IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI
In data odierna, con la partecipazione del prof. Francesco
Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,
vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe
Fortunato, componenti, e del dott. Giovanni Buttarelli, segretario
generale;
Visto il decreto legislativo 30 giugno 2003, n. 196, recante il
Codice in materia di protezione dei dati personali;
Visto, in particolare, l'art. 4, comma 1, lett. d), del citato
Codice, il quale individua i dati sensibili;
Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i
soggetti privati e gli enti pubblici economici possono trattare i
dati sensibili solo previa autorizzazione di questa Autorita' e, ove
necessario, con il consenso scritto degli interessati,
nell'osservanza dei presupposti e dei limiti stabiliti dal Codice,
nonche' dalla legge e dai regolamenti;
Visto altresi' il comma 4, lett. a), del citato art. 26, il quale
stabilisce che i dati sensibili possono essere oggetto di trattamento
anche senza consenso, previa autorizzazione del Garante, "quando il
trattamento e' effettuato da associazioni, enti ed organismi senza
scopo di lucro, anche non riconosciuti, a carattere politico,
filosofico, religioso o sindacale, ivi compresi partiti e movimenti
politici, per il perseguimento di scopi determinati e legittimi
individuati dall'atto costitutivo, dallo statuto o dal contratto
collettivo, relativamente ai dati personali degli aderenti o dei
soggetti che in relazione a tali finalita' hanno contatti regolari
con l'associazione, ente od organismo, sempre che i dati non siano
comunicati all'esterno o diffusi e l'ente, associazione od organismo
determini idonee garanzie relativamente ai trattamenti effettuati,
prevedendo espressamente le modalita' di utilizzo dei dati con
determinazione resa nota agli interessati all'atto dell'informativa
ai sensi dell'articolo 13";
Visto il comma 3, lettere a) e b), del predetto art. 26, il quale
stabilisce che la disciplina di cui al relativo comma 1 non si
applica al trattamento: a) dei dati relativi agli aderenti alle
confessioni religiose e ai soggetti che con riferimento a finalita'
di natura esclusivamente religiosa hanno contatti regolari con le
medesime confessioni, effettuato dai relativi organi, ovvero da enti
civilmente riconosciuti, sempre che i dati non siano diffusi o
comunicati fuori delle medesime confessioni; b) dei dati riguardanti
l'adesione di associazioni od organizzazioni a carattere sindacale o
di categoria ad altre associazioni, organizzazioni o confederazioni a
carattere sindacale o di categoria;
Rilevato che le confessioni di cui alla lettera a) devono
determinare, ai sensi del medesimo art. 26, comma 3, lett. a), idonee
garanzie relativamente ai trattamenti effettuati, nel rispetto dei
principi indicati al riguardo con autorizzazione del Garante;
Visto l'art. 181, comma 6, del Codice secondo cui le confessioni
religiose che, prima dell'adozione del medesimo Codice, abbiano
determinato e adottato nell'ambito del rispettivo ordinamento le
garanzie di cui al predetto art. 26, comma 3, lett. a), possono
proseguire l'attivita' di trattamento nel rispetto delle medesime;
Considerato che il trattamento dei dati in questione puo' essere
autorizzato dal Garante anche d'ufficio con provvedimenti di
carattere generale, relativi a determinate categorie di titolari o di
trattamenti (art. 40 del Codice);
Considerato che le autorizzazioni di carattere generale sinora
rilasciate sono risultate uno strumento idoneo per prescrivere misure
uniformi a garanzia degli interessati, rendendo altresi' superflua la
richiesta di singoli provvedimenti di autorizzazione da parte di
numerosi titolari del trattamento;
Ritenuto opportuno rilasciare nuove autorizzazioni in sostituzione
di quelle in scadenza il 30 giugno 2008, armonizzando le prescrizioni
gia' impartite alla luce dell'esperienza maturata;
Ritenuto opportuno che anche tali nuove autorizzazioni siano
provvisorie e a tempo determinato, ai sensi dell'art. 41, comma 5,
del Codice e, in particolare, efficaci per il periodo di diciotto
mesi;
Considerata la necessita' di garantire il rispetto di alcuni
principi volti a ridurre al minimo i rischi di danno o di pericolo
che i trattamenti potrebbero comportare per i diritti e le liberta'
fondamentali, nonche' per la dignita' delle persone, e in
particolare, per il diritto alla protezione dei dati personali
sancito dall'art. 1 del Codice;
Considerato che un elevato numero di trattamenti di dati sensibili
e' effettuato da enti ed organizzazioni di tipo associativo e da
fondazioni, per la realizzazione di scopi determinati e legittimi
individuati dall'atto costitutivo, dallo statuto o da un contratto
collettivo;
Visto l'art. 167 del Codice;
Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i
dati trattati in violazione della disciplina rilevante in materia di
trattamento di dati personali non possono essere utilizzati;
Visti gli articoli 31 e seguenti del Codice e il disciplinare
tecnico di cui all'Allegato B) al medesimo Codice, recanti norme e
regole sulle misure di sicurezza;
Visto l'art. 41 del Codice; Visti gli atti d'ufficio;
Viste le osservazioni dell'Ufficio formulate dal segretario
generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000;
Relatore il dott. Mauro Paissan; Autorizza
il trattamento dei dati sensibili di cui all'art. 4, comma 1, lett.
d), del Codice da parte di associazioni, fondazioni, comitati ed
altri organismi di tipo associativo, secondo le prescrizioni di
seguito indicate.
Prima di iniziare o proseguire il trattamento i sistemi informativi
e i programmi informatici sono configurati riducendo al minimo
l'utilizzazione di dati personali e di dati identificativi, in modo
da escluderne il trattamento quando le finalita' perseguite nei
singoli casi possono essere realizzate mediante, rispettivamente,
dati anonimi od opportune modalita' che permettano di identificare
l'interessato solo in caso di necessita', in conformita' all'art. 3
del Codice.
1) Ambito di applicazione.
La presente autorizzazione e' rilasciata:
a) alle associazioni anche non riconosciute, ai partiti e ai
movimenti politici, alle associazioni e alle organizzazioni
sindacali, ai patronati e alle associazioni di categoria, alle casse
di previdenza, alle organizzazioni assistenziali o di volontariato,
nonche' alle federazioni e confederazioni nelle quali tali soggetti
sono riuniti in conformita', ove esistenti, allo statuto, all'atto
costitutivo o ad un contratto collettivo;
b) alle fondazioni, ai comitati e ad ogni altro ente, consorzio od
organismo senza scopo di lucro, dotati o meno di personalita'
giuridica, ivi comprese le organizzazioni non lucrative di utilita'
sociale (Onlus);
c) alle cooperative sociali e alle societa' di mutuo soccorso di
cui, rispettivamente, alle leggi 8 novembre 1991, n. 381 e 15 aprile
1886, n. 3818.
L'autorizzazione e' rilasciata altresi' agli istituti scolastici
anche di tipo non associativo, limitatamente al trattamento dei dati
idonei a rivelare le convinzioni religiose e per le operazioni
strettamente necessarie per l'applicazione dell'articolo 310 del
decreto legislativo 16 aprile 1994, n. 297 e degli artt. 3 e 10 del
decreto legislativo 19 febbraio 2004, n. 59.
Resta fermo l'obbligo per le confessioni religiose di determinare,
ai sensi dell'art. 26, comma 3, lett. a) del Codice, idonee garanzie
relativamente ai trattamenti effettuati nel rispetto dei principi
indicati con la presente autorizzazione.
Ai sensi dell'art. 181, comma 6, del Codice, le confessioni
religiose che, prima dell'adozione del medesimo Codice, abbiano
determinato e adottato nell'ambito del rispettivo ordinamento le
garanzie di cui all'art. 26, comma 3, lett. a), del Codice possono
proseguire l'attivita' di trattamento effettuato dai relativi organi,
ovvero da enti civilmente riconosciuti, nel rispetto delle medesime.
2) Finalita' del trattamento.
L'autorizzazione e' rilasciata per il perseguimento di scopi
determinati e legittimi individuati dall'atto costitutivo, dallo
statuto o dal contratto collettivo, ove esistenti, e in particolare
per il perseguimento di finalita' culturali, religiose, politiche,
sindacali, sportive o agonistiche di tipo non professionistico, di
istruzione anche con riguardo alla liberta' di scelta
dell'insegnamento religioso, di formazione, di ricerca scientifica,
di patrocinio, di tutela dell'ambiente e delle cose d'interesse
artistico e storico, di salvaguardia dei diritti civili, nonche' di
beneficenza, assistenza sociale o socio-sanitaria.
La presente autorizzazione e' rilasciata, altresi', per far valere
o difendere un diritto anche da parte di un terzo in sede
giudiziaria, nonche' in sede amministrativa o nelle procedure di
arbitrato e di conciliazione nei casi previsti dalla normativa
comunitaria, dalle leggi, dai regolamenti o dai contratti collettivi.
La presente autorizzazione e' rilasciata per l'esercizio del
diritto di accesso ai documenti amministrativi, nei limiti di quanto
stabilito dalle leggi e dai regolamenti in materia.
Per i fini predetti, il trattamento dei dati sensibili puo'
riguardare anche la tenuta di registri e scritture contabili, di
elenchi, di indirizzari e di altri documenti necessari per la
gestione amministrativa dell'associazione, della fondazione, del
comitato o del diverso organismo, o per l'adempimento di obblighi
fiscali, ovvero per la diffusione di riviste, bollettini e simili.
Qualora i soggetti di cui alle lettere a), b) e c) si avvalgano di
persone giuridiche o di altri organismi con scopo di lucro o di
liberi professionisti per perseguire le predette finalita', ovvero
richiedano ad essi la fornitura di beni, prestazioni o servizi, la
presente autorizzazione e' rilasciata anche ai medesimi organismi,
persone giuridiche o liberi professionisti.
I soggetti di cui alle lettere a), b) e c) possono comunicare alle
persone giuridiche e agli organismi con scopo di lucro titolari di un
autonomo trattamento, i soli dati sensibili strettamente
indispensabili per le attivita' di effettivo ausilio alle predette
finalita', con particolare riferimento alle generalita' degli
interessati e ad indirizzari, sulla base di un atto scritto che
individui con precisione le informazioni comunicate, le modalita' del
successivo utilizzo, le particolari misure di sicurezza, nonche', ove
previsto, le idonee garanzie determinate. La dichiarazione scritta di
consenso degli interessati deve porre tale circostanza in particolare
evidenza e deve recare la precisa menzione dei titolari del
trattamento e delle finalita' da essi perseguite. Le persone
giuridiche e gli organismi con scopo di lucro, oltre a quanto
previsto nei punti 4) e 6) in tema di pertinenza, non eccedenza e
indispensabilita' dei dati, possono trattare i dati cosi' acquisiti
solo per scopi di ausilio alle finalita' predette, ovvero per scopi
amministrativi e contabili.
3) Interessati ai quali i dati si riferiscono.
Il trattamento puo' riguardare i dati sensibili attinenti:
a) agli associati, ai soci e, se strettamente indispensabile per
il perseguimento delle finalita' di cui al punto 1), ai relativi
familiari e conviventi;
b) agli aderenti, ai sostenitori o sottoscrittori, nonche' ai
soggetti che presentano richiesta di ammissione o di adesione o che
hanno contatti regolari con l'associazione, la fondazione o il
diverso organismo;
c) ai soggetti che ricoprono cariche sociali o onorifiche;
d) ai beneficiari, agli assistiti e ai fruitori delle attivita' o
dei servizi prestati dall'associazione o dal diverso organismo,
limitatamente ai soggetti individuabili in base allo statuto o
all'atto costitutivo, ove esistenti, o comunque a coloro
nell'interesse dei quali i soggetti menzionati al punto 1) possono
operare in base ad una previsione normativa;
e) agli studenti iscritti o che hanno presentato domanda di
iscrizione agli istituti di cui al punto 1) e, qualora si tratti di
minori, ai loro genitori o a chi ne esercita la potesta';
f) ai lavoratori dipendenti degli associati e dei soci,
limitatamente ai dati idonei a rivelare l'adesione a sindacati,
associazioni od organizzazioni a carattere sindacale e alle
operazioni necessarie per adempiere a specifici obblighi derivanti da
contratti collettivi anche aziendali.
4) Categorie di dati oggetto di trattamento.
L'autorizzazione non riguarda i dati idonei a rivelare lo stato di
salute e la vita sessuale, ai quali si riferisce l'autorizzazione
generale n. 2/2008.
Il trattamento puo' avere per oggetto gli altri dati sensibili di
cui all'articolo 4, comma 1, lett. d) del Codice, idonei a rivelare
l'origine razziale ed etnica, le convinzioni religiose, filosofiche o
di altro genere, le opinioni politiche, l'adesione a partiti,
sindacati, associazioni od organizzazioni a carattere religioso,
filosofico, politico o sindacale.
Il trattamento puo' riguardare i dati e le operazioni
indispensabili per perseguire le finalita' di cui al punto 1) o,
comunque, per adempiere ad obblighi derivanti dalla legge, dalla
normativa comunitaria, dai regolamenti o dai contratti collettivi,
che non possano essere perseguiti o adempiuti, caso per caso,
mediante il trattamento di dati anonimi o di dati personali di natura
diversa.
A tal fine, anche mediante controlli periodici, deve essere
verificata costantemente la stretta pertinenza, non eccedenza e
indispensabilita' dei dati rispetto ai predetti obblighi e finalita',
in particolare per quanto riguarda i dati che rivelano le opinioni e
le intime convinzioni, anche con riferimento ai dati che
l'interessato fornisce di propria iniziativa. I dati che, anche a
seguito delle verifiche, risultano eccedenti o non pertinenti o non
indispensabili non possono essere utilizzati, salvo per l'eventuale
conservazione, a norma di legge, dell'atto o del documento che li
contiene.
5) Modalita' di trattamento.
Fermi restando gli obblighi previsti dagli articoli 11 e 14 del
Codice, e dagli articoli 31 e seguenti del Codice e dall'Allegato B)
al medesimo Codice, il trattamento dei dati sensibili deve essere
effettuato unicamente con operazioni, nonche' con logiche e mediante
forme di organizzazione dei dati strettamente indispensabili in
rapporto alle finalita', agli scopi e agli obblighi di cui al punto
2).
I dati sono raccolti, di regola, presso l'interessato.
Fermo restando quanto previsto ai punti 2) e 7) della presente
autorizzazione, se e' indispensabile, in conformita' al medesimo
punto 7), comunicare o diffondere dati all'esterno dell'associazione,
della fondazione, del comitato o del diverso organismo, il consenso
scritto e' acquisito previa idonea informativa resa agli interessati
ai sensi dell'art. 13 del Codice, la quale deve precisare le
specifiche modalita' di utilizzo dei dati tenuto conto delle idonee
garanzie adottate relativamente ai trattamenti effettuati.
6) Conservazione dei dati.
Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma
1, lett. e) del Codice, i dati sensibili possono essere conservati
per un periodo non superiore a quello necessario per perseguire le
finalita' e gli scopi di cui al punto 2), ovvero per adempiere agli
obblighi ivi menzionati.
Le verifiche di cui al punto 4) devono riguardare anche la
pertinenza, non eccedenza e indispensabilita' dei dati rispetto
all'attivita' svolta dall'interessato o al rapporto che intercorre
tra l'interessato e i soggetti di cui al punto 1), tenendo presente
il genere di prestazione, di beneficio o di servizio offerto
all'interessato e la posizione di quest'ultimo rispetto ai soggetti
stessi.
7) Comunicazione e diffusione dei dati.
I dati sensibili possono essere comunicati a soggetti pubblici o
privati, e ove necessario diffusi, solo se strettamente pertinenti
alle finalita', agli scopi e agli obblighi di cui al punto 2) e
tenendo presenti le altre prescrizioni
sopraindicate.
I dati sensibili possono essere comunicati alle autorita'
competenti se necessario per finalita' di prevenzione, accertamento o
repressione dei reati, con l'osservanza delle norme che regolano la
materia.
I dati relativi allo stato di salute e alla vita sessuale non
possono essere diffusi.
8) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di
applicazione della presente autorizzazione non sono tenuti a
presentare una richiesta di autorizzazione a questa Autorita',
qualora il trattamento che si intende effettuare sia conforme alle
prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche
successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento
medesimo.
Il Garante non prendera' in considerazione richieste di
autorizzazione per trattamenti da effettuarsi in difformita' alle
prescrizioni del presente provvedimento, salvo che, ai sensi
dell'art. 41 del Codice, il loro accoglimento sia giustificato da
circostanze del tutto particolari o da situazioni eccezionali non
considerate nella presente autorizzazione.
9) Norme finali.
Restano fermi gli obblighi previsti dalla normativa comunitaria, da
norme di legge o di regolamento che stabiliscono divieti o limiti in
materia di trattamento di dati personali.
Restano inoltre ferme le norme volte a prevenire discriminazioni, e
in particolare le disposizioni contenute nel decreto-legge 26 aprile
1993, n. 122, convertito, con modificazioni, dalla legge 25 giugno
1993, n. 205, in materia di discriminazione per motivi razziali,
etnici, nazionali o religiosi e di delitti di genocidio, nel decreto
legislativo 9 luglio 2003, n. 215 di attuazione della direttiva
2000/43/CE per la parita' di trattamento tra le persone
indipendentemente dalla razza e dall'origine etnica e nel decreto
legislativo 9 luglio 2003, n. 216, di attuazione della direttiva
2000/78/CE per la parita' di trattamento in materia di occupazione e
di condizioni di lavoro.
10) Efficacia temporale e disciplina transitoria.
La presente autorizzazione ha efficacia a decorrere dal 1° luglio
2008 fino al 31 dicembre 2009, salve eventuali modifiche che il
Garante ritenga di dover apportare in conseguenza di eventuali
novita' normative rilevanti in materia.
La presente autorizzazione sara' pubblicata nella Gazzetta
Ufficiale della Repubblica italiana.
Roma, 19 giugno 2008
Il presidente: Pizzetti
Il relatore: Paissan
Il segretario generale: Buttarelli