del diritto di accesso ai documenti amministrativi, nei limiti di quanto previsto dalle leggi e dai regolamenti in materia;
c) a persone fisiche e giuridiche, istituti, enti ed organismi che esercitano un’attività di investigazione privata autorizzata con licenza prefettizia (art. 134 del regio decreto 18 giugno 1931, n. 773, e successive modificazioni e integrazioni).
Il trattamento deve essere necessario:
1. per permettere a chi conferisce uno specifico incarico di far valere o difendere in sede giudiziaria un proprio diritto di rango pari a quello del soggetto al quale si riferiscono i dati, ovvero un diritto della personalità o un altro diritto fondamentale ed inviolabile;
2. su incarico di un difensore in riferimento ad un procedimento penale, per ricercare e individuare elementi a favore del relativo assistito da utilizzare ai soli fini dell’esercizio del diritto alla prova (articolo 190 del codice di procedura penale e legge 7 dicembre 2000, n. 397) e nel rispetto delle regole di comportamento dettate dal “Codice di deontologia e di buona condotta per i trattamenti di dati personali effettuati per svolgere investigazioni difensive” (deliberazione del Garante n. 60 del 6 novembre 2008, G. U. 24 novembre 2008, n. 275) che costituiscono condizione essenziale per la liceità e la correttezza dei trattamenti di dati personali effettuati anche da avvocati, nell’ambito dello svolgimento del proprio incarico professionale ai sensi dell’art. 12, comma 3 del Codice;
d) a chiunque, per adempiere ad obblighi previsti da disposizioni di legge in materia di comunicazioni e certificazioni antimafia o in materia di prevenzione della delinquenza di tipo mafioso e di altre gravi forme di manifestazione di pericolosità sociale, contenute anche nella legge 19 marzo 1990, n. 55, e successive modificazioni ed integrazioni, o per poter produrre la documentazione prescritta dalla legge per partecipare a gare d’appalto;
e) a chiunque, ai fini dell’accertamento del requisito di idoneità morale di coloro che intendono partecipare a gare d’appalto, in adempimento di quanto previsto dalla normativa in materia di appalti.

Capo V – DOCUMENTAZIONE GIURIDICA

1) Ambito di applicazione e finalità del trattamento

L’autorizzazione è rilasciata per il trattamento, ivi compresa la diffusione, di dati per finalità di documentazione, di studio e di ricerca in campo giuridico, in particolare per quanto riguarda la raccolta e la diffusione di dati relativi a pronunce giurisprudenziali, nel rispetto di quanto previsto dagli articoli 51 e 52 del Codice.

Capo VI – PRESCRIZIONI COMUNI A TUTTI I TRATTAMENTI

Per quanto non previsto dai capi che precedono, ai trattamenti ivi indicati si applicano, altresì, le seguenti prescrizioni:

1) Dati trattati

Possono essere trattati i soli dati essenziali per le finalità per le quali è ammesso il trattamento e che non possano essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa.

2) Modalità di trattamento

Il trattamento dei dati deve essere effettuato unicamente con operazioni, nonché con logiche e mediante forme di organizzazione dei dati strettamente indispensabili in rapporto agli obblighi, ai compiti o alle finalità precedentemente indicati. Fuori dei casi previsti dai Capi IV, punto 2 e V, o nei quali la notizia è acquisita da fonti accessibili a chiunque, i dati devono essere forniti dagli interessati nel rispetto della disciplina prevista dal d.P.R. 14 novembre 2002, n. 313 e successive variazioni.

3) Conservazione dei dati

Con riferimento all’obbligo previsto dall’art. 11, comma 1, lett. e) del Codice, i dati possono essere conservati per il periodo di tempo previsto da leggi o regolamenti e, comunque, per un periodo non superiore a quello strettamente necessario per le finalità perseguite.
Ai sensi dell’art. 11, comma 1, lett. c), d) ed e) del Codice, i soggetti autorizzati verificano periodicamente l’esattezza e l’aggiornamento dei dati, nonché la loro pertinenza, completezza, non eccedenza e necessità rispetto alle finalità perseguite nei singoli casi. Al fine di assicurare che i dati siano strettamente pertinenti, non eccedenti e indispensabili rispetto alle finalità medesime, i soggetti autorizzati valutano specificamente il rapporto tra i dati e i singoli obblighi, compiti e prestazioni. I dati che, anche a seguito delle verifiche, risultino eccedenti o non pertinenti o non indispensabili non possono essere utilizzati, salvo che per l’eventuale conservazione, a norma di legge, dell’atto o del documento che li contiene. Specifica attenzione è prestata per la verifica dell’essenzialità dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente gli obblighi, i compiti e le prestazioni.

4) Comunicazione e diffusione

I dati possono essere comunicati e, ove previsto dalla legge, diffusi, a soggetti pubblici o privati nei limiti strettamente indispensabili per le finalità perseguite e nel rispetto, in ogni caso, del segreto professionale e delle altre prescrizioni sopraindicate.

5) Richieste di autorizzazione

I titolari dei trattamenti che rientrano nell’ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione al Garante, qualora il trattamento che si intende effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche successivamente alla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo.
Il Garante si riserva l’adozione di ogni altro provvedimento per i trattamenti non considerati nella presente autorizzazione.
Per quanto riguarda invece i trattamenti disciplinati nel presente provvedimento, il Garante non prenderà in considerazione
richieste di autorizzazione per trattamenti da effettuarsi in difformità alle relative prescrizioni, salvo che, ai sensi dell’art. 41 del Codice, il loro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.
Restano fermi gli obblighi previsti da norme di legge o di regolamento o dalla normativa comunitaria che stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati personali e, in particolare, dalle disposizioni contenute nell’art. 8 della legge 20 maggio 1970, n. 300, fatto salvo dall’art. 113 del Codice, che vieta al datore di lavoro ai fini dell’assunzione e nello svolgimento del rapporto di lavoro, di effettuare indagini, anche a mezzo di terzi, sulle opinioni politiche, religiose o sindacali del lavoratore, nonché su fatti non rilevanti ai fini della valutazione dell’attitudine professionale del lavoratore e dall’art. 10 del d.lg. 10 settembre 2003, n. 276, che vieta alle agenzie per il lavoro e agli altri soggetti privati autorizzati o accreditati di effettuare determinate indagini o comunque trattamenti di dati ovvero di preselezione di lavoratori.

6) Efficacia temporale e disciplina transitoria

La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2010 fino al 30 giugno 2011, salve eventuali modifiche che il Garante ritenga di dover apportare in conseguenza di eventuali novità normative rilevanti in materia.

La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

Deliberazione Garante per la protezione dei dati personali 19/11/2009 n. 36

Redazione

Delibera:

a) di adottare in via definitiva le “Linee guida in tema di referti on-line”, contenute nel documento allegato quale parte integrante della presente deliberazione (Allegato n. 1);

b) che copia della presente deliberazione, unitamente ai menzionati allegati, sia trasmessa al Ministero della giustizia – Ufficio pubblicazione leggi e decreti, per la sua pubblicazione nella Gazzetta Ufficiale della Repubblica italiana, ai sensi dell’art. 143, comma 2, del codice.

Allegato

  1. Ambito di applicazione delle linee guida

L’Autorita’ ritiene opportuno fornire alcune indicazioni in merito all’utilizzo dei dati personali nell’ambito di alcune
iniziative sorte nel processo di ammodernamento della sanita’ pubblica e privata che ha generato un maggiore sviluppo delle reti e una piu’ ampia gestione informatica e telematica di atti, documenti e procedure. All’interno di tali iniziative e’ stato riscontrato essere di recente molto diffusa in numerose strutture sanitarie, soprattutto private, l’offerta di servizi gratuiti generalmente riconducibili all’espressione "referti on-line", consistenti nella possibilita’ per l’assistito di accedere al "referto", inteso come la relazione scritta rilasciata dal medico sullo stato clinico del paziente dopo un esame clinico o strumentale, con modalita’ informatica. Analogamente e’ concessa all’assistito la possibilita’ di decidere, di volta in volta o una tantum, di ricevere telematicamente i predetti esiti clinici direttamente attraverso il proprio medico curante o il medico di medicina generale/pediatra di libera scelta (MMG/PLS). Tale modalita’ di conoscibilita’ dei referti viene generalmente realizzata attraverso due modalita’:

  1. la ricezione del referto presso la casella di posta elettronica dell’interessato;
  2. il collegamento al sito Internet della struttura sanitaria ove e’ stato eseguito l’esame clinico, al fine di effettuare il download del referto.

In quest’ultimo caso, che sembra essere il piu’ utilizzato, al paziente viene generalmente fornito un nome utente ed una password all’atto della prenotazione o dell’effettuazione dell’esame. In alcune delle iniziative esaminate e’ anche possibile effettuare il download del "reperto" (inteso come il risultato dell’esame clinico o strumentale effettuato, come ad es. un’immagine radiografica, un’ecografica o un valore ematico) assieme al referto stilato dal medico. Talvolta, il paziente viene avvisato della possibilita’ di visualizzare il referto attraverso una delle modalita’ sopra descritte mediante l’invio di uno short message service (sms) sul numero di telefono mobile fornito alla struttura sanitaria dallo stesso paziente all’atto dell’adesione al servizio. Le presenti linee guida non intendono disciplinare gli aspetti relativi alla validita’ legale del referto, che rimane regolata dalla specifica normativa di settore, ferme restando, ovviamente, anche le disposizioni relative alla firma elettronica del documento informatico, con specifico riferimento alle metodologie dell’autenticazione informatica ove applicabili (d.lg. 7 marzo 2005, n. 82). Tali servizi, infatti, non si propongono, di regola, di sostituire la refertazione cartacea, bensi’ di anticiparla, fornendo un’anteprima dei referti, attraverso la visualizzazione e la stampa dei documenti stessi non appena questi siano resi disponibili dalla struttura erogatrice della prestazione sanitaria, consistendo quest’ultimo nell’insieme delle informazioni relative ai diversi eventi clinici (e, quindi, non solo quelle sui referti) occorsi ad un individuo durante la sua vita, messo in condivisione logica dai professionisti o organismi sanitari, in qualita’ di autonomi titolari del trattamento, che assistono nel tempo l’interessato, al fine di offrirgli un migliore processo di cura. Con le presenti linee guida si intende individuare uno specifico quadro unitario di garanzie per i cittadini nei confronti di alcuni servizi, attualmente in uso, consistenti nella possibilita’ di ricevere via posta elettronica o di consultare telematicamente il referto relativo ad un singolo evento sanitario (es. analisi cliniche) non appena lo stesso sia reso disponibile da parte dell’organismo sanitario presso il quale si e’ rivolto l’interessato.

  1. Fruizione facoltativa del servizio di refertazione on-line

In base alle disposizioni contenute nel Codice dell’amministrazione digitale, deve essere assicurata la disponibilita’, la gestione, l’accesso, la trasmissione, la conservazione e la fruibilita’ dell’informazione in modalita’ digitale utilizzando le tecnologie dell’informazione e della comunicazione nel rispetto della disciplina rilevante in materia di trattamento dei dati personali e, in particolare, delle disposizioni del Codice in materia di protezione dei dati personali (art. 2, d.lg. 7 marzo 2005, n. 82). Come gia’ anticipato, la mancanza di specifiche disposizioni normative in merito a tali modalita’ di consegna dei referti determina che tali servizi devono essere considerati facoltativi per l’interessato, ovvero offerti con modalita’ tali da rendere possibile a quest’ultimo di potere comunque scegliere di ritirare il referto in formato cartaceo. All’interessato deve essere consentito, infatti, di scegliere, in piena liberta’, se accedere o meno al servizio di refertazione on-line, garantendogli in ogni caso la possibilita’ di continuare a ritirare i referti cartacei presso la struttura erogatrice della prestazione. La struttura sanitaria deve, anche, garantire all’interessato di decidere liberamente, sulla base di una specifica informativa e di un apposito consenso in ordine al trattamento dei dati personali connessi a tale servizio, di aderire o meno a tali servizi di refertazione, senza alcun pregiudizio sulla possibilita’ di usufruire delle prestazioni mediche richieste. Qualora l’interessato abbia scelto di aderire ai suddetti servizi di refertazione, deve essergli concesso, in relazione ai singoli esami clinici a cui si sottoporra’ di volta in volta, di manifestare una volonta’ contraria, ovvero che i relativi referti non siano oggetto del servizio di refertazione on-line precedentemente scelto. Anche nel caso di comunicazione del referto presso l’indirizzo della casella di posta elettronica fornito dall’interessato, a quest’ultimo deve essere concessa la possibilita’ di confermare l’indirizzo di posta elettronica in cui ricevere tale comunicazione in occasione dei successivi accertamenti clinici. Resta ferma l’operativita’ del sistema che verra’ adottato ai sensi del d.P.C.M. 6 maggio 2009 in materia di rilascio e di uso della casella di posta elettronica certificata assegnata ai cittadini. Per quanto riguarda la possibilita’ per l’interessato di acconsentire alla comunicazione dei risultati diagnostici al medico curante o al MMG/PLS dallo stesso indicato, tale volonta’ deve essere manifestata di volta in volta. All’interessato deve, infatti, essere concesso il diritto di non comunicare sistematicamente al medico curante tutti i risultati delle indagini cliniche effettuate, lasciandogli la possibilita’ di scegliere, di volta in volta, quali referti mettere a disposizione del proprio medico. Tale garanzia deve intendersi operante sia nel caso piu’ frequente in cui l’interessato autorizzi la comunicazione del referto presso la casella di posta elettronica del medico curante, sia in quello in cui autorizzi la struttura sanitaria a fornire le credenziali di autenticazione direttamente al medico, affinche’ quest’ultimo effettui il download del suo referto. Nel caso di utilizzazione del servizio di avviso tramite sms della disponibilita’ alla consultazione dei referti attraverso le
modalita’ sopra descritte, nel messaggio inviato deve essere data solo notizia della disponibilita’ del referto e non anche del
dettaglio della tipologia di accertamenti effettuati, del loro esito o delle credenziali di autenticazione assegnate all’interessato (Cfr. successivo punto 6).

  1. Informativa e consenso

Per consentire all’interessato di esprimere scelte consapevoli in relazione al trattamento dei propri dati personali, il titolare del
trattamento deve previamente fornirgli un’idonea informativa sulle caratteristiche del servizio di refertazione on-line (artt. 13, 79 e 80 del Codice). Tale informativa, che puo’ essere resa anche unitamente a quella relativa al trattamento dei dati personali per finalita’ di cura ma distinta da essa, deve indicare, con linguaggio semplice, tutti gli elementi richiesti dall’art. 13 del Codice. In particolare, deve essere evidenziata la facoltativita’ dell’adesione a tali servizi, aventi la finalita’ di rendere piu’ rapidamente conoscibile all’interessato il risultato dell’esame clinico effettuato. L’informativa deve rendere note all’interessato anche le modalita’ attraverso le quali rivolgersi al titolare per esercitare i diritti di cui agli artt. 7 e ss. del Codice. Al fine di assicurare una piena comprensione degli elementi indicati nell’informativa, il titolare deve formare adeguatamente il personale coinvolto sugli aspetti rilevanti della disciplina sulla protezione dei dati personali, anche ai fini di un piu’ efficace rapporto con gli interessati. Dopo aver fornito l’informativa, il titolare del trattamento deve acquisire un autonomo e specifico consenso dell’interessato a trattare i suoi dati personali, anche sanitari, attraverso le suddette modalita’ di refertazione.

  1. Archivio dei referti

In alcune delle iniziative di refertazione on-line in essere, e’ offerto all’interessato anche un servizio aggiuntivo, solitamente
gratuito, consistente nella possibilita’ di archiviare, presso la struttura sanitaria, tutti i referti effettuati nei laboratori della
stessa. Il suddetto archivio e’ generalmente consultabile on-line dall’interessato, il quale puo’ anche effettuare il download dei
referti ivi raccolti. Il titolare del trattamento che intenda offrire all’interessato tale servizio di archiviazione e’ tenuto a fornire allo stesso una specifica informativa ed ad acquisire un autonomo consenso. Tali archivi, raccogliendo tutti i referti effettuati nel tempo dall’interessato ed essendo realizzati presso un organismo sanitario in qualita’ di unico titolare del trattamento (es., laboratorio di analisi, clinica privata), ricadono nella definizione di dossier sanitario, secondo quanto indicato nel richiamato Provvedimento del Garante del 16 luglio 2009, recante "Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di dossier sanitario". Cio’ stante, il titolare del trattamento che intenda offrire all’interessato la possibilita’ di raccogliere i referti in tali archivi deve tenere conto delle garanzie, anche di sicurezza, individuate nel citato provvedimento per i dossier sanitari.

  1. Comunicazione dei dati all’interessato

Secondo quanto previsto dall’art. 84 del Codice, i dati personali inerenti allo stato di salute devono essere resi noti all’interessato solo per il tramite di un medico designato dallo stesso o dal titolare. Il secondo comma di tale disposizione prevede che il titolare o il responsabile possano autorizzare per iscritto esercenti le professioni sanitarie diversi dai medici, che nell’esercizio dei propri compiti intrattengono rapporti diretti con i pazienti e sono incaricati di trattare dati personali idonei a rivelare lo stato di salute, a rendere noti i medesimi dati all’interessato. In particolare, nel caso di specie, l’intermediazione puo’
essere soddisfatta accompagnando la comunicazione del reperto con un giudizio scritto e la disponibilita’ del medico a fornire ulteriori indicazioni su richiesta dell’interessato, anche prenatali, fa ritenere di potere, poi, escludere la possibilita’ di offrire tali servizi di refertazione nel caso in cuil’interessato si sottoponga a tali indagini cliniche.

  1. Misure di sicurezza e tempi di conservazione dei dati

La particolare delicatezza dei dati personali trattati mediante i servizi di refertazione on-line impone l’adozione di specifici
accorgimenti tecnici per assicurare idonei livelli di sicurezza ai sensi dell’art. 31 del Codice, ferme restando le misure minime che ciascun titolare del trattamento deve comunque adottare ai sensi del Codice (artt. 33 e ss.) e, in particolare, laddove applicabili, quelle richieste dalla regola 24 del Disciplinare tecnico in materia di misure minime di sicurezza, allegato B) al Codice, laddove per il trasferimento di dati idonei a rivelare l’identita’ genetica di un individuo viene richiesto il ricorso alla cifratura. Per la consegna degli esiti dell’attivita’ diagnostica e di analisi biomedica si prospettano attualmente i due diversi scenari sopra descritti che pongono problemi di protezione dei dati da affrontare con differenti approcci.

Scenario 1 – consultazione on-line dei referti tramite servizi Web accessibili da Internet
Nel caso in cui il servizio che si intenda offrire consti nella possibilita’ per l’interessato di collegarsi al sito Internet della struttura sanitaria che ha eseguito l’esame clinico, al fine di effettuare la copia locale (download) o la visualizzazione interattiva del referto, devono essere adottate delle specifiche
cautele quali:

  1. protocolli di comunicazione sicuri, basati sull’utilizzo di standard crittografici per la comunicazione elettronica dei dati, con la certificazione digitale dell’identita’ dei sistemi che erogano il servizio in rete (protocolli https ssl – Secure Socket Layer);
  1. tecniche idonee ad evitare la possibile acquisizione delle informazioni contenute nel file elettronico nel caso di sua
    memorizzazione intermedia in sistemi di caching, locali o centralizzati, a seguito della sua consultazione on-line;
  1. l’utilizzo di idonei sistemi di autenticazione dell’interessato attraverso ordinarie credenziali o, preferibilmente,
    tramite procedure di strong authentication;
  1. disponibilita’ limitata nel tempo del referto on-line (massimo 45 gg.);
  1. possibilita’ da parte dell’utente di sottrarre alla visibilita’ in modalita’ on-line o di cancellare dal sistema di
    consultazione, in modo complessivo o selettivo, i referti che lo riguardano.

Scenario 2 – spedizione del referto tramite posta elettronica
Qualora il titolare del trattamento intenda inviare copia del referto alla casella di posta elettronica dell’interessato, a seguito
di sua richiesta, per il referto prodotto in formato digitale devono essere osservate le seguenti cautele:

  1. spedizione del referto in forma di allegato a un messaggio e-mail e non come testo compreso nella body part del messaggio;
  1. il file contenente il referto dovra’ essere protetto con modalita’ idonee a impedire l’illecita o fortuita acquisizione delle
    informazioni trasmesse da parte di soggetti diversi da quello cui sono destinati, che potranno consistere in una password per l’apertura del file o in una chiave crittografica rese note agli interessati tramite canali di comunicazione differenti da quelli utilizzati per la spedizione dei referti (Cfr. regola 24 del Disciplinare tecnico allegato B) al Codice). Tale cautela puo’ non essere osservata qualora l’interessato ne faccia espressa e consapevole richiesta, in quanto l’invio del referto alla casella di posta elettronica indicata dall’interessato non configura un trasferimento di dati sanitari tra diversi titolari del trattamento, bensi’ una comunicazione di dati tra la struttura sanitaria e l’interessato effettuata su specifica richiesta di quest’ultimo;
  1. convalida degli indirizzi e-mail tramite apposita procedura di verifica on-line, in modo da evitare la spedizione di documenti elettronici, pur protetti con tecniche di cifratura, verso soggetti diversi dall’utente richiedente il servizio. In ogni caso, per il trattamento dei dati nell’ambito dell’erogazione del servizio on-line agli utenti deve essere garantita la disponibilita’ di:
      • idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad es., in relazione alla possibilita’ di consultazione, modifica e integrazione dei dati), prevedendo il ricorso alla strong authentication con utilizzo di caratteristiche biometriche nel caso del trattamento di dati idonei a rivelare l’identita’ genetica di un individuo;
      • separazione fisica o logica dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali
        trattati per scopi amministrativo-contabili.

Il titolare del trattamento deve, inoltre, prevedere apposite procedure che rendano immediatamente non disponibili per la
consultazione on-line o interrompano la procedura di spedizione perposta elettronica dei referti relativi a un interessato che abbiacomunicato il furto o lo smarrimento delle proprie credenziali diautenticazione all’accesso al sistema di consultazione on-line oaltre condizioni di possibile rischio per la riservatezza dei propridati personali. In ogni caso devono essere adottate tutte le misure di sicurezzanecessarie per rispettare il divieto di diffusione dei dati sanitariprescritto dal Codice (artt. 22, comma 8 e 26, comma 5).

—–
(1) Al riguardo, cfr. art. 5, comma 8, legge 29 dicembre 1990, n. 407 e art. 4, comma 18, legge 30 dicembre 1991, n. 412.
(2) Provvedimento del Garante del 16 luglio 2009, recante "Linee guida in tema di Fascicolo sanitario elettronico (FSE) e di
dossier sanitario", pubblicato in G.U. n. 178 del 3 agosto 2009 e consultabile sul sito: www.garanteprivacy.it [doc.web n.
1634116].
(3) Cfr. punto 4 del provvedimento del Garante del 9 novembre 2005"Strutture sanitarie: rispetto della dignita’" consultabile sul sito www.garanteprivacy.it – doc. web n.1191411.
(4) Cfr. art. 5, l. 5 giugno 1990, n.135, Relazione al parlamentosullo stato di attuazione delle strategie attivate per
fronteggiare l’infezione da HIV nell’anno 2006, Ministero della salute, Dipartimento della prevenzione e della comunicazione,
Direzione generale della prevenzione sanitaria e Manuale diinformazioni pro-positive, a cura della Consulta del volontariato
per i problemi dell’AIDS presso il Ministero della salute, in merito all’assistenza psicologica e alla consulenza specialistica
alle persone che hanno effettuato il test HIV.
(5) Cfr. art.12, Convenzione sui diritti dell’uomo e sulla biomedicina, Oviedo il 4 aprile 1997 e Autorizzazione al trattamento dei dati genetici del 22 febbraio 2007, pubblicata in G.U. n. 65 del 19 marzo 2007, consultabile sul sito: www.garanteprivacy.it – doc. web n. 1389918, la cui efficacia e’ stata differita con provvedimento del 19 dicembre 2008 pubblicato in G.U. n. 15 del 20 gennaio 2009 – doc. web n. 1582871.

Diventa autore di Diritto.it

© RIPRODUZIONE RISERVATA

1 2


Per la tua pubblicità sui nostri Media:
maggioliadv@maggioli.it  |  www.maggioliadv.it

Gruppo Maggioli
www.maggioli.it

Ricevi tutte le novità di Diritto.it attraverso le nostre newsletter. Se sei interessato a un ambito specifico effettua l’iscrizione direttamente a questo indirizzo.

Non abbandonare Diritto.it
senza iscriverti alle newsletter!