Art. 4.
Tutela della riservatezza
1. In applicazione dell'articolo 22, comma 3-bis, della legge 31
dicembre 1996, n. 675, il presente regolamento identifica le
tipologie di dati sensibili e di operazioni strettamente pertinenti e
necessarie in relazione alle finalita' perseguite.
2. Gli uffici e gli organismi interessati all'applicazione del
presente regolamento possono trattare, nei casi previsti, i dati
personali idonei a rivelare lo stato di salute dei soggetti
interessati.
3. Possono essere effettuate, in conformita' agli articoli 3 e 4
del decreto legislativo 11 maggio 1999, n. 135, operazioni di
raccolta, registrazione, organizzazione, conservazione,
modificazione, estrazione, utilizzo, blocco, cancellazione e
distruzione dei dati. Eventuali operazioni di selezione, elaborazione
e comunicazione dei dati sono consentite solo previa indicazione
scritta dei motivi. Gli uffici e gli organismi interessati rendono
pubblica, con proprio atto, la lista dei soggetti ai quali i dati
sensibili possono essere comunicati in base a vigenti disposizioni
normative.
4. Resta fermo quanto previsto dalla legge 5 giugno 1990, n. 135,
in ordine alle misure anche organizzative da adottare per la tutela
della riservatezza in casi di infezione da HIV o di AIDS.
Note all'art. 4:
- Si riporta il testo dell'art. 22 della legge 31
dicembre 1996, n. 675 (Tutela delle persone e di altri
soggetti rispetto al trattamento dei dati personali):
"Art. 22 (Dati sensibili). - 1. I dati personali idonei
a rivelare l'origine razziale ed etnica, le convinzioni
religiose, filosofiche o di altro genere, le opinioni
politiche, l'adesione a partiti, sindacati, associazioni od
organizzazioni a carattere religioso, filosofico, politico
o sindacale, nonche' i dati personali idonei a rivelare lo
stato di salute e la vita sessuale, possono essere oggetto
di trattamento solo con il consenso scritto
dell'interessato e previa autorizzazione del Garante.
1-bis. Il comma 1 non si applica ai dati relativi agli
aderenti alle confessioni religiose i cui i rapporti con lo
Stato siano regolati da accordi o intese ai sensi degli
articoli 7 e 8 della Costituzione, nonche' relativi ai
soggetti che con riferimento a finalita' di natura
esclusivamente religiosa hanno contatti regolari con le
medesime confessioni, che siano trattati dai relativi
organi o enti civilmente riconosciuti, sempreche' i dati
non siano comunicati o diffusi fuori delle medesime
confessioni.
Queste ultime determinano idonee garanzie relativamente
ai trattamenti effettuati.
2. Il Garante comunica la decisione adottata sulla
richiesta di autorizzazione entro trenta giorni, decorsi i
quali la mancata pronuncia equivale a rigetto. Con il
provvedimento di autorizzazione, ovvero successivamente,
anche sulla base di eventuali verifiche, il Garante puo'
prescrivere misure e accorgimenti a garanzia
dell'interessato, che il titolare del trattamento e' tenuto
ad adottare.
3. Il trattamento dei dati indicati al comma 1 da parte
di soggetti pubblici, esclusi gli enti pubblici economici,
e' consentito solo se autorizzato da espressa disposizione
di legge, nella quale siano specificati i tipi di dati che
possono essere trattati, le operazioni eseguibili e le
rilevanti finalita' di interesse pubblico perseguite. In
mancanza di espressa disposizione di legge, e fuori dai
casi previsti dai decreti legislativi di modificazione ed
integrazione della presente legge, emanati in attuazione
della legge 31 dicembre 1996, n. 676, i soggetti pubblici
possono richiedere al Garante, nelle more della
specificazione legislativa, l'individuazione delle
attivita', tra quelle demandate ai medesimi soggetti dalla
legge, che perseguono rilevanti finalita' di interesse
pubblico e per le quali e' conseguentemente autorizzato, ai
sensi del comma 2, il trattamento dei dati indicati al
comma 1.
3-bis. Nei casi in cui e' specificata, a norma del
comma 3, la finalita' di rilevante interesse pubblico, ma
non sono specificati i tipi di dati e le operazioni
eseguibili, i soggetti pubblici, in applicazione di quanto
previsto dalla presente legge e dai decreti legislativi di
attuazione della legge 31 dicembre 1996, n. 676, in materia
di dati sensibili, identificano e rendono pubblici, secondo
i rispettivi ordinamenti, i tipi di dati e di operazioni
strettamente pertinenti e necessari in relazione alle
finalita' perseguite nei singoli casi, aggiornando tale
identificazione periodicamente.
4. I dati personali idonei a rivelare lo stato di
salute e la vita sessuale possono essere oggetto di
trattamento previa autorizzazione del Garante, qualora il
trattamento sia necessario ai fini dello svolgimento delle
investigazioni di cui all'art. 38 delle norme di
attuazione, di coordinamento e transitorie del codice di
procedura penale, approvate con decreto legislativo 28
luglio 1989, n. 271, e successive modificazioni, o,
comunque, per far valere o difendere in sede giudiziaria un
diritto di rango pari a quello dell'interessato, sempre che
i dati siano trattati esclusivamente per tali finalita' e
per il periodo strettamente necessario al loro
perseguimento. Il Garante prescrive le misure e gli
accorgimenti di cui al comma 2 e promuove la sottoscrizione
di un apposito codice di deontologia e di buona condotta
secondo le modalita' di cui all'art. 31, comma 1, lettera
h). Resta fermo quanto previsto dall'art. 43, comma 2.".
- Si riporta il testo degli articoli 3 e 4 del decreto
legislativo 11 maggio 1999, n. 135 (Disposizioni
integrative della legge 31 dicembre 1996, n. 675): "
Art. 3 (Dati trattati). - 1. I soggetti pubblici sono
autorizzati a trattare i soli dati essenziali per svolgere
attivita' istituzionali che non possono essere adempiute,
caso per caso, mediante il trattamento di dati anonimi o di
dati personali di natura diversa.
2. I dati sono raccolti, di regola, presso
l'interessato.
3. Ai sensi dell'art. 9, comma 1, lettera c), d) ed e),
della legge, i soggetti pubblici verificano periodicamente
l'esattezza e l'aggiornamento dei dati, nonche' la loro
pertinenza, completezza, non eccedenza e necessita'
rispetto alle finalita' perseguite nei singoli casi, anche
con riferimento ai dati che l'interessato fornisce di
propria iniziativa. Al fine di assicurare che i dati siano
strettamente pertinenti e non eccedenti rispetto agli
obblighi e ai compiti loro attribuiti, i soggetti pubblici
valutano specificamente il rapporto tra i dati e gli
adempimenti. I dati che, anche a seguito delle verifiche,
risultano eccedenti o non pertinenti o non necessari non
possono essere utilizzati, salvo che per l'eventuale
conservazione, a norma di legge, dell'atto o del documento
che li contiene. Specifica attenzione e' prestata per la
verifica dell'essenzialita' dei dati riferiti a soggetti
diversi da quelli cui si riferiscono direttamente le
prestazioni o gli adempimenti.
4. I dati contenuti in elenchi, registri o banche di
dati, tenuti con l'ausilio di mezzi elettronici o comunque
automatizzati, sono trattati con tecniche di cifratura o
mediante l'utilizzazione di codici identificativi o di
altri sistemi che, considerato il numero e la natura dei
dati trattati, permettono di identificare gli interessati
solo in caso di necessita'.
5. I dati idonei a rivelare lo stato di salute e la
vita sessuale sono conservati separatamente da ogni altro
dato persone trattato per finalita' che non richiedano il
loro utilizzo. Al trattamento di tali dati si procede con
le modalita' di cui al comma 4 anche quando detti dati non
sono contenuti in elenchi, registri o banche dati o non
sono tenuti con l'ausilio di mezzi elettronici o comunque
automatizzati.
6. I dati non possono essere trattati nell'ambito di
test psicoattitudinali volti a definire il profilo o la
personalita' dell'interessato.".
"Art. 4 (Operazioni eseguibili). - 1. Rispetto ai dati
la cui disponibilita' e' essenziale ai sensi dell'art. 3,
comma 1, i soggetti pubblici sono autorizzati a svolgere
unicamente le operazioni di trattamento strettamente
necessarie al perseguimento delle finalita' per le quali il
trattamento e' consentito, anche quando i dati sono
raccolti nello svolgimento di compiti di vigilanza, di
controllo o ispettivi esercitati anche su richiesta di
altri soggetti.
2. Le operazioni di raffronto tra dati, nonche' i
trattamenti di dati ai sensi dell'art. 17 della legge, sono
effettuati solo con l'indicazione scritta dei motivi.
3. In ogni caso, la diffusione dei dati, nonche' le
operazioni e i trattamenti di cui al comma 2, se effettuati
utilizzando banche dati di diversi titolari, sono ammessi
solo se previsti da espressa disposizione di legge.
4. Resta fermo il divieto di diffusione dei dati idonei
a rivelare lo stato di salute sancito dall'art. 23, comma
4, della legge.".
- La legge 5 giugno 1990, n. 135, pubblicata nella
Gazzetta Ufficiale 8 giugno 1990, n. 132, reca: "Programma
di interventi urgenti per la prevenzione e la lotta contro
l'AIDS".