IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del prof. Francesco Pizzetti,
presidente, del dott. Giuseppe
Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe
Fortunato, componenti, e del
dott. Giovanni Buttarelli, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice in
materia di protezione dei dati
personali;
Visto, in particolare, l'art. 4, comma 1, lett. d) del citato Codice, il quale individua i dati sensibili;
Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i soggetti
privati e gli enti pubblici economici
possono trattare i dati sensibili solo previa autorizzazione di questa Autorità
e, ove necessario, con il
consenso scritto degli interessati, nell'osservanza dei presupposti e dei limiti
stabiliti dal Codice, nonché
dalla legge e dai regolamenti;
Considerato che il trattamento dei dati in questione può essere autorizzato
dal Garante anche d'ufficio
con provvedimenti di carattere generale, relativi a determinate categorie di
titolari o di trattamenti
(art. 40 del Codice);
Considerato che le autorizzazioni di carattere generale sinora rilasciate
sono risultate uno strumento
idoneo per prescrivere misure uniformi a garanzia degli interessati, rendendo
altresì superflua la richiesta
di singoli provvedimenti di autorizzazione da parte di numerosi titolari del
trattamento;
Ritenuto opportuno rilasciare nuove autorizzazioni in sostituzione di quelle
in scadenza il 31 dicembre
2005, armonizzando le prescrizioni già impartite alla luce dell’esperienza
maturata;
Ritenuto opportuno che anche tali nuove autorizzazioni siano provvisorie e a
tempo determinato, ai sensi
dall'art. 41, comma 5, del Codice, e, in particolare, efficaci per il periodo di
diciotto mesi;
Considerata la necessità di garantire il rispetto di alcuni principi volti a
ridurre al minimo i rischi di danno
o di pericolo che i trattamenti potrebbero comportare per i diritti e le libertà
fondamentali, nonché per la
dignità delle persone, e in particolare, per il diritto alla protezione dei dati
personali sancito all'art. 1 del
Codice;
Considerato che un elevato numero di trattamenti di dati sensibili è
effettuato da parte di soggetti
operanti in diversi settori di attività economiche di seguito individuate;
Visto l'art. 167 del Codice;
Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati
in violazione della disciplina
rilevante in materia di trattamento di dati personali non possono essere
utilizzati;
Visti gli articoli 31 e seguenti del Codice e il disciplinare tecnico di cui
all'Allegato B) al medesimo Codice,
recanti norme e regole sulle misure di sicurezza;
Visto l'art. 41 del Codice;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario generale ai sensi
dell'art. 15 del regolamento
del Garante n. 1/2000;
Relatore il dott. Giuseppe Fortunato;
Autorizza
il trattamento dei dati sensibili di cui all'art. 4, comma 1, lett. d), del
Codice, fatta eccezione dei dati
idonei a rivelare la vita sessuale, secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi e i
programmi informatici sono
configurati riducendo al minimo l'utilizzazione di dati personali e di dati
identificativi, in modo da
escluderne il trattamento quando le finalità perseguite nei singoli casi possono
essere realizzate
mediante, rispettivamente, dati anonimi od opportune modalità che permettano di
identificare
l'interessato solo in caso di necessità, in conformità all'art. 3 del Codice.
Capo I - Attività bancarie, creditizie, assicurative, di gestione di fondi,
del settore turistico, del trasporto
ed altre attività autorizzate
1) Soggetti ai quali è rilasciata l'autorizzazione:
a) imprese autorizzate all'esercizio dell'attività bancaria e creditizia o
assicurativa ed
organismi che le riuniscono, anche se in stato di liquidazione coatta
amministrativa;
b) società ed altri organismi che gestiscono fondi-pensione o di assistenza,
ovvero fondi o
casse di previdenza;
c) società ed altri organismi di intermediazione finanziaria, in particolare
per la gestione o
l'intermediazione di fondi comuni di investimento o di valori mobiliari;
d) società ed altri organismi che emettono carte di credito o altri mezzi di
pagamento, o
che ne gestiscono le relative operazioni;
e) imprese che svolgono autonome attività strettamente connesse e strumentali
a quelle
indicate nelle precedenti lettere, e relative alla rilevazione dei rischi, al
recupero dei crediti,
a lavorazioni massive di documenti, alla trasmissione dati, all'imbustamento o
allo
smistamento della corrispondenza, nonché alla gestione di esattorie o tesorerie;
f) imprese che operano nel settore turistico o alberghiero o del trasporto,
agenzie di
viaggio e operatori turistici;
g) operatori economici autorizzati a svolgere la propria attività in base ad
autorizzazione
comunque resa ai sensi delle norme contenute nel regio decreto 18 giugno 1931,
n. 773
(T.u.l.p.s.) o nel decreto legislativo 31 marzo 1998, n. 112.
2) Finalità del trattamento
La presente autorizzazione è rilasciata, anche senza richiesta, limitatamente ai
dati e alle operazioni
indispensabili per adempiere agli obblighi anche precontrattuali che i soggetti
di cui al punto 1)
assumono, nel proprio settore di attività, al fine di fornire specifici beni,
prestazioni o servizi richiesti
dall'interessato.
L'autorizzazione è rilasciata anche per adempiere o per esigere l'adempimento
ad obblighi previsti, anche
in materia fiscale e contabile, dalla normativa comunitaria, dalla legge, dai
regolamenti, o dai contratti
collettivi, o prescritti da autorità od organi di vigilanza o di controllo nei
casi indicati dalla legge o dai
regolamenti.
Il trattamento avente tali finalità può riguardare anche la tenuta di
registri e scritture contabili, di elenchi,
di indirizzari e di altri documenti necessari per espletare compiti di
organizzazione o di gestione
amministrativa di imprese, società, cooperative o consorzi.
3) Interessati ai quali i dati si riferiscono e categorie di dati trattati
Il trattamento può riguardare i dati sensibili attinenti ai soggetti ai quali
sono forniti i beni, le prestazioni
o i servizi, in misura strettamente pertinente a quanto specificamente richiesto
dall'interessato che, ove
necessario, abbia manifestato il proprio consenso scritto ed informato. Nei
medesimi limiti, è possibile
trattare dati relativi a terzi, allorché non sia altrimenti possibile procedere
alla fornitura al beneficiario dei
beni, delle prestazioni o dei servizi.
Qualora il consenso sia richiesto nei confronti di distinti titolari di
trattamenti, la manifestazione di volontà
deve riferirsi specificamente a ciascuno di essi.
4) Comunicazione e diffusione dei dati
I dati sensibili possono essere comunicati, nei limiti strettamente pertinenti
al perseguimento delle
finalità di cui al punto 2), a soggetti pubblici o privati, ivi compresi fondi e
casse di previdenza ed
assistenza o società controllate e collegate ai sensi dell'art. 2359 del codice
civile, nonché, ove
necessario, ai familiari dell'interessato.
I titolari del trattamento, anche ai fini dell'eventuale comunicazione ad
altri titolari delle modifiche
apportate ai dati in accoglimento di una richiesta dell'interessato (art. 7,
comma 3, lettera c), del Codice),
devono conservare un elenco dei destinatari delle comunicazioni effettuate,
recante un'annotazione delle
specifiche categorie di dati comunicati.
I dati sensibili non possono essere diffusi.
Capo II - Sondaggi e ricerche
1) Soggetti ai quali è rilasciata l'autorizzazione e finalità del trattamento
Imprese, società, istituti ed altri organismi o soggetti privati, ai soli fini
del compimento di sondaggi di
opinione, di ricerche di mercato o di altre ricerche campionarie.
Il sondaggio o la ricerca devono essere effettuati per scopi puntualmente
determinati e legittimi, noti
all'interessato.
2) Interessati ai quali i dati si riferiscono e categorie di dati trattati
Il trattamento può riguardare i dati attinenti ai soggetti che abbiano
manifestato il proprio consenso
informato e che abbiano risposto a questionari o ad interviste effettuate
nell'ambito di sondaggi di
opinione, di ricerche di mercato o di altre ricerche campionarie.
Il consenso deve essere manifestato in ogni caso per iscritto.
I dati personali di natura sensibile possono essere trattati solo se il
trattamento di dati anonimi non
permette al sondaggio o alla ricerca di raggiungere i suoi scopi.
3) Conservazione dei dati
Il trattamento successivo alla raccolta non deve permettere di identificare gli
interessati, neanche
indirettamente, mediante un riferimento ad una qualsiasi altra informazione.
I dati personali, individuali o aggregati, devono essere distrutti o resi
anonimi subito dopo la raccolta, e
comunque non oltre la fase contestuale alla registrazione dei campioni raccolti.
La registrazione deve
essere effettuata senza ritardo anche nel caso in cui i campioni siano stati
raccolti in numero elevato.
Entro tale ambito temporale, resta ferma la possibilità per il titolare della
raccolta, nonché per i suoi
responsabili o incaricati, di utilizzare i dati personali al fine di verificare
presso gli interessati la veridicità o
l'esattezza dei campioni.
4) Comunicazione dei dati
I dati sensibili non possono essere né comunicati, né diffusi.
I campioni del sondaggio o della ricerca possono essere comunicati o diffusi
in forma individuale o
aggregata, sempre che non possano essere associati, anche a seguito di
trattamento, ad interessati
identificati o identificabili.
Capo III - Attività di elaborazione di dati
1) Soggetti ai quali è rilasciata l'autorizzazione
Imprese, società, istituti ed altri organismi o soggetti privati, titolari
autonomi di un'attività svolta
nell'interesse di altri soggetti, e che presuppone l'elaborazione di dati ed
altre operazioni di trattamento
eseguite in materia di lavoro, ovvero a fini contabili, retributivi,
previdenziali, assistenziali e fiscali.
2) Prescrizioni applicabili
Il trattamento è regolato dalle autorizzazioni:
a) n. 1/2005, rilasciata il 21 dicembre 2005, concernente il trattamento dei
dati sensibili a
cura, in particolare, delle parti di un rapporto di lavoro qualora le finalità
perseguite siano
quelle indicate al punto 3) di tale autorizzazione;
b) n. 4/2005, rilasciata il 21 dicembre 2005, riguardante il trattamento dei
dati sensibili ad
opera dei liberi professionisti e di altri soggetti equiparati, qualora le
finalità perseguite
siano quelle indicate al punto 3) di tale autorizzazione.
Qualora il consenso sia richiesto nei confronti di distinti titolari di
trattamenti, la manifestazione di volontà
deve riferirsi specificamente a ciascuno di essi.
Capo IV - Attività di selezione del personale
1) Soggetti ai quali è rilasciata l'autorizzazione e finalità del trattamento
La presente autorizzazione è rilasciata, anche senza richiesta, alle agenzie per
il lavoro e agli altri
soggetti che, in conformità alla legge, svolgono, nell’interesse di terzi,
attività di intermediazione, ricerca
e selezione del personale o supporto alla ricollocazione professionale.
2) Interessati ai quali i dati si riferiscono e categorie di dati trattati
Il trattamento può riguardare i dati idonei a rivelare lo stato di salute e
l'origine razziale ed etnica dei
candidati all'instaurazione di un rapporto di lavoro o di collaborazione, solo
se la loro raccolta è
giustificata da scopi determinati e legittimi ed è strettamente indispensabile
per instaurare tale rapporto.
Il trattamento dei dati idonei a rivelare lo stato di salute dei familiari o
dei conviventi dei candidati è
consentito con il consenso scritto degli interessati e qualora sia finalizzato
al riconoscimento di uno
specifico beneficio in favore dei candidati, in particolare ai fini di
un'assunzione obbligatoria o del
riconoscimento di un titolo derivante da invalidità o infermità, da eventi
bellici o da ragioni di servizio.
Qualora il consenso sia richiesto nei confronti di distinti titolari di
trattamenti, la manifestazione di volontà
deve riferirsi specificamente a ciascuno di essi.
Il trattamento deve riguardare le sole informazioni strettamente pertinenti a
tale finalità, sia in caso di
risposta a questionari inviati anche per via telematica, sia nel caso in cui i
candidati forniscano dati di
propria iniziativa, in particolare attraverso l'invio di curricula.
Non è consentito il trattamento dei dati:
a) idonei a rivelare le convinzioni religiose, filosofiche o di altro genere,
le opinioni
politiche, l'adesione a partiti, sindacati, associazioni a carattere religioso,
filosofico, politico
o sindacale, l'origine razziale ed etnica, e la vita sessuale;
b) inerenti a fatti non rilevanti ai fini della valutazione dell'attitudine
professionale del
lavoratore;
c) in violazione delle norme in materia di pari opportunità o volte a
prevenire
discriminazioni.
3) Comunicazione e diffusione dei dati
I dati idonei a rivelare lo stato di salute e l'origine razziale ed etnica
possono essere comunicati nei limiti
strettamente pertinenti al perseguimento delle finalità di cui ai punti 1) e 2),
a soggetti pubblici o privati
che siano specificamente menzionati nella dichiarazione di consenso
dell'interessato.
I dati sensibili non possono essere diffusi.
4) Norme finali
Restano fermi gli ulteriori obblighi previsti dalla legge e dai regolamenti.
Capo V - Mediazione a fini matrimoniali
1) Soggetti ai quali è rilasciata l'autorizzazione
La presente autorizzazione è rilasciata alle imprese, alle società, agli
istituti e agli altri organismi o
soggetti privati che esercitano, anche attraverso agenzie autorizzate,
un'attività di mediazione a fini
matrimoniali o di instaurazione di un rapporto di convivenza.
2) Finalità del trattamento
L'autorizzazione è rilasciata ai soli fini dell'esecuzione dei singoli incarichi
conferiti in conformità alle leggi
e ai regolamenti.
3) Interessati ai quali i dati si riferiscono
Il trattamento può riguardare i soli dati sensibili attinenti alle persone
direttamente interessate al
matrimonio o alla convivenza.
Non è consentito il trattamento di dati relativo a persone minori di età in
base all'ordinamento del Paese
di appartenenza o, comunque, in base alla legge italiana.
4) Categorie di dati oggetto di trattamento
Il trattamento può riguardare i soli dati e le sole operazioni che risultino
indispensabili in relazione allo
specifico profilo o alla personalità descritto o richiesto dalle persone
interessate al matrimonio o alla
convivenza.
I dati devono essere forniti personalmente dai medesimi interessati.
L'informativa preliminare al consenso scritto deve porre in particolare
evidenza le categorie di dati trattati
e le modalità della loro comunicazione a terzi.
5) Comunicazione dei dati
I dati possono essere comunicati nei limiti strettamente pertinenti
all'esecuzione degli specifici incarichi
ricevuti.
I titolari del trattamento, anche ai fini dell'eventuale comunicazione ad
altri titolari delle modifiche
apportate ai dati in accoglimento di una richiesta dell'interessato (art. 7,
comma 3, lettera c), del Codice),
devono conservare un elenco dei destinatari delle comunicazioni effettuate,
recante un'annotazione delle
specifiche categorie di dati comunicati.
L'eventuale diffusione anche per via telematica di taluni dati sensibili deve
essere oggetto di apposita
autorizzazione di questa Autorità.
6) Norme finali
Restano fermi gli ulteriori obblighi previsti dalla legge e dai regolamenti, in
particolare nell'ambito della
legge penale e della disciplina di pubblica sicurezza, nonché in materia di
tutela dei minori.
Capo VI - Prescrizioni comuni a tutti i trattamenti
Per quanto non previsto dai capi che precedono, ai trattamenti ivi indicati
si applicano, altresì, le seguenti
prescrizioni:
1) Dati idonei a rivelare lo stato di salute
Il trattamento dei dati idonei a rivelare lo stato di salute deve essere
effettuato anche nel rispetto
dell'autorizzazione n. 2/2005, rilasciata il 21 dicembre 2005.
Il trattamento dei dati genetici non è consentito nei casi previsti dalla presente autorizzazione.
2) Modalità di trattamento
Fermi restando gli obblighi previsti dagli articoli 11 e 14 del Codice, dagli
articoli 31 e seguenti del Codice
e dall'Allegato B) al Codice, il trattamento dei dati sensibili deve essere
effettuato unicamente con
operazioni, nonché con logiche e mediante forme di organizzazione dei dati
strettamente indispensabili
in rapporto alle finalità indicate nei capi che precedono.
La comunicazione di dati all'interessato deve avvenire di regola direttamente
a quest'ultimo o a un suo
delegato (fermo restando quanto previsto dall'art. 84, comma 1, del Codice), in
plico chiuso o con altro
mezzo idoneo a prevenire la conoscenza da parte di soggetti non autorizzati,
anche attraverso la
previsione di distanze di cortesia.
Resta inoltre fermo l'obbligo di informare l'interessato, ai sensi dell'art.
13, commi 1, 4 e 5 del Codice,
anche quando i dati sono raccolti presso terzi.
3) Conservazione dei dati
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e)
del Codice, i dati sensibili
possono essere conservati per un periodo non superiore a quello necessario per
perseguire le finalità,
ovvero per adempiere agli obblighi o agli incarichi menzionati nei precedenti
capi. A tal fine, anche
mediante controlli periodici, deve essere verificata costantemente la stretta
pertinenza, non eccedenza e
indispensabilità dei dati rispetto al rapporto, alla prestazione o all'incarico
in corso, da instaurare o
cessati, anche con riferimento ai dati che l'interessato fornisce di propria
iniziativa. I dati che, anche a
seguito delle verifiche, risultano eccedenti o non pertinenti o non
indispensabili non possono essere
utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto
o del documento che li
contiene. Specifica attenzione è prestata per l'indispensabilità dei dati
riferiti a soggetti diversi da quelli
cui si riferiscono direttamente le prestazioni e gli adempimenti.
Restano fermi i diversi termini di conservazione previsti dalle leggi o dai regolamenti.
Resta altresì fermo quanto previsto nel capo II in materia di sondaggi e di ricerche.
4) Richieste di autorizzazione
I titolari dei trattamenti che rientrano nell'ambito di applicazione della
presente autorizzazione non sono
tenuti a presentare una richiesta di autorizzazione a questa Autorità, qualora
il trattamento che si intende
effettuare sia conforme alle prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche
successivamente alla data di adozione
del presente provvedimento, devono intendersi accolte nei termini di cui al
provvedimento medesimo.
Il Garante non prenderà in considerazione richieste di autorizzazione per
trattamenti da effettuarsi in
difformità alle prescrizioni del presente provvedimento, salvo che, ai sensi
dell'art. 41 del Codice, il loro
accoglimento sia giustificato da circostanze del tutto particolari o da
situazioni eccezionali non considerate
nella presente autorizzazione.
5) Norme finali
Restano fermi gli obblighi previsti da norme di legge o di regolamento e dalla
normativa comunitaria, che
stabiliscono divieti o limiti più restrittivi in materia di trattamento di dati
personali e, in particolare:
a) dalla legge 20 maggio 1970, n. 300;
b) dalla legge 5 giugno 1990, n. 135;
c) dal decreto legislativo 10 settembre 2003, n. 276.
Restano altresì fermi gli obblighi di legge che vietano la rivelazione senza
giusta causa e l'impiego a
proprio o altrui profitto delle notizie coperte dal segreto professionale,
nonché gli obblighi deontologici,
previsti anche dai codici deontologici e di buona condotta adottati in
attuazione dell'art. 12 del Codice.
Resta ferma, infine, la possibilità di diffondere dati anonimi anche aggregati.
6) Efficacia temporale e disciplina transitoria
La presente autorizzazione ha efficacia a decorrere dal 1° gennaio 2006 fino al
30 giugno 2007, salve
eventuali modifiche che il Garante ritenga di dover apportare in conseguenza di
eventuali novità
normative rilevanti in materia.
La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana.
Roma, 21 dicembre 2005
IL PRESIDENTE
Pizzetti
IL RELATORE
Fortunato
IL SEGRETARIO GENERALE
Buttarelli
|
Autorizzazione al
trattamento dei dati sensibili nei rapporti di lavoro. (Autorizzazione n.
1/2005)
Nuove autorizzazioni al trattamento dei dati sensibili e giudiziari |
Nuove autorizzazioni al trattamento dei dati sensibili e giudiziari