Autorizzazione al trattamento di dati sensibili per l'erogazione diservizi di consulenza on line

Autorizzazione altrattamento di dati sensibili per l'erogazione di servizi di consulenza online

Provvedimentodel 26 marzo 2009

IL GARANTE PER LAPROTEZIONE DEI DATI PERSONALI

IN DATA ODIERNA, con la partecipazionedel prof. Francesco Pizzetti, presidente, del dott. Giuseppe Chiaravalloti,vice presidente, del dott. Mauro Paissan e del dott. Giuseppe Fortunato,componenti, e del dott. Filippo Patroni Griffi, segretario generale;

VISTO il decreto legislativo 30 giugno2003, n. 196 (Codice in materia di protezione dei dati personali), conparticolare riferimento agli artt. 4, comma 1, lett. d), 26 e 41;

CONSIDERATO che, ai sensi dell'art. 26,comma 1, del Codice, i soggetti privati possono trattare i dati sensibili soloprevia autorizzazione del Garante e con il consenso scritto degli interessati,nell'osservanza dei presupposti e dei limiti stabiliti dal Codice, nonché dallalegge e dai regolamenti;

VISTA la richiesta di autorizzazionepresentata ai sensi dell'art. 26 del Codice da "L.N.M. Consulting s.a.s.di Napoleone Mazza", con sede in Morlupo (Roma), pervenuta il 14 gennaio2009, relativa al trattamento dei dati sensibili che la società intendeeffettuare per fornire ai propri utenti servizi di consulenza on line; ciò, avvalendosi di professionisti iscritti neirelativi albi o ordini professionali (avvocati, commercialisti e consulenti dellavoro);

VISTA la successiva comunicazionepervenuta in data 11 febbraio 2009 in riscontro alla richiesta di chiarimentiformulata dall'Autorità;

RILEVATO che, secondo quanto dichiaratodalla società, anche ai sensi dell'art. 168 del Codice, il trattamento dieventuali dati sensibili da parte della stessa viene effettuato nell'ambitodelle attività volte a:

a. "valutare la richiestadell'utente sulla base delle informazioni ricevute […] e comunicare i dati al professionistaritenuto più idoneo a fornire il servizio legale richiesto, onde predisporre [il relativo] preventivo […] e, in caso di sua accettazione, fornire dettoservizio" (cfr. richiestapervenuta il 14 gennaio 2009);

b. comunicare all'utente per iltramite del sito web, previa "verificada parte [della società] dellarispondenza del servizio agli standard indicati nel sito circa le modalità dipredisposizione del servizio",il parere formulato dal professionista (cfr. comunicazione dell'11 febbraio2009);

RILEVATO altresì che responsabile deltrattamento presso la società "sarà l'avvocato Luca Mazza, o altroavvocato successivamente"designato (cfr. comunicazione pervenuta il 26 gennaio 2009);

CONSIDERATO che la comunicazione allasocietà del parere reso dal professionista in vista del suo successivo inoltroall'interessato richiede il consenso dell'interessato medesimo (considerataanche la disciplina relativa al segreto professionale); consenso da rendersiper iscritto in presenza di dati sensibili;

RITENUTO, alla luce delle dichiarazionirese, che la società effettui la sola attività di intermediazione tra gliutenti e i professionisti, restando in capo a questi ultimi, che operano qualidistinti e autonomi titolari del trattamento, l'esecuzione della prestazioneprofessionale;

VISTA l'autorizzazione generale n. 2/2008 rilasciata dal Garante con delib. n.33 del 19 giugno 2008 in ordine al trattamento dei dati idonei a rivelare lostato di salute e la vita sessuale, efficace sino al 31 dicembre 2009;

CONSIDERATO che l'autorizzazione generalen. 2/2008, alle condizioni ivi previste, già consente alle imprese iltrattamento dei dati idonei a rivelare lo stato di salute e la vita sessualeper fornire agli interessati beni, prestazioni e servizi (cfr. in particolarepar. 1.2, lett. e), sì che pertale aspetto non è richiesta una nuova autorizzazione da parte del Garante;

RILEVATO che la società potrebbe dovertrattare anche dati sensibili ulteriori rispetto a quelli idonei a rivelare lostato di salute e la vita sessuale, anzitutto al fine di mettere in contattogli utenti con i professionisti di volta in volta selezionati per fornire laprestazione professionale richiesta;

RITENUTO, limitatamente ai profili diconformità alla disciplina di protezione dei dati personali, di doverautorizzare la società al trattamento dei dati sensibili nella misura in cuigli stessi, considerato l'argomento trattato o il quesito posto, risultinoindispensabili per individuare il professionista ritenuto più adatto a fornirela consulenza richiesta nonché per procedere alla verifica formale da partedella società del parere predisposto e alla sua successiva comunicazioneall'utente interessato;

RITENUTO che il trattamento dei datisensibili diversi da quelli idonei a rivelare lo stato di salute e la vitasessuale debba essere effettuato in base alle stesse condizioni stabilitedall'autorizzazione generale n. 2/2008 del Garante;

RILEVATA altresì la necessità diprescrivere alla società di inserire nella sezione del sito web destinata alla raccolta dei dati personali degliinteressati un avvertimento, che risulti chiaramente visibile, a non indicarenelle proprie richieste dati di carattere sensibile non indispensabili al finedi identificare l'eventuale professionista reputato idoneo a rendere ilservizio professionale;

VISTO il codice deontologico forense,richiamato dal "Codice di deontologia e di buona condotta per itrattamenti di dati personali effettuati per svolgere investigazionidifensive" (adottato con Provv. n. 60 del 6 novembre 2008), che vieta agli avvocati "ogni condottadiretta all'acquisizione dei rapporti di clientela a mezzo di agenzie oprocacciatori" (art. 19) e ponealtresì in capo agli stessi il dovere di segretezza e riservatezza (art. 9);

VISTO l'art. 167, comma 2, del Codice chesanziona la violazione delle prescrizioni della presente autorizzazione;

VISTO l'art. 11, comma 2, del Codice, ilquale stabilisce che i dati trattati in violazione della disciplina rilevantein materia di trattamento di dati personali non possono essere utilizzati;

VISTI gli articoli 31 e seguenti del Codicee il disciplinare tecnico di cui all'Allegato B) al medesimo Codice recanti norme e regole sullemisure di sicurezza;

VISTI gli atti d'ufficio;

VISTE le osservazioni dell'Ufficioformulate dal segretario generale ai sensi dell'art. 15 del regolamento delGarante n. 1/2000;

RELATORE il dott. Mauro Paissan;

TUTTO CIÒ PREMESSO, ILGARANTE

1. ai sensi dell'art. 41 del Codice,autorizza "L.N.M. Consulting s.a.s. di Napoleone Mazza", allecondizioni previste dall'autorizzazione generale n. 2/2008, a trattare datisensibili, anche diversi da quelli idonei a rivelare lo stato di salute e lavita sessuale, nella misura in cui gli stessi risultino indispensabili perindividuare il professionista ritenuto più adatto a fornire la consulenzarichiesta nonché per procedere alla verifica formale da parte della società delparere predisposto e alla sua successiva comunicazione all'utente;

2. ai sensi dell'art. 154, comma 1,lett. c) del Codice, prescrive a"L.N.M. Consulting s.a.s. di Napoleone Mazza", di inserire nellasezione del sito web destinataalla raccolta dei dati personali degli interessati un avvertimento, che risultichiaramente visibile, a non indicare nelle proprie richieste dati di caratteresensibile non indispensabili al fine di identificare l'eventuale professionistareputato idoneo a rendere il servizio professionale.

Dispone, inoltre, la trasmissione delpresente provvedimento al Consiglio nazionale forense per la valutazione di eventualiprofili di propria competenza.

Roma, 26 marzo 2009

Il presidente
Pizzetti

Il relatore
Paissan

Il segretario generale
Patroni Griffi