Art. 4. Tutela della riservatezza 1. In applicazione dell'articolo 22, comma 3-bis, della legge 31 dicembre 1996, n. 675, il presente regolamento identifica le tipologie di dati sensibili e di operazioni strettamente pertinenti e necessarie in relazione alle finalita' perseguite. 2. Gli uffici e gli organismi interessati all'applicazione del presente regolamento possono trattare, nei casi previsti, i dati personali idonei a rivelare lo stato di salute dei soggetti interessati. 3. Possono essere effettuate, in conformita' agli articoli 3 e 4 del decreto legislativo 11 maggio 1999, n. 135, operazioni di raccolta, registrazione, organizzazione, conservazione, modificazione, estrazione, utilizzo, blocco, cancellazione e distruzione dei dati. Eventuali operazioni di selezione, elaborazione e comunicazione dei dati sono consentite solo previa indicazione scritta dei motivi. Gli uffici e gli organismi interessati rendono pubblica, con proprio atto, la lista dei soggetti ai quali i dati sensibili possono essere comunicati in base a vigenti disposizioni normative. 4. Resta fermo quanto previsto dalla legge 5 giugno 1990, n. 135, in ordine alle misure anche organizzative da adottare per la tutela della riservatezza in casi di infezione da HIV o di AIDS.
Note all'art. 4: - Si riporta il testo dell'art. 22 della legge 31 dicembre 1996, n. 675 (Tutela delle persone e di altri soggetti rispetto al trattamento dei dati personali): "Art. 22 (Dati sensibili). - 1. I dati personali idonei a rivelare l'origine razziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l'adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonche' i dati personali idonei a rivelare lo stato di salute e la vita sessuale, possono essere oggetto di trattamento solo con il consenso scritto dell'interessato e previa autorizzazione del Garante. 1-bis. Il comma 1 non si applica ai dati relativi agli aderenti alle confessioni religiose i cui i rapporti con lo Stato siano regolati da accordi o intese ai sensi degli articoli 7 e 8 della Costituzione, nonche' relativi ai soggetti che con riferimento a finalita' di natura esclusivamente religiosa hanno contatti regolari con le medesime confessioni, che siano trattati dai relativi organi o enti civilmente riconosciuti, sempreche' i dati non siano comunicati o diffusi fuori delle medesime confessioni. Queste ultime determinano idonee garanzie relativamente ai trattamenti effettuati. 2. Il Garante comunica la decisione adottata sulla richiesta di autorizzazione entro trenta giorni, decorsi i quali la mancata pronuncia equivale a rigetto. Con il provvedimento di autorizzazione, ovvero successivamente, anche sulla base di eventuali verifiche, il Garante puo' prescrivere misure e accorgimenti a garanzia dell'interessato, che il titolare del trattamento e' tenuto ad adottare. 3. Il trattamento dei dati indicati al comma 1 da parte di soggetti pubblici, esclusi gli enti pubblici economici, e' consentito solo se autorizzato da espressa disposizione di legge, nella quale siano specificati i tipi di dati che possono essere trattati, le operazioni eseguibili e le rilevanti finalita' di interesse pubblico perseguite. In mancanza di espressa disposizione di legge, e fuori dai casi previsti dai decreti legislativi di modificazione ed integrazione della presente legge, emanati in attuazione della legge 31 dicembre 1996, n. 676, i soggetti pubblici possono richiedere al Garante, nelle more della specificazione legislativa, l'individuazione delle attivita', tra quelle demandate ai medesimi soggetti dalla legge, che perseguono rilevanti finalita' di interesse pubblico e per le quali e' conseguentemente autorizzato, ai sensi del comma 2, il trattamento dei dati indicati al comma 1. 3-bis. Nei casi in cui e' specificata, a norma del comma 3, la finalita' di rilevante interesse pubblico, ma non sono specificati i tipi di dati e le operazioni eseguibili, i soggetti pubblici, in applicazione di quanto previsto dalla presente legge e dai decreti legislativi di attuazione della legge 31 dicembre 1996, n. 676, in materia di dati sensibili, identificano e rendono pubblici, secondo i rispettivi ordinamenti, i tipi di dati e di operazioni strettamente pertinenti e necessari in relazione alle finalita' perseguite nei singoli casi, aggiornando tale identificazione periodicamente. 4. I dati personali idonei a rivelare lo stato di salute e la vita sessuale possono essere oggetto di trattamento previa autorizzazione del Garante, qualora il trattamento sia necessario ai fini dello svolgimento delle investigazioni di cui all'art. 38 delle norme di attuazione, di coordinamento e transitorie del codice di procedura penale, approvate con decreto legislativo 28 luglio 1989, n. 271, e successive modificazioni, o, comunque, per far valere o difendere in sede giudiziaria un diritto di rango pari a quello dell'interessato, sempre che i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessario al loro perseguimento. Il Garante prescrive le misure e gli accorgimenti di cui al comma 2 e promuove la sottoscrizione di un apposito codice di deontologia e di buona condotta secondo le modalita' di cui all'art. 31, comma 1, lettera h). Resta fermo quanto previsto dall'art. 43, comma 2.". - Si riporta il testo degli articoli 3 e 4 del decreto legislativo 11 maggio 1999, n. 135 (Disposizioni integrative della legge 31 dicembre 1996, n. 675): " Art. 3 (Dati trattati). - 1. I soggetti pubblici sono autorizzati a trattare i soli dati essenziali per svolgere attivita' istituzionali che non possono essere adempiute, caso per caso, mediante il trattamento di dati anonimi o di dati personali di natura diversa. 2. I dati sono raccolti, di regola, presso l'interessato. 3. Ai sensi dell'art. 9, comma 1, lettera c), d) ed e), della legge, i soggetti pubblici verificano periodicamente l'esattezza e l'aggiornamento dei dati, nonche' la loro pertinenza, completezza, non eccedenza e necessita' rispetto alle finalita' perseguite nei singoli casi, anche con riferimento ai dati che l'interessato fornisce di propria iniziativa. Al fine di assicurare che i dati siano strettamente pertinenti e non eccedenti rispetto agli obblighi e ai compiti loro attribuiti, i soggetti pubblici valutano specificamente il rapporto tra i dati e gli adempimenti. I dati che, anche a seguito delle verifiche, risultano eccedenti o non pertinenti o non necessari non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione e' prestata per la verifica dell'essenzialita' dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni o gli adempimenti. 4. I dati contenuti in elenchi, registri o banche di dati, tenuti con l'ausilio di mezzi elettronici o comunque automatizzati, sono trattati con tecniche di cifratura o mediante l'utilizzazione di codici identificativi o di altri sistemi che, considerato il numero e la natura dei dati trattati, permettono di identificare gli interessati solo in caso di necessita'. 5. I dati idonei a rivelare lo stato di salute e la vita sessuale sono conservati separatamente da ogni altro dato persone trattato per finalita' che non richiedano il loro utilizzo. Al trattamento di tali dati si procede con le modalita' di cui al comma 4 anche quando detti dati non sono contenuti in elenchi, registri o banche dati o non sono tenuti con l'ausilio di mezzi elettronici o comunque automatizzati. 6. I dati non possono essere trattati nell'ambito di test psicoattitudinali volti a definire il profilo o la personalita' dell'interessato.". "Art. 4 (Operazioni eseguibili). - 1. Rispetto ai dati la cui disponibilita' e' essenziale ai sensi dell'art. 3, comma 1, i soggetti pubblici sono autorizzati a svolgere unicamente le operazioni di trattamento strettamente necessarie al perseguimento delle finalita' per le quali il trattamento e' consentito, anche quando i dati sono raccolti nello svolgimento di compiti di vigilanza, di controllo o ispettivi esercitati anche su richiesta di altri soggetti. 2. Le operazioni di raffronto tra dati, nonche' i trattamenti di dati ai sensi dell'art. 17 della legge, sono effettuati solo con l'indicazione scritta dei motivi. 3. In ogni caso, la diffusione dei dati, nonche' le operazioni e i trattamenti di cui al comma 2, se effettuati utilizzando banche dati di diversi titolari, sono ammessi solo se previsti da espressa disposizione di legge. 4. Resta fermo il divieto di diffusione dei dati idonei a rivelare lo stato di salute sancito dall'art. 23, comma 4, della legge.". - La legge 5 giugno 1990, n. 135, pubblicata nella Gazzetta Ufficiale 8 giugno 1990, n. 132, reca: "Programma di interventi urgenti per la prevenzione e la lotta contro l'AIDS".