Autorizzazione al trattamento dei dati sensibili nell'attivita' di mediazione finalizzata alla conciliazione delle controversie civili e commerciali

GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

DELIBERAZIONE 21 APRILE 2011

Autorizzazioneal trattamento dei dati sensibili nell'attivita' di mediazione finalizzataalla conciliazione delle controversie civili e commerciali. (Deliberazione n. 161/2011).

(Pubblicatasulla GU n. 101 del 3-5-2011 )

ILGARANTE PER LA PROTEZIONE DEI DATI PERSONALI

In data odierna, con la partecipazione del prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti, vicepresidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato, componenti, e del dott. Daniele De Paoli, segretario generale;

Visto il decreto legislativo 30 giugno 2003, n. 196, recante il Codice inmateria di protezione dei dati personali;

Visto, in particolare, l'art. 4, comma 1, lett. d), del citato Codice, ilquale individua i dati sensibili;

Considerato che, ai sensi dell'art. 26, comma 1, del Codice, i soggettiprivati e gli enti pubblici economici possono trattare i dati sensibilisolo previa autorizzazione di questa Autorita' e, ove necessario, con il consenso scritto degli interessati, nell'osservanza dei presupposti edei limiti stabiliti dal Codice, nonche' dalla legge e dai regolamenti;

Considerato che il trattamento dei dati in questione puo' essere autorizzato dal Garante anche d'ufficio con provvedimenti di carattere generale,relativi a determinate categorie di titolari o di trattamenti (art. 40 delCodice);

Considerato che le autorizzazioni di carattere generale sinora rilasciatesono risultate uno strumento idoneo per prescrivere misure uniformi a garanziadegli interessati, rendendo altresi' superflua la richiesta di singoliprovvedimenti di autorizzazione da parte di numerosi titolari deltrattamento;

Visto il decreto legislativo 4 marzo 2010, n. 28 di attuazione dell'art.60 della legge 18 giugno 2009, n. 69 in materia di mediazionefinalizzata alla conciliazione delle controversie civili e commerciali e ild.m. del 18 ottobre 2010, n. 180 emanato ai sensi dell'art. 16 del predettodecreto legislativo;

Considerato che un elevato numero di trattamenti di dati sensibili e'effettuato da parte degli organismi definiti a norma dell'art. 1 comma 1, lett. d) del decreto legislativo n. 28/2010 per l'espletamento dellerispettive attivita';

Vista l'autorizzazione generale n. 2/2009 al trattamento dei dati idonei arivelare lo stato di salute e la vita sessuale rilasciata, altresi', quandoil trattamento sia necessario ´per far valere o difendere un diritto ancheda parte di un terzo in sede giudiziaria, nonche' in sede amministrativa onelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratticollettivi, sempre che il diritto sia di rango pari a quello dell'interessato, ovvero consistente in un diritto della personalita' o in altro diritto o liberta' fondamentale e inviolabile, e i dati siano trattati esclusivamente per tali finalita' e per il periodo strettamente necessarioper il loro perseguimentoª (punto 1.3., lett. a);

Ritenuto che il trattamento di dati sensibili effettuato dagli organismidi mediazione ai sensi del decreto legislativo n. 28/2010 non sia riconducibile all'autorizzazione generale n. 5/2009 al trattamento deidati sensibili da parte di diverse categorie di titolari inconsiderazione delle categorie di soggetti a cui si rivolge e dellerelative prescrizioni;

Ritenuto necessario, pertanto, per permettere il trattamento di dati sensibili nell'esercizio della mediazione finalizzata alla conciliazionedelle controversie civili e commerciali ai sensi del decreto legislativo n.28/2010, rilasciare una nuova autorizzazione al trattamento dei datisensibili;

Visto l'art. 27 del Codice, che consente il trattamento di dati giudiziarida parte di privati o di enti pubblici economici, soltanto se autorizzato daespressa disposizione di legge o provvedimento del Garante che specifichino lefinalita' di rilevante interesse pubblico del trattamento, i tipi di datitrattati e le operazioni eseguibili;

Vista l'autorizzazione generale n. 7/2009 al trattamento dei dati a caratteregiudiziario da parte di privati, di enti pubblici economici e di soggettipubblici rilasciata ´a chiunque, per far valere o difendere un dirittoanche da parte di un terzo in sede giudiziaria, nonche' in sede amministrativao nelle procedure di arbitrato e di conciliazione nei casi previsti dalle leggi, dalla normativa comunitaria, dai regolamenti o dai contratticollettivi [...]ª (punto 2) lett. a), e, quindi, applicabile anche altrattamento di dati a carattere giudiziario indispensabili nell'ambito dell'attivita' di mediazione di cui al decreto legislativo n. 28/2010;

Considerato opportuno che anche tale nuova autorizzazione sia provvisoriae a tempo determinato, ai sensi dell'art. 41, comma 5, del Codice; ritenutocongruo, in particolare, statuirne l'efficacia, nella fase di primaapplicazione della disciplina normativa di cui al menzionato decreto legislativon. 28/2010, fino al 30 giugno 2012, cio' in quanto entro tale periodo ditempo dovrebbero essere ultimati gli adempimenti necessari per dare attuazioneall'art. 16 del decreto legislativo n. 28/2010 secondo i criteri indicati dall'art. 4 del d.m. n. 180/2010 con conseguente completamento del quadro normativo di riferimento;

Considerata la necessita' di garantire il rispetto di alcuni principivolti a ridurre al minimo i rischi di danno o di pericolo che i trattamentipotrebbero comportare per i diritti e le liberta' fondamentali, nonche' per la dignita' delle persone, e in particolare, per il diritto alla protezione dei dati personali sancito dall'art. 1 del Codice;

Visto l'art. 167 del Codice;

Visto l'art. 11, comma 2, del Codice, il quale stabilisce che i datitrattati in violazione della disciplina rilevante in materia di trattamento didati personali non possono essere utilizzati;

Visti gli articoli 31 e seguenti del Codice e il disciplinare tecnico dicui all'Allegato B) al medesimo Codice, recanti norme e regole sulle misuredi sicurezza;

Visto l'art. 41 del Codice;

Visti gli articoli 42 e seguenti del Codice in materia di trasferimentodi dati personali all'estero;

Visti gli atti d'ufficio;

Viste le osservazioni dell'Ufficio formulate dal segretario generaleai sensi dell'art. 15 del regolamento del Garante n. 1/2000;

Relatore il prof. Francesco Pizzetti;

Autorizza:

1)Soggetti ai quali e' rilasciata l'autorizzazione.

Sono autorizzati, anche senza richiesta, a trattare i dati sensibilidi cui all'art. 4, comma 1, lett. d), del Codice, secondo le prescrizioni di seguito indicate gli organismi di mediazione privati di cui all'art. 1,comma 1, del decreto legislativo 4 marzo 2010, n. 28 e successivemodificazioni e integrazioni.

2) Finalita' del trattamento.

Il trattamento dei dati sensibili puo' essere effettuato ai soli finidell'espletamento di un'attivita' che rientri tra quelle che i soggettiindicati al punto 1) possono svolgere ai sensi del decreto legislativo n.28/2010 e successive modifiche ed integrazioni e, in particolare, per assisteredue o piu' soggetti sia nella ricerca di un accordo amichevole per lacomposizione di una controversia, sia, ove tale accordo non venga raggiunto, nella formulazione di una proposta per la risoluzione dellastessa. Qualora i dati siano idonei a rivelare lo stato di salute e la vitasessuale, il diritto da far valere o difendere deve essere di rango pari a quello dell'interessato, ovvero consistente in un diritto dellapersonalita' o in un altro diritto o liberta' fondamentale e inviolabile.

3) Interessati ai quali i dati si riferiscono.

Il trattamento puo' riguardare i soli dati sensibili attinenti ai soggetticoinvolti nella controversia oggetto di conciliazione.

I dati sensibili relativi ai terzi possono essere trattati ove cio' siastrettamente indispensabile per l'attivita' di mediazione.

4) Categorie di dati e operazioni di trattamento.

Il trattamento puo' riguardare i soli dati e le sole operazioni che risultinoindispensabili, pertinenti e non eccedenti in relazione alla specificacontroversia oggetto di mediazione e rispetto ad attivita' che nonpossano essere svolte mediante il trattamento di dati anonimi o di datipersonali di natura diversa.

Il trattamento dei dati idonei a rivelare lo stato di salute e la vitasessuale deve essere effettuato anche nel rispetto della citata autorizzazionegenerale n. 2/2009.

5) Comunicazione dei dati.

I dati sensibili possono essere comunicati, laddove indispensabile, alle parti nel procedimento di mediazione finalizzata alla conciliazionedelle controversie civili e commerciali, nei limiti strettamente pertinentiall'espletamento dello specifico incarico di mediazione conferito e nel rispetto del decreto legislativo n. 28/2010.

I dati sensibili non possono essere diffusi.

6) Conservazione dei dati.

Nel quadro del rispetto dell'obbligo previsto dall'art. 11, comma 1, lett.e), del Codice, i dati sensibili possono essere conservati, per il periodo ditempo previsto dalla normativa comunitaria, da leggi, o da regolamenti e,comunque, per un periodo non superiore a quello strettamente necessario per la gestione dell'attivita' di mediazione.

A tal fine, anche mediante controlli periodici, deve essere verificatala stretta pertinenza, non eccedenza e indispensabilita' dei dati rispettoagli incarichi in corso, da instaurare o cessati, anche con riferimento aidati che l'interessato fornisce di propria iniziativa. I dati che, anche aseguito delle verifiche, risultano eccedenti o non pertinenti o nonindispensabili non possono essere utilizzati, salvo che per l'eventuale conservazione, a norma di legge, dell'atto o del documento che li contiene. Specifica attenzione e' prestata per l'indispensabilita' dei dati riferiti a soggetti diversi da quelli cui si riferiscono direttamente le prestazioni e gli adempimenti.

7) Richieste di autorizzazione.

I titolari dei trattamenti che rientrano nell'ambito di applicazione della presente autorizzazione non sono tenuti a presentare una richiesta di autorizzazione a questa Autorita', qualora il trattamento chesi intende effettuare sia conforme alle prescrizioni suddette.

Le richieste di autorizzazione pervenute o che perverranno anche successivamentealla data di adozione del presente provvedimento, devono intendersi accolte nei termini di cui al provvedimento medesimo.

Il Garante non prendera' in considerazione richieste di autorizzazioneper trattamenti da effettuarsi in difformita' alle prescrizioni del presente provvedimento, salvo che, ai sensi dell'art. 41 del Codice, illoro accoglimento sia giustificato da circostanze del tutto particolari o da situazioni eccezionali non considerate nella presente autorizzazione.

8) Norme finali.

Restano fermi gli obblighi previsti da norme di legge o di regolamentoo dalla normativa comunitaria che stabiliscono divieti o limiti piu'restrittivi in materia di trattamento di dati personali.

Restano fermi, altresi', gli obblighi di legge che vietano la rivelazionesenza giusta causa e l'impiego a proprio o altrui profitto dellenotizie coperte dal segreto professionale, nonche' gli obblighi deontologici o di buona condotta relativi alle singole figure professionali.

9) Efficacia temporale.

La presente autorizzazione ha efficacia fino al 30 giugno 2012, salveeventuali modifiche che il Garante ritenga di dover apportare in conseguenzadi eventuali novita' normative rilevanti in materia.

La presente autorizzazione sara' pubblicata nella Gazzetta Ufficialedella Repubblica italiana.

Roma, 21 aprile 2011

Il Presidente e relatore
Pizzetti

Il segretario generale reggente
De Paoli