IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del prof Stefano Rodota',
presidente, del prof. Giuseppe Santaniello, vicepresidente, del prof.
Gaetano Rasi e del dott. Mauro Paissan, componenti e del dott.
Giovanni Buttarelli, segretario generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il
Codice in materia di protezione dei dati personali;
Visto, in particolare, l'art. 4, comma 1, lett. d) del citato
Codice, il quale individua i dati sensibili;
Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i
soggetti privati e gli enti pubblici economici possono trattare i
dati sensibili solo previa autorizzazione di questa Autorita' e, ove
necessario, con il consenso scritto degli interessati,
nell'osservanza dei presupposti e dei limiti stabiliti dal Codice,
nonche' dalla legge e dai regolamenti;
Considerato che il trattamento dei dati in questione puo' essere
autorizzato dal Garante anche d'ufficio con provvedimenti di
carattere generale, relativi a determinate categorie di titolari o di
trattamenti (art. 40 del Codice);
Considerato che le autorizzazioni di carattere generale sinora
rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresi' superflua la
richiesta di singoli provvedimenti di autorizzazione da parte di
numerosi titolari del trattamento;
Ritenuto opportuno, dopo l'entrata in vigore del Codice,
rilasciare nuove autorizzazioni in sostituzione di quelle in scadenza
il 30 giugno 2004, armonizzando le prescrizioni gia' impartite alla
luce dell'esperienza maturata tenuto conto dei codici di deontologia
e di buona condotta di cui agli articoli 106 e 140 del Codice;
Ritenuto opportuno che anche tali nuove autorizzazioni siano
provvisorie e a tempo determinato ai sensi dell'art. 41, comma 5, del
Codice, e, in particolare, efficaci per il periodo di dodici mesi, in
relazione alla fase di prima applicazione delle nuove disposizioni
del Codice e ai lavori avviati per l'adozione dei codici di
deontologia e di buona condotta riguardanti alcuni specifici settori
presi in considerazione dal presente provvedimento (articoli 111 e
140 del Codice);
Considerata la necessita' di garantire il rispetto di alcuni
principi volti a ridurre al minimo i rischi di danno o di pericolo
che i trattamenti potrebbero comportare per i diritti e le liberta'
fondamentali, nonche' per la dignita' delle persone, e in
particolare, per il diritto alla protezione dei dati personali
sancito all'art. 1 del Codice;
Considerato che un elevato numero di trattamenti di dati sensibili
e' effettuato da parte di soggetti operanti in diversi settori di
attivita' economiche di seguito individuate;
Visto l'art. 167 del Codice;
Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i
dati trattati in violazione della disciplina rilevante in materia di
trattamento di dati personali non possono essere utilizzati;
Visti gli articoli 31 e seguenti del Codice e il disciplinare
tecnico di cui all'Allegato E) al medesimo Codice recanti norme e
regole sulle misure di sicurezza;
Visto l'art. 41 del Codice;
Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il prof. Gaetano Rasi;
Autorizza
il trattamento dei dati sensibili di cui all'art. 4, comma 1,
lett. d), del Codice, fatta eccezione dei dati idonei a rivelare la
vita sessuale, secondo le prescrizioni di seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi
informativi e i programmi informatici sono configurati riducendo al
minimo l'utilizzazione di dati personali e di dati identificativi, in
modo da escluderne il trattamento quando le finalita' perseguite nei
singoli casi possono essere realizzate mediante, rispettivamente,
dati anonimi od opportune modalita' che permettano di identificare
l'interessato solo in caso di necessita', in conformita' all'art. 3
del Codice.
Capo I
ATTIVITA' BANCARIE, CREDITIZIE, ASSICURATIVE, DI GESTIONE DI FONDI,
DEL SETTORE TURISTICO, DEL TRASPORTO
1) Soggetti ai quali e' rilasciata l'autorizzazione:
a) imprese autorizzate all'esercizio dell'attivita' bancaria e
creditizia o assicurativa ed organismi che le riuniscono, anche se
in stato di liquidazione coatta amministrativa;
b) societa' ed altri organismi che gestiscono fondi-pensione o di
assistenza, ovvero fondi o casse di previdenza;
c) societa' ed altri organismi di intermediazione finanziaria, in
particolare per la gestione o l'intermediazione di fondi comuni di
investimento o di valori mobiliari;
d) societa' ed altri organismi che emettono carte di credito o altri
mezzi di pagamento, o che ne gestiscono le relative operazioni;
e) imprese che svolgono autonome attivita' strettamente connesse e
strumentali a quelle indicate nelle precedenti lettere, e relative
alla rilevazione dei rischi, al recupero dei crediti, a
lavorazioni massive di documenti, alla trasmissione dati,
all'imbustamento o allo smistamento della corrispondenza, nonche'
alla gestione di esattorie o tesorerie;
f) imprese che operano nel settore turistico o alberghiero o del
trasporto, agenzie di viaggio e operatori turistici.
2) Finalita' del trattamento.
La presente autorizzazione e' rilasciata, anche senza richiesta,
limitatamente ai dati e alle operazioni indispensabili per adempiere
agli obblighi anche precontrattuali che i soggetti di cui al punto 1)
assumono, nel proprio settore di attivita', al fine di fornire
specifici beni, prestazioni o servizi richiesti dall'interessato.
L'autorizzazione e' rilasciata anche per adempiere o per esigere
l'adempimento ad obblighi previsti, anche in materia fiscale e
contabile, dalla normativa comunitaria, dalla legge, dai regolamenti,
o dai contratti collettivi, o prescritti da autorita' od organi di
vigilanza o di controllo nei casi indicati dalla legge o dai
regolamenti.
Il trattamento avente tali finalita' puo' riguardare anche la
tenuta di registri e scritture contabili, di elenchi, di indirizzari
e di altri documenti necessari per espletare compiti di
organizzazione o di gestione amministrativa di imprese, societa',
cooperative o consorzi.
3) Interessati ai quali i dati si riferiscono e categorie di dati
trattati.
Il trattamento puo' riguardare i dati sensibili attinenti ai
soggetti ai quali sono forniti i beni, le prestazioni o i servizi, in
misura strettamente pertinente a quanto specificamente richiesto
dall'interessato che, ove necessario, abbia manifestato il proprio
consenso scritto ed informato. Nei medesimi limiti, e' possibile
trattare dati relativi a terzi, allorche' non sia altrimenti
possibile procedere alla fornitura al beneficiario dei beni, delle
prestazioni o dei servizi.
Qualora il consenso sia richiesto nei confronti di distinti
titolari di trattamenti, la manifestazione di volonta' deve riferirsi
specificamente a ciascuno di essi.
4) Comunicazione e diffusione dei dati.
I dati sensibili possono essere comunicati, nei limiti
strettamente pertinenti al perseguimento delle finalita' di cui al
punto 2), a soggetti pubblici o privati, ivi compresi fondi e casse
di previdenza ed assistenza o societa' controllate e collegate ai
sensi dell'art. 2359 del codice civile, nonche', ove necessario, ai
familiari dell'interessato.
I titolari del trattamento, anche ai fini dell'eventuale
comunicazione ad altri titolari delle modifiche apportate ai dati in
accoglimento di una richiesta dell'interessato (art. 7, comma 3,
lett. c), del Codice), devono conservare un elenco dei destinatari
delle comunicazioni effettuate, recante un'annotazione delle
specifiche categorie di dati comunicati.
I dati sensibili non possono essere diffusi.
Capo II
SONDAGGI E RICERCHE
1) Soggetti ai quali e' rilasciata l'autorizzazione e finalita' del
trattamento.
Imprese, societa', istituti ed altri organismi o soggetti privati,
ai soli fini del compimento di sondaggi di opinione, di ricerche di
mercato o di altre ricerche campionarie.
Il sondaggio o la ricerca devono essere effettuati per scopi
puntualmente determinati e legittimi, noti all'interessato.
2) Interessati ai quali i dati si riferiscono e categorie di dati
trattati.
Il trattamento puo' riguardare i dati attinenti ai soggetti che
abbiano manifestato il proprio consenso informato e che abbiano
risposto a questionari o ad interviste effettuate nell'ambito di
sondaggi di opinione, di ricerche di mercato o di altre ricerche
campionarie.
Il consenso deve essere manifestato in ogni caso per iscritto.
I dati personali di natura sensibile possono essere trattati solo
se il trattamento di dati anonimi non permette al sondaggio o alla
ricerca di raggiungere i suoi scopi.
3) Conservazione dei dati.
Il trattamento successivo alla raccolta non deve permettere di
identificare gli interessati, neanche indirettamente, mediante un
riferimento ad una qualsiasi altra informazione.
I dati personali, individuali o aggregati, devono essere distrutti
o resi anonimi subito dopo la raccolta, e comunque non oltre la fase
contestuale alla registrazione dei campioni raccolti. La
registrazione deve essere effettuata senza ritardo anche nel caso in
cui i campioni siano stati raccolti in numero elevato.
Entro tale ambito temporale, resta ferma la possibilita' per il
titolare della raccolta, nonche' per i suoi responsabili o
incaricati, di utilizzare i dati personali al fine di verificare
presso gli interessati la veridicita' o l'esattezza dei campioni.
4) Comunicazione dei dati.
I dati sensibili non possono essere ne' comunicati, ne' diffusi.
I campioni del sondaggio o della ricerca possono essere comunicati
o diffusi in forma individuale o aggregata, sempreche' non possano
essere associati, anche a seguito di trattamento, ad interessati
identificati o identificabili.
Capo III
ATTIVITA' DI ELABORAZIONE DI DATI
1) Soggetti ai quali e' rilasciata l'autorizzazione.
Imprese, societa', istituti ed altri organismi o soggetti privati,
titolari autonomi di un'attivita' svolta nell'interesse di altri
soggetti, e che presuppone l'elaborazione di dati ed altre operazioni
di trattamento eseguite in materia di lavoro ovvero a fini contabili,
retributivi, previdenziali, assistenziali e fiscali.
2) Prescrizioni applicabili.
Il trattamento e' regolato dalle autorizzazioni:
a) n. 1/2004, rilasciata il 30 giugno 2004, concernente il
trattamento dei dati sensibili a cura, in particolare, delle parti
di un rapporto di lavoro qualora le finalita' perseguite siano
quelle indicate al punto 3) di tale autorizzazione;
b) n. 4/2004, rilasciata il 30 giugno 2004, riguardante il
trattamento dei dati sensibili ad opera dei liberi professionisti
e di altri soggetti equiparati, qualora le finalita' perseguite
siano quelle indicate al punto 3) di tale autorizzazione.
Qualora il consenso sia richiesto nei confronti di distinti
titolari di trattamenti, la manifestazione di volonta' deve riferirsi
specificamente a ciascuno di essi.
Capo IV
ATTIVITA' DI SELEZIONE DEL PERSONALE
1) Soggetti ai quali e' rilasciata l'autorizzazione e finalita' del
trattamento.
La presente autorizzazione e' rilasciata, anche senza richiesta,
alle imprese, alle societa', agli istituti e agli altri organismi o
soggetti privati, titolari autonomi di attivita' svolta anche di
propria iniziativa nell'interesse di terzi, ai soli fini della
ricerca o della selezione del personale.
2) Interessati ai quali i dati si riferiscono e categorie di dati
trattati.
Il trattamento puo' riguardare i dati idonei a rivelare lo stato
di salute e l'origine razziale ed etnica dei candidati
all'instaurazione di un rapporto di lavoro o di collaborazione, solo
se la loro raccolta e' giustificata da scopi determinati e legittimi
ed e' strettamente indispensabile per instaurare tale rapporto.
Il trattamento dei dati idonei a rivelare lo stato di salute dei
familiari o dei conviventi dei candidati e' consentito con il
consenso scritto degli interessati e qualora sia finalizzato al
riconoscimento di uno specifico beneficio in favore dei candidati, in
particolare ai fini di un'assunzione obbligatoria o del
riconoscimento di un titolo derivante da invalidita' o infermita', da
eventi bellici o da ragioni di servizio.
Qualora il consenso sia richiesto nei confronti di distinti
titolari di trattamenti, la manifestazione di volonta' deve riferirsi
specificamente a ciascuno di essi.
Il trattamento deve riguardare le sole informazioni strettamente
pertinenti a tale finalita', sia in caso di risposta a questionari
inviati anche per via telematica, sia nel caso in cui i candidati
forniscano dati di propria iniziativa, in particolare attraverso
l'invio di curricula.
Non e' consentito il trattamento dei dati:
a) idonei a rivelare le convinzioni religiose, filosofiche o di altro
genere, le opinioni politiche, l'adesione a partiti, sindacati,
associazioni a carattere religioso, filosofico, politico o
sindacale, l'origine razziale ed etnica, e la vita sessuale;
b) inerenti a fatti non rilevanti ai fini della valutazione
dell'attitudine professionale del lavoratore;
c) in violazione delle norme in materia di pari opportunita' o volte
a prevenire discriminazioni.
3) Comunicazione e diffusione dei dati.
I dati idonei a rivelare lo stato di salute e l'origine razziale
ed etnica possono essere comunicati nei limiti strettamente
pertinenti al perseguimento delle finalita' di cui ai punti 1) e 2),
a soggetti pubblici o privati che siano specificamente menzionati
nella dichiarazione di consenso dell'interessato.
I dati sensibili non possono essere diffusi.
4) Norme finali.
Restano fermi gli ulteriori obblighi previsti dalla legge e dai
regolamenti.
Capo V
MEDIAZIONE A FINI MATRIMONIALI
1) Soggetti ai quali e' rilasciata l'autorizzazione.
La presente autorizzazione e' rilasciata alle imprese, alle
societa', agli istituti e agli altri organismi o soggetti privati che
esercitano, anche attraverso agenzie autorizzate, un'attivita' di
mediazione a fini matrimoniali o di instaurazione di un rapporto di
convivenza.
2) Finalita' del trattamento.
L'autorizzazione e' rilasciata ai soli fini dell'esecuzione dei
singoli incarichi conferiti in conformita' alle leggi e ai
regolamenti.
3) Interessati ai quali i dati si riferiscono.
Il trattamento puo' riguardare i soli dati sensibili attinenti
alle persone direttamente interessate al matrimonio o alla
convivenza.
Non e' consentito il trattamento di dati relativo a persone minori
di eta' in base all'ordinamento del Paese di appartenenza o,
comunque, in base alla legge italiana.
4) Categorie di dati oggetto di trattamento.
Il trattamento puo' riguardare i soli dati e le sole operazioni
che risultino indispensabili in relazione allo specifico profilo o
alla personalita' descritto o richiesto dalle persone interessate al
matrimonio o alla convivenza.
I dati devono essere forniti personalmente dai medesimi
interessati.
L'informativa preliminare al consenso scritto deve pone in
particolare evidenza le categorie di dati trattati e le modalita'
della loro comunicazione a terzi.
5) Comunicazione dei dati.
I dati possono essere comunicati nei limiti strettamente
pertinenti all'esecuzione degli specifici incarichi ricevuti.
I titolari del trattamento, anche ai fini dell'eventuale
comunicazione ad altri titolari delle modifiche apportate ai dati in
accoglimento di una richiesta dell'interessato (art. 7, comma 3,
lett. c), del Codice), devono conservare un elenco dei destinatari
delle comunicazioni effettuate, recante un'annotazione delle
specifiche categorie di dati comunicati.
L'eventuale diffusione anche per via telematica di taluni dati
sensibili deve essere oggetto di apposita autorizzazione di questa
Autorita'.
6) Norme finali.
Restano fermi gli ulteriori obblighi previsti dalla legge e dai
regolamenti, in particolare nell'ambito della legge penale e della
disciplina di pubblica sicurezza, nonche' in materia di tutela dei
minori.
Capo VI
PRESCRIZIONI COMUNI A TUTTI I TRATTAMENTI
Per quanto non previsto dai capi che precedono, ai trattamenti ivi
indicati si applicano, altresi', le seguenti prescrizioni:
1) Dati idonei a rivelare lo stato di salute.
Il trattamento dei dati idonei a rivelare lo stato di salute deve
essere effettuato anche nel rispetto dell'autorizzazione n. 2/2004,
rilasciata il 30 giugno 2004.
Il trattamento dei dati genetici non e' consentito nei casi
previsti dalla presente autorizzazione.
2) Modalita' di trattamento.
Fermi restando gli obblighi previsti dagli articoli 11 e 14 del
Codice, dagli articoli 31 e seguenti del Codice e dall'Allegato B) al
Codice, il trattamento dei dati sensibili deve essere effettuato
unicamente con operazioni, nonche' con logiche e mediante forme di
organizzazione dei dati strettamente indispensabili in rapporto alle
finalita' indicate nei capi che precedono.
La comunicazione di dati all'interessato deve avvenire di regola
direttamente a quest'ultimo o a un suo delegato (fermo restando
quanto previsto dall'art. 84, comma 1, del Codice), in plico chiuso o
con altro mezzo idoneo a prevenire la conoscenza da parte di soggetti
non autorizzati, anche attraverso la previsione di distanze di
cortesia.
Resta inoltre fermo l'obbligo di informare l'interessato, ai sensi
dell'art. 13, commi 1, 4 e 5 del Codice, anche quando i dati sono
raccolti presso terzi.
3) Conservazione dei dati.
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma
1, lett. e) del Codice, i dati sensibili possono essere conservati
per un periodo non superiore a quello necessario per perseguire le
finalita' ovvero per adempiere agli obblighi o agli incarichi
menzionati nei precedenti capi. A tal fine, anche mediante controlli
periodici, deve essere verificata costantemente la stretta
pertinenza, non eccedenza e indispensabilita' dei dati rispetto al
rapporto, alla prestazione o all'incarico in corso, da instaurare o
cessati, anche con riferimento ai dati che l'interessato fornisce di
propria iniziativa. I dati che, anche a seguito delle verifiche,
risultano eccedenti o non pertinenti o non indispensabili non possono
essere utilizzati, salvo che per l'eventuale conservazione, a norma
di legge, dell'atto o del documento che li contiene. Specifica
attenzione e' prestata per l'indispensabilita' dei dati riferiti a
soggetti diversi da quelli cui si riferiscono direttamente le
prestazioni e gli adempimenti.
Restano fermi i diversi termini di conservazione previsti dalle
leggi o dai regolamenti. Resta altresi' fermo quanto previsto nel
capo II in materia di sondaggi e di ricerche.
4) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di
applicazione della presente autorizzazione non sono tenuti a
presentare una richiesta di autorizzazione a questa Autorita',
qualora il trattamento che si intende effettuare sia conforme alle
prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche
successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento
medesimo.
Il Garante non prendera' in considerazione richieste di
autorizzazione per trattamenti da effettuarsi in difformita' alle
prescrizioni del presente provvedimento, salvo che, ai sensi
dell'art. 41 del Codice, il loro accoglimento sia giustificato da
circostanze del tutto particolari o da situazioni eccezionali non
considerate nella presente autorizzazione.
5) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di
regolamento dalla normativa comunitaria, che stabiliscono divieti o
limiti piu' restrittivi in materia di trattamento di dati personali
e, in particolare:
a) dalla legge 20 maggio 1970, n. 300;
b) dalla legge 5 giugno 1990, n. 135;
Restano altresi' fermi gli obblighi di legge che vietano la
rivelazione senza giusta causa e l'impiego a proprio o altrui
profitto delle notizie coperte dal segreto professionale, nonche' gli
obblighi deontologici, previsti anche dai codici deontologici e di
buona condotta adottati in attuazione dell'art. 12 del Codice.
Resta ferma, infine, la possibilita' di diffondere dati anonimi
anche aggregati.
6) Efficacia temporale e disciplina transitoria.
La presente autorizzazione ha efficacia a decorrere dal 10 luglio
2004 fino al 30 giugno 2005.
Qualora alla data della pubblicazione della presente
autorizzazione il trattamento non sia gia' conforme alle prescrizioni
non contenute nella precedente autorizzazione n. 5/2002, il titolare
deve adeguarsi ad esse entro il 30 settembre 2004.
La presente autorizzazione sara' pubblicata nella Gazzetta
Ufficiale della Repubblica italiana.
Roma, 30 giugno 2004
Il presidente: RODOTA'
Il relatore: RASI
Il segretario generale: BUTTARELLI