IL GARANTE
Vista la legge 31 dicembre 1996, n. 675, e successive modificazioni
ed integrazioni, in materia di tutela delle persone e di altri
soggetti rispetto al trattamento dei dati personali;
Visto, in particolare, l'art. 22, comma 1, della citata legge n.
675/1996, il quale individua come "sensibili" i dati personali idonei
a rivelare, l'origine razziale ed etnica, le convinzioni religiose,
filosofiche o di altro genere, le opinioni politiche, l'adesione a
partiti, sindacati, associazioni od organizzazioni a carattere
religioso, filosofico, politico o sindacale, nonche' i dati personali
idonei a rivelare lo stato di salute e la vita sessuale;
Considerato che i soggetti privati e gli enti pubblici economici
possono trattare tali dati solo previa autorizzazione di questa
Autorita' e con il consenso scritto degli interessati (art. 22, comma
1, della legge n. 675/1996);
Considerato che il Garante puo' rilasciare l'autorizzazione anche
d'ufficio, nei confronti di singoli titolari oppure, con
provvedimenti generali, nei riguardi di determinate categorie di
titolari o di trattamenti (art. 41, comma 7, della legge n. 675/1996,
modificato dall'art. 4, comma 1, del decreto legislativo 9 maggio
1997, n. 123);
Vista l'autorizzazione del Garante adottata il 15 dicembre 1997
relativa al trattamento dei dati sensibili da parte di diverse
categorie di titolari, pubblicata nella Gazzetta Ufficiale della
Repubblica italiana il 18 dicembre 1997 e avente efficacia fino al 30
settembre 1998;
Rilevato che e' all'esame del Parlamento il disegno di legge
governativo che prevede il differimento del termine per l'esercizio
della delega prevista dalla legge n. 676/1996 al 31 luglio 1999 e
che, entro tale data, dovrebbero essere emanati alcuni decreti
legislativi per il completamento della disciplina sulla protezione
dei dati personali, anche in attuazione delle raccomandazioni
adottate in materia dal Consiglio d'Europa;
Ritenuto opportuno rilasciare una nuova autorizzazione generale al
fine di proseguire l'intento di semplificazione degli adempimenti
previsti dalla legge n. 675/1996, di armonizzare le prescrizioni da
impartire e di favorire la funzionalita' dell'Ufficio del Garante;
Considerata l'opportunita' che anche le nuove autorizzazioni
generali non rechino disposizioni particolarmente dettagliate in una
fase tuttora transitoria stante la prevista adozione di norme
integrative e correttive in materia, e cio' allo scopo di evitare che
l'attivita' dei titolari sia soggetta a modifiche sostanziali nel
corso di un breve periodo, ferme restando alcune garanzie per gli
interessati;
Ritenuto pertanto opportuno rilasciare una nuova autorizzazione
provvisoria, anche in conformita' anche a quanto previsto
dall'emanando regolamento concernente l'organizzazione e il
funzionamento dell'Ufficio di questa Autorita';
Ritenuta, tuttavia, la necessita' che anche la nuova autorizzazione
prenda in considerazione le finalita' dei trattamenti, le categorie
di dati, di interessati e di destinatari della comunicazione e della
diffusione, nonche' il periodo di conservazione dei dati stessi, in
quanto la disciplina di tali aspetti e' prevista dalla legge n.
675/1996 ai fini dell'applicazione delle norme sull'esonero
dall'obbligo della notificazione e sulla notificazione semplificata
(art. 7, comma 5-quater);
Considerata la necessita' che sia garantito, anche nell'attuale
fase transitoria, il rispetto di alcuni principi volti a ridurre al
minimo i rischi di danno o di pericolo che i trattamenti potrebbero
comportare per i diritti e le liberta' fondamentali, nonche' per la
dignita' delle persone, specie per quanto riguarda la riservatezza e
l'identita' personale, principi valutati anche sulla base delle
raccomandazioni del Consiglio d'Europa;
Considerato che numerosi trattamenti di dati sensibili sono
effettuati da persone fisiche o giuridiche operanti nei rami
assicurativo, previdenziale, assistenziale, bancario, finanziario e
di intermediazione finanziaria, nel settore turistico e del trasporto
di persone, delle ricerche di mercato, dei sondaggi di opinione o
della selezione del personale, nonche' della mediazione a fini
matrimoniali, e che e' pertanto necessario che tali trattamenti
formino oggetto di un'autorizzazione generale ai sensi dell'art. 41,
comma 7, della legge n. 675/1996;
Autorizza
il trattamento dei dati sensibili di cui all'art. 22, comma 1,
della legge n. 675/1996, fatta eccezione dei dati idonei a rivelare
la vita sessuale, secondo le prescrizioni di seguito indicate:
Capo I
Attivita' bancarie, creditizie, assicurative, di gestione di fondi
o del settore turistico o del trasporto.
1) Soggetti ai quali e' rilasciata l'autorizzazione:
a) imprese autorizzate all'esercizio dell'attivita' bancaria e
creditizia o assicurativa ed organismi che le riuniscono, anche se in
stato di liquidazione coatta amministrativa;
b) societa' ed altri organismi che gestiscono fondipensione o di
assistenza, ovvero fondi o casse di previdenza;
c) societa' ed altri organismi di intermediazione finanziaria, in
particolare per la gestione o l'intermediazione di fondi comuni di
investimento o di valori mobiliari;
d) societa' ed altri organismi che emettono carte di credito o
altri mezzi di pagamento, o che ne gestiscono le relative operazioni;
e) imprese che svolgono autonome attivita' strettamente connesse e
strumentali a quelle indicate nelle precedenti lettere, e relative
alla rilevazione dei rischi, al recupero dei crediti, a lavorazioni
massive di documenti, alla trasmissione dati, all'imbustamento o allo
smistamento della corrispondenza, nonche' alla gestione di esattorie
o tesorerie;
f) imprese che operano nel settore turistico o alberghiero o del
trasporto, le agenzie di viaggio e gli operatori turistici.
2) Finalita' del trattamento.
L'autorizzazione e' rilasciata, anche senza richiesta,
limitatamente ai dati e alle operazioni indispensabili per adempiere
agli obblighi anche precontrattuali che i soggetti di cui al punto 1)
assumono, nel proprio settore di attivita', al fine di fornire
specifici beni, prestazioni o servizi richiesti dall'interessato.
L'autorizzazione e' rilasciata anche per adempiere o per esigere
l'adempimento ad obblighi previsti, anche in materia fiscale, dalla
legge, dai regolamenti, dalla normativa comunitaria o dai contratti
collettivi, o prescritti da autorita' od organi di vigilanza o di
controllo nei casi indicati dalla legge o dai regolamenti.
Il trattamento avente tali finalita' puo' riguardare anche la
tenuta di registri e scritture contabili, di elenchi, di indirizzari
e di altri documenti necessari per espletare compiti di
organizzazione o di gestione amministrativa di imprese, societa',
cooperative o consorzi.
3)Interessati ai quali i dati si riferiscono e categorie di dati
trattati.
Il trattamento puo' riguardare i dati sensibili attinenti ai
soggetti ai quali sono forniti i beni, le prestazioni o i servizi, in
misura strettamente pertinente a quanto specificamente richiesto
dall'interessato che abbia manifestato il proprio consenso scritto ed
informato. Nei medesimi limiti, e' possibile trattare dati relativi a
terzi, allorche' non sia altrimenti possibile procedere alla
fornitura al beneficiario dei beni, delle prestazioni o dei servizi.
Qualora il consenso sia richiesto nei confronti di distinti
titolari di trattamenti, la manifestazione di volonta' deve riferirsi
specificamente a ciascuno di essi.
4) Comunicazione e diffusione dei dati.
I dati sensibili possono essere comunicati nei limiti strettamente
pertinenti al perseguimento delle finalita' di cui al punto 2), a
soggetti pubblici o privati, ivi compresi fondi e casse di previdenza
ed assistenza o societa' controllate e collegate ai sensi dell'art.
2359 del codice civile, nonche', ove necessario, ai familiari
dell'interessato.
I titolari del trattamento, anche ai fini dell'eventuale
comunicazione ad altri titolari delle modifiche apportate ai dati in
accoglimento di una richiesta dell'interessato (art. 13, comma 1,
lettera c), n. 4) della legge n. 675/1996), devono conservare un
elenco dei destinatari delle comunicazioni effettuate, recante
un'annotazione delle specifiche categorie di dati comunicati.
I dati sensibili non possono essere diffusi.
Capo II
Sondaggi e ricerche
1)Soggetti ai quali e' rilasciata l'autorizzazione e finalita' del
trattamento.
Imprese, societa', istituti ed altri organismi o soggetti privati,
ai soli fini del compimento di sondaggi di opinione, di ricerche di
mercato o di altre ricerche campionarie.
Il sondaggio o la ricerca devono essere effettuati per scopi
puntualmente determinati e legittimi, noti all'interessato.
2)Interessati ai quali i dati si riferiscono e categorie di dati
trattati.
Il trattamento puo' riguardare i dati attinenti ai soggetti che
abbiano manifestato il proprio consenso informato e che abbiano
risposto a questionari o ad interviste effettuate nell'ambito di
sondaggi di opinione, di ricerche di mercato o di altre ricerche
campionarie.
Il consenso deve essere manifestato in ogni caso per iscritto.
I dati personali di natura sensibile possono essere trattati solo
se il trattamento di dati anonimi non permette al sondaggio o alla
ricerca di raggiungere i suoi scopi.
3) Conservazione dei dati.
Il trattamento successivo alla raccolta non deve permettere di
identificare gli interessati, neanche indirettamente, mediante un
riferimento ad una qualsiasi altra informazione.
I dati personali, individuali o aggregati, devono essere distrutti
o resi anonimi subito dopo la raccolta, e comunque non oltre la fase
contestuale alla registrazione dei campioni raccolti. La
registrazione deve essere effettuata senza ritardo anche nel caso in
cui i campioni siano stati raccolti in numero elevato.
Entro tale ambito temporale, resta ferma la possibilita' per il
titolare della raccolta, nonche' per i suoi responsabili o
incaricati, di utilizzare i dati personali al fine di verificare
presso gli interessati la veridicita' o l'esattezza dei campioni.
4) Comunicazione dei dati.
I dati sensibili non possono essere ne' comunicati ne' diffusi.
I campioni del sondaggio o della ricerca possono essere comunicati
o diffusi in forma individuale o aggregata, sempreche' non possano
essere associati, anche a seguito di trattamento, ad interessati
identificati o identificabili.
Capo III
Attivita' di elaborazione di dati
1) Soggetti ai quali e' rilasciata l'autorizzazione.
Imprese, societa', istituti ed altri organismi o soggetti privati,
titolari autonomi di un'attivita' svolta nell'interesse di altri
soggetti, e che presuppone l'elaborazione di dati ed altre operazioni
di trattamento eseguite in materia di lavoro ovvero a fini contabili,
retributivi, previdenziali, assistenziali e fiscali.
2) Prescrizioni applicabili.
Il trattamento e' regolato dalle autorizzazioni:
a) n. 1/1998, emanata il 30 settembre 1998, concernente il
trattamento dei dati sensibili a cura, in particolare, delle parti di
un rapporto di lavoro qualora le finalita' perseguite siano quelle
indicate al punto 3) di tale autorizzazione;
b) n. 4/1998, emanata il 30 settembre 1998, riguardante il
trattamento dei dati sensibili ad opera dei liberi professionisti e
di altri soggetti equiparati, qualora le finalita' perseguite siano
quelle indicate al punto 3) di tale autorizzazione.
Qualora il consenso sia richiesto nei confronti di distinti
titolari di trattamenti, la manifestazione di volonta' deve riferirsi
specificamente a ciascuno di essi.
Capo IV
Attivita' di selezione del personale
1)Soggetti ai quali e' rilasciata l'autorizzazione e finalita' del
trattamento.
L'autorizzazione e' rilasciata, anche senza richiesta, alle
imprese, alle societa', agli istituti e agli altri organismi o
soggetti privati, titolari autonomi di un'attivita' svolta anche di
propria iniziativa nell'interesse di terzi, ai soli fini della
ricerca o della selezione di personale.
2)Interessati ai quali i dati si riferiscono e categorie di dati
trattati.
Il trattamento puo' riguardare i dati idonei a rivelare lo stato di
salute dei candidati all'instaurazione di un rapporto di lavoro o di
collaborazione, solo se la loro raccolta e' giustificata da scopi
determinati e legittimi ed e' strettamente indispensabile per
instaurare tale rapporto.
Il trattamento dei dati idonei a rivelare lo stato di salute dei
familiari o dei conviventi dei candidati e' consentito con il
consenso scritto degli interessati e qualora sia finalizzato al
riconoscimento di uno specifico beneficio in favore dei candidati, in
particolare ai fini di un'assunzione obbligatoria o del
riconoscimento di un titolo derivante da invalidita' o infermita', da
eventi bellici o da ragioni di servizio.
Qualora il consenso sia richiesto nei confronti di distinti
titolari di trattamenti, la manifestazione di volonta' deve riferirsi
specificamente a ciascuno di essi.
Il trattamento deve riguardare le sole informazioni strettamente
pertinenti a tale finalita', sia in caso di risposta a questionari
inviati anche per via telematica, sia nel caso in cui i candidati
forniscano dati di propria iniziativa, in particolare attraverso
l'invio di curricula.
Non e' consentito il trattamento dei dati:
a) idonei a rivelare le convinzioni religiose, filosofiche o di
altro genere, le opinioni politiche, l'adesione a partiti, sindacati,
associazioni a carattere religioso, filosofico, politico o sindacale,
l'origine razziale ed etnica, e la vita sessuale;
b) inerenti a fatti non rilevanti ai fini della valutazione
dell'attitudine professionale del lavoratore;
c) in violazione delle norme in materia di pari opportunita' o
volte a prevenire discriminazioni.
3) Comunicazione e diffusione dei dati.
I dati idonei a rivelare lo stato di salute possono essere
comunicati nei limiti strettamente pertinenti al perseguimento delle
finalita' di cui ai punti 1) e 2), a soggetti pubblici o privati che
siano specificamente menzionati nella dichiarazione di consenso
dell'interessato.
I dati sensibili non possono essere diffusi.
Capo V
Mediazione a fini matrimoniali
1) Soggetti ai quali e' rilasciata l'autorizzazione.
L'autorizzazione e' rilasciata, anche senza richiesta, alle
imprese, alle societa', agli istituti e agli altri organismi o
soggetti privati che esercitano, anche attraverso agenzie
autorizzate, un'attivita' di mediazione a fini matrimoniali o di
instaurazione di un rapporto di convivenza.
2) Finalita' del trattamento.
L'autorizzazione e' rilasciata, anche senza richiesta, ai soli fini
dell'esecuzione dei singoli incarichi conferiti in conformita' alle
leggi e ai regolamenti.
3) Interessati ai quali i dati si riferiscono.
Il trattamento puo' riguardare i soli dati sensibili attinenti alle
persone direttamente interessate al matrimonio o alla convivenza.
Non e' consentito il trattamento di dati relativo a persone minori
di eta' in base all'ordinamento del Paese di appartenenza o,
comunque, in base alla legge italiana.
4) Categorie di dati oggetto di trattamenti.
Il trattamento puo' riguardare i soli dati e le sole operazioni che
risultino indispensabili in relazione allo specifico profilo o alla
personalita' descritto o richiesto dalle persone interessate al
matrimonio o alla convivenza.
I dati devono essere forniti personalmente dai medesimi
interessati.
L'informativa preliminare al consenso scritto deve porre in
particolare evidenza le categorie di dati trattati e le modalita'
della loro comunicazione a terzi.
5) Comunicazione dei dati.
I dati possono essere comunicati nei limiti strettamente pertinenti
all'esecuzione degli specifici incarichi ricevuti.
I titolari del trattamento, anche ai fini dell'eventuale
comunicazione ad altri titolari delle modifiche apportate ai dati in
accoglimento di una richiesta dell'interessato (art. 13, comma 1,
lettera c), n. 4), della legge n. 675/1996), devono conservare un
elenco dei destinatari delle comunicazioni effettuate, recante
un'annotazione delle specifiche categorie di dati comunicati.
L'eventuale diffusione anche per via telematica di taluni dati
sensibili deve essere oggetto di apposita autorizzazione di questa
Autorita'.
6) Norme finali.
Restano fermi gli ulteriori obblighi previsti dalla legge e dai
regolamenti, in particolare nell'ambito della legge penale e della
disciplina di pubblica sicurezza, nonche' in materia di tutela dei
minori.
Capo VI
Prescrizioni comuni a tutti i trattamenti
Per quanto non previsto dai capi che precedono, ai trattamenti ivi
indicati si applicano, altresi', le seguenti prescrizioni:
1) Dati idonei a rivelare lo stato di salute.
Il trattamento dei dati idonei a rivelare lo stato di salute deve
essere effettuato anche nel rispetto dell'autorizzazione n. 2/1998,
emanata il 30 settembre 1998.
Il trattamento dei dati genetici non e' consentito nei casi
previsti dalla presente autorizzazione.
2) Modalita' di trattamento.
Fermi restando gli obblighi previsti dagli articoli 9, 15, 17 e 28
della legge n. 675/1996, concernenti i requisiti dei dati personali,
la sicurezza e i limiti posti ai trattamenti automatizzati volti a
definire il profilo o la personalita' degli interessati, nonche' il
trasferimento all'estero dei dati, il trattamento dei dati sensibili
deve essere effettuato unicamente con logiche e forme di
organizzazione dei dati strettamente correlate alle finalita'
indicate nei capi che precedono.
Resta inoltre fermo l'obbligo di informare l'interessato, ai sensi
dell'art. 10, commi 1 e 3, della legge n. 675/1996, anche quando i
dati sono raccolti presso terzi.
3) Conservazione dei dati.
Nel quadro del rispetto dell'obbligo previsto dall'art. 9, comma 1,
lettera e) della legge 31 dicembre 1996, n. 675, i dati sensibili
possono essere conservati per un periodo non superiore a quello
necessario per perseguire le finalita' ovvero per adempiere agli
obblighi o agli incarichi menzionati nei precedenti capi, verificando
anche periodicamente la stretta pertinenza e la non eccedenza dei
dati trattati.
Restano fermi i diversi termini di conservazione previsti dalle
leggi o dai regolamenti.
Resta altresi' fermo quanto previsto nel capo II in materia di
sondaggi e di ricerche.
4) Richieste di autorizzazione.
I titolari dei trattamenti che rientrano nell'ambito di
applicazione della presente autorizzazione non sono tenuti a
presentare una richiesta di autorizzazione a questa Autorita',
qualora il trattamento che si intende effettuare sia conforme alle
prescrizioni suddette.
Le richieste di autorizzazione pervenute o che perverranno anche
successivamente alla data di adozione del presente provvedimento,
devono intendersi accolte nei termini di cui al provvedimento
medesimo.
Il Garante non prendera' in considerazione richieste di
autorizzazione per trattamenti da effettuarsi in difformita' alle
prescrizioni del presente provvedimento, salvo che il loro
accoglimento sia giustificato da circostanze del tutto particolari o
da situazioni eccezionali non considerate nella presente
autorizzazione.
5) Norme finali.
Restano fermi gli obblighi previsti da norme di legge o di
regolamento o dalla normativa comunitaria che stabiliscono divieti o
limiti piu' restrittivi in materia di trattamento di dati personali
e, in particolare:
a) dalla legge 20 maggio 1970, n. 300;
b) dalla legge 5 giugno 1990, n. 135.
Restano altresi' fermi gli obblighi deontologici, nonche' gli
obblighi di legge che vietano la rivelazione senza giusta causa e
l'impiego a proprio o altrui profitto delle notizie coperte dal
segreto professionale.
Resta ferma, infine, la possibilita' di diffondere dati anonimi
anche aggregati.
6) Efficacia temporale.
La presente autorizzazione ha efficacia a decorrere dal 1 ottobre
1998, fino al 30 settembre 1999.
La presente autorizzazione sara' pubblicata nella Gazzetta
Ufficiale della Repubblica italiana.
Roma, 30 settembre 1998
Il presidente: Rodota'