| Garante per la protezione dei dati personali Autorizzazione n. 5/2012 Autorizzazione al trattamento dei dati sensibili daparte di diverse categorie di titolari Autorizzazione del 13 dicembre 2012
Registro dei provvedimenti n. 402 del 13 dicembre 2012 IL GARANTE PER LA PROTEZIONE DEI DATIPERSONALI Indata odierna, con la partecipazione del dott. Antonello Soro, presidente, delladott.ssa Augusta Iannini, vicepresidente, della dott.ssa Giovanna BianchiClerici e della dott.ssa Licia Califano, componenti, e del dott. GiuseppeBusia, segretario generale; VISTOil decreto legislativo 30 giugno 2003, n. 196, recante il Codice in materia diprotezione dei dati personali; VISTO,in particolare, l'art. 4, comma 1, lett. d) del citato Codice, il qualeindividua i dati sensibili; CONSIDERATOche, ai sensi dell'art. 26, comma 1, del Codice, i soggetti privati e gli entipubblici economici possono trattare i dati sensibili solo previa autorizzazionedi questa Autorità e, ove necessario, con il consenso scritto degliinteressati, nell'osservanza dei presupposti e dei limiti stabiliti dal Codice,nonché dalla legge e dai regolamenti; VISTOil d.lg. 4 marzo 2010, n. 28 di attuazione dell'art. 60 della legge 18 giugno2009, n. 69 in materia di mediazione finalizzata alla conciliazione dellecontroversie civili e commerciali e il d.m. del 18 ottobre 2010, n. 180, emanato ai sensi dell'art. 16 del predetto decreto legislativo; CONSIDERATOche un elevato numero di trattamenti di dati sensibili è effettuato da partedegli organismi definiti a norma dell'art. 1 comma 1, lett. d) del d.lg. n.28/2010 per l'espletamento delle rispettive attività; VISTAl RITENUTOche il trattamento dei dati sensibili effettuato dagli organismi di mediazioneai sensi del d.lg. n. 28/2010 non sia riconducibile all' VISTAl'autorizzazione n. 161 del 21 aprile 2011 al trattamento dei dati sensibilinell'attività di mediazione finalizzata alla conciliazione delle controversiecivili e commerciali di cui al d.lg. 4 marzo 2010, n. 28 e ritenuto necessario,nell'ottica di una semplificazione ed armonizzazione del sistema, ricondurreall'interno della presente autorizzazione anche il trattamento dei datisensibili effettuato con riguardo all'attività di mediazione di cui almenzionato decreto; CONSIDERATOche il trattamento dei dati in questione può essere autorizzato dal Garanteanche d'ufficio con provvedimenti di carattere generale, relativi a determinatecategorie di titolari o di trattamenti (art. 40 del Codice); CONSIDERATOche le autorizzazioni di carattere generale sinora rilasciate sono risultateuno strumento idoneo per prescrivere misure uniformi a garanzia degliinteressati, rendendo altresì superflua la richiesta di singoli provvedimentidi autorizzazione da parte di numerosi titolari del trattamento; RITENUTOopportuno rilasciare nuove autorizzazioni in sostituzione di quelle in scadenzail 31 dicembre 2012, armonizzando le prescrizioni già impartite alla lucedell'esperienza maturata; RITENUTOopportuno che anche tali nuove autorizzazioni siano provvisorie e a tempodeterminato, ai sensi dell'art. 41, comma 5, del Codice, e, in particolare,efficaci per il periodo di dodici mesi; CONSIDERATAla necessità di garantire il rispetto di alcuni princìpi volti a ridurre alminimo i rischi di danno o di pericolo che i trattamenti potrebbero comportareper i diritti e le libertà fondamentali, nonché per la dignità delle persone, ein particolare, per il diritto alla protezione dei dati personali sancitodall'art. 1 del Codice; CONSIDERATOche un elevato numero di trattamenti di dati sensibili è effettuato da parte disoggetti operanti in diversi settori di attività economiche di seguitoindividuate; VISTOl'art. 167 del Codice; VISTOl'art. 11, comma 2, del Codice, il quale stabilisce che i dati trattati inviolazione della disciplina rilevante in materia di trattamento di datipersonali non possono essere utilizzati; VISTIgli articoli 31 e seguenti del Codice e il disciplinare tecnico di cuiall'Allegato B) al medesimo Codice, recanti norme e regole sulle misure disicurezza; VISTOl'art. 41 del Codice; VISTIgli articoli 42 e seguenti del Codice in materia di trasferimento di datipersonali all'estero; VISTIgli atti d'ufficio; VISTEle osservazioni dell'Ufficio formulate dal segretario generale ai sensidell'art. 15 del regolamento del Garante n. 1/2000; RELATOREla dott.ssa Giovanna Bianchi Clerici; AUTORIZZA iltrattamento dei dati sensibili di cui all'art. 4, comma 1, lett. d), delCodice, fatta eccezione dei dati idonei a rivelare la vita sessuale, secondo leprescrizioni di seguito indicate. Primadi iniziare o proseguire il trattamento i sistemi informativi e i programmiinformatici sono configurati riducendo al minimo l'utilizzazione di datipersonali e di dati identificativi, in modo da escluderne il trattamento quandole finalità perseguite nei singoli casi possono essere realizzate mediante,rispettivamente, dati anonimi od opportune modalità che permettano diidentificare l'interessato solo in caso di necessità, in conformità all'art. 3del Codice.
CAPO I – ATTIVITA' BANCARIE,CREDITIZIE, ASSICURATIVE, DI GESTIONE DI FONDI, DEL SETTORE TURISTICO, DELTRASPORTO ED ALTRE ATTIVITA' AUTORIZZATE 1) Soggetti ai quali è rilasciata l'autorizzazione 2) Finalità del trattamento. Lapresente autorizzazione è rilasciata, anche senza richiesta, limitatamente aidati e alle operazioni indispensabili per adempiere agli obblighi anche precontrattualiche i soggetti di cui al punto 1) assumono, nel proprio settore di attività, alfine di fornire specifici beni, prestazioni o servizi richiestidall'interessato. L'autorizzazioneè rilasciata anche per adempiere o per esigere l'adempimento di obblighiprevisti, anche in materia fiscale e contabile, dalla normativa comunitaria,dalla legge, dai regolamenti, o dai contratti collettivi, o prescritti daautorità od organi di vigilanza o di controllo nei casi indicati dalla legge odai regolamenti. Iltrattamento avente tali finalità può riguardare anche la tenuta di registri escritture contabili, di elenchi, di indirizzari e di altri documenti necessariper espletare compiti di organizzazione o di gestione amministrativa diimprese, società, cooperative o consorzi. 3) Interessati ai quali i dati si riferiscono ecategorie di dati trattati. Iltrattamento può riguardare i dati sensibili attinenti ai soggetti ai quali sonoforniti i beni, le prestazioni o i servizi, in misura strettamente pertinente aquanto specificamente richiesto dall'interessato che, ove necessario, abbiamanifestato il proprio consenso scritto ed informato. Nei medesimi limiti, èpossibile trattare dati relativi a terzi, allorché non sia altrimenti possibileprocedere alla fornitura al beneficiario dei beni, delle prestazioni o deiservizi. Qualorail consenso sia richiesto nei confronti di distinti titolari di trattamenti, lamanifestazione di volontà deve riferirsi specificamente a ciascuno di essi. 4) Comunicazione e diffusione dei dati. Idati sensibili possono essere comunicati, nei limiti strettamente pertinenti alperseguimento delle finalità di cui al punto 2), a soggetti pubblici o privati,ivi compresi fondi e casse di previdenza ed assistenza o società controllate ecollegate ai sensi dell'art. 2359 del codice civile, nonché, ove necessario, aifamiliari dell'interessato. Ititolari del trattamento, anche ai fini dell'eventuale comunicazione ad altrititolari delle modifiche apportate ai dati in accoglimento di una richiestadell'interessato (art. 7, comma 3, lettera c), del Codice), devono conservareun elenco dei destinatari delle comunicazioni effettuate, recanteun'annotazione delle specifiche categorie di dati comunicati. Idati sensibili non possono essere diffusi.
CAPO II - SONDAGGI E RICERCHE 1) Soggetti ai quali è rilasciatal'autorizzazione e finalità del trattamento. Ilsondaggio o la ricerca devono essere effettuati per scopi puntualmentedeterminati e legittimi, noti all'interessato. 2) Interessati ai quali i dati siriferiscono e categorie di dati trattati. Ilconsenso deve essere manifestato in ogni caso per iscritto. Idati personali di natura sensibile possono essere trattati solo se iltrattamento di dati anonimi non permette al sondaggio o alla ricerca diraggiungere i suoi scopi. 3) Conservazione dei dati. Idati personali, individuali o aggregati, devono essere distrutti o resi anonimisubito dopo la raccolta, e comunque non oltre la fase contestuale allaregistrazione dei campioni raccolti. La registrazione deve essere effettuatasenza ritardo anche nel caso in cui i campioni siano stati raccolti in numeroelevato. Entrotale ambito temporale, resta ferma la possibilità per il titolare dellaraccolta, nonché per i suoi responsabili o incaricati, di utilizzare i datipersonali al fine di verificare presso gli interessati la veridicità ol'esattezza dei campioni. 4) mily:Times;mso-bidi-font-family:Helvetica;color:#1F1F1F;mso-bidi-font-weight:bold'>Comunicazione dei dati. Idati sensibili non possono essere né comunicati, né diffusi. Icampioni del sondaggio o della ricerca possono essere comunicati o diffusi informa individuale o aggregata, sempre che non possano essere associati, anche aseguito di trattamento, ad interessati identificati o identificabili.
CAPO III - ATTIVITA' DI ELABORAZIONEDI DATI 1) Soggetti ai quali è rilasciata l'autorizzazione. Imprese,società, istituti ed altri organismi o soggetti privati, titolari autonomi diun'attività svolta nell'interesse di altri soggetti, e che presupponel'elaborazione di dati ed altre operazioni di trattamento eseguite in materiadi lavoro, ovvero a fini contabili, retributivi, previdenziali, assistenziali efiscali. 2) Prescrizioni applicabili. Iltrattamento è regolato dalle autorizzazioni: Qualorail consenso sia richiesto nei confronti di distinti titolari di trattamenti, lamanifestazione di volontà deve riferirsi specificamente a ciascuno di essi.
CAPO IV - ATTIVITA' DI SELEZIONE DELPERSONALE 1) Soggetti ai quali è rilasciata l'autorizzazione efinalità del trattamento. Lapresente autorizzazione è rilasciata, anche senza richiesta, alle agenzie peril lavoro e agli altri soggetti che, in conformità alla legge, svolgono,nell'interesse di terzi, attività di intermediazione, ricerca e selezione delpersonale o supporto alla ricollocazione professionale. 2) Interessati ai quali i dati si riferiscono ecategorie di dati trattati. Iltrattamento può riguardare i dati idonei a rivelare lo stato di salute el'origine razziale ed etnica dei candidati all'instaurazione di un rapporto dilavoro o di collaborazione, solo se la loro raccolta è giustificata da scopideterminati e legittimi ed è strettamente indispensabile per instaurare talerapporto. Iltrattamento dei dati idonei a rivelare lo stato di salute dei familiari o deiconviventi dei candidati è consentito con il consenso scritto degli interessatie qualora sia finalizzato al riconoscimento di uno specifico beneficio infavore dei candidati, in particolare ai fini di un'assunzione obbligatoria odel riconoscimento di un titolo derivante da invalidità o infermità, da eventibellici o da ragioni di servizio. Qualorail consenso sia richiesto nei confronti di distinti titolari di trattamenti, lamanifestazione di volontà deve riferirsi specificamente a ciascuno di essi. Iltrattamento deve riguardare le sole informazioni strettamente pertinenti a talefinalità, sia in caso di risposta a questionari inviati anche per viatelematica, sia nel caso in cui i candidati forniscano dati di propriainiziativa, in particolare attraverso l'invio di curricula. Nonè consentito il trattamento dei dati: 3) Comunicazione e diffusione dei dati. Idati idonei a rivelare lo stato di salute e l'origine razziale ed etnicapossono essere comunicati nei limiti strettamente pertinenti al perseguimentodelle finalità di cui ai punti 1) e 2), a soggetti pubblici o privati che sianospecificamente menzionati nella dichiarazione di consenso dell'interessato. Idati sensibili non possono essere diffusi. 5) Norme finali Restanofermi gli ulteriori obblighi previsti dalla legge e dai regolamenti.
CAPO V - MEDIAZIONE A FINIMATRIMONIALI 1) Soggetti ai quali è rilasciata l'autorizzazione Lapresente autorizzazione è rilasciata alle imprese, alle società, agli istitutie agli altri organismi o soggetti privati che esercitano, anche attraversoagenzie autorizzate, un'attività di mediazione a fini matrimoniali o diinstaurazione di un rapporto di convivenza. 2) Finalità del trattamento. L'autorizzazioneè rilasciata ai soli fini dell'esecuzione dei singoli incarichi conferiti inconformità alle leggi e ai regolamenti. 3) Interessati ai quali i dati si riferiscono. Iltrattamento può riguardare i soli dati sensibili attinenti alle personedirettamente interessate al matrimonio o alla convivenza. Nonè consentito il trattamento di dati relativo a persone minori di età in baseall'ordinamento del Paese di appartenenza o, comunque, in base alla leggeitaliana. 4) Categorie di dati oggetto di trattamento. Iltrattamento può riguardare i soli dati e le sole operazioni che risultinoindispensabili in relazione allo specifico profilo o alla personalità descrittoo richiesto dalle persone interessate al matrimonio o alla convivenza. Idati devono essere forniti personalmente dai medesimi interessati. L'informativapreliminare al consenso scritto deve porre in particolare evidenza le categoriedi dati trattati e le modalità della loro comunicazione a terzi. 5) Comunicazione dei dati. Idati possono essere comunicati nei limiti strettamente pertinentiall'esecuzione degli specifici incarichi ricevuti. Ititolari del trattamento, anche ai fini dell'eventuale comunicazione ad altrititolari delle modifiche apportate ai dati in accoglimento di una richiestadell'interessato (art. 7, comma 3, lettera c), del Codice), devono conservareun elenco dei destinatari delle comunicazioni effettuate, recanteun'annotazione delle specifiche categorie di dati comunicati. L'eventualediffusione anche per via telematica di taluni dati sensibili deve essereoggetto di apposita autorizzazione di questa Autorità. 6) Norme finali. Restanofermi gli ulteriori obblighi previsti dalla legge e dai regolamenti, inparticolare nell'ambito della legge penale e della disciplina di pubblica sicurezza,nonché in materia di tutela dei minori.
CAPO VI - MEDIAZIONE FINALIZZATA ALLACONCILIAZIONE DELLE CONTROVERSIE CIVILI E COMMERCIALI 1) Soggetti ai quali è rilasciata l'autorizzazione. Lapresente autorizzazione è rilasciata, anche senza richiesta, agli organismi dimediazione privati di cui all'art. 1, comma 1 del d.lg. 4 marzo 2010, n. 28 perl'espletamento delle attività di mediazione finalizzata alla conciliazionedelle controversie civili e commerciali. 2) Finalità del trattamento. L'autorizzazioneè rilasciata ai soli fini dell'espletamento di un'attività che rientri traquelle che i soggetti indicati al punto 1) possono svolgere ai sensi del d.lg.n. 28/2010 e successive modifiche ed integrazioni e, in particolare, perassistere due o più soggetti sia nella ricerca di un accordo amichevole per lacomposizione di una controversia, sia, ove tale accordo non venga raggiunto,nella formulazione di una proposta per la risoluzione della stessa. Qualora idati siano idonei a rivelare lo stato di salute e la vita sessuale, il dirittoda far valere o difendere deve essere di rango pari a quello dell'interessato,ovvero consistente in un diritto della personalità o in un altro diritto olibertà fondamentale e inviolabile. 3) Interessati ai quali i dati si riferiscono. Iltrattamento può riguardare i soli dati sensibili attinenti ai soggetticoinvolti nella controversia oggetto di conciliazione. Idati sensibili relativi ai terzi possono essere trattati ove ciò siastrettamente indispensabile per l'attività di mediazione. 4) Categorie di dati oggetto di trattamento emodalità del trattamento. Iltrattamento può riguardare i soli dati e le sole operazioni che risultinoindispensabili, pertinenti e non eccedenti in relazione alla specificacontroversia oggetto di mediazione e rispetto ad attività che non possanoessere svolte mediante il trattamento di dati anonimi o di dati personali dinatura diversa. Iltrattamento dei dati idonei a rivelare lo stato di salute e la vita sessualedeve essere effettuato anche nel rispetto della citata autorizzazione generalen. 2/2012. L'informativapreliminare al consenso scritto deve porre in particolare evidenza le categoriedi dati trattati e le modalità della loro comunicazione. 5) Comunicazione dei dati. Idati sensibili possono essere comunicati, alle parti nel procedimento dimediazione finalizzata alla conciliazione delle controversie civili ecommerciali, nei limiti strettamente pertinenti all'espletamento dellospecifico incarico di mediazione conferito e nel rispetto delle restrizioni edei limiti di cui al d.lg. n. 28/2010. Idati sensibili non possono essere diffusi. 7) Norme finali. Restanofermi gli obblighi previsti da norme di legge o di regolamento o dallanormativa comunitaria che stabiliscono divieti o limiti più restrittivi inmateria di trattamento di dati personali. Restanofermi, altresì, gli obblighi di legge che vietano la rivelazione senza giustacausa e l'impiego a proprio o altrui profitto delle notizie coperte da segretoprofessionale, nonché gli obblighi deontologici o di buona condotta relativialle singole figure professionali.
CAPO VII - PRESCRIZIONI COMUNI A TUTTII TRATTAMENTI Perquanto non previsto dai capi che precedono, ai trattamenti ivi indicati siapplicano, altresì, le seguenti prescrizioni: 1) Dati idonei a rivelare lo stato disalute. Iltrattamento dei dati idonei a rivelare lo stato di salute deve essereeffettuato anche nel rispetto dell'autorizzazione n. 2/2012. Iltrattamento di dati genetici resta autorizzato nei limiti e alle condizioniindividuati nell'autorizzazione adottata ai sensi dell'art. 90 del Codice. 2) Modalità di trattamento. Fermirestando gli obblighi previsti dagli articoli 11 e 14 del Codice, dagliarticoli 31 e seguenti del Codice e dall'Allegato B) al Codice, il trattamentodei dati sensibili deve essere effettuato unicamente con operazioni, nonché conlogiche e mediante forme di organizzazione dei dati strettamente indispensabiliin rapporto alle finalità indicate nei capi che precedono. Lacomunicazione di dati all'interessato deve avvenire di regola direttamente aquest'ultimo o a un suo delegato (fermo restando quanto previsto dall'art. 84,comma 1, del Codice), in plico chiuso o con altro mezzo idoneo a prevenire laconoscenza da parte di soggetti non autorizzati, anche attraverso la previsionedi distanze di cortesia. Restainoltre fermo l'obbligo di informare l'interessato, ai sensi dell'art. 13,commi 1, 4 e 5 del Codice, anche quando i dati sono raccolti presso terzi. 3) Conservazione dei dati. Nelquadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett. e) delCodice, i dati sensibili possono essere conservati per un periodo non superiorea quello necessario per perseguire le finalità, ovvero per adempiere agliobblighi o agli incarichi menzionati nei precedenti capi. A tal fine, anchemediante controlli periodici, deve essere verificata costantemente la strettapertinenza, non eccedenza e indispensabilità dei dati rispetto al rapporto,alla prestazione o all'incarico in corso, da instaurare o cessati, anche conriferimento ai dati che l'interessato fornisce di propria iniziativa. I datiche, anche a seguito delle verifiche, risultano eccedenti o non pertinenti onon indispensabili non possono essere utilizzati, salvo che per l'eventualeconservazione, a norma di legge, dell'atto o del documento che li contiene.Specifica attenzione è prestata per l'indispensabilità dei dati riferiti asoggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gliadempimenti. Restanofermi i diversi termini di conservazione previsti dalle leggi o dairegolamenti. Restaaltresì fermo quanto previsto nel capo II in materia di sondaggi e di ricerche. 4) Richiesta di autorizzazione. Ititolari dei trattamenti che rientrano nell'ambito di applicazione dellapresente autorizzazione non sono tenuti a presentare una richiesta diautorizzazione a questa Autorità, qualora il trattamento che si intendeeffettuare sia conforme alle prescrizioni suddette. Lerichieste di autorizzazione pervenute o che perverranno anche successivamentealla data di adozione del presente provvedimento, devono intendersi accolte neitermini di cui al provvedimento medesimo. IlGarante non prenderà in considerazione richieste di autorizzazione pertrattamenti da effettuarsi in difformità alle prescrizioni del presenteprovvedimento, salvo che, ai sensi dell'art. 41 del Codice, il loroaccoglimento sia giustificato da circostanze del tutto particolari o dasituazioni eccezionali non considerate nella presente autorizzazione. 5) Norme finali. Restanofermi gli obblighi previsti da norme di legge o di regolamento e dallanormativa comunitaria, che stabiliscono divieti o limiti più restrittivi inmateria di trattamento di dati personali e, in particolare: Restanoaltresì fermi gli obblighi di legge che vietano la rivelazione senza giustacausa e l'impiego a proprio o altrui profitto delle notizie coperte dal segretoprofessionale, nonché gli obblighi deontologici, previsti anche dai codicideontologici e di buona condotta adottati in attuazione dell'art. 12 delCodice. Restaferma, infine, la possibilità di diffondere dati anonimi anche aggregati. 6) Efficacia temporale e disciplina transitoria. Lapresente autorizzazione ha efficacia a decorrere dal 1 gennaio 2013 fino al 31dicembre 2013, salve eventuali modifiche che il Garante ritenga di doverapportare in conseguenza di eventuali novità normative rilevanti in materia. Lapresente autorizzazione sarà pubblicata nella Gazzetta Ufficiale dellaRepubblica italiana. Roma, 13 dicembre 2012
|