GARANTE PER LAPROTEZIONE DEI DATI PERSONALI PROVVEDIMENTO 21dicembre 2005 (Autorizzazione n.4/2005 – pubblicata sulla G.U. n.2 del 3/1/2006).
IL GARANTE PER LA PROTEZIONEDEI DATI PERSONALI
In data odierna, con la partecipazione del prof.Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,componenti, e del dott. Giovanni Buttarelli, segretario generale; Visto il decreto legislativo 30 giugno 2003, n.196, recante il Codice in materia di protezione dei dati personali; Visto, in particolare, l'art. 4, comma 1, lett.d), del citato Codice, il quale individua i dati sensibili; Considerato che, ai sensi dell'art. 26, comma 1,del Codice, i soggetti privati e gli enti pubblici economici possono trattare idati sensibili solo previa autorizzazione di questa Autorit e, ove necessario,con il consenso scritto degli interessati, nell'osservanza dei presupposti edei limiti stabiliti dal Codice, nonch dalla legge e dai regolamenti; Visto il comma 4, lett. c), del medesimo art.26, il quale stabilisce che i dati sensibili possono essere oggetto ditrattamento anche senza consenso, previa autorizzazione del Garante, quando iltrattamento medesimo necessario ai fini dello svolgimento delleinvestigazioni difensive ai sensi della legge 7 dicembre 2000, n. 397 o,comunque per far valere o difendere in sede giudiziaria un diritto, sempre chei dati siano trattati esclusivamente per tali finalit e per il periodostrettamente necessario al loro perseguimento, e che, quando i dati sianoidonei a rivelare lo stato di salute e la vita sessuale il diritto sia di rangopari a quello dell'interessato, ovvero consista in un diritto della personalito in un altro diritto o libert fondamentale inviolabile; Considerato che il trattamento dei dati inquestione pu essere autorizzato dal Garante anche d'ufficio con provvedimentidi carattere generale, relativi a determinate categorie di titolari o ditrattamenti (art. 40 del Codice); Considerato che le autorizzazioni di caratteregenerale sinora rilasciate sono risultate uno strumento idoneo per prescriveremisure uniformi a garanzia degli interessati, rendendo altres superflua larichiesta di singoli provvedimenti di autorizzazione da parte di numerosititolari del trattamento; Ritenuto opportuno rilasciare nuoveautorizzazioni in sostituzione di quelle in scadenza il 31 dicembre 2005,armonizzando le prescrizioni gi impartite alla luce dell'esperienza maturata; Ritenuto opportuno che anche tali nuoveautorizzazioni siano provvisorie e a tempo determinato, ai sensi dall'art. 41,comma 5, del Codice e, in particolare, efficaci per il periodo di diciottomesi; Considerata la necessit di garantire ilrispetto di alcuni principi volti a ridurre al minimo i rischi di danno o dipericolo che i trattamenti potrebbero comportare per i diritti e le libertfondamentali, nonch per la dignit delle persone, e, in particolare, per ildiritto alla protezione dei dati personali sancito all'art. 1 del Codice; Considerato che un elevato numero di trattamentidi dati sensibili effettuato da liberi professionisti iscritti in albi oelenchi professionali per l'espletamento delle rispettive attivitprofessionali; Visto l'art. 167 del Codice; Visto l'art. 11, comma 2, del Codice, il qualestabilisce che i dati trattati in violazione della disciplina rilevante inmateria di trattamento di dati personali non possono essere utilizzati; Visti gli articoli 31 e seguenti del Codice e ildisciplinare tecnico di cui all'Allegato B) al medesimo Codice recanti norme eregole sulle misure di sicurezza; Visto l'art. 41 del Codice; Visti gli atti d'ufficio; Viste le osservazioni dell'Ufficio formulate dalsegretario generale ai sensi dell'art. 15 del regolamento del Garante n. 1/2000; Relatore il dott. Giuseppe Chiaravalloti; Autorizza
i liberi professionisti iscritti in albi oelenchi professionali a trattare i dati sensibili di cui all'art. 4, comma 1,lett. d), del Codice, secondo le prescrizioni di seguito indicate. Prima di iniziare o proseguire il trattamento isistemi informativi e i programmi informatici sono configurati riducendo alminimo l'utilizzazione di dati personali e di dati identificativi, in modo daescluderne il trattamento quando le finalit perseguite nei singoli casipossono essere realizzate mediante, rispettivamente, dati anonimi od opportunemodalit che permettano di identificare l'interessato solo in caso di necessit,in conformit all'art. 3 del Codice.
1) Ambito di applicazione L'autorizzazione rilasciata, anche senzarichiesta, ai liberi professionisti tenuti ad iscriversi in albi o elenchi perl'esercizio di un'attivit professionale in forma individuale o associata,anche in conformit al decreto legislativo 2 febbraio 2001, n. 96, o alle normedi attuazione dell'art. 24, comma 2, della legge 7 agosto 1997, n. 266, in temadi attivit di assistenza e consulenza. Sono equiparati ai liberi professionisti isoggetti iscritti nei corrispondenti albi o elenchi speciali istituiti anche aisensi dell'art. 34 del regio decreto-legge 27 novembre 1933, n. 1578 esuccessive modificazioni e integrazioni, recante l'ordinamento dellaprofessione di avvocato. L'autorizzazione rilasciata anche ai sostitutie agli ausiliari che collaborano con il libero professionista ai sensidell'art. 2232 del Codice civile, ai praticanti e ai tirocinanti presso illibero professionista, qualora tali soggetti siano titolari di un autonomo trattamentoo siano contitolari del trattamento effettuato dal libero professionista. Il presente provvedimento non si applica altrattamento dei dati sensibili effettuato: a) dagliesercenti la professione sanitaria e dagli psicologi, dal personale sanitarioinfermieristico, tecnico e della riabilitazione, ai quali si riferiscel'autorizzazione generale n. 2/2005; b) per lagestione delle prestazioni di lavoro o di collaborazione di cui si avvale illibero professionista o taluno dei soggetti sopra indicati, alla quale siriferisce l'autorizzazione generale n. 1/2005; c) dasoggetti privati che svolgono attivit investigative, dai giornalisti, daipubblicisti e dai praticanti giornalisti di cui agli articoli 26 e 33 dellalegge 3 febbraio 1963, n. 69.
2) Interessati ai quali i dati si riferisconoe categorie di dati Il trattamento pu riguardare i dati sensibilirelativi ai clienti. I dati sensibili relativi ai terzi possonoessere trattati ove ci sia strettamente indispensabile per l'esecuzione dispecifiche prestazioni professionali richieste dai clienti per scopideterminati e legittimi. In ogni caso, i dati devono essere strettamentepertinenti e non eccedenti rispetto ad incarichi conferiti che non possanoessere svolti mediante il trattamento di dati anonimi o di dati personali dinatura diversa. Il trattamento dei dati idonei a rivelare lostato di salute e la vita sessuale deve essere effettuato anche nel rispettodella citata autorizzazione generale n. 2/2005.
3) Finalit del trattamento Il trattamento dei dati sensibili pu essereeffettuato ai soli fini dell'espletamento di un incarico che rientri tra quelliche il libero professionista pu eseguire in base al proprio ordinamentoprofessionale, e in particolare: a) percurare gli adempimenti in materia di lavoro, di previdenza ed assistenzasociale e fiscale nell'interesse di altri soggetti che sono parte di unrapporto di lavoro dipendente o autonomo, ai sensi della legge 11 gennaio 1979,n. 12, che disciplina la professione di consulente del lavoro; b) aifini dello svolgimento da parte del difensore delle investigazioni difensive dicui alla legge 7 dicembre 2000, n. 397, anche a mezzo di sostituti e diconsulenti tecnici, o, comunque, per far valere o difendere un diritto anche daparte di un terzo in sede giudiziaria, nonch in sede amministrativa o nelleprocedure di arbitrato e di conciliazione nei casi previsti dalla normativacomunitaria, dalle leggi, dai regolamenti o dai contratti collettivi. Qualora idati siano idonei a rivelare lo stato di salute e la vita sessuale, il dirittoda far valere o difendere deve essere di rango pari a quello dell'interessato,ovvero consistente in un diritto della personalit o in un altro diritto olibert fondamentale e inviolabile; c) perl'esercizio del diritto di accesso ai documenti amministrativi, nei limiti diquanto stabilito dalle leggi e dai regolamenti in materia, salvo quantoprevisto dall'art. 60 del Codice in relazione ai dati sullo stato di salute esulla vita sessuale.
4) Modalit di trattamento Il trattamento dei dati sensibili deve essereeffettuato unicamente con logiche e mediante forme di organizzazione dei datistrettamente indispensabili in rapporto all'incarico conferito dal cliente. Restano fermi gli obblighi previsti dagliarticoli 11 e 14 del Codice, nonch dagli articoli 31 e seguenti del Codice edall'Allegato B) al medesimo Codice. Restano inoltre fermi gli obblighi di informarel'interessato ai sensi dell'art. 13, commi 1, 4 e 5, del Codice, anche quando idati sono raccolti presso terzi, e di acquisire, ove necessario, il consensoscritto. Se i dati sono raccolti per l'esercizio di undiritto in sede giudiziaria o per le indagini difensive (punto 3), lettera b),l'informativa relativa ai dati raccolti presso terzi, e il consenso scritto,sono necessari solo se i dati sono trattati per un periodo superiore a quellostrettamente necessario al perseguimento di tali finalit, oppure per altrefinalit con esse non incompatibili. Le informative devono permettere all'interessatodi comprendere agevolmente se il titolare del trattamento un singoloprofessionista o un'associazione di professionisti, ovvero se ricorreun'ipotesi di contitolarit tra pi liberi professionisti o di esercizio dellaprofessione in forma societaria ai sensi del decreto legislativo 2 febbraio2001, n. 96. Resta ferma la facolt del libero professionistadi designare quali responsabili o incaricati del trattamento i sostituti, gliausiliari, i tirocinanti e i praticanti presso il libero professionista, iquali, in tal caso, possono avere accesso ai soli dati strettamente pertinentialla collaborazione ad essi richiesta. Analoga cautela deve essere adottata inriferimento agli incaricati del trattamento preposti all'espletamento dicompiti amministrativi.
5) Conservazione dei dati Nel quadro del rispetto dell'obbligo previstodall'art. 11, comma 1, lett. e), del Codice, i dati sensibili possono essereconservati, per il periodo di tempo previsto dalla normativa comunitaria, daleggi, o da regolamenti e, comunque, per un periodo non superiore a quellostrettamente necessario per adempiere agli incarichi conferiti. A tal fine, anche mediante controlli periodici,deve essere verificata la stretta pertinenza, non eccedenza e indispensabilitdei dati rispetto agli incarichi in corso, da instaurare o cessati, anche conriferimento ai dati che l'interessato fornisce di propria iniziativa. I datiche, anche a seguito delle verifiche, risultano eccedenti o non pertinenti onon indispensabili non possono essere utilizzati, salvo che per l'eventualeconservazione, a norma di legge, dell'atto o del documento che li contiene.Specifica attenzione prestata per l'indispensabilit dei dati riferiti asoggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gliadempimenti. I dati acquisiti in occasione di precedentiincarichi possono essere mantenuti se pertinenti, non eccedenti eindispensabili rispetto a successivi incarichi.
6) Comunicazione e diffusione dei dati I dati sensibili possono essere comunicati e ovenecessario diffusi, a soggetti pubblici o privati, nei limiti strettamentepertinenti all'espletamento dell'incarico conferito e nel rispetto, in ognicaso, del segreto professionale. I dati idonei a rivelare lo stato di salutepossono essere comunicati solo se necessario per finalit di prevenzione,accertamento o repressione dei reati, con l'osservanza delle norme che regolanola materia. I dati relativi allo stato di salute e alla vitasessuale non possono essere diffusi.
7) Richieste di autorizzazione I titolari dei trattamenti che rientranonell'ambito di applicazione della presente autorizzazione non sono tenuti apresentare una richiesta di autorizzazione a questa Autorit, qualora iltrattamento che si intende effettuare sia conforme alle prescrizioni suddette. Le richieste di autorizzazione pervenute o cheperverranno anche successivamente alla data di adozione del presenteprovvedimento, devono intendersi accolte nei termini di cui al provvedimentomedesimo. Il Garante non prender in considerazionerichieste di autorizzazione per trattamenti da effettuarsi in difformit alleprescrizioni del presente provvedimento, salvo che, ai sensi dell'art. 41 delCodice, il loro accoglimento sia giustificato da circostanze del tuttoparticolari o da situazioni eccezionali non considerate nella presenteautorizzazione.
8) Norme finali Restano fermi gli obblighi previsti da norme dilegge o di regolamento o dalla normativa comunitaria che stabiliscono divieti olimiti pi restrittivi in materia di trattamento di dati personali e, inparticolare, dalle leggi 20 maggio 1970, n. 300, e 5 giugno 1990, n. 135, comemodificata dall'art. 178 del Codice, nonch dalle norme volte a prevenirediscriminazioni. Restano fermi, altres, gli obblighi di leggeche vietano la rivelazione senza giusta causa e l'impiego a proprio o altruiprofitto delle notizie coperte dal segreto professionale, nonch gli obblighideontologici o di buona condotta relativi alle singole figure professionali.
9) Efficacia temporale e disciplinatransitoria La presente autorizzazione ha efficacia adecorrere dal 1 gennaio 2006 fino al 30 giugno 2007, salve eventuali modificheche il Garante ritenga di dover apportare in conseguenza di eventuali novitnormative rilevanti in materia. La presente autorizzazione sarà pubblicata nella Gazzetta Ufficiale della Repubblica italiana. Roma, 21 dicembre 2005 IL PRESIDENTE IL RELATORE IL SEGRETARIO GENERALE |